Establecer los lineamientos por los cuales se deberán atender las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales; así como las acciones que deberán llevar a cabo la entrega como responsable de la protección, tratamiento, conservación, resguardo y eliminación de los datos personales que recabe por cualquier medio.
2. ALCANCE
Es de aplicación general y obligatoria para todo el personal, en especial al que ejecuta las actividades en los diferentes procesos clave de la compañía, así como proveedores, funcionarios y cualquier parte interesada.
Al contratar a terceros como proveedores y socios, el área dentro de la empresa que efectúe las negociaciones y contratación deberá asegurar el correcto tratamiento de la información relativa al cumplimiento de la Legislación de protección de datos personales aplicable.
3. DEFINICIONES
No. |
Concepto |
Descripción |
1. |
Análisis de brecha |
Herramienta de análisis para comparar el estado y desempeño de las medidas de seguridad existentes de los sistemas de datos personales respecto de las faltantes |
2. |
Análisis de riesgo |
Estudio de las posibles amenazas, vulnerabilidades y eventos no deseados que puedan producir afectaciones a los derechos del titular de los datos personales. |
3. |
Área Jurídica |
El área facultada dentro de la empresa que se encarga de dar continuidad, soporte y seguimiento a los temas legales. |
4. |
Colaborador |
Todo el personal que presta servicios subordinados a la empresa. |
5. |
Comité de Integridad |
Órgano encargado de establecer las bases mínimas para la prevención, atención, investigación e implementación de sanciones respecto a conductas o actos de soborno, corrupción, protección de datos personales, igualdad laboral y no discriminación. |
6. |
Datos Personales |
Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. |
7. |
Datos Personales Sensibles |
Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o implique un riesgo grave para su titular. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas, afiliación sindical y preferencia sexual |
8. |
Derecho ARCO |
Los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales. |
9. |
Legislación vigente en materia de Protección de Datos Personales |
De manera enunciativa y no limitativa, la legislación aplicable en la materia es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulaes, la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y los Lineamientos del Aviso de privacidad. |
10. |
Oficial de cumplimiento |
Es la persona responsable de vigilar la adecuada implementación y funcionamiento de la documentación del marco normativo y legal aplicable de la organización, así como administrar el canal de denuncias respecto de conductas, actividades o comportamientos realizados por personal, proveedores, accionistas que provoquen que estas incurran en una infracción. |
4. DESCRIPCIÓN DE LA POLÍTICA
La empresa está comprometida con los más altos estándares éticos en los negocios en que participan y en la prestación de sus servicios; es por ello que cumple con la legislación vigente y aplicable en materia de protección de datos personales en México, incluyendo, pero no limitándose a los artículos 6o y 16 de la Constitución Política de los Estados Unidos Mexicanos y la Ley Federal de Protección de Datos Personales en Posesión de los particulares, publicada en el Diario Oficial de la Federación el 5 de julio de 2010.
4.1 LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES
En el tratamiento de datos personales, las áreas deberán observar los principios de calidad, consentimiento, finalidad, información, lealtad, licitud, proporcionalidad y responsabilidad.
La empresa y todos sus colaboradores adoptarán las medidas necesarias para mantener exactos, completos, pertinentes, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos, para lo cual deberán atender lo siguiente:
La Dirección de unidad de negocio o área de soporte, será encargado de apoyar al Comité de integridad o al Oficial de cumplimiento para el tratamiento responsable de los datos personales ejerciendo las funciones siguientes:
Las áreas deberán tratar los datos personales que resulten estrictamente necesarios para el ejercicio de sus atribuciones y funciones, observando las disposiciones aplicables en materia de datos personales. El Comité de integridad deberá asegurarse de tener un inventario de datos personales actualizado al menos en una ocasión por año calendario, solicitando a cada director de unidad de negocio o área de soporte, la actualización del mismo derivado a su responsabilidad estipulada dentro del numeral romano IV anterior.
Se presume que se cumple con la calidad en los datos personales cuando son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.
4.2 DATOS PERSONALES SENSIBLES
Los Datos Personales Sensibles que se describen a continuación son de manera enunciativa y no limitativa:
Tratándose de datos personales sensibles, se deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
Se le informa a todo el personal de la empresa que, en caso de cualquier duda o aclaración respecto al tratamiento de datos personales sensibles, pueden contactar al Comité de integridad o al Oficial de cumplimiento.
El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.
En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.
4.3 CANCELACIÓN DE DATOS PERSONALES
Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos.
Los plazos de conservación de los datos personales no deberán exceder aquellos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales.
La empresa, a través del Comité de integridad establecerá controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar su relación con el mismo.
Las unidades de negocio / áreas staff deberá poner a disposición de todo el personal, así como proveedores, funcionarios y cualquier parte interesada el Aviso de Privacidad correspondiente de acuerdo a lo establecido por los parámetros del mismo.
4.4 TRANSFERENCIAS DE DATOS PERSONALES
Toda transferencia de datos personales se encontrará sujeta al consentimiento de su titular y, una vez obtenido el consentimiento, deberá ser autorizada por el Comité de integridad lo anterior, única y exclusivamente cuando no se encuentre contemplada previamente dentro del aviso de privacidad firmado por el respectivo titular de los datos personales.
El instrumento que, en caso de ser necesario, formalice la transferencia en términos de este artículo deberá contener al menos, lo siguiente:
4.5 DERECHOS ARCO
El ejercicio de los derechos ARCO será gratuito y la empresa sólo podrá realizar cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable.
Los plazos y procedimientos para dar trámite a las solicitudes del ejercicio de los derechos ARCO en la organización, deberán desahogarse dentro del plazo máximo establecido en la LFPDPPP, atendiendo a lo dispuesto dentro de dicho plazo. El titular será notificado a través del Comité de integridad o, en su caso, por el área jurídica.
La empresa cuenta con un procedimiento establecido de ejercicio de derechos ARCO denominado “PR-GAL-01 Reclamación de Derechos ARCO”, mismo que establece paso a paso los lineamientos a seguir para dar respuesta a cualquier ejercicio de derechos ARCO que realicen los titulares de los mismos.
4.6 CAPACITACIÓN
El responsable de capacitación debe programar cursos para el personal, y partes interesadas que considere pertinentes de la empresa en relación con el cumplimiento de la presente Política, así como información general importante referente a protección de datos personales; para ello tomará en consideración las recomendaciones del Comité de integridad.
En el transcurso de un año por lo menos todo el personal y partes interesadas habrán de participar en por lo menos un curso de capacitación.
Adicional a lo anterior, el área de capacitación deberá contemplar dar capacitaciones cuando existan reformas a la legislación aplicable, estas capacitaciones deberán incluir también a los integrantes del Comité de integridad.
4.7 PUERTAS ABIERTAS DEL COMITÉ DE PROTECCIÓN DE DATOS PERSONALES
La empresa pone a disposición de todo el personal, proveedores y terceros, el siguiente formulario para el ejercicio de los derechos ARCO, así como para formular cualquier consulta al Comité de Datos Personales. El formulario podrá remitirse al siguiente correo electrónico compliancecorporativo@integradores.com.mx.
Asimismo, cualquier persona interesada podrá establecer contacto para realizar cualquier consulta o solicitud en relación con la aplicación y cumplimiento de esta política a través del formulario de contacto que se encuentra en el sitio de internet
4.8 DENUNCIA ANTE EL COMITÉ DE PROTECCIÓN DE DATOS PERSONALES.
El personal, funcionarios, proveedores, terceros y partes interesadas, asumen la responsabilidad de denunciar ante el Comité de integridad o el Oficial de cumplimiento cualquier actividad que viole o pudiera violar esta política o la legislación aplicable. La denuncia podrá ser realizada por cualquier persona que se identifique con documento oficial y que describa, lo más detalladamente posible el hecho, junto con los medios de prueba y convencimiento que estime convenientes.
Para ello, la empresa ha implementado un sistema de denuncia mediante la habilitación del correo electrónico compliancecorporativo@integradores.com.mx en donde cualquier persona puede denunciar cualquier actividad que viole o pudiera violar esta política o la legislación aplicable.
En su caso, la empresa contratará abogados externos para asesorarse en la determinación de la existencia de una potencial violación a esta política si fuera necesario. En caso de no poder hacer una determinación con la información disponible o de que se determine la existencia de una potencial violación, se llevarán a cabo las medidas correctivas aplicables de acuerdo al mecanismo para prevenir, atender y sancionar actos ilícitos aplicables de corrupción y soborno.
4.9 SANCIÓN
Como medida preventiva, la empresa hace del conocimiento de los funcionarios, proveedores, terceros y partes interesadas que, en caso de que se viole la presente Política, la empresa, pudiendo discrecionalmente decidir erigirse en conjunto con el Comité de Integridad, o no, aplicará las medidas disciplinarias que estime convenientes de acuerdo al PR-GAL-03 Sanciones Administrativas, y que pueden incluir la terminación de la relación laboral, profesional o comercial y, según sea apropiado, la denuncia del asunto ante las autoridades competentes y todas aquellas que contemple la Legislación aplicable.
4.10 MEDIDAS CORRECTIVAS
La empresa, a través del Comité de integridad con apoyo de las áreas que puedan intervenir en ello, procurará ejercer las Medidas Correctivas que tienen como finalidad, identificar las actividades que potencialmente puedan constituir una violación a esta Política o a la legislación aplicable, investigarlas hasta sus últimas consecuencias y aplicar las sanciones correspondientes, así como dejar una base de conocimiento para la mejora continua de seguridad de datos personales.
4.11 AUDITORÍA INTERNA
De resultar necesario, a criterio del Comité de Integridad planificará las evaluaciones que ayuden a realizar un análisis de brecha en las medidas de seguridad de la información, contando con la obligación de realizar revisiones al menos cada 12 (doce) meses, de los avisos de privacidad de la empresa, actualizándolos en caso de ser necesarios.
4.12 DENUNCIA ANTE AUTORIDADES
El reporte y documentación de soporte sobre las actividades sometidas a la investigación del Comité de integridad por posible irregularidades en el cumplimiento de la presente política, será analizado por el personal encargado de Jurídico, quienes en conjunto con los abogados externos y, dependiendo de cada caso en particular, elaborarán una estrategia de denuncia de los hechos investigados ante las autoridades competentes cuando ello fuere aplicable, informando de ello a la Dirección General por medio al PR-GPO-06 Revisión por la Dirección.
4.13 COLABORACIÓN EN SANCIONES
En caso de que alguna autoridad comience el procedimiento administrativo de investigación en contra de la empresa, este último en conjunto con el Comité de integridad se comprometen a colaborar con la obtención e identificación de la información que sea requerida.