tabla de control de cambios - vitrocanceles
TRANSCRIPT
TABLA DE CONTROL DE CAMBIOS
Versión Fecha de
actualización Descripción
1.0 10/04/2018 Aprobación de la versión 1.0.
1.0 10/04/2018 Difusión de la versión 1.0 de esta política a los responsables
funcionales y operativos.
POLÍTICA PROTECCIÓN DE DATOS PERSONALES
PROCESO: Protección de Datos Personales y Privacidad MACROPROCESO: Legal Versión: 1.0 RESPONSABLE DEL PROCESO: Departamento de Datos Personales
Fecha: 10/04/2018
ÍNDICE
1. INTRODUCCIÓN ............................................................................................................................................ 6
1.1. Alcance ............................................................................................................................................. 7
2. OBTENCIÓN, UTILIZACIÓN, CONSERVACIÓN Y CANCELACIÓN DE DATOS PERSONALES ............................... 8
2.1. Obtención de los datos personales .................................................................................................. 8
2.1.1. El principio de información en la obtención de datos personales ........................................................... 8
2.1.2. Requisitos internos previos a la obtención de datos personales ........................................................... 10
2.1.3. El consentimiento del titular para el tratamiento de sus datos personales .......................................... 11
2.2. Conservación y cancelación de datos personales ........................................................................... 12
3. EJERCICIO DE LOS DERECHOS DE LOS TITULARES DE DATOS PERSONALES ................................................ 15
3.1. Derechos ARCO, revocación del consentimiento y limitación sobre el uso o divulgación de datos personales
15
3.2. Procedimiento de ejercicio de los derechos ARCO y revocación del consentimiento. Plazos legales16
3.2.1. Requisitos comunes al ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición
(derechos ARCO), revocaciones del consentimiento y solicitudes de limitación sobre el uso o divulgación de
datos personales .................................................................................................................................................... 17
3.2.2. Áreas competentes para tramitar las solicitudes .................................................................................. 18
3.2.3. Derecho de Acceso ................................................................................................................................ 18
3.2.4. Derechos de rectificación, cancelación y oposición .............................................................................. 20
3.2.5. Procedimiento y cómputo ordinario de plazos para atender el ejercicio de derechos ARCO e los
titulares 21
3.2.6. Computo de plazos en caso de solicitudes incompletas o erróneas ..................................................... 23
4. ACCESO A LOS DATOS. RECURSOS CONTENIDOS EN BBDD AUTOMATIZADAS Y NO AUTOMATIZADAS ..... 25
4.1. Obligaciones del personal con acceso a datos personales ............................................................. 25
5. TRATAMIENTO DE DATOS PERSONALES POR CUENTA DE VITRO CANCELES, PARA LA PRESTACIÓN DE SERVICIOS
(ENCARGO) .......................................................................................................................................................... 27
6. TRANSFERENCIAS DE DATOS: RECURSOS CONTENIDOS EN BASES DE DATOS PERSONALES. ...................... 29
6.1. Regla general .................................................................................................................................. 29
6.2. Control de la transferencia efectuada ............................................................................................ 29
7. BASES DE DATOS QUE TRATAN DATOS PERSONALES ................................................................................. 30
7.1. Clasificación .................................................................................................................................... 30
7.2. Creación de nuevas bases de datos ................................................................................................ 30
7.3. Modificaciones o supresiones de bases de datos ........................................................................... 31
8. RESPONSABLE, RESPONSABLE FUNCIONAL, DEPARTAMENTO DE DATOS PERSONALES, USUARIOS AUTORIZADOS
(Y RESPONSABLE OPERATIVO) ............................................................................................................................. 32
8.1. Concepto y atribución de responsabilidades .................................................................................. 32
8.1.1. Responsable Funcional de la Base de Datos .......................................................................................... 32
8.1.2. Departamento de Datos Personales ...................................................................................................... 32
8.1.3. Usuarios autorizados que tratan datos personales ............................................................................... 33
8.1.4. Responsable Operativo ......................................................................................................................... 33
8.2. Funciones y obligaciones ................................................................................................................ 33
8.2.1. Responsables Funcionales de las Bases de Datos .................................................................................. 33
8.2.2. Departamento de Datos Personales ...................................................................................................... 34
8.2.3. Usuarios autorizados ............................................................................................................................. 35
8.2.4. Responsable Operativo ......................................................................................................................... 36
9. MEDIDAS DE SEGURIDAD DE LAS BASES DE DATOS .................................................................................... 38
9.1. Medidas de seguridad sobre BASES DE DATOS AUTOMATIZADAS ................................................. 41
9.1.1. Medidas de Seguridad de NIVEL BÁSICO ............................................................................................... 41
9.1.1.1. Contenido de la Relación de Medidas de Seguridad ............................................................................. 41
9.1.1.2. Actualización de la Relación de Medidas de Seguridad ......................................................................... 41
9.1.1.3. Registro de Vulneraciones de Seguridad (Incidencias) .......................................................................... 42
9.1.2. Medidas de Seguridad de NIVEL MEDIO ............................................................................................... 44
9.1.2.1. Auditorias Periódicas ............................................................................................................................. 44
9.1.2.2. Registro de entrada y salida de soportes y documentos ....................................................................... 45
9.1.2.3. Sistemas de identificación y autenticación específicos ......................................................................... 45
9.1.2.4. Control de acceso físico a los locales ..................................................................................................... 46
9.1.3. Medidas de Seguridad de NIVEL ALTO .................................................................................................. 46
9.1.3.1. Contenido de la Relación de Medidas de Seguridad ............................................................................. 46
9.1.3.2. Registro de accesos ............................................................................................................................... 46
9.1.3.3. Registro de accesos ............................................................................................................................... 47
9.2. Medidas de seguridad sobre BASES DE DATOS NO AUTOMATIZADAS ........................................... 47
9.2.1. Medidas de Seguridad de NIVEL BÁSICO ............................................................................................... 47
9.2.1.1. Criterios de archivo y clasificación de los soportes físicos ..................................................................... 47
9.2.1.2. Dispositivos de almacenamiento ........................................................................................................... 47
9.2.1.3. Custodia de los soportes ....................................................................................................................... 48
9.2.2. Medidas de Seguridad de NIVEL MEDIO ............................................................................................... 49
9.2.2.1. Auditoría ............................................................................................................................................... 49
9.2.3. Medidas de Seguridad de NIVEL ALTO .................................................................................................. 49
9.2.3.1. Almacenamiento de la información ...................................................................................................... 49
9.2.3.2. Copia o reproducción ............................................................................................................................ 49
9.2.3.3. Acceso a la documentación ................................................................................................................... 49
9.2.3.4. Traslado de documentos ....................................................................................................................... 49
10. RELACIONES CON EL INAI ........................................................................................................................... 50
11. EFECTIVIDAD Y DEROGACIÓN ..................................................................................................................... 51
12. ANEXO PRIMERO. Modelos de Avisos de Privacidad ................................................................................... 52
12.1. Modelo de Aviso de Privacidad Integral para la Base de Datos LIBROS Y ACTAS de VITRO CANCELES52
12.2. Modelo de Aviso de Privacidad Integral para la Base de Datos de CLIENTES de VITRO CANCELES. 55
12.3. Modelo de Aviso de Privacidad Integral para para Base de Datos CONTACTO de VITRO CANCELES.58
12.4. Modelo de Aviso de Privacidad Integral para la Base de Datos de PROVEEDORES de VITRO CANCELES
61
12.5. Modelo de Aviso de Privacidad Integral para la Base de Datos de EMPLEADOS de VITRO CANCELES.
64
12.6. Modelo de Aviso de Privacidad Integral para la Base de Datos de CANDIDATOS de VITRO CANCELES.
68
12.7. Modelo de Aviso de Privacidad Integral para Base de Datos de VISITANTES de VITRO CANCELES. 71
12.8. Modelo de Aviso de Privacidad Integral para la Base de Datos de REDES SOCIALES de VITRO CANCELES.
74
12.9. Modelo de Aviso de Privacidad Integral para la Base de Datos de VIDEO VIGILANCIA de VITRO CANCELES.
77
12.10. Modelo de cartel para difusión de Aviso de Privacidad Corto (VIDEO VIGILANCIA) ....................... 80
13. ANEXO SEGUNDO. Modelos de contestaciones a solicitudes sobre el ejercicio de derechos ARCO ........... 81
13.1. Modelo de Contestación a Solicitud de Acceso a Datos Personales ............................................... 81
13.2. Modelo de Contestación a Solicitud de Rectificación de Datos Personales .................................... 82
13.3. Modelo de Contestación a Solicitud de Cancelación de Datos Personales ..................................... 83
13.4. Modelo de Contestación negando la Cancelación de Datos Personales ........................................ 84
13.5. Modelo de Contestación a Solicitud de Oposición al Tratamiento de Datos Personales ................ 85
13.6. Modelo de Contestación a Revocación del Consentimiento para el Tratamiento de Datos Personales
86
13.7. Modelo de contestación requiriendo la Subsanación de Errores en la Solicitud de Ejercicio de Derechos
ARCO 87
13.8. Modelo de Contestación negando el Derecho de Acceso al Solicitante ......................................... 88
14. ANEXO TERCERO. Modelos de cláusulas ..................................................................................................... 89
14.1. Convenio de Protección de Datos Personales para contratos preexistentes con proveedores (prestadores
de servicios) con acceso a datos personales ................................................................................................... 89
14.2. Modelo de cláusulas para contratos con proveedores (prestadores de servicios) sin acceso a datos
personales ...................................................................................................................................................... 93
14.3. Modelo de cláusula sobre tratamiento de datos personales para Contratos Laborales ................. 94
15. ANEXO CUARTO. Departamento de Datos Personales y Responsables Funcionales ................................... 95
16. ANEXO QUINTO. Inventario de Bases de Datos Personales y Sistemas de Tratamiento ............................. 96
17. ANEXO SEXTO. Relación de Medidas de Seguridad aplicables a las Bases de Datos que tratan datos personales en
VITRO CANCELES ................................................................................................................................................. 98
1. INTRODUCCIÓN
Esta Política de Protección de Datos Personales (la “Política”) ha sido desarrollada a los efectos de garantizar el cumplimiento de la normativa vigente en materia de protección de datos personales.1
Este documento está basado en determinados criterios del Estándar Internacional ISO/IEC 27002, como marco de referencia.
El presente documento tiene por objeto cumplir, por un lado, con el artículo 48, fracción I del Reglamento de la LFPD, en el que se prevé que el Responsable podrá adoptar políticas de privacidad obligatorias y exigibles al interior de su organización como medida para garantizar el debido tratamiento de los datos personales, privilegiando los intereses del titular y la expectativa razonable de privacidad.
Asimismo, tiene por objeto cumplir con el artículo 61, fracción II en relación con el artículo 2, fracción V, también del Reglamento de la LFPD; en donde de forma clara y concisa se indica que el Responsable deberá adoptar las medidas organizativas necesarias para que el personal conozca las normas de seguridad en materia de protección de datos personales que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
Además, contiene la regulación de las condiciones organizativas de las bases de datos que tratan datos personales en posesión de Vitro Canceles, S.A. de C.V. (en adelante “VITRO CANCELES” o “Responsable”), existentes en la actualidad o que puedan crearse en el futuro; así como de las condiciones para la obtención de dichos datos personales, la entrega y transferencia de los datos a un tercero y los procedimientos a seguir para atender solicitudes relativas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos por los titulares (derechos ARCO) y de revocación del consentimiento.
Se determinarán los Responsables Funcionales y los Responsables Operativos (ANEXO CUARTO) de cada base de datos, señalando las condiciones de seguridad del entorno, programas y equipos, el uso de los datos y los procedimientos de autorización para accesos.
Esta Política es de aplicación a la obtención y tratamiento de los datos personales que figuren en bases de datos en posesión de VITRO CANCELES, así como a toda modalidad de uso posterior, incluso no automatizada, de datos personales registrados en soportes físicos susceptibles de tratamiento automatizado, no automatizado o mixto.
Quedan exceptuados de la aplicación de esta política:
• Las bases de datos relativas a personas morales (sociedades anónimas, fundaciones, asociaciones, y otros tipos de personas jurídicas),
• Las bases de datos de información tecnológica o comercial que reproduzcan datos ya publicados en diarios oficiales u otras publicaciones oficiales,
• Las bases de datos mantenidas por personas físicas en el ejercicio de sus actividades exclusivamente personales o domésticas.
1 Dicha normativa comprende, entre otras, las siguientes disposiciones: (i) Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPD”); (ii) Reglamento de la LFPD; (iii) Lineamientos del Aviso de Privacidad; (iv) RECOMENDACIONES en materia de seguridad de datos personales; (v) Modelo de Aviso de Privacidad Corto para Video-Vigilancia publicado por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI, y (vi) Recomendaciones aplicables emitidas por el INAI.
1.1. Alcance
El presente documento define y documenta las funciones y obligaciones de cada una de las partes que accedan a bases de datos con tratamiento automatizado o no automatizado de datos personales.
Este documento afecta a todas las Áreas de VITRO CANCELES y, en particular, a aquéllas que intervienen en la obtención, tratamiento y entrega de datos personales obrantes en bases de datos automatizadas y no automatizadas en VITRO CANCELES; así como a los directivos titulares de cada Área, quienes serán los Responsables Funcionales de las Bases de Datos; a la sociedad o entidad Responsable; al Departamento de Datos de Personales de VITRO CANCELES, y al personal autorizado para acceder a los mismos (descripción del personal en el ANEXO CUARTO de la presente Política).
Se recomienda facilitar este documento a todos los responsables a través de un correo electrónico personalizado y con acuse de recibo por medio del cual se determine la obligatoriedad de su lectura y cumplimiento de las medidas reflejadas.
El incumplimiento de las directrices, principios y obligaciones definidas en la presente Política puede ser motivo de rescisión de la relación laboral, relacionada con incumplimiento de políticas internas o por dar a conocer asuntos de carácter reservado, que cause algún perjuicio a la sociedad (artículo 47 de la Ley Federal del Trabajo) y demás medias que VITRO CANCELES considere pertinentes.
La presente normativa incorpora una serie de modelos de cláusulas, contratos e impresos, que deben ser considerados orientativos. Antes de ser usados y/o implementados deberán contar con la autorización del Departamento de Datos Personales de VITRO CANCELES.
2. OBTENCIÓN, UTILIZACIÓN, CONSERVACIÓN Y CANCELACIÓN DE DATOS PERSONALES
La obtención de los datos personales, así como su uso, tratamiento, conservación, cancelación, bloqueo y cancelación, tanto por sistemas automatizados como no automatizados, deberá realizarse en VITRO CANCELES en los términos de lo dispuesto en los siguientes apartados.
2.1. Obtención de los datos personales
La obtención de datos personales se realizará con fines determinados, explícitos y legítimos.
Los datos recabados deben ser necesarios, adecuados y relevantes en relación con el ámbito y los fines para los que se han obtenido, no pudiendo obtenerse por medios fraudulentos, desleales o ilícitos y apegándose en todo momento a la presente política, así como a las políticas globales de VITRO CANCELES.
La obtención de datos puede realizarse recabándolos personal o directamente del propio titular, o a través de terceros o de fuentes de acceso público (obtención indirecta). La obtención de datos personales origina el nacimiento del derecho de sus titulares a la información preceptiva que se indica en el siguiente apartado.
El hecho de que los datos personales sean tratados posteriormente con fines históricos, estadísticos y/o científicos, no se considerará incompatible con la finalidad que originó su obtención.
VITRO CANCELES está obligado a mantener datos personales exactos y actualizados, de forma que su veracidad corresponda a la situación actual de sus titulares, debiendo cancelar dichos datos una vez que hayan dejado de ser necesarios o pertinentes para las finalidades para las cuales hubieran sido recabados; respetando en todo momento los posibles plazos legales de conservación de la información establecidos disposiciones legales distintas a la normativa de protección de datos personales.
2.1.1. El principio de información en la obtención de datos personales
Conforme a la normativa vigente – adicional y complementaria de la LFPD y su Reglamento – denominada “Lineamientos del Aviso de Privacidad”, VITRO CANCELES debe facilitar a los titulares de datos personales que trata para finalidades determinadas, la siguiente información, a través de los Avisos de Privacidad correspondientes, incluidos en esta Política (ANEXO PRIMERO):
a) La identidad y domicilio del responsable que trata los datos personales; b) Los datos personales que serán sometidos a tratamiento; c) En su caso, el señalamiento expreso de los datos personales sensibles que se tratarán; d) Las finalidades del tratamiento; e) Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento de sus datos
personales para aquellas finalidades que no son necesarias, ni hayan dado origen a la relación jurídica con el responsable;
f) Las transferencias de datos personales que, en su caso, se efectúen; el tercero receptor de los datos personales, y las finalidades de las mismas;
g) La cláusula que indique si el titular acepta o no la transferencia, cuando así se requiera; h) Los medios y el procedimiento para ejercer los derechos ARCO;
i) Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales;
j) Las opciones y medios que el responsable ofrece al titular para limitar el uso o divulgación de los datos personales;
k) La información sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en su caso, y
l) Los procedimientos y medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.
Cuando los datos personales sean obtenidos de manera indirecta del titular, el responsable deberá observar lo siguiente para la puesta a disposición del Aviso de Privacidad correspondiente:
1. Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, VITRO CANCELES dará a conocer el Aviso de Privacidad respectivo en el primer contacto que se tenga con el titular, o
2. Si VITRO CANCELES pretende utilizar los datos para una finalidad distinta a la originalmente consentida, es decir, vaya a tener lugar un cambio de finalidad, el Aviso de Privacidad deberá darse a conocer antes de realizar el aprovechamiento de dichos datos personales.
Si el Aviso de Privacidad no se hace del conocimiento del titular de manera directa o personal, el titular tendrá un plazo de cinco días (contados a partir de la fecha en que se haya puesto a su disposición el Aviso de Privacidad) para que, en su caso, manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. Si el titular no manifiesta su negativa para el tratamiento de sus datos de conformidad con lo anterior, se entenderá que ha otorgado su consentimiento para el tratamiento de los mismos, salvo prueba en contrario.
No será necesario informar directamente a los titulares en el supuesto anterior, cuando resulte imposible dar a conocer el Aviso de Privacidad al titular o exija esfuerzos que vayan más allá de lo razonable, en consideración del número de titulares, o a la antigüedad de los datos.
En estos casos, VITRO CANCELES podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios generales expedidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y publicados en el Diario Oficial de la Federación el pasado 18 de abril de 2012, y demás órganos o normativas que sean aplicables, bajo los cuales podrán utilizarse los medios que se establecen en el artículo 35 del Reglamento de la LFPD.
Los casos que no actualicen los criterios generales emitidos por el INAI requerirán la autorización expresa de este Instituto, previo a la instrumentación de la medida compensatoria correspondiente.
En el supuesto de querer recurrir a medidas compensatorias con motivo de la imposibilidad de dar a conocer el Aviso de Privacidad o por requerir esta acción un esfuerzo desproporcionado, el Área captadora de los datos lo pondrá en conocimiento del Departamento de Datos Personales para coordinar el inicio del procedimiento a que se refieren los artículos 33 y 34 del Reglamento de la LFPD.
El Área captadora de la información deberá presentar al Departamento de Datos Personales las causas o justificación de la imposibilidad de dar a conocer el aviso de privacidad a los titulares o el esfuerzo desproporcionado que esto exige. Se deberá también recabar información relativa al número de titulares
afectados, antigüedad de los datos, si existe o no contacto directo con los titulares, y la capacidad económica de VITRO CANCELES con el fin de determinar qué medios puede utilizar como alternativas para difundir el aviso de privacidad correspondiente.
Adicionalmente, deberá recabarse la siguiente información/documentación:
a) Tratamiento al que pretende aplicar la medida compensatoria y sus características principales, tales como finalidad; tipo de datos personales tratados; si se efectúan transferencias; particularidades de los titulares, entre ellas edad, ubicación geográfica, nivel educativo y socioeconómico, entre otros;
b) Tipo de medida compensatoria que se pretende aplicar y por qué periodo la publicaría; c) Texto propuesto para la medida compensatoria, y d) Cualesquiera otros documentos que VITRO CANCELES considere necesarios presentar ante el INAI.
El Reglamento de la LFPD prevé los siguientes medios para la publicación de los Avisos de Privacidad que se den a conocer como medida compensatoria a la comunicación directa de los mismos a los titulares:
1. Diarios de circulación nacional; 2. Diarios locales o revistas especializadas, cuando se demuestre que los titulares de los datos personales
residan en una determinada entidad federativa o pertenezcan a una determinada actividad; 3. Página de Internet del responsable; 4. Hiperenlaces o hipervínculos situados en una página de Internet del Instituto, habilitados para dicho
fin, cuando el responsable no cuente con una página de Internet propia; 5. Carteles informativos; 6. Difusión en cápsulas informativas en radiodifusoras, o 7. Otros medios alternos de comunicación masiva.
Dada la diversa cantidad de supuestos que puede suponer la decisión de optar por medidas compensatorias, el Departamento de Datos Personales, en coordinación con el Área captadora de los datos deberán definir caso por caso el escrito que dé inicio al procedimiento para la autorización de este tipo de medidas y dejar evidencia de que se discutió la medida compensatoria, proporcionando los argumentos que llevaron a esa decisión.
2.1.2. Requisitos internos previos a la obtención de datos personales
Cualquier Área Gerencial, de Dirección o de Sub-Dirección que vaya a proceder a recabar datos personales a través de cualquier medio (electrónicamente, contractualmente, a través de medios impresos o formularios, telefónicamente, etc.), deberá someter la captación de dichos datos a las directrices aquí expuestas.
Con el objeto de vigilar internamente que se cumpla el deber de información en la obtención de los datos personales, se describe el siguiente procedimiento interno:
a) Cuando el titular de cualquier Área Directiva de VITRO CANCELES (que asume internamente y a efectos de la presente Política el carácter de Responsable Funcional) decida emprender actos, campañas o cualesquiera actos que vayan a significar, entre otros, la obtención de datos personales de cualquier persona física, deberá notificar al Departamento de Datos Personales sobre la siguiente información:
1) Procedencia de la información. 2) Tipología de los datos personales. 3) Finalidades para las cuales se van a utilizar los datos. 4) Sistema de información en el que se procederá a tratar dicha información.
b) El Departamento de Datos Personales procederá a analizar la situación de hecho para redactar el o los correspondientes Avisos de Privacidad, que cumplan con las especificaciones descritas.
c) El Responsable Funcional de la Base de Datos implantará el o los Avisos de Privacidad (formatos, formularios o leyendas informativas) dentro de su proceso de captación de datos (mediante su colocación en los medios que vayan a ser empleados para recabar datos personales), conforme a las instrucciones que obtenga del Departamento de Datos Personales.
El Responsable Funcional de la Base de Datos comunicará al Departamento de Datos Personales sobre esta nueva fuente de información y el sistema en el que procederá a tratar los datos, con el objeto de que el segundo analice si es necesario modificar la Relación de Medidas de Seguridad y/o el Inventario de Bases de Datos y Sistemas de Información.
2.1.3. El consentimiento del titular para el tratamiento de sus datos personales
El tratamiento de datos personales requiere, como norma general, del consentimiento del titular, salvo que:
a) Esté previsto en una Ley; b) Los datos figuren en fuentes de acceso público; c) Los datos personales se sometan a un procedimiento previo de disociación; d) Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el
responsable; e) Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o
en sus bienes; f) Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia
sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o
g) Se dicte resolución de autoridad competente.
La obtención del consentimiento deberá ser:
Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular; Específica: referida a una o varias finalidades determinadas que justifiquen el tratamiento, e Informada: que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.
El consentimiento expreso también deberá ser inequívoco, es decir, que existan elementos que de manera indubitable demuestren su otorgamiento.
En VITRO CANCELES, los datos personales que se tratan proceden, en la gran mayoría de los casos, de los mismos titulares o, de padres o tutores cuando se trata de menores, de nuestros colaboradores y, en menor medida, de proveedores de servicios.
Cuando los datos recabados se proporcionen directamente del titular (persona física), no será necesaria la obtención del consentimiento expreso de los titulares para el tratamiento de sus datos personales por parte de VITRO CANCELES, ya que dicho consentimiento se otorgaría de forma implícita en el momento en que el titular los
proporciona y, previamente, ha tenido a su disposición el Aviso de Privacidad de VITRO CANCELES correspondiente. En su caso, y en aquellos casos enumerados anteriormente, el consentimiento para el tratamiento de los datos personales no sería siquiera necesario.
En aquellos casos en cuales se recaban datos de menores de edad, VITRO CANCELES deberá recabar el consentimiento expreso de los padres para el tratamiento de los datos personales de sus hijos.
En este sentido, es importante diferenciar entre la necesidad de obtener el consentimiento y la obligación de informar a los titulares sobre el tratamiento de sus datos, a través de Avisos de Privacidad. El primero, podrá no ser necesario en algunas ocasiones, pero la obligación de informar a los titulares sobre el tratamiento de sus datos nunca puede dejar de cumplirse.
Por otro lado, la legislación sobre protección de datos personales establece la obligación de obtener un consentimiento expreso y por escrito de los titulares cuando se recaben de estos datos personales sensibles (que revelen ideología, afiliación sindical, religión, creencias, datos de salud, etc.)
En VITRO CANCELES existe actualmente tratamiento de datos personales sensibles, relacionados con funciones de la Dirección de Recursos Humanos (datos de salud y, en su caso, afiliación sindical).
En estos casos, sólo se procederá a tratar este tipo de datos personales gestionando esta información con estricta confidencialidad y con las medidas de seguridad aplicables a este tipo de datos, y exclusivamente a efectos de cumplir con las finalidades legítimas y justificadas a que se refieran los Avisos de Privacidad que, en su caso, deban ser emitidos o modificados.
Este tipo de datos personales no podrá ser usado con fines discriminatorios, ni en perjuicio de ningún titular de los mismos.
Como regla general, se prohíbe expresamente la creación de bases de datos que traten datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos perseguidos por VITRO CANCELES.
Cualquier duda o consulta sobre el tratamiento de datos personales sensibles deberá dirigirse al Departamento de Datos Personales de VITRO CANCELES.
2.2. Conservación y cancelación de datos personales
Los datos personales deben conservarse de forma diligente y con las medidas de seguridad necesarias y adecuadas. La conservación diligente exige que los datos estén actualizados y que sean almacenados de forma que permitan el ejercicio de los derechos ARCO por parte del titular, debiendo durar el tiempo necesario para que se cumplan los fines para los cuales se recabaron y registraron.
Los plazos de conservación pueden depender, por una parte, de la relación jurídica existente entre VITRO CANCELES y los titulares (clientes, empleados, candidatos, proveedores, entre otros.), en cuyo caso deberá mantenerse conservados, con carácter general, mientras subsista esta relación y, una vez concluida, como máximo, por los siguientes plazos generales:
• Diez años para los datos de clientes y proveedores, tratados en cualquier documentación relativa a la actividad de VITRO CANCELES (cumplimiento de las disposiciones de los artículos 38 y 46 del Código de Comercio).
• Cinco años para la documentación relativa a la contabilidad de la empresa y para los Comprobantes Fiscales Digitales.
• Cinco años para la documentación relativa al cumplimiento de las disposiciones de la Ley del Seguro Social. • Dos años para los contratos individuales de trabajo, información sobre nómina de personal, controles de
asistencia y comprobantes de pago en general, contados a partir de la extinción de la relación laboral correspondiente, conforme a las disposiciones de la Ley Federal del Trabajo.
• Diez años para cualquier otra obligación a la que resulte aplicable el artículo 1159 del Código Civil Federal, o su equivalente de los Códigos Civiles locales, contados a partir del momento en que dicha obligación sea exigible.
Por ello, el Responsable Funcional de la Base de Datos correspondiente debe proceder a eliminar los datos del sistema, una vez hayan vencido los plazos de conservación y aquéllos hayan dejado de ser útiles o pertinentes.
En todo caso, debe tomarse en cuenta que los plazos anteriormente indicados pueden variar en función de diversas circunstancias, como pueden ser el inicio de procedimientos judiciales o administrativos basados en la información contenida en la documentación genéricamente identificada.
La norma general al respecto, que establece actualmente el artículo 37 del Reglamento de la LFPD, es la siguiente:
Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, y deberán atender las disposiciones aplicables a la materia de que se trate, y tomar en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento, y cuando no exista disposición legal o reglamentaria que establezca lo contrario, el responsable deberá proceder a la cancelación de los datos en su posesión previo bloqueo de los mismos, para su posterior supresión.
En otras palabras: VITRO CANCELES no deberá conservar datos personales más allá del tiempo que sea necesario para el cumplimiento de las finalidades que justificaron su recabo, procesamiento, uso, aprovechamiento y conservación, incluyendo los períodos que sea necesario conservar dichos datos para acreditar el cumplimiento de obligaciones o cualesquiera otras relaciones jurídicas.
La LFPD establece que VITRO CANCELES, en su calidad de Responsable, procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados. Esta obligación de actualización recae sobre VITRO CANCELES, pero será realizada por el Responsable Funcional de la Base de Datos que requiera corregir o actualizar datos personales, y en especial en aquellos casos en que el titular de los datos ha ejercido su derecho de rectificación, definido más adelante.
La obligación de cancelación de los datos recae sobre el Responsable Funcional de la Base de Datos, quien de oficio cancelará los datos una vez haya finalizado el plazo de conservación, o a instancia del titular en ejercicio de su derecho de cancelación, definido más adelante.
No se procederá a la cancelación anteriormente referida, en cualquiera de los siguientes supuestos:
1. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;
2. Deban ser tratados por disposición legal; 3. Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación
y persecución de delitos o la actualización de sanciones administrativas;
4. Sean necesarios para proteger los intereses jurídicamente tutelados del titular; 5. Sean necesarios para realizar una acción en función del interés público; 6. Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y 7. Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios
de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.
Cualquier duda o consulta sobre la cancelación de datos personales en las bases de datos de VITRO CANCELES, deberá dirigirse al Departamento de Datos Personales.
3. EJERCICIO DE LOS DERECHOS DE LOS TITULARES DE DATOS PERSONALES
Cuando las personas físicas titulares de los datos personales que son objeto de tratamiento por parte de VITRO CANCELES ejerzan alguno de los derechos que les corresponden (relacionados a continuación), se actuará de acuerdo con el procedimiento establecido en el apartado 3.2 (Procedimiento de ejercicio de los derechos ARCO y plazos legales).
La atención de dichos derechos lleva implícito el cumplimiento de los plazos señalados en la LFPD y su Reglamento, que se identifican en la presente Política.
Cualquier duda respecto al alcance de los derechos ARCO o de las solicitudes sobre revocación del consentimiento, deberá dirigirse al Departamento de Datos Personales.
3.1. Derechos ARCO, revocación del consentimiento y limitación sobre el uso o divulgación de datos personales
Los derechos de los titulares reconocidos en nuestro ordenamiento jurídico, con relación al tratamiento de sus datos personales, son:
a) DERECHO DE ACCESO:
Se refiere al derecho de los titulares para obtener información sobre sus datos personales en posesión del responsable, así como información relativa a las condiciones y generalidades del tratamiento.
b) DERECHO DE RECTIFICACIÓN:
Los titulares podrán solicitar, en todo momento, que el responsable rectifique sus datos personales que resulten ser inexactos o incompletos.
c) DERECHO DE CANCELACIÓN:
Los titulares podrán solicitar, en todo momento, la cancelación de los datos personales cuando consideren que su tratamiento ya no es necesario para las finalidades para las cuales fueron recabados en primer lugar, o cuando consideren que no están siendo tratados conforme a los principios y deberes que establece la LFPD y su Reglamento.
La cancelación procederá respecto de la totalidad de los datos personales del titular, contenidos en una base de datos del responsable, o de sólo una parte de ellos, según lo haya solicitado.
La cancelación implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresión.
En el caso de que exista una obligación de conservación de los datos y se hubiere solicitado la cancelación conforme a derecho y por persona legitimada para hacerlo, los datos deberán ser conservados, pero se bloqueará
el acceso a los mismos de forma general, evitando cualquier proceso ulterior de utilización y limitando su acceso sólo a un concreto de personas, definidas por VITRO CANCELES.
En el apartado 2.2 se han indicado los casos en que no resulta procedente la cancelación de los datos, a pesar de haberlo solicitado en tiempo y forma el titular de los mismos.
d) DERECHO DE OPOSICIÓN AL TRATAMIENTO DE DATOS PERSONALES
Los titulares podrán, en todo momento, oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando:
1. Exista causa legítima y su situación específica así lo requiera. En estos casos, deberá justificarse que aun siendo lícito el tratamiento, éste debe cesar para evitar que su persistencia cause un perjuicio al titular, o
2. Requiera manifestar su oposición para el tratamiento de sus datos personales a fin de que no se lleve a cabo el tratamiento para fines específicos.
No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al responsable.
e) REVOCACIÓN DEL CONSENTIMIENTO:
En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos sencillos y gratuitos, que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó, siempre y cuando no lo impida una disposición legal.
f) LIMITACIÓN SOBRE EL USO O DIVULGACIÓN DE DATOS PERSONALES.
Los titulares pueden solicitar la limitación del uso o divulgación de sus datos personales por parte del responsable o de terceros, mediante su inclusión en listados de exclusión propios o comunes. En su caso, puede darse a conocer a los titulares la existencia de los Registros Públicos de Consumidores y de Usuarios que prevén la Ley Federal de Protección al Consumidor y la Ley de Protección y Defensa al Usuario de Servicios Financieros, respectivamente.
3.2. Procedimiento de ejercicio de los derechos ARCO y revocación del consentimiento. Plazos legales
El ejercicio de cualquiera de los derechos ARCO no excluye la posibilidad de ejercer alguno de los otros, ni puede constituir requisito previo para el ejercicio de cualquier otro de ellos. Las revocaciones del consentimiento para el tratamiento de datos personales deben tramitarse dentro de los mismos plazos legales aplicables para atender solicitudes de ejercicio de derechos ARCO.
La LFPD y su Reglamento reconocen a dos personas facultadas para ejercer los derechos ARCO:
a) Por el titular, previa acreditación de su identidad, a través de la presentación de copia de su documento de identificación.
b) Por el representante del titular, previa acreditación de su identidad, del titular al que representa y de la existencia de la representación.
Asimismo, el Reglamento de la LFPD establece que para el ejercicio de los derechos ARCO en relación con datos personales de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad establecida por ley, se estará a las reglas de representación dispuestas en el Código Civil Federal.
En relación con las bases de datos de VITRO CANCELES, y el ejercicio de los derechos ARCO, se proporciona y describe el procedimiento a seguir para atender dichas solicitudes, mismas que deberán atenderse con lo que se establece a continuación.
3.2.1. Requisitos comunes al ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición
(derechos ARCO), revocaciones del consentimiento y solicitudes de limitación sobre el uso o
divulgación de datos personales
El ejercicio de los derechos ARCO tendrá carácter gratuito, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos (art. 35 de la LFPD).
Sólo deben recibirse solicitudes de atención de derechos ARCO, de revocación del consentimiento, o de limitación del uso o divulgación de datos personales (conjuntamente y en adelante, Solicitudes de Derechos), a través de dos vías:
• Vía postal, a la dirección: Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México • Vía correo electrónico: a la siguiente a la cuenta [email protected].
La solicitud deberá dirigirse a:
VITRO CANCELES, S.A. de C.V.
Departamento de Datos Personales
Referencia: Protección de Datos - Derechos ARCO / Revocación del Consentimiento
Y contendrá:
1. El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud; 2. Los documentos que acrediten la identidad o, en su caso, la representación legal del titular; 3. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de
los derechos antes mencionados, y 4. Cualquier otro elemento o documento que facilite la localización de los datos personales.
Toda persona que reciba una Solicitud de Derechos ARCO, por cualquier medio (solicitud verbal, correo postal o correo electrónico) deberá proporcionar orientación al titular y canalizarla de manera inmediata hacia el Departamento de Datos Personales (conformado por el personal que VITRO CANCELES designe, en conjunto con el equipo del área jurídica), para proporcionar respuesta a dicha solicitud dentro del plazo de 20 días hábiles que establece la LFPD.
El medio habilitado y aceptable para recibir las Solicitudes de Derechos por correo electrónico es a través de la cuenta: [email protected], misma que se encuentra señalada en todos los Avisos de Privacidad de VITRO CANCELES.
Si cualquier área de VITRO CANCELES recibe una solicitud a través de un correo electrónico que no sea el anteriormente señalado, deberá consultar con el Departamento de Datos Personales para poder contestar al titular, invitándolo a dirigir su solicitud a través del correo habilitado.
Si la solicitud no reúne los requisitos citados (solicitud incompleta), VITRO CANCELES, a través del Departamento de Datos Personales, solicitará al titular la subsanación de los mismos.
Se contestarán por escrito con acuse de recibo, con el fin de acreditar el envío y la recepción de todas las solicitudes de ejercicio de los derechos ARCO, incluso en aquellos casos en que no existiera en las bases de datos de VITRO CANCELES información sobre el titular que remitió la solicitud. Deberá crearse un archivo, ya sea físico o electrónico de cada uno de los casos atendidos.
VITRO CANCELES contestará a los titulares utilizando como guía los modelos elaborados al efecto que se incorporan en el ANEXO SEGUNDO de esta Política (Modelos de Contestación).
3.2.2. Áreas competentes para tramitar las solicitudes
Para atender y tramitar las solicitudes de Derechos ARCO efectuadas por los titulares, así como para remitir la información correspondiente, serán conjuntamente competentes las siguientes Áreas:
1. Distintas Áreas de VITRO CANCELES (Responsables Funcionales de las Bases de Datos), con el objeto de analizar la existencia de tratamiento y la trascripción de los datos tratados en las diversas bases de datos: • Si se ejercitan por personal de proveedores: Finanzas/Contabilidad • Si se ejercitan por los clientes: Dirección de Retail/Dirección Comercial/ • Si se ejercitan por empleados o candidatos: el departamento de Recursos Humanos. • Si se ejercitan por personas que han sido videograbadas por algún sistema CCTV de VITRO CANCELES: la
administración asumirá el rol de Responsable Funcional de la base de datos que contenga los datos personales a que se refiere la solicitud.
2. El Departamento de Datos Personales, con el objeto de comunicar al titular de forma fehaciente la
determinación adoptada en relación con el derecho ejercido, y llevar a cabo el archivo de toda la documentación generada para poder acreditar el cumplimiento de los plazos, en caso de verificación por parte del INAI.
3.2.3. Derecho de Acceso
Cada titular de datos personales sólo podrá ejercer este derecho a intervalos no inferiores a doce meses, salvo que hubiesen ocurrido modificaciones sustanciales al Aviso de Privacidad correspondiente. El Área responsable (Responsable Funcional de las Bases de Datos Personales) deberá dejar constancia de la fecha de ejercicio de este derecho, por cada solicitud recibida, a efectos de control de este plazo.
Para permitir el ejercicio de este derecho a los titulares, se podrá optar por uno o varios de los siguientes sistemas de consulta a la base de datos correspondiente:
• Visualización en pantalla. • Impresión del registro correspondiente. • Escrito descriptivo. • Fotocopia de documentos. • Cualquier otro procedimiento que pueda ofrecerse, adecuado a la configuración e implantación
material de la base de datos.
Si el titular de los datos no elige en su petición la forma de acceso, el Departamento de Datos Personales podrá remitir una carta indicando:
• Que el acceso a sus datos personales lo podrá realizar en las oficinas de VITRO CANCELES, durante un plazo no menor a quince días hábiles contados a partir de la fecha de envío de la respuesta, salvo que el tipo de solicitud de acceso aconseje que la información se proporcione por escrito (por ejemplo, al haber sido solicitado el acceso por titulares que no tienen su domicilio en la misma localidad que VITRO CANCELES), o
• Que VITRO CANCELES le remite la información solicitada en alguno de los formatos indicados, según sea definido por el Departamento de Datos Personales.
Si el titular no acude para tener acceso a sus datos personales dentro del plazo otorgado, será necesaria la presentación de una nueva solicitud. En dichos casos, se recomienda que VITRO CANCELES remita una comunicación informativa mediante la cual haga conocer al titular y deje constancia (unilateral) de su inasistencia para acceder a los datos, esta constancia deberá ser archivada por el Departamento de Datos Personales de VITRO CANCELES.
En todo caso, la información, cualquiera que sea la forma en que se facilite, se dará de forma legible e inteligible, transcribiendo los datos personales solicitados y los resultantes de cualquier elaboración o proceso informático, así como el origen de los mismos; los receptores de transferencias realizadas (si los hubiere), y los usos y finalidades para los que se obtuvieron y conservaron.
La petición de acceso se resolverá por el Responsable Funcional de la Base de Datos o, en su caso, por el Responsable Operativo en el que haya delegado este trámite, en el plazo máximo de doce días hábiles, a contar desde la recepción de la solicitud que previamente analizó el Departamento de Datos Personales.
Si la determinación adoptada es positiva para el acceso a los datos, ésta se hará efectiva mediante la comunicación por escrito del resultado obtenido de las búsquedas realizadas (si el titular optó por este medio) o bien dentro de un plazo no menor a quince días hábiles si el titular optó por acudir personalmente a la consulta de sus datos, contados a partir de que la determinación sea comunicada al titular.
Si la solicitud fuese desestimada o hubiese transcurrido el plazo de veinte días hábiles sin que VITRO CANCELES hubiese dado contestación a la misma, el titular puede iniciar el procedimiento de protección de derechos ante el INAI. VITRO CANCELES nunca debe permitir que una solicitud no sea atendida en el plazo legal.
Como regla general, únicamente se denegará el acceso cuando la solicitud sea formulada por persona distinta del titular o cuando no existan datos del solicitante en las bases de datos del responsable.
Si el titular ejerce el derecho de acceso en un intervalo inferior a doce meses sin que se hubiesen realizado modificaciones sustanciales al Aviso de Privacidad que pudieran motivar nuevas consultas, el responsable podrá optar por solicitar al primero que cubra los costos de búsqueda y respuesta, que en ningún caso podrán ser superiores a tres días de Salario Mínimo General Vigente en el Distrito Federal (artículo 35 de la LFPD).
3.2.4. Derechos de rectificación, cancelación y oposición
Las personas físicas (titulares) tienen derecho a que sus datos personales sometidos a tratamiento sean rectificados sin son erróneos o están desactualizados.
También tienen derecho a indicar que no desean que se traten para una finalidad específica por parte del Responsable (por ejemplo, que no desean recibir publicidad, pero desean mantener vigente una relación contractual con el Responsable).
La solicitud de cancelación deberá indicar si se trata de un dato erróneo o inexacto o si revoca la autorización para el tratamiento del dato.
No procederá la cancelación de los datos:
1. Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;
2. Cuando no se encuentren los datos personales del solicitante en ninguna base de datos de VITRO CANCELES;
3. Cuando se lesionen los derechos de un tercero; 4. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el
acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y 5. Cuando la rectificación, cancelación u oposición haya sido previamente realizada.
Cuando procediendo la cancelación no sea posible la supresión física de los datos personales, deberán bloquearse con el fin de impedir su ulterior proceso o utilización, conservándose con el único propósito de determinar posibles responsabilidades en relación con su tratamiento hasta el plazo de prescripción legal o contractual de éstas. Cumplido el citado plazo deberá procederse a su supresión.
Si por cualquier motivo el Responsable Funcional de la Base de Datos que le compete no tuviere acceso a esta última para atender el derecho ejercido por los titulares, deberá canalizar la solicitud al Departamento de Datos Personales.
La procedencia de la rectificación, cancelación u oposición se hará efectiva dentro de los quince días siguientes a la comunicación de la determinación adoptada.
Si lo procedente es negar la rectificación, cancelación u oposición ejercidas, deberá comunicarse al titular la razón motivada de la denegación dentro del plazo de veinte días a que se refiere el artículo 32 de la LFPD.
3.2.5. Procedimiento y cómputo ordinario de plazos para atender el ejercicio de derechos ARCO e los
titulares
Los plazos y el procedimiento general descrito con anterioridad, se desarrolla con mayor detalle a continuación. Por consiguiente, y siguiendo el mismo sistema de cómputo de días hábiles y las partes intervinientes, se describe los siguientes plazos internos:
Plazos internos ordinarios para atender el ejercicio de los derechos ARCO (días hábiles):
1. Desde la entrada de la solicitud en cualquier área de VITRO CANCELES (fecha de comienzo del cómputo del plazo legal) se remitirá la solicitud al Departamento de Datos Personales, como máximo al día siguiente.
2. Dentro de los 4 (cuatro) días siguientes, el Departamento de Datos Personales analizará la solicitud para determinar si la misma cumple con los requisitos formales que marca la LFPD y su Reglamento.
3. Si la solicitud cumple con los requisitos establecidos, el Departamento de Datos Personales remitirá por correo electrónico y con categoría de urgente la solicitud del titular a cada uno de los Responsables Funcionales de las Bases de Datos.
4. Los Responsables Funcionales dispondrán, desde la recepción de la solicitud remitida por el Departamento de Datos Personales, de un plazo interno de 12 (doce) días para tramitar y recopilar la información del interesado que ejercita cualquiera de los derechos ARCO.
Los Responsables Funcionales (asistidos en su caso por el Departamento de Datos Personales) deberán:
a. Analizar la legitimación de la solicitud del titular; es decir, si resulta posible y procedente: i. Acceder a sus datos; ii. Rectificar sus datos; iii. Cancelar sus datos, u iv. Oponerse al tratamiento de sus datos.
b. Realizar búsquedas (manuales y electrónicas) sobre la base de datos a los efectos de identificar los datos.
c. En su caso, identificar la información en las bases de datos no automatizadas.
5. Una vez llevada a cabo esta tarea y dentro del plazo marcado (doce días), cada uno de los Responsables Funcionales remitirá al Departamento de Datos Personales la información/documentación con los datos personales existentes sobre el titular que remitió la solicitud atendida. A tales efectos, deberán indicar: § Si el acceso a los datos personales es posible, conforme a la información que remitan; o § Si la rectificación de datos es procedente y ejecutable; o § Si la cancelación es procedente y ejecutable; o § Si la oposición al tratamiento es procedente y ejecutable.
6. El Departamento de Datos Personales, tras la revisión y supervisión correspondiente, contará con tres días para remitir al titular la determinación adoptada en relación con su ejercicio de derechos ARCO.
7. Si la solicitud ha resultado procedente, el Departamento de Datos Personales deberá coordinar con los Responsables Funcionales correspondientes que la determinación adoptada se haga efectiva dentro de los siguiente 15 (quince) días a la comunicación de la respuesta.
El siguiente flujo de trabajo ilustra las etapas que han sido descritas anteriormente:
Ilustración 1. Procedimiento Ordinario Derechos ARCO
Procedimiento Ordinario para Atención de Derechos ARCO y Revocación del Consentimiento
<1 día> <4 días> <12 días> <3 días> <15 días>
wor
kflo
wC
ompe
tenc
ias
Dirección postal
Responsable de Datos
Personales
Envío por correo electrónico
Urgente LFPD
Asunto Derechos ARCO LFPD
Responsables Funcionales de Bases de Datos
Estudio Solicitud(Requisitos)
Busqueda sobre Bases de Datos
No Automatizadas
Querys sobre Base de Datos
Estudio Solicitud(Legitimación)
TITULAR RESPONSABLE DE DATOS PERSONALES
RESPONSABLES FUNCIONALES DE BASES DE DATOS
Responsble de Datos
Personales
Correo Electrónico
Asunto Revocación de Consentimiento
LFPD
Días Hábiles
DETERMINACIÓNADOPTADA
SOLICITUD EJERCICIODERECHOS
ARCOREVOCACIÓN
DECONSENTIMIENTO
Ejecución Efectiva de la Determinación
Adoptada
• Acceso• Rectificación• Cancelación• Oposición• Revocación del
Consentimiento
RESPONSABLE DE DATOS
PERSONALES
RESPONSABLE DE DATOS
PERSONALES
3.2.6. Computo de plazos en caso de solicitudes incompletas o erróneas
En aquellos casos en que el titular presente una solicitud errónea o incompleta, se procederá conforme al siguiente procedimiento:
1. Desde la entrada de la solicitud (fecha de comienzo del cómputo del plazo legal) ésta se remitirá al Departamento de Datos Personales, como máximo al día siguiente.
2. Dentro de los 4 (cuatro) días siguientes, el Departamento de Datos Personales analizará la solicitud para
determinar si la misma cumple con los requisitos formales que marcan la LFPD y su Reglamento.
3. Si la solicitud está incompleta o contiene errores que no permiten su tramitación, el Departamento de Datos Personales deberá comunicar de inmediato esta situación al solicitante, remitiéndole una comunicación en la que explique las causas por las cuales no se cumplen los requisitos legales necesarios para tramitarla; Indicando al titular que cuenta con diez días hábiles para subsanar su solicitud (ver modelo de comunicación en el ANEXO SEGUNDO).
4. Si el titular no subsana su solicitud dentro del plazo anteriormente indicado, el Departamento de Datos
Personales deberá archivar toda la documentación relacionada con aquélla para efectos de verificación por parte del INAI, y podrá tenerla por no presentada.
5. Si el titular subsana adecuadamente su solicitud, comenzarán a contar los plazos a que se refiere el artículo
32 de la LFPD y, por lo tanto, el Departamento de Datos Personales debe tratar la solicitud dentro del procedimiento ordinario a que se refiere el apartado inmediato anterior.
El siguiente flujo de trabajo ilustra las etapas que se recomienda seguir en aquellos casos en que debe solicitarse la subsanación de una solicitud de ejercicio de derecho ARCO:
Ilustración 2. Procedimiento para atención de solicitudes incompletas
Procedimiento para Atención de Derechos ARCO y Revocación del Consentimiento – Solicitud Incompleta
<1 día> <4 días> <10 días> <1 días>
Com
pete
ncia
sw
orkf
low
Dirección postalResponsable de
Datos Personales
Urgente Completar o Corregir Solicitud
Estudio Solicitud(Requisitos)
Falta de Respuesta
Corrección de Solicitud
TITULAR RESPONSABLE DE DATOS PERSONALES TITULAR
Responsble de Datos
Personales
RESPONSABLE DE DATOS
PERSONALES
Correo Electrónico
Días Hábiles
SOLICITUD EJERCICIODERECHOS ARCO
Solicitud Incompleta o
Errónea
Envío de Información
Completa
Inicio de Procedimiento
Ordinario
Solicitud No Presentada
4. ACCESO A LOS DATOS. RECURSOS CONTENIDOS EN BBDD
AUTOMATIZADAS Y NO AUTOMATIZADAS
Únicamente podrán acceder a bases de datos que procesan o contienen datos personales (BBDD) las personas especialmente autorizadas para ello, y sólo tendrán acceso a la información o recursos autorizados.
Cuando una persona o Área precise, para el cometido de sus funciones en VITRO CANCELES, acceder por primera vez a datos personales o a recursos de bases de datos automatizadas o no automatizadas que contengan este tipo de datos, debe solicitar la oportuna autorización al Departamento de Datos Personales, informándole de las razones por las que necesita el acceso y el tipo o tipos de datos que precisa consultar.
El Departamento de Datos Personales sólo autorizará el acceso a aquellos datos o recursos que sean precisos para el desarrollo de las funciones del peticionario.
El Responsable Funcional de la Base de Datos deberá mantener una lista actualizada de usuarios autorizados de conformidad con lo establecido en el apartado 9.1.2.3 de este documento. Esta responsabilidad se podrá delegar en el Departamento de Datos Personales.
4.1. Obligaciones del personal con acceso a datos personales
Las obligaciones que deben conocer los colaboradores de VITRO CANCELES en el desarrollo de sus funciones, derivadas de la LFPD y de su Reglamento, son las siguientes:
1. Quienes intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, subsistiendo estas obligaciones aún después de haber finalizado su relación con VITRO CANCELES, o de haber cambiado de función.
2. La violación del deber de secreto tendrá la consideración de falta laboral muy grave y dará lugar al inicio del Procedimiento Disciplinario vigente en VITRO CANCELES, sin perjuicio de otras responsabilidades a que hubiere lugar. La inobservancia de las demás obligaciones se calificará según la gravedad del hecho, en aplicación de normativa aplicable.
3. Aplicar las directrices de seguridad que impone la Normativa Interna de la Firma y habilitar aquellas otras medidas de seguridad necesarias para una correcta protección de su entorno de trabajo. En este sentido es necesario recalcar la política interna aprobada por el Departamento de Datos Personales denominada “Funciones y Obligaciones del Personal con relación a los Sistemas de Información”.
4. Usar los datos exclusivamente para el fin que han sido facilitados y de acuerdo con la función que le ha sido encomendada.
5. Utilizar software aprobado/homologado por la Dirección de Tecnologías de Información.
6. Utilizar las funciones de control de acceso, a todos los niveles, en computadoras que almacenan datos personales: setup, protector de pantallas, etc.
7. Proteger y mantener en secreto las contraseñas utilizadas para su gestión y cambiarlas con la periodicidad que establezca la Dirección TI.
8. Apagar de forma ordenada los equipos de trabajo, al finalizar la jornada de trabajo, salvo que por razones específicas éstos deban permanecer encendidos, y exista control sobre aquéllos en esta situación.
9. Comunicar cualquier anomalía por mal funcionamiento (hardware, software, virus informáticos) a la Dirección TI, así como cualquier incidencia de seguridad (intentos de acceso no autorizados, manejo inadecuado de datos, etc.) mediante el correspondiente Registro de Incidencias.
10. Habilitar los medios necesarios para proteger los soportes que contengan datos de personales.
11. Utilizar los medios necesarios para destruir los soportes antes de desecharlos o reutilizarlos cuando la información contenida en estos así lo requiera.
12. Guardar los soportes que contengan datos personales en armarios o escritorios protegidos con llave o con un sistema de combinación, al finalizar la jornada de trabajo.
13. Comunicar a través del correspondiente modelo de entrada y salida de soportes cualquier tipo de soportes que entre o salga de las instalaciones de VITRO CANCELES.
14. Utilizar los equipos informáticos exclusivamente para la finalidad para la que han sido facilitados y nunca para trabajos o comunicaciones personales.
15. Utilizar trituradoras de papel para la destrucción de documentación donde se alberguen datos personales y/o en contenedores de papel para su posterior destrucción, cuando dicha documentación deje de ser necesaria o pertinente, tal como se señala en las políticas internas en relación al manejo de información confidencial.
Todas las funciones de cada una de las personas con acceso a los datos personales y a los sistemas de información deberán estar definidas y documentadas en la Relación de Medidas de Seguridad correspondiente (ANEXO SEXTO), conforme a la configuración que la Dirección de Tecnologías de Información de VITRO CANCELES determine, en su caso.
A fin de que todas las personas que intervienen en el tratamiento de datos personales conozcan sus funciones y obligaciones respecto a la confidencialidad de la información, el Departamento de Datos Personales dará publicidad a las presentes obligaciones, así como a las obligaciones adicionales que deban observarse en razón de los datos personales tratados.
5. TRATAMIENTO DE DATOS PERSONALES POR CUENTA DE VITRO
CANCELES, PARA LA PRESTACIÓN DE SERVICIOS (ENCARGO)
La entrega de datos personales a terceros para su tratamiento por cuenta de VITRO CANCELES o la solicitud genérica para que los traten en cualquier fase del tratamiento (obtención, procesamiento, consulta, custodia, destrucción, etc.) se realizará siempre en virtud de una relación contractual y por escrito entre VITRO CANCELES y el tercero (denominado por la normativa como “Encargado”), sin que los datos se puedan utilizar para una finalidad distinta a la que figure en el contrato de prestación de servicios. Dentro de esta relación contractual, los datos no podrán ser transferidos a otras personas, ni siquiera para su conservación, salvo que dicha transferencia forme parte del propio servicio o sea instruida por VITRO CANCELES.
Los contratos de prestación de servicios variarán según la tipología de los datos personales entregados para tratamiento y, por tanto, contendrán disposiciones específicas en relación con el nivel de seguridad aplicable a dichos datos.
Una vez cumplida la prestación contractual, los datos personales deberán ser destruidos o devueltos al Responsable (VITRO CANCELES), al igual que cualquier soporte o documento en que conste algún dato personal objeto de tratamiento. No obstante, si el Área de VITRO CANCELES, gestora del contrato, presume la posibilidad de ulteriores encargos al mismo tercero prestador del servicio, podrá admitir el almacenamiento de los datos por este último, con las debidas garantías de seguridad.
Con carácter general, no se permitirá la subcontratación en los contratos que conlleven entrega/comunicación de datos personales a un Encargado, si no existe la correspondiente autorización de los Responsables Funcionales implicados y del Departamento de Datos Personales.
Si la subcontratación fuera necesaria por así requerirlo el tipo de servicios contratado, deberán observarse las disposiciones del artículo 54 del Reglamento de la LFPD y todas las Disposiciones que de esta actividad emanen.
Por todo ello, cuando un Área de VITRO CANCELES (Responsable Funcional) necesite facilitar datos personales a un tercero para la prestación o gestión de un servicio, seguirá las siguientes recomendaciones:
a) Lo comunicará al Departamento de Datos Personales con el objeto de acordar y definir el correspondiente contrato de prestación de servicios que cumpla con las disposiciones de los artículos 51, 52 y 54 del Reglamento de la LFPD.
b) En el contrato que regule la relación entre VITRO CANCELES y el tercero, se promoverá la inclusión de las cláusulas necesarias para regular el tratamiento de los datos por parte del Encargado (prestador del servicio), cuyo modelo aparece en el ANEXO TERCERO de esta Política.
c) El Departamento de Datos Personales archivará una copia del contrato firmado con el prestador del servicio (Encargado), y lo pondrá a disposición del INAI en caso de requerimiento.
d) El Departamento de Datos Personales en colaboración con la Dirección de Tecnologías de Información analizará, si es necesario, implementar alguna de las siguientes medidas:
i. Generar un inventario del soporte a través del cual se vaya a remitir la información.
ii. Llenar un registro de salida de soportes para estos efectos.
iii. Implementar algún mecanismo de cifrado en el soporte para evitar que terceros ajenos a la relación contractual puedan acceder a datos personales sensibles o a información clasificada como confidencial por VITRO CANCELES.
iv. Implementar algún mecanismo de cifrado en la remisión de los datos si ésta se realiza a través de redes de telecomunicaciones.
6. TRANSFERENCIAS DE DATOS: RECURSOS CONTENIDOS EN BASES DE
DATOS PERSONALES.
Por transferencia de datos se entiende “toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento” (art. 3, fracción XIX de la LFPD). Dadas las consecuencias e implicaciones que conlleva la transferencia de datos personales contenidos en las bases de datos de VITRO CANCELES, para su realización se seguirán las siguientes reglas:
6.1. Regla general
Con carácter general, no se transferirán datos personales a terceros.
Se exceptúan de dicha regla los siguientes supuestos:
1. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte; 2. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia
sanitaria, tratamiento médico o la gestión de servicios sanitarios; 3. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común
del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;
4. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
5. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
6. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
7. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
Podrán llevarse a cabo transferencias de datos personales en aquellos supuestos que se obtenga el consentimiento del titular, siempre que el Responsable-Receptor trate los datos personales conforme a lo establecido en el Aviso de Privacidad que el Responsable-Transferente (VITRO CANCELES) le comunique en todos los casos.
6.2. Control de la transferencia efectuada
El Responsable Funcional de la base de datos a la que correspondan los datos personales objeto de transferencia, deberá informar al Departamento de Datos Personales sobre:
• La finalidad de la transferencia, • Los datos que se transfieren, • La identidad y el domicilio del responsable receptor de los datos.
Si la transferencia de datos se efectúa mediante la entrega de soportes (informáticos o papel), ésta deberá autorizarse por el Departamento de Datos Personales, y anotarse en un Registro si los datos se extraen de una base de datos con nivel recomendable de seguridad medio o alto, mediante el modelo correspondiente (apartado 9.1.2.2).
7. BASES DE DATOS QUE TRATAN DATOS PERSONALES
Las bases de datos existentes en VITRO CANCELES con datos personales constan en el Inventario de Bases de Datos y Sistemas de Información disponible en el ANEXO CUARTO.
Estas bases de datos pueden ser clasificadas en:
7.1. Clasificación
1. En razón de su uso:
§ CORPORATIVAS: Aquellas que son básicas para la gestión de VITRO CANCELES, independientemente del entorno donde residan o del lugar de su ubicación y que normalmente son utilizadas por más de una Dirección y/o Gerencia.
§ NO CORPORATIVAS: Aquellas que son utilizadas por una sola Dirección, Gerencia, Jefatura o Área de VITRO CANCELES.
2. En razón de las medidas de seguridad que deberían adoptar tomando en cuenta la sensibilidad de los datos personales tratados:
§ Bases de datos que deben contar con medidas de seguridad de nivel básico: Por defecto, todas las bases de datos automatizadas deben disponer de medidas de seguridad de nivel básico.
§ Bases de datos que deben contar con medidas de seguridad de nivel medio: Contendrán las medidas de nivel básico más las de nivel medio aquellas bases de datos que traten, además de datos personales “genéricos”, datos de tipo financiero y/o patrimonial.
§ Bases de datos que deben contar con medidas de seguridad de nivel alto: Contendrán medidas de nivel básico, medio y alto las bases de datos que traten datos personales considerados como sensibles por la LFPD.
Dependiendo de la clasificación de las bases de datos por el nivel de las medidas de seguridad que deberían adoptar en consideración de la sensibilidad de los datos tratados, VITRO CANCELES implementará las medidas de seguridad descritas en el apartado 9 de la presente Política de Protección de Datos Personales.
Lo anterior, con independencia de que por sí mismo o mediante la ejecución de un proyecto específico adopte en el plazo que considere pertinente las “Recomendaciones en materia de seguridad de datos personales” publicadas en el Diario Oficial de la Federación el pasado 30 de octubre de 2013 y todas las modificaciones que de ella deriven.
7.2. Creación de nuevas bases de datos
Cuando se trate de crear nuevas bases de datos personales distintas a las inventariadas en la fecha de publicación de la primera versión de esta Política de Protección de Datos Personales, se deberá contar con la autorización del Titular del Área correspondiente, que lo comunicará por escrito al Departamento de Datos Personales, informando de todos los extremos que figuran en el Inventario de Bases de Datos y dejando el correspondiente registro de dicha actualización.
Las pruebas previas a la creación o modificación de bases de datos, consistentes en la grabación o volcado de datos personales, no se realizarán con datos reales salvo que se garantice el nivel de seguridad correspondiente al tipo de datos personales tratado.
7.3. Modificaciones o supresiones de bases de datos
Las supresiones de bases de datos, o las modificaciones que se realicen de cualquier extremo que figura en el Inventario, se comunicarán por parte del Responsable Funcional al Departamento de Datos Personal y a la Dirección de Tecnologías de Información para que estos últimos ejecuten las modificaciones procedentes en los sistemas de información, en el Inventario de Bases de Datos de Recomendaciones en materia de seguridad de datos personales y en la Relación de las Medidas de Seguridad de la base de datos afectada.
En aquellos casos en que se suprima una base de datos, deberá quedar constancia del destino de los datos personales, indicando si los mismos han sido suprimidos o transferidos a otra base de datos.
Se recomienda conservar durante al menos dos años la Relación de Medidas de Seguridad de cualquier base de datos que hubiese sido suprimida, a contar desde su fecha efectiva de baja en los sistemas de información.
8. RESPONSABLE, RESPONSABLE FUNCIONAL, DEPARTAMENTO DE
DATOS PERSONALES, USUARIOS AUTORIZADOS (Y RESPONSABLE
OPERATIVO) 8.1. Concepto y atribución de responsabilidades
Desde el punto de vista legal, cada una de las sociedades que conforman Recomendaciones en materia de seguridad de datos personales es responsable de las bases de datos personales que resguarda, frente al INAI y frente a los titulares de dichos datos. Lo anterior, tanto a efectos del cumplimiento de las obligaciones impuestas por la LFPD, como a efectos del régimen de infracciones y sanciones previsto en el mismo ordenamiento.
No obstante lo anterior, a los efectos de gestión y organización corporativa se constituyen tres figuras prácticas (más una figura opcional):
a) Responsable Funcional de la Base de Datos; b) Departamento de Datos Personales; c) Usuarios que tratan datos personales, y d) Responsable Operativo de la Base de Datos (opcional).
8.1.1. Responsable Funcional de la Base de Datos
Persona o personas (empleados o personal externo) cuya función consiste en solicitar y coordinar las acciones/actividades de cumplimiento jurídico en materia de protección de datos personales que corresponden al Responsable en posesión de dichos datos.
La asignación de dicho rol no supone la exención de responsabilidades que sean propias del Responsable frente al INAI o los titulares de datos.
La figura de Responsable Funcional, recaerá sobre los siguientes directivos:
a) De las bases de datos CORPORATIVAS será responsable cada uno de los Titulares del Área que haga un uso mayoritario sobre cada una de las bases de datos en cuestión.
b) De las bases de datos NO CORPORATIVAS (Departamentales) será responsable el correspondiente Titular.
La figura de Responsable Funcional de cada base de datos titularidad de VITRO CANCELES constará en el Inventario de Bases de Datos, contenido en el ANEXO CUARTO.
8.1.2. Departamento de Datos Personales
El Departamento de Datos Personales de la organización, identificado como la persona o titular del Departamento a que se refiere el artículo 30 de la LFPD, recaerá sobre el titular del área que el Responsable asigne para tales efectos, siempre con la supervisión o apoyo del área jurídica de la organización, en función de la naturaleza de las tareas y responsabilidades a su cargo.
8.1.3. Usuarios autorizados que tratan datos personales
Estos usurarios se refiere al personal dentro de la organización que, sin tener, por competencia o actividad, responsabilidad directa en la ejecución de las labores de cumplimiento de la legislación sobre protección de datos personales, tratan o pueden llegar a tratar datos personales en el desempeño de sus actividades.
8.1.4. Responsable Operativo
La figura del Responsable Operativo puede recaer en personal autorizado por el Responsable Funcional de cada base de datos, que tendrá encomendadas una serie de actividades de cumplimiento operativo, de coordinación y de ejecución de cumplimiento de actividades relacionadas con la LFPD.
Cuando no existan Responsables Operativos, sus funciones serán asumidas por el Responsable Funcional.
8.2. Funciones y obligaciones 8.2.1. Responsables Funcionales de las Bases de Datos
Los Responsables Funcionales de cada base de datos, tendrán las siguientes funciones y obligaciones:
1. Vigilar el contenido y el uso del tratamiento de datos personales.
2. Autorizar a las personas que, de acuerdo con las necesidades de gestión, puedan acceder a la información, estableciendo con la colaboración de la Dirección de Tecnologías de Información y del Departamento de Datos Personales los mecanismos necesarios para evitar que un usuario acceda a datos distintos de los autorizados.
3. Mantener una relación actualizada de usuarios que tengan acceso autorizado a los sistemas de información correspondientes, en coordinación con la Dirección de Tecnologías de Información y el Departamento de Datos Personales.
4. Autorizar y controlar las transferencias nacionales e internacionales de datos a terceros o a empresas del Grupo y aprobar el envío de soportes fuera de la organización.
5. Cuando existan encargos del tratamiento de datos personales, revisar previamente a su inicio que se han celebrado los contratos oportunos y que se han establecido las medidas de seguridad adecuadas, con conocimiento y apoyo a la Dirección de Tecnologías de Información y del Departamento de Datos Personales.
6. Coordinar y controlar las medidas definidas en la Relación de Medidas de Seguridad de la base de datos correspondiente, junto con la Dirección de Tecnologías de Información y el Departamento de Datos Personales.
7. Gestionar la resolución de incidencias relativas a seguridad de los datos personales que hubiesen sido propuestas por la Dirección de Tecnologías de Información y el Departamento de Datos Personales.
8. Autorizar y gestionar la implantación de las medidas correctoras adecuadas especificadas en los Informes de Auditoría que se lleguen a producir desde la entrada en vigor de esta Política en VITRO CANCELES.
9. Autorizar las salidas de información que se produzcan por cualquier causa y medio.
10. Guardar el secreto profesional respecto de los datos personales a que tenga acceso con motivo de sus funciones.
11. Asegurar que el personal a su cargo conoce la obligación de secreto profesional que tienen respecto de los datos
personales a los que tengan acceso con motivo de sus funciones.
12. Informar a la Dirección de Tecnologías de Información y al Departamento de Datos Personales sobre la creación, modificación y/o supresión de bases de datos que traten datos personales.
13. Informar a la Dirección de Tecnologías de Información y al Departamento de Datos Personales sobre modificaciones en el tratamiento de los datos personales para determinar si resulta necesaria la actualización o modificación de los Avisos de Privacidad correspondientes.
14. Cualquier otra actividad que, prevista en la presente Política de Protección de Datos Personales, no hubiese sido asignada a otra figura relacionada con el tratamiento de datos personales.
8.2.2. Departamento de Datos Personales
La figura del Departamento de Datos Personales tendrá las siguientes funciones y obligaciones:
1. Coordinar, gestionar y ejecutar las medidas y acciones necesarias para tramitar y responder en tiempo y forma las solicitudes de ejercicio de los derechos ARCO y de revocación del consentimiento que formulen los titulares de datos personales, en coordinación con los Responsables Funcionales.
2. Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, reglas vigentes de aspecto organizativo, así como las consecuencias en que dicho personal pudiera incurrir en caso de incumplimiento. A tales efectos, deberá contar con el apoyo de los Responsables Funcionales.
3. Determinar en conjunto con la Dirección de Tecnologías de Información el nivel de seguridad recomendable para las bases de datos personales automatizadas, en función de los tipos de datos contenidos en las mismas.
4. Controlar junto con la Dirección de Tecnologías de Información la adopción de las medidas definidas en la Relación de Medidas de Seguridad de cada base de datos.
5. En colaboración con la Dirección de Tecnologías de Información, asegurar el establecimiento de procedimientos de identificación y autenticación para el acceso a los datos personales tratados por VITRO CANCELES.
6. Autorizar las personas y Áreas que, de acuerdo con las necesidades de gestión, puedan acceder a la información, según las solicitudes dirigidas por los Responsable Funcionales de las bases de datos.
7. En colaboración con la Dirección de Tecnologías de Información, actualizar la Relación de Medidas de Seguridad de las bases de datos, cuando sea procedente de conformidad al Reglamento de la LFPD.
8. Realizar revisiones de control sobre el cumplimiento y seguimiento de las normas y procedimientos establecidos en la Relación de Medidas de Seguridad.
9. Analizar, junto con los Responsables Funcionales y la Dirección de Tecnologías de Información, los Informes de Auditoría que se emitan sobre los sistemas de información que tratan datos personales y elevar las conclusiones a la Dirección General.
10. Coordinar dentro de la organización acciones de formación y concientización periódicas en materia de protección de datos.
11. Revisar periódicamente que los Avisos de Privacidad se encuentren debidamente actualizados.
12. Custodiar debidamente las Relaciones de Medidas de Seguridad, documentación interna en materia de protección de datos; documentación relativa a las funciones y obligaciones del personal que trata datos personales, así como los Informes Jurídicos y de Auditoría elaborados sobre la materia para VITRO CANCELES.
13. En el caso de las bases de datos de VITRO CANCELES que contienen datos personales considerados sensibles (origen racial o étnico, estado de salud presente y futura, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y/o preferencia sexual), se deberá controlar los mecanismos de registro de acceso a estos datos protegidos, revisar periódicamente la información de control registrada, así como elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes, elevando las conclusiones de dicho informe al Responsable Funcional de la base de datos correspondiente y, en su caso, al Responsable Operativo de la misma.
14. Guardar el secreto profesional respecto de los datos personales a que tenga acceso con motivo de sus funciones.
15. Actuar como interlocutor, en representación de la empresa, en todas aquellas actuaciones que se lleven a cabo frente al INAI.
16. Cualquier otra actividad prevista en la presente Política de Protección de Datos Personales que le identifique como responsable de su gestión y control. Además, de aquellas actividades que no contemple en la presente Política, pero que tenga relación con la materia de protección de datos y las obligaciones del Responsable respecto de éstas.
8.2.3. Usuarios autorizados
Los usuarios autorizados que por motivo de sus funciones tengan acceso a datos personales, tendrán las siguientes funciones y obligaciones:
1. Guardar el secreto profesional respecto de los datos personales a que tenga acceso con motivo de sus funciones.
2. Los puestos de trabajo estarán bajo la responsabilidad del usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas.
3. Cuando se abandone un puesto de trabajo, bien temporalmente o bien al finalizar su turno de trabajo, deberán dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.
4. En el caso de las impresoras, deberá asegurarse que no queden documentos impresos en la bandeja de salida que contengan datos personales que deban estar protegidos.
5. Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida
fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia al equipo de Compliance y proceder a su cambio de manera inmediata.
6. No almacenar información fuera de las ubicaciones lógicas y físicas autorizadas para tales efectos por la Subdirección de Sistemas.
7. Observar y cumplir todas las Políticas y Procedimientos de seguridad recogidos o previstos en la Relación de Medidas de Seguridad. En concreto, conocer y cumplir con las Funciones y Obligaciones del Personal que trata datos personales.
8. Cualquier otra actividad que prevista en la presente Política de Protección de Datos Personales les identifique como usuarios de datos personales.
8.2.4. Responsable Operativo
En caso de que esta figura sea implementada dentro de VITRO CANCELES, son funciones y obligaciones del Responsable Operativo, las siguientes:
1. Gestionar y controlar las transferencias nacionales e internacionales de datos personales a terceros o empresas de VITRO CANCELES y gestionar el envío de soportes fuera de la Entidad.
2. Gestionar los contratos y anexos necesarios para regular las relaciones con los encargados del tratamiento, previa consulta y aprobación del Departamento de Datos Personales.
3. Verificar los accesos a las aplicaciones con el nivel de tratamiento específico según las necesidades del puesto, validar la relación actualizada de usuarios con acceso a las aplicaciones, así como notificar la Dirección de Tecnologías de Información y al Departamento de Datos Personales los errores de asignación detectados.
4. Verificar las salidas de información que se produzcan por cualquier causa y medio.
5. Notificar a las entidades receptoras a las que se han transferido datos personales sobre la rectificación, oposición y/o cancelación de los mismos, en los plazos establecidos por la legislación de protección de datos personales.
6. Supervisar la correcta ejecución de cualquier tipo de rectificación, oposición y/o cancelación de datos personales por el titular de los mismos.
7. Coordinar, gestionar y/o ejecutar las tareas de búsqueda en las bases de datos relacionadas con el ejercicio de los derechos ARCO.
8. En su caso, coordinar, gestionar y/o ejecutar la creación y actualización de listas de exclusión relacionas con el ejercicio del derecho de oposición de los titulares de datos personales.
9. Comunicar a la Dirección de Tecnologías de Información las necesidades de altas, bajas y/o modificación de privilegios de los usuarios sobre los recursos.
10. En general, detectar y escalar al Responsable Funcional las necesidades derivadas del cumplimiento de la legislación de protección de datos personales.
9. MEDIDAS DE SEGURIDAD DE LAS BASES DE DATOS
A fin de garantizar la confidencialidad, disponibilidad e integridad de la información, se establecen una serie de medidas técnicas y organizativas aplicables en los ámbitos de las sociedades que conforman VITRO CANCELES para garantizar la seguridad que deben reunir las bases de datos personales automatizadas y no automatizadas, centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos personales.
Por defecto, cualquier base de datos que trate datos personales debe adoptar las medidas de seguridad de nivel básico. Asimismo, que aquellas bases de datos que traten, entre otros, datos financieros y/o patrimoniales, deberán adoptar además medidas de seguridad de nivel medio. Por último, que aquellas bases de datos que traten datos personales sensibles, deberán adoptar medidas de seguridad de nivel alto, en adición a las medidas de nivel básico y medio.
Las medidas de seguridad que deben implementarse sobre las bases de datos versarán según el sistema de tratamiento y la tipología de los datos personales tratados:
BASES DE DATOS AUTOMATIZADAS
MEDIDAS DE SEGURIDAD
NIVEL DE SEGURIDAD
BÁSICO MEDIO ALTO
Disponer de una Relación de Medidas de Seguridad
Funciones y obligaciones del personal
Registro de Vulneraciones de Seguridad (Incidencias)
Identificación y autenticación
Sistema de control de accesos lógicos
Sistema de control de acceso físico
Borrado seguro y destrucción de soportes
Gestión de soportes y documentos
Copias de respaldo y recuperación
Auditorías
No realizar pruebas con datos reales
Distribución de soportes
Disponer de un registro de accesos
Cifrado de las telecomunicaciones
Tabla 1. Medidas de Seguridad para Bases de Datos Automatizadas
BASES DE DATOS NO AUTOMATIZADAS
MEDIDAS DE SEGURIDAD NIVEL DE SEGURIDAD
BÁSICO MEDIO ALTO
Disponer de una Relación de Medidas de Seguridad
Funciones y obligaciones del personal
Registro de Vulneraciones de Seguridad (Incidencias)
Control de accesos
Gestión de soportes
Criterios de archivo
Dispositivos de almacenamiento
Custodia de los soportes
Destrucción de soportes
Auditorías
Almacenamiento de la información
Copia o reproducción
Acceso a la documentación
Traslado de documentación
Tabla 2. Medidas de Seguridad para Bases de Datos No Automatizadas
Todas las bases de datos personales deberán disponer de su propia “Relación de Medidas de Seguridad” (ANEXO SEXTO) bajo la gestión y control del Departamento de Datos Personales en coordinación con la Dirección de Tecnologías de Información.
9.1. Medidas de seguridad sobre BASES DE DATOS AUTOMATIZADAS 9.1.1. Medidas de Seguridad de NIVEL BÁSICO
Todas las bases de datos automatizadas que contengan datos personales deben observar las medidas de seguridad de nivel básico, que deben constar en la “Relación de Medidas de Seguridad” existente para cada base de datos. Este documento será de obligado cumplimiento para el personal con acceso a los datos personales automatizados y al sistema de información en cuestión.
9.1.1.1. Contenido de la Relación de Medidas de Seguridad
Conforme a lo dispuesto por el artículo 61 del Reglamento de la LFPD, esta relación deberá contener las Medidas de Seguridad derivadas de las fracciones contenidas en el mismo numeral, por lo que habrá de tenerse en cuenta cuál es su contenido:
Acciones para la seguridad de los datos personales
Artículo 61. A fin de establecer y mantener la seguridad de los datos personales, el responsable deberá considerar las siguientes acciones:
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento; II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;
V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;
VII. Llevar a cabo revisiones o auditorías; VIII. Capacitar al personal que efectúe el tratamiento, y
IX. Realizar un registro de los medios de almacenamiento de los datos personales.
El responsable deberá contar con una relación de las medidas de seguridad derivadas de las fracciones anteriores.
9.1.1.2. Actualización de la Relación de Medidas de Seguridad
Conforme al artículo 62 del Reglamento de la LFPD, la Relación de Medidas de Seguridad deberá actualizarse, cuando ocurra cualquiera de los siguientes eventos:
I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo;
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20 de la Ley y 63 del presente Reglamento, o
IV. Exista una afectación a los datos personales distinta a las anteriores.
En el caso de datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año.
9.1.1.3. Registro de Vulneraciones de Seguridad (Incidencias)
El Departamento de Datos Personales, junto con la Dirección de Tecnologías de Información, crearán un Registro de Vulneraciones de Seguridad (Incidencias) para las bases de datos personales existentes o de futura creación VITRO CANCELES; su contenido estará a disposición de los Responsables Funcionales de la base de datos correspondiente.
La comunicación de vulneraciones de seguridad se realizará por parte de los usuarios mediante correo electrónico a la dirección establecida al efecto ([email protected]) y cumplimentando el impreso generado para tales casos:
Notificación de Vulneración de Seguridad (Incidencia)
Incidencia Nº ___________ (Asignado por el Departamento de Datos Personales)
Fecha de notificación: ___/___/___
Descripción detallada de la incidencia:
Fecha y hora en que se produjo la incidencia:
Persona(s) a quien(es) se comunica:
Efectos que puede producir (de no subsanarse o independientemente de ello):
Recuperación de Datos (a rellenar sólo si la incidencia lo amerita): Procedimiento realizado: Datos restaurados: Datos grabados manualmente: Persona que ejecutó el proceso: Firma del Departamento de Datos Personales: ______________________________
Persona que realiza la comunicación: _______________________________
Ilustración 3. Modelo de Impreso para Notificación de Vulneraciones de Seguridad
Cualquier usuario que tenga conocimiento de una incidencia/vulneración de seguridad es responsable de su comunicación al Departamento de Datos Personales.
El conocimiento y la no-notificación de una incidencia/vulneración de seguridad por parte de un usuario será considerado como una falta contra la seguridad de las bases de datos por parte del usuario que omitió la notificación.
¿Qué es una incidencia?
Se considera incidencia cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos, en cualquiera de sus tres vertientes: confidencialidad, integridad o disponibilidad.
Se entiende por:
• Confidencialidad: la condición que garantiza que la información no puede estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. La información únicamente puede ser accedida por los usuarios autorizados.
Ejemplo de incidencia: El envío involuntario de información a personas no autorizadas o facilitar indebidamente el acceso a personas no autorizadas.
• Integridad: El sistema no debe modificar o corromper la información que almacena, ni permitir que alguien no autorizado lo haga. Sólo los usuarios autorizados pueden modificar la información contenida.
Ejemplo de incidencia: Pérdida de una parte de los datos personales con motivo de un proceso erróneo (humano o técnico).
• Disponibilidad: Condición que permite que tanto el hardware como el software funcionen eficientemente de forma continuada y que, en caso de fallo, exista la capacidad de recuperarse rápidamente. Los elementos del sistema deben de estar accesibles y disponibles a los usuarios autorizados.
Ejemplo de incidencia: Avería del soporte físico que almacena los datos personales o fallo en la realización de las copias de respaldo.
Por su parte, el artículo 63 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, establece:
Vulneraciones de seguridad
Artículo 63. Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son:
I. La pérdida o destrucción no autorizada; II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o IV. El daño, la alteración o modificación no autorizada.
9.1.2. Medidas de Seguridad de NIVEL MEDIO
Las bases de datos a las que corresponda este nivel de seguridad deberán contar con todas las medidas de seguridad de nivel básico, más las que adicionalmente se identifican en los siguientes apartados:
9.1.2.1. Auditorias Periódicas
Se procurará que al menos cada dos años se lleve a cabo una auditoría de todos los Sistemas de Información que deban adoptar medidas de seguridad de nivel medio, así como de las instalaciones de tratamiento de datos, con el fin de verificar el cumplimiento de las medidas de seguridad en la Relación correspondiente y los procedimientos, criterios y recomendaciones vigentes en materia de protección de datos personales.
La auditoría podrá efectuarse de forma interna, o también por empresas especializadas y contratadas al efecto, cuando así se decida por parte del Departamento de Datos Personales.
Si se decide optar por la contratación de auditorías externas, se recomienda solicitar que los auditores propuestos por la empresa que sea contratada tengan la certificación CISA (Certified Information Systems Auditor) de ISACA (Information System Audit Control Association) y cuenten con conocimientos jurídicos sobre la aplicación de la normativa de protección de datos personales.
Los informes de auditoría deberán identificar deficiencias y proponer medidas correctoras o complementarias, y serán analizados por el Departamento de Datos Personales, quien elevará sus conclusiones a nivel Corporativo para que se adopten las medidas correctoras adecuadas. A su vez los comunicará a los Responsables Funcionales de las Bases de Datos, para su conocimiento.
El Departamento de Datos Personales deberá archivar los informes de auditoría correspondientes y las conclusiones que emita al respecto, junto a la “Relación de Medidas de Seguridad” de la base de datos correspondiente, para su puesta a disposición en caso de que éstos sean requeridos por el INAI.
9.1.2.2. Registro de entrada y salida de soportes y documentos
Se deberá establecer un sistema de registro de entrada y salida de soportes y documentos que permita conocer el tipo de documento o soporte; la fecha y hora; el emisor y el destinatario; el número de documentos o soportes incluidos en el envío; el tipo de información que contienen; la forma de envío y la persona responsable de la recepción/entrega, que deberán estar debidamente autorizadas:
AUTORIZACIÓN DE SALIDA DE SOPORTES
Fecha de salida:
___/___/_____
SOPORTE
Tipo de soporte y etiqueta
Contenido
Base de datos de donde procede la información
Fecha de creación
FINALIDAD Y DESTINO
Finalidad
Destino Destinatario
FORMA DE ENVÍO
Medio de envío Remitente Precauciones para el transporte
AUTORIZACIÓN
Persona que autoriza Cargo/Puesto Observaciones
Firma
Ilustración 4. Modelo de Impreso para Autorización de Salida de Soportes
9.1.2.3. Sistemas de identificación y autenticación específicos
Se establecerá un sistema que permita la identificación inequívoca y personalizada de todo usuario que intente acceder al sistema de información, limitando la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
Se deberá mantener una lista actualizada de usuarios autorizados para acceder a los sistemas de información que tratan datos personales.
9.1.2.4. Control de acceso físico a los locales
Únicamente el personal autorizado podrá tener acceso a las instalaciones o locales donde estén ubicados los sistemas de información que tratan datos personales.
9.1.3. Medidas de Seguridad de NIVEL ALTO
Las bases de datos a las que corresponde adoptar medidas de seguridad de nivel alto (que tratan datos personales sensibles) incorporarán las medidas de seguridad de nivel básico, medio y además las que a continuación se identifican:
9.1.3.1. Contenido de la Relación de Medidas de Seguridad
Además de lo dispuesto para los niveles básico y medio de seguridad, el nivel alto tendrá el siguiente contenido adicional:
• Medidas que deberán adoptarse con carácter previo a la distribución de soportes, bien mediante el cifrado de datos o bien mediante cualquier otro mecanismo que garantice que la información no sea inteligible ni pueda ser manipulada durante el transporte.
• Existencia de una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente a aquél en que se encuentren los equipos informáticos que los tratan. Dichas copias deberán estar en lugares con las medidas de seguridad adecuadas.
• En el supuesto de que se transmitan datos personales a través de redes de telecomunicación, se deberán cifrar los datos personales sensibles o utilizar cualquier otro medio (que se describirá en la Relación de Medidas de Seguridad), que garantice que la información no sea inteligible, ni manipulada por terceros.
• Deberá existir un “Registro de Accesos”, cuyo diseño deberá incorporarse en la Relación de Medidas de Seguridad de la base de datos correspondiente.
9.1.3.2. Registro de accesos
Las bases de datos que deban adoptar un nivel de seguridad alto deberán contar con un registro para guardar, como mínimo durante dos años, la siguiente información:
i. Identificación del usuario que ha accedido ii. Fecha y hora del acceso. iii. Base de datos accedida y tipo de acceso. iv. Si se autorizó o se denegó el acceso, guardando información que permita identificar el registro
accedido, en su caso.
Este registro estará bajo el control del Departamento de Datos Personales y de la Dirección de Tecnologías de Información. Se deberán implementar medidas que impidan la desactivación de los registros. La información de
control registrada deberá revisarse periódicamente y elaborarse un informe, al menos cada dos meses, sobre las revisiones realizadas y los problemas detectados.
9.1.3.3. Registro de accesos
Las bases de datos que deban adoptar un nivel de seguridad alto deberán contar con un registro para guardar, como mínimo durante dos años, la siguiente información:
• Identificación del usuario que ha accedido • Fecha y hora del acceso. • Base de datos accedida y tipo de acceso. • Si se autorizó o se denegó el acceso, guardando información que permita identificar el registro accedido, en su
caso.
Este registro estará bajo el control del Departamento de Datos Personales y de la Dirección de Tecnologías de Información. Se deberán implementar medidas que impidan la desactivación de los registros. La información de control registrada deberá revisarse periódicamente y elaborarse un informe, al menos cada dos meses, sobre las revisiones realizadas y los problemas detectados.
9.2. Medidas de seguridad sobre BASES DE DATOS NO AUTOMATIZADAS
Dado que la LFPD y su Reglamento resultan aplicables al tratamiento de datos personales que obren tanto en soportes electrónicos como físicos, también resulta necesario adoptar medidas de seguridad sobre las bases de datos no automatizadas, que deberán desarrollarse en la Relación correspondiente.
Conforme a lo anterior, VITRO CANCELES también deberá tomar en cuenta los factores y elementos a que se refiere el artículo 60 del Reglamento de la LFPD, en relación con las medidas de seguridad aplicables a los sistemas de tratamiento no automatizados.
Siendo lo anterior, a continuación, se identifican las medidas de seguridad mínimas aplicables a bases de datos no automatizadas.
9.2.1. Medidas de Seguridad de NIVEL BÁSICO 9.2.1.1. Criterios de archivo y clasificación de los soportes físicos
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación.
Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y la consulta de la información; de tal forma que se posibilite y garantice el ejercicio de los derechos ARCO conforme al procedimiento descrito en el apartado 3.2.5 de esta Política.
En aquellos casos en los que no exista norma aplicable sobre el archivo de la documentación, deberá implementarse el procedimiento correspondiente, mismo que deberá ser aprobado por el Departamento de Datos Personales de VITRO CANCELES.
9.2.1.2. Dispositivos de almacenamiento
Los dispositivos de almacenamiento de los documentos que contengan datos personales deberán disponer de mecanismos que obstaculicen su apertura (por ejemplo, cerraduras con llave o con acceso mediante combinación). Cuando las características físicas de aquéllos no permitan adoptar esta medida, VITRO CANCELES adoptará medidas que impidan el acceso de personas no autorizadas a las zonas en que dichos dispositivos se encuentren.
9.2.1.3. Custodia de los soportes
Mientras la documentación con datos personales no se encuentre archivada en los dispositivos de almacenamiento establecidos, por estar en procesos de revisión o tramitación, con carácter previo o posterior a su archivo, la persona que se encuentre a cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por personas no autorizadas.
9.2.2. Medidas de Seguridad de NIVEL MEDIO 9.2.2.1. Auditoría
Las bases de datos no automatizadas a las que resulten aplicables las medidas de seguridad de este nivel se someterán, al menos cado dos años, a una auditoría interna o externa que verifique el cumplimiento de las disposiciones del Reglamento de la LFPD y de las Recomendaciones en Materia de Seguridad de Datos Personales, emitidas por el entonces IFAI.
9.2.3. Medidas de Seguridad de NIVEL ALTO 9.2.3.1. Almacenamiento de la información
Los armarios, archivadores u otros dispositivos en los que se almacenen las bases de datos no automatizadas que contienen datos personales sensibles deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso con sistema de apertura mediante llave, u otro dispositivo equivalente o superior. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en la base de datos.
Si no fuese posible llevar a cabo estas medidas, el Departamento de Datos Personales deberá promover y adoptar medidas alternativas que, debidamente motivadas, deberán incluirse en la correspondiente Relación de Medidas de Seguridad
9.2.3.2. Copia o reproducción
Sólo se podrán realizar copias o reproducciones de los documentos bajo el control y supervisión del personal autorizado para tratar la documentación que contiene datos personales sensibles. Deberá procederse a la destrucción de las copias o reproducciones desechadas, de forma que se evite el acceso a la información contenida en las mismas, o su recuperación posterior.
9.2.3.3. Acceso a la documentación
El acceso a la documentación se limitará exclusivamente al personal autorizado. También se deberán establecer mecanismos que permitan identificar los accesos realizados a los documentos que puedan ser utilizados por varios usuarios autorizados.
El acceso por parte de personas no autorizadas deberá quedar adecuadamente registrado.
9.2.3.4. Traslado de documentos
Siempre que se proceda al traslado físico de la documentación contenida en una base de datos de este tipo, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información que ha de ser trasladada.
10. RELACIONES CON EL INAI
Corresponde al Departamento de Datos Personales la interlocución y el mantenimiento de las relaciones institucionales con el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), sin perjuicio de la colaboración que deba recibir por parte de la Dirección General, de la Dirección de Tecnologías de la Información o de profesionales externos designados a tales efectos.
En el marco del ejercicio de las competencias que la LFPD otorga al INAI, y con el fin de obtener una interlocución única ante dicho Instituto, cualquier área de VITRO CANCELES que reciba una comunicación proveniente del INAI lo pondrá en conocimiento inmediato del Departamento de Datos Personales. Dicha comunicación podrá consistir en el requerimiento de información relacionada con hechos denunciados al INAI o conocidos por este organismo.
En el supuesto que VITRO CANCELES llegare a ser objeto de una visita como parte de un procedimiento de verificación iniciado por el INAI (artículo 128 del Reglamento de la LFPD), el Departamento de Datos Personales notificará al representante legal quien deberá estar presente durante la diligencia.
No obstante lo anterior, el Departamento de Datos Personales (o quien en su ausencia atienda la inspección) deberá permitir la visita de verificación ordenada por el INAI, si la inasistencia del representante legal del Responsable pudiere retrasar indebidamente su realización y constituirse en un acto de obstrucción a la realización de los actos de verificación de la autoridad, acciones que pueden constituirse en infracción a la LFPD (artículo 63, fracción XIV).
VITRO CANCELES está obligado a permitir el acceso a las oficinas donde se encuentren las bases de datos y los equipos informáticos a personal del INAI debidamente identificado. Para ello, el personal del INAI deberá cumplir con los requisitos establecidos en los artículos 133 y 134 del Reglamento de la LFPD:
Visitas de verificación
Artículo 133. El personal del Instituto que lleve a cabo las visitas de verificación deberá estar provisto de orden escrita fundada y motivada con firma autógrafa de la autoridad competente del Instituto, en la que deberá precisarse el lugar en donde se encuentra el establecimiento del responsable, o bien en donde se encuentren las bases de datos objeto de la verificación, el objeto de la visita, el alcance que deba tener la misma y las disposiciones legales que lo fundamenten.
Identificación del personal verificador
Artículo 134. Al iniciar la visita, el personal verificador deberá exhibir credencial vigente con fotografía, expedida por el Instituto que lo acredite para desempeñar dicha función, así como la orden escrita fundada y motivada a la que se refiere el artículo anterior, de la que deberá dejar copia con quien se entendió la visita.
En caso del inicio de Procedimientos de Protección de Derechos, se remitirá al Departamento de Datos Personales la documentación remitida por el INAI, informando adecuadamente sobre la fecha de notificación del acto administrativo.
En estos casos, el Departamento de Datos Personales requerirá de cualquier Responsable Funcional y/u Operativo el apoyo necesario para entregar al INAI la información o documentación solicitados, si obran en su Área. El Departamento de Datos Personales remitirá la contestación que proceda a ese Organismo, sin perjuicio de la asesoría interna o externa que requiera para tales efectos.
11. EFECTIVIDAD Y DEROGACIÓN
El presente documento entrará en vigor el día primero del mes siguiente a la fecha de su comunicación interna a las Áreas involucradas y deroga cualquier otra comunicación interna relativa a la seguridad de datos personales tratados en los sistemas de información de VITRO CANCELES.
Cualquier propuesta de modificación, corrección o mejora de la presente Política de Protección de Datos Personales se dirigirá al Departamento de Datos Personales:
DATOS DE CONTACTO
Nombre y Apellidos
Puesto Ext. e-mail
Tabla 3. Datos de Contacto - Departamento de Datos Personales
_______, ___________ a DÍA de MES de AÑO
12. ANEXO PRIMERO. Modelos de Avisos de Privacidad 12.1. Modelo de Aviso de Privacidad Integral para la Base de Datos LIBROS Y ACTAS de
VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL LIBROS Y ACTAS
A. Identidad y domicilio del Responsable
En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones aplicables, Vitro Canceles, S.A. de C.V.en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa:
B. Datos personales recabados y sometidos a tratamiento
Para las finalidades indicadas en el presente Aviso de Privacidad, el Responsable trata las siguientes categorías de datos personales:
1. Datos de identificación y contacto; 2. Datos de ocupación laboral; y 3. Datos económicos, financieros y de seguros.
C. Tratamiento de datos personales sensibles.
Para el cumplimiento de las finalidades indicadas en el siguiente apartado, el Responsable no recaba datos personales sensibles.
D. Finalidades del tratamiento
a.) Finalidades originarias y necesarias 1. Gestión, control y administración de los nombramientos del órgano de administración; 2. Gestión, control y administración de los libros de la entidad y actas relativas a los acuerdos aprobados por los socios
del Responsable y por los miembros del órgano de administración; 3. Gestión, control y administración de los Informes y controles establecidos por la legislación vigente, incluyendo
aquellos relacionados con la composición del órgano de administración y participaciones sociales. 4. Registro histórico para el cumplimiento de la legislación aplicable.
b.) Finalidades adicionales
No existen.
E. Transferencias de datos personales
Sus datos personales podrán ser transferidos dentro del territorio nacional o hacia el extranjero, a las siguientes categorías de destinatarios y para las finalidades identificadas:
1. Compañías matrices, afiliadas o subsidiarias del Responsable, a una sociedad matriz, con finalidades de resguardo centralizado de la información, control de nombramientos, designaciones y registro histórico de las obligaciones corporativas del Responsable.
2. Organismos Públicos; Administraciones públicas federales, estatales o municipales; Comisiones; Institutos y/o Entidades Reguladoras; para el cumplimiento de obligaciones informativas, de transparencia o de control establecidas por la legislación vigente.
Para la transferencia de datos personales a que se refiere este apartado, no se requiere de su consentimiento conforme a lo dispuesto por el artículo 37 de la LFPD.
F. Ejercicio de los derechos ARCO
En todos aquellos casos legalmente procedentes, usted podrá ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso.
La solicitud deberá contener y acompañar lo siguiente:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud. II. Los documentos que acrediten su identidad o, en su caso, la representación legal.
III. La descripción clara y precisa de los Derechos ARCO que desea ejercer; y IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.
El Responsable le comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta. En caso de que la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañen los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá la subsanación de las deficiencias para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación, contados a partir del día siguiente en que hubiere recibido esta solicitud. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo.
Alternativamente, usted podrá dirigir su solicitud a la dirección [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al Responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de copias simples, documentos electrónicos en formatos convencionales (Word, PDF, etc.), o a través de cualquier otro medio legítimo que garantice y acredite el ejercicio efectivo del derecho solicitado.
Usted será responsable de mantener actualizados sus datos personales en posesión del Responsable. Por lo anterior, usted garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio a Responsable.
G. Revocación del consentimiento
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable.
El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO.
H. Limitaciones sobre el uso y divulgación de sus datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Departamento de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en el apartado “Ejercicio de los derechos ARCO”.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El responsable otorgará a los titulares registrados la constancia de inscripción correspondiente.
I. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El Responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, comunicaremos los cambios adoptados a través de correo electrónico, cuando este medio haya sido señalado para las comunicaciones entre el titular y el Responsable.
Fecha de última actualización: __ de ___________ de 2020
12.2. Modelo de Aviso de Privacidad Integral para la Base de Datos de CLIENTES de VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL CLIENTES
A. Identidad y domicilio del Responsable
En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones aplicables, Vitro Canceles, S.A. de C.V. (en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa:
B. Datos personales recabados y sometidos a tratamiento
Para las finalidades indicadas en el presente Aviso de Privacidad, el Responsable trata las siguientes categorías de datos personales:
1. Datos de identificación y de contacto; 2. Datos patrimoniales y/o financieros; y 3. Datos de transacciones.
C. Tratamiento de datos personales sensibles.
Para las finalidades descritas en el siguiente apartado, el Responsable no recaba datos personales sensibles.
D. Finalidades del tratamiento a) Finalidades originarias y necesarias 1. Gestión, control, administración y actualización de los datos personales relacionados con los clientes del
Responsable: personas físicas y representantes legales o contactos designados por personas morales. 2. Gestión, control y administración de las comunicaciones entre el Responsable y sus clientes. 3. Facturación de productos y, en su caso, su cobro judicial o extrajudicial. 4. Registro y seguimiento del estado de los productos y, en su caso, de los servicios otorgados. 5. Estadística y registro histórico de clientes.
b) Finalidades adicionales 1. Envío de comunicaciones sobre mercadotecnia y prospección comercial de productos ofrecidos por el Responsable
o por sus socios comerciales.
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales en relación con las finalidades adicionales indicadas, mediante los mecanismos previstos en este Aviso de Privacidad y de conformidad con la legislación vigente, en cualquier momento que así lo determine.
E. Transferencias de datos personales
Sus datos personales pueden ser transferidos y tratados por personas distintas al Responsable en los siguientes supuestos:
1. Sociedades controladoras, subsidiarias o afiliadas del Responsable, o a una sociedad matriz; con finalidades de resguardo centralizado de la información, control de altas y bajas, cambios relacionados con su contrato; así como para la realización de funciones de estadística y registro histórico.
2. Autoridades, organismos o entidades gubernamentales; en cumplimiento a las obligaciones contempladas en la legislación aplicable y/o en cumplimiento de requerimientos efectuados por las mismas.
Las transferencias de datos personales a que se refiere este inciso no requieren de su consentimiento para realizarse, conforme a lo dispuesto por el artículo 37 de la LFPD.
F. Ejercicio de los derechos ARCO
En todos aquellos casos legalmente procedentes, usted podrá ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso.
La solicitud deberá contener y acompañar lo siguiente:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud. II. Los documentos que acrediten su identidad o, en su caso, la representación legal.
III. La descripción clara y precisa de los Derechos ARCO que desea ejercer; y IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.
El Responsable le comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta. En caso de que la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañen los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá la subsanación de las deficiencias para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación, contados a partir del día siguiente en que hubiere recibido esta solicitud. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo.
Alternativamente, usted podrá dirigir su solicitud a la dirección [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al Responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de copias simples, documentos electrónicos en formatos convencionales (Word, PDF, etc.), o a través de cualquier otro medio legítimo que garantice y acredite el ejercicio efectivo del derecho solicitado.
Usted será responsable de mantener actualizados sus datos personales en posesión del Responsable. Por lo anterior, usted garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio a Responsable.
G. Revocación del consentimiento
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable.
El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO.
H. Limitaciones sobre el uso y divulgación de sus datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Departamento de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en el apartado “Ejercicio de los derechos ARCO”.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares registrados la constancia de inscripción correspondiente.
I. Uso de cookies (medios automáticos para recabar datos personales)
En el sitio web www.vitrocanceles.com.mx usamos cookies para facilitar la navegación y comunicación a través del sitio web www.tacoholding.com. Las cookies son archivos que se instalan en su navegador para finalidades de análisis y conservación de información. Si usted navega a través de dicho sitio y/o envía información a través del mismo, las cookies utilizadas por el Responsable le permitirán recopilar, analizar y conservar información técnica relacionada con sus hábitos de navegación, en el momento mismo en que navegue por el sitio o envíe información.
Para obtener información más detallada acerca de las cookies y la forma en que puede deshabilitarlas en función de su navegador y sistema operativo, recomendamos visitar el sitio www.allaboutcookies.org. Si desactiva las cookies, es posible que usted no pueda usar determinadas partes nuestro sitio web.
J. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, publicaremos dichos cambios en el sitio web www.vitrocanceles.com.mx. Sección “Avisos de Privacidad”. También podrán comunicarse cambios al presente Aviso de Privacidad vía de correo electrónico, cuando dicho medio hubiese sido establecido como canal de comunicación entre el titular y el Responsable, durante la vigencia de una relación jurídica.
K. Negativa para el tratamiento
☐ No deseo recibir comunicaciones u ofertas de productos ofrecidos por el Responsable o por sus socios comerciales.
Si usted ha tenido acceso a este Aviso de Privacidad por medios electrónicos o en nuestros establecimientos, o si desea comunicar su negativa en cualquier momento posterior a la entrega de sus datos, podrá comunicar su decisión, en cualquier momento, a través de la dirección de correo [email protected].
Fecha de última actualización: ___ de ________de 2020
12.3. Modelo de Aviso de Privacidad Integral para para Base de Datos CONTACTO de VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL CONTACTO
A. Identidad y domicilio del Responsable
En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones aplicables, Vitro Canceles, S.A. de C.V. (en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa:
B. Datos personales recabados y sometidos a tratamiento
Para las finalidades indicadas en el presente Aviso de Privacidad, VITRO CANCELES trata la siguiente categoría de datos personales:
1. Datos de identificación y de contacto.
C. Datos personales sensibles.
Para las finalidades descritas en el siguiente apartado, VITRO CANCELES no recaba datos personales sensibles.
D. Finalidades del tratamiento a) Finalidades originarias y necesarias 1. Proporcionar información sobre los productos del Responsable, incluyendo sus modalidades y precios. 2. Responder a dudas y/o solicitudes de información sobre servicios o productos específicos del Responsable. 3. Facilitar la adquisición de productos del Responsable, mediante el envío de información relacionada. 4. Envío de información comercial o promociones ofrecidas por el Responsable. 5. Estadística y registro histórico.
b) Finalidades adicionales:
No existen.
E. Transferencias de datos personales
Sus datos personales pueden ser transferidos y tratados por personas distintas al Responsable en los siguientes supuestos:
1. Sociedades controladoras, subsidiarias, afiliadas, o a una sociedad matriz; con finalidades de resguardo centralizado de la información, control de altas y bajas de proveedores; así como para la realización de funciones de estadística y registro histórico.
2. Autoridades, organismos o entidades gubernamentales; en cumplimiento a las obligaciones contempladas en la legislación aplicable y/o en cumplimiento de requerimientos efectuados por las mismas.
Las transferencias de datos personales a que se refiere este inciso no requieren de su consentimiento para realizarse, conforme a lo dispuesto por el artículo 37 de la LFPD.
F. Ejercicio de los derechos ARCO
En todos aquellos casos legalmente procedentes, usted podrá ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso.
La solicitud deberá contener y acompañar lo siguiente:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud. II. Los documentos que acrediten su identidad o, en su caso, la representación legal.
III. La descripción clara y precisa de los Derechos ARCO que desea ejercer; y IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.
El Responsable le comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta. En caso de que la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañen los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá la subsanación de las deficiencias para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación, contados a partir del día siguiente en que hubiere recibido esta solicitud. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo.
Alternativamente, usted podrá dirigir su solicitud a través de la dirección del Departamento de Datos Personales a la dirección [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al Responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de copias simples, documentos electrónicos en formatos convencionales (Word, PDF, etc.), o a través de cualquier otro medio legítimo que garantice y acredite el ejercicio efectivo del derecho solicitado.
Usted será responsable de mantener actualizados sus datos personales en posesión del Responsable. Por lo anterior, usted garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio a Responsable.
G. Revocación del consentimiento
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable.
El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO.
H. Limitaciones sobre el uso y divulgación de sus datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Departamento de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en el apartado “Ejercicio de los derechos ARCO”.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares registrados la constancia de inscripción correspondiente.
I. Uso de cookies (medios automáticos para recabar datos personales)
En el sitio web www.vitrocanceles.com.mx usamos cookies para facilitar la navegación y comunicación a través del sitio web www.tacoholding.com. Las cookies son archivos que se instalan en su navegador para finalidades de análisis y conservación de información. Si usted navega a través de dicho sitio y/o envía información a través del mismo, las cookies utilizadas por el Responsable le permitirán recopilar, analizar y conservar información técnica relacionada con sus hábitos de navegación, en el momento mismo en que navegue por el sitio o envíe información.
Para obtener información más detallada acerca de las cookies y la forma en que puede deshabilitarlas en función de su navegador y sistema operativo, recomendamos visitar el sitio www.allaboutcookies.org. Si desactiva las cookies, es posible que usted no pueda usar determinadas partes nuestro sitio web.
J. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, publicaremos dichos cambios en el sitio web www.vitrocanceles.com.mx, Sección “Avisos de Privacidad”. También podrán comunicarse cambios al presente Aviso de Privacidad vía de correo electrónico, cuando dicho medio hubiese sido establecido como canal de comunicación entre el titular y el Responsable, durante la vigencia de una relación jurídica.
Fecha de última actualización: ___ de _____de 2020
12.4. Modelo de Aviso de Privacidad Integral para la Base de Datos de PROVEEDORES de VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL PROVEEDORES
A. Identidad y domicilio del Responsable En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones en materia de datos personales, Vitro Canceles, S.A. de C.V. (en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa: B. Datos personales recabados y sometidos a tratamiento Para el cumplimiento de las finalidades establecidas en este aviso, el Responsable recaba las siguientes categorías de datos personales: 1. Datos de identificación y de contacto; 2. Datos académicos y profesionales; 3. Datos de ocupación laboral; 4. Datos de información comercial; 5. Datos económicos, financieros y de seguros, 6. Datos de transacciones.
C. Tratamiento de datos personales sensibles El Responsable no recaba datos personales sensibles para las finalidades del presente Aviso de Privacidad. D. Finalidades del tratamiento Los datos personales recabados por el Responsable serán tratados para cumplir con las siguientes finalidades: a) Finalidades Principales:
1. Alta y pago de adeudos a proveedores. 2. Cumplimiento de obligaciones fiscales relacionadas con proveedores. 3. Contratación de servicios. 4. En su caso, documentación y control de la asignación de activos de cómputo y comunicaciones electrónicas
para el personal de proveedores. 5. En su caso, asignación de perfiles en los sistemas del Responsable para personal de proveedores. 6. En su caso, asignación de claves y contraseñas en los sistemas del Responsable al personal de proveedores. 7. Administración y gestión de documentos de proveedores bajo resguardo del Responsable. 8. En su caso, verificación de referencias personales y profesionales del personal de proveedores. 9. Estadística y registro histórico de proveedores.
b) Finalidades adicionales:
No existen. E. Transferencias de datos personales Para las finalidades indicadas, y cuando así sea necesario, el Responsable podrá sus datos personales a las siguientes categorías de destinatarios (nacionales o internacionales):
1. Sociedades controladoras, subsidiarias o fíliales del Responsable, o a una sociedad matriz; con finalidades de resguardo centralizado de la información, control de altas y bajas en los sistemas del Responsable, cambios relacionados con la relación entre el titular y el Responsable; así como para la realización de funciones de estadística y registro histórico.
2. Prestadores de servicios con los cuales el Responsable mantenga una relación jurídica, con el objeto de dar seguimiento a la prestación de los servicios e informar, en su caso, sobre el desempeño de los empleados del proveedor durante la prestación de servicios a favor del Responsable.
3. Autoridades, organismos o entidades gubernamentales; para el cumplimiento de obligaciones contempladas en la legislación aplicable y/o en cumplimiento de requerimientos efectuados por las mismas.
Las transferencias de datos personales a que se refiere este inciso no requieren de su consentimiento para realizarse, conforme a lo dispuesto por el artículo 37 de la LFPD. F. Ejercicio de los derechos ARCO En todos aquellos casos legalmente procedentes, el titular podrá ejercer en todo momento sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), a través de los procedimientos que el Responsable ha implementado. La solicitud para el ejercicio de cualquiera de sus derechos ARCO deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso. Para que el Responsable comunique la determinación adoptada en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la solicitud deberá contener y acompañarse de los siguientes requisitos:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud. II. Los documentos que acrediten su identidad o, en su caso, la representación legal.
III. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los Derechos ARCO; y
IV. Cualquier otro elemento o documento que facilite la localización de los datos personales. Cuando la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañan los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable requerirá la subsanación de las deficiencias en un plazo no mayor de cinco días hábiles siguientes a la recepción de su solicitud, para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo. Alternativamente, podrá dirigir su solicitud a la dirección electrónica [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de copias simples, documentos electrónicos en formatos convencionales (Word, PDF, etc.), o a través de cualquier otro medio legítimo que garantice y acredite el ejercicio efectivo del derecho solicitado.
El titular será el responsable de mantener actualizados sus datos personales en posesión del Responsable. Por lo anterior, usted garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio al Responsable. G. Revocación del consentimiento Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable.
El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO. H. Limitaciones sobre la divulgación de sus datos personales Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Responsable de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en los apartados anteriores del presente Aviso de Privacidad “Ejercicio de los derechos ARCO”. El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. En su caso, el Responsable otorgará a los titulares registrados la constancia de inscripción correspondiente. I. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, publicaremos dichos cambios en el sitio web www.vitrocanceles.com.mx. Sección “Avisos de Privacidad”. También podrán comunicarse cambios al presente Aviso de Privacidad vía de correo electrónico, cuando dicho medio hubiese sido establecido como canal de comunicación entre el titular y el Responsable, durante la vigencia de una relación jurídica.
Fecha de última actualización:
___ de ________de 2020
12.5. Modelo de Aviso de Privacidad Integral para la Base de Datos de EMPLEADOS de VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL EMPLEADOS
A. Identidad y domicilio del Responsable
En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones aplicables, Vitro Canceles, S.A. de C.V. (en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa:
B. Datos personales recabados y sometidos a tratamiento
Para el desarrollo de las finalidades descritas en el presente Aviso de Privacidad, el Responsable recaba las siguientes categorías de datos personales:
1. Datos de identificación y de contacto; 2. Datos de características personales; 3. Datos de ocupación laboral; 4. Datos académicos y profesionales; 5. Datos patrimoniales, financieros, y de seguros; 6. Datos de circunstancias sociales; y 7. Datos personales sensibles.
Los datos personales de terceras personas facilitados por usted al Responsable para el cumplimiento de las finalidades identificadas (por ejemplo, datos de familiares), deberán serlo después de que usted les haya informado sobre la existencia del tratamiento de sus datos personales y el contenido de este Aviso de Privacidad.
C. Tratamiento de datos personales sensibles.
Para las finalidades descritas en los numerales del siguiente apartado, el Responsable puede recabar datos considerados como sensibles, relativos a su estado de salud presente y/o futuro. En cada caso, el Responsable recabará su consentimiento expreso y por escrito, para el tratamiento de sus datos personales sensibles.
D. Finalidades del tratamiento a) Finalidades originarias y necesarias 1. Gestión, control y administración del personal, incluyendo capacitación y desarrollo. 2. Gestión de expedientes laborales de empleados, incluyendo expedientes médicos, en su caso. 3. Gestión, control y administración del pago de nómina, beneficios y otras prestaciones laborales. 4. Documentación y control de la asignación de equipos de cómputo y comunicaciones electrónicas. 5. Asignación de cuenta de correo electrónico laboral y perfiles en los sistemas del Responsable. 6. Asignación de otras herramientas de trabajo, claves y contraseñas. 7. Comunicación de información corporativa, laboral y administrativa del Responsable. 8. Comunicación de instrucciones relacionadas con su grupo o puesto individual de trabajo. 9. Evaluación de resultados a través de procedimientos previamente establecidos por el Responsable.
10. Asegurar el cumplimiento de obligaciones de confidencialidad, honorabilidad y transparencia, mediante la implementación de procedimientos administrativos y técnicos establecidos por el Responsable para tales efectos.
11. Verificación de referencias personales y laborales. 12. Contactar, en caso de emergencia, a sus familiares o dependientes económicos. 13. Registro históricos y estadísticos de empleados.
b) Finalidades adicionales
1. Comunicación de actividades y eventos relacionados con los empleados, para promover y mejorar la integración de los colaboradores del Responsable.
2. Comunicación de actividades no laborales para promocionar actividades en beneficio de su personal o de la comunidad.
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales en relación con las finalidades adicionales indicadas, mediante los mecanismos previstos en este Aviso de Privacidad y de conformidad con la legislación vigente, en cualquier momento que así lo determine.
E. Transferencias de datos personales
Sus datos personales pueden ser transferidos y tratados por personas distintas al Responsable en los siguientes supuestos:
1. Sociedades controladoras, subsidiarias o afiliadas del Responsable, o a una sociedad matriz; con finalidades de resguardo centralizado de la información, control de altas y bajas en los sistemas de información del Responsable, cambios relacionados con la relación entre el titular y el Responsable; así como para la realización de funciones de estadística y registro histórico.
2. Autoridades, organismos o entidades gubernamentales; en cumplimiento a las obligaciones contempladas en la legislación aplicable y/o en cumplimiento de requerimientos efectuados por las mismas.
3. Compañías o agentes de seguros con los que el empleado mantenga una relación jurídica; para tramitación de solicitudes, programaciones, reportes, reembolsos o siniestros, solicitados o autorizados por los colaboradores.
4. Instituciones financieras o bancarias con las que el empleado mantenga una relación jurídica; para el pago de salarios, beneficios y otras prestaciones laborales pecuniarias y los pagos de sus obligaciones a instituciones gubernamentales como pagos del IMSS, del SHCP y demás que pueden aplicar.
Las transferencias de datos personales a que se refiere este inciso no requieren de su consentimiento para realizarse, conforme a lo dispuesto por el artículo 37 de la LFPD.
F. Ejercicio de los derechos ARCO
En todos aquellos casos legalmente procedentes, usted podrá ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso.
La solicitud deberá contener y acompañar lo siguiente:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud. II. Los documentos que acrediten su identidad o, en su caso, la representación legal.
III. La descripción clara y precisa de los Derechos ARCO que desea ejercer; y IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.
El Responsable le comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta. En caso de que la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañen los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá la subsanación de las deficiencias para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación, contados a partir del día siguiente en que hubiere recibido esta solicitud. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo.
Alternativamente, usted podrá dirigir su solicitud a la dirección electrónica [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al Responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de copias simples, documentos electrónicos en formatos convencionales (Word, PDF, etc.), o a través de cualquier otro medio legítimo que garantice y acredite el ejercicio efectivo del derecho solicitado.
Usted será responsable de mantener actualizados sus datos personales en posesión del Responsable. Por lo anterior, usted garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio a Responsable.
G. Revocación del consentimiento
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable.
El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO.
H. Limitaciones sobre el uso y divulgación de sus datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Departamento de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en el apartado “Ejercicio de los derechos ARCO”.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares registrados la constancia de inscripción correspondiente.
I. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, publicaremos dichos cambios en el sitio web www.vitrocanceles.com.mx, Sección “Avisos de Privacidad”. También podrán comunicarse cambios al presente Aviso de Privacidad vía de correo electrónico, cuando dicho medio hubiese sido establecido como canal de comunicación entre el titular y el Responsable, durante la vigencia de una relación jurídica.
J. Negativa para el tratamiento
☐ No deseo recibir comunicaciones sobre actividades y eventos relacionados con los empleados.
☐ No deseo recibir comunicaciones sobre actividades no laborales.
Si usted ha tenido acceso a este Aviso de Privacidad por medios electrónicos o en nuestros establecimientos, o si desea comunicar su negativa en cualquier momento posterior a la entrega de sus datos, podrá comunicar su decisión, en cualquier momento, a través de la dirección de correo [email protected].
Fecha de última actualización: ___ de ________de 2020
12.6. Modelo de Aviso de Privacidad Integral para la Base de Datos de CANDIDATOS de VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL CANDIDATOS
A. Identidad y domicilio del Responsable
En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones aplicables, Vitro Canceles, S.A. de C.V. (en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa:
B. Datos personales recabados y sometidos a tratamiento
Para las finalidades indicadas en el presente Aviso de Privacidad, el Responsable trata las siguientes categorías de datos personales:
1. Datos de identificación y contacto; 2. Datos de características personales; 3. Datos de circunstancias sociales; 4. Datos académicos y profesionales; y 5. Datos de ocupación laboral.
Los datos personales cuyas categorías han sido identificadas pueden ser recabados por el Responsable directa o personalmente del titular, o de forma indirecta a través de transferencias de datos que haya consentido mediante la publicación de sus datos en páginas web de búsqueda de empleo o redes sociales de carácter profesional.
Como candidato usted es responsable de comunicar a las personas que hubiese proporcionado como referencias (familiares o antiguos empleadores) sobre la existencia del proceso de selección en el que participa y sobre el tratamiento de los datos personales de contacto que ha proporcionado para las finalidades establecidas en el presente Aviso de Privacidad. En su caso, deberá comunicarles los medios a través de los cuales pueden conocer el contenido íntegro de este Aviso.
La aceptación del presente Aviso de Privacidad conlleva la autorización que como candidato a un puesto de trabajo usted otorga al Responsable, para que contacte con las referencias personales y profesionales que hubiese proporcionado, para obtener información y antecedentes sobre su desempeño.
C. Tratamiento de datos personales sensibles.
Para el cumplimiento de las finalidades indicadas en el siguiente apartado, el Responsable no recaba datos personales sensibles.
D. Finalidades del tratamiento a) Finalidades originarias y necesarias 1. Gestión, control y administración de currículos y solicitudes de empleo para su valoración, contacto
directo con candidatos, y selección de personal.
2. Gestión, control y administración de currículos e información profesional proporcionada y/o publicada en páginas web de búsqueda de empleo o redes sociales de carácter profesional, como candidatos a puestos de trabajo.
3. Verificación de referencias personales o laborales. 4. En su caso, generación y comunicación de ofertas laborales de carácter vinculante y no vinculante. 5. Estadística y registro histórico de candidatos. b) Finalidades adicionales
No existen.
E. Transferencias de datos personales
Sus datos personales podrán ser transferidos dentro del territorio nacional o hacia el extranjero, a las siguientes categorías de destinatarios y para las finalidades identificadas:
1. Compañías matrices, afiliadas o subsidiarias del Responsable; con finalidades de valoración y análisis de perfiles de los candidatos, resguardo centralizado de la información y para fines estadísticos y de registro histórico de candidatos del Responsable.
Las transferencias de datos personales a que se refiere este inciso no requieren de su consentimiento para realizarse, conforme a lo dispuesto por el artículo 37 de la LFPD.
F. Ejercicio de los derechos ARCO
En todos aquellos casos legalmente procedentes, usted podrá ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso.
La solicitud deberá contener y acompañar lo siguiente:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud. II. Los documentos que acrediten su identidad o, en su caso, la representación legal.
III. La descripción clara y precisa de los Derechos ARCO que desea ejercer; y IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.
El Responsable le comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta. En caso de que la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañen los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá la subsanación de las deficiencias para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación, contados a partir del día siguiente en que hubiere recibido esta solicitud. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo.
Alternativamente, usted podrá dirigir su solicitud a la dirección electrónica [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los
mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al Responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de copias simples, documentos electrónicos en formatos convencionales (Word, PDF, etc.), o a través de cualquier otro medio legítimo que garantice y acredite el ejercicio efectivo del derecho solicitado.
Usted será responsable de mantener actualizados sus datos personales en posesión del Responsable. Por lo anterior, usted garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio a Responsable.
G. Revocación del consentimiento
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable.
El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO.
H. Limitaciones sobre el uso y divulgación de sus datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Departamento de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en el apartado “Ejercicio de los derechos ARCO”.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares registrados la constancia de inscripción correspondiente.
I. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, publicaremos dichos cambios en el sitio web www.vitrocanceles.com.mx, Sección “Avisos de Privacidad”. También podrán comunicarse cambios al presente Aviso de Privacidad vía de correo electrónico, cuando dicho medio hubiese sido establecido como canal de comunicación entre el titular y el Responsable, durante la vigencia de una relación jurídica.
Fecha de última actualización: ___ de ________de 2020
12.7. Modelo de Aviso de Privacidad Integral para Base de Datos de VISITANTES de VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL VISITANTES
A. Identidad y domicilio del Responsable
En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones aplicables, Vitro Canceles, S.A. de C.V. (en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa:
B. Datos personales recabados y sometidos a tratamiento
Para el desarrollo de las finalidades descritas en el presente Aviso de Privacidad, recabamos la siguiente categoría de datos personales:
1. Datos de identificación y contacto.
C. Tratamiento de datos personales sensibles.
Para las finalidades descritas en el presente Aviso de Privacidad, el Responsable no recaba datos personales considerados sensibles por la normativa aplicable.
D. Finalidades del tratamiento
a) Finalidades originarias y necesarias 1. Gestión y control de accesos a las instalaciones del Responsable. 2. Registro de visitantes. 3. Registro histórico y estadístico de visitantes.
b) Finalidades adicionales
No Existen
E. Transferencias de datos personales
Para las finalidades descritas en el presente Aviso de Privacidad, sus datos personales no se transfieren a ninguna persona o entidad.
F. Ejercicio de los derechos ARCO
En todos aquellos casos legalmente procedentes, usted podrá ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso.
La solicitud deberá contener y acompañar lo siguiente:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud.
II. Los documentos que acrediten su identidad o, en su caso, la representación legal. III. La descripción clara y precisa de los Derechos ARCO que desea ejercer; y IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.
El Responsable le comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta. En caso de que la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañen los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá la subsanación de las deficiencias para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación, contados a partir del día siguiente en que hubiere recibido esta solicitud. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo.
Alternativamente, usted podrá dirigir su solicitud a la dirección electrónica [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al Responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de copias simples, documentos electrónicos en formatos convencionales (Word, PDF, etc.), o a través de cualquier otro medio legítimo que garantice y acredite el ejercicio efectivo del derecho solicitado.
Usted será responsable de mantener actualizados sus datos personales en posesión del Responsable. Por lo anterior, usted garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio a Responsable.
G. Revocación del consentimiento
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable.
El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO.
H. Limitaciones sobre el uso y divulgación de sus datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Departamento de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en el apartado “Ejercicio de los derechos ARCO”. El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares registrados la constancia de inscripción correspondiente. I. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, publicaremos
dichos cambios en el sitio web www.vitrocanceles.com.mx, Sección “Avisos de Privacidad”. También podrán comunicarse cambios al presente Aviso de Privacidad vía de correo electrónico, cuando dicho medio hubiese sido establecido como canal de comunicación entre el titular y el Responsable, durante la vigencia de una relación jurídica.
Fecha de última actualización: ___ de ________de 2020
12.8. Modelo de Aviso de Privacidad Integral para la Base de Datos de REDES SOCIALES de VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL REDES SOCIALES
A. Identidad y domicilio del Responsable
En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones aplicables, Vitro Canceles, S.A. de C.V. en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa:
B. Datos personales recabados y sometidos a tratamiento
Para las finalidades indicadas en el presente Aviso de Privacidad, el Responsable trata las siguientes categorías de datos personales:
1. Datos de identificación y contacto; 2. Datos de características personales; y 3. Datos de circunstancias sociales.
C. Tratamiento de datos personales sensibles.
El Responsable no recaba datos personales sensibles para llevar a cabo sus finalidades y los titulares-usuarios de redes sociales deben abstenerse de enviar este tipo de datos a través de los canales disponibles en dichas redes.
D. Obligaciones del Responsable, de los titulares-usuarios de redes sociales y de los prestadores de servicios de redes sociales.
El Responsable trata datos personales de los titulares-usuarios de redes sociales mediante el acceso y manejo de la información que dichos titulares-usuarios publican o difunden a través de los perfiles que han creado en cada una de las redes sociales que utilizan para vincularse con el Responsable. Este tratamiento también comprende el aprovechamiento de los datos personales para fines de divulgación de actividades del Responsable o su grupo de empresas. El Responsable accede, maneja y aprovecha los datos personales de los titulares-usuarios de redes sociales únicamente durante el plazo en que los titulares-usuarios permanecen vinculados a los perfiles que el Responsable administra en cada una de las redes sociales implicadas. Los titulares-usuarios son responsables de la exactitud, veracidad y actualización de los datos personales que publican en sus perfiles de redes sociales, así como del grado de difusión de su información y del acceso a la misma que permiten o autorizan a terceros a través de dichos perfiles. Se hace la recomendación a todos los titulares-usuarios de redes sociales revisar continuamente la configuración de privacidad de sus perfiles en cada uno de los sitios web que utilizan para vincularse al Responsable. Los prestadores de servicios de redes sociales son responsables de las bases de datos creadas con los datos personales de los usuarios de dichas redes. Dichos prestadores de servicios son a su vez responsables de las medidas de seguridad que adopten para salvaguardar los datos personales de sus usuarios.
Conforme a lo anterior, el Responsable se obliga a proporcionar un adecuado acceso, manejo y aprovechamiento de los datos personales de los titulares-usuarios que se vinculan a los perfiles que el Responsable administra en
diversas redes sociales. No se crean nuevas bases de datos con la información y/o datos personales de los titulares-usuarios de redes sociales.
E. Finalidades del tratamiento a) Finalidades originarias y necesarias
1. Gestión de seguidores en redes sociales (Facebook, Twitter, Youtube, Foursquare, Google+, etc.); 2. Gestión de suscriptores a boletines de noticias. 3. Comunicación de actividades. 4. Estadística de seguidores en redes sociales.
b) Finalidades adicionales No existe.
F. Transferencias de datos personales
Para las finalidades descritas en el presente apartado, sus datos personales no se transfieren a ninguna persona o entidad.
G. Ejercicio de los derechos ARCO
En todos aquellos casos legalmente procedentes, usted podrá ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso.
La solicitud deberá contener y acompañar lo siguiente:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud. II. Los documentos que acrediten su identidad o, en su caso, la representación legal.
III. La descripción clara y precisa de los Derechos ARCO que desea ejercer; y IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.
El Responsable le comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta. En caso de que la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañen los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá la subsanación de las deficiencias para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación, contados a partir del día siguiente en que hubiere recibido esta solicitud. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo.
Alternativamente, usted podrá dirigir su solicitud a la dirección electrónica [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al Responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de copias simples, documentos electrónicos en formatos convencionales (Word, PDF, etc.), o a través de cualquier otro medio legítimo que garantice y acredite el ejercicio efectivo del derecho solicitado.
H. Ejercicio de los derechos ARCO antes los prestadores de servicios de redes sociales.
El ejercicio de los derechos ARCO frente a los prestadores de servicios de redes sociales en los que usted haya creado y utilice un perfil como usuario de dichos servicios de la sociedad de la información, se regirá por la normativa aplicable, así como por los Avisos de Privacidad, Políticas de Privacidad o Avisos Legales que usted haya aceptado, en cada caso, frente a dichos prestadores de servicios.
I. Revocación del consentimiento
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable.
De manera automática, usted podrá revocar el consentimiento para el tratamiento de sus datos personales mediante su desvinculación al perfil del Responsable, en cualquiera de las plataformas de redes sociales a través de las cuales hubiese establecido un vínculo de relación o “seguimiento” con nosotros.
El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO.
J. Limitaciones sobre el uso y divulgación de sus datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Departamento de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en el apartado “Ejercicio de los derechos ARCO”.
No obstante lo anterior, le recordamos que usted, como titular-usuario de redes sociales, es responsable de la veracidad, exactitud y actualidad de los datos personales que publica en sus perfiles de redes sociales, así como del grado de difusión de su información a través de dichos medios.
K. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, publicaremos dichos cambios en el sitio web www.vitrocanceles.com.mx, Sección “Avisos de Privacidad”. También podrán comunicarse cambios al presente Aviso de Privacidad vía de correo electrónico, cuando dicho medio hubiese sido establecido como canal de comunicación entre el titular y el Responsable, durante la vigencia de una relación jurídica.
Fecha de última actualización: ___ de ________de 2020
12.9. Modelo de Aviso de Privacidad Integral para la Base de Datos de VIDEO VIGILANCIA de VITRO CANCELES.
AVISO DE PRIVACIDAD INTEGRAL VIDEO VIGILANCIA
A. Identidad y domicilio del Responsable
En virtud de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “LFPD”) y resto de disposiciones aplicables, Vitro Canceles, S.A. de C.V. en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa de manera expresa:
B. Datos personales recabados y sometidos a tratamiento
Para las finalidades indicadas en el presente Aviso de Privacidad, el Responsable trata el siguiente tipo de dato personal:
1. Imagen.
C. Finalidades del tratamiento a) Finalidades originarias y necesarias
1. Vigilancia y seguridad del personal, clientes y visitantes que tengan acceso a las instalaciones del Responsable.
2. Control de accesos a las instalaciones del Responsable. b) Finalidades adicionales
No existen.
D. Transferencias de datos personales
Sus datos personales pueden ser transferidos y tratados por personas distintas al Responsable en los siguientes supuestos:
1. Autoridades, organismos o entidades gubernamentales, así como órganos de procuración o administración de justicia; en cumplimiento a las obligaciones contempladas en la legislación aplicable, ejercicio o defensa de derechos y/o en cumplimiento de requerimientos efectuados por las mismas.
Las transferencias de datos a que se refiere el inciso anterior podrán llevarse a cabo, en su caso, sin el consentimiento de los titulares conforme a lo dispuesto por el artículo 37, fracciones I, V y VI, de la LFPD.
E. Ejercicio de los derechos ARCO
En todos aquellos casos legalmente procedentes, usted podrá ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Departamento de Datos Personales, al domicilio indicado en el inciso A del presente Aviso.
La solicitud deberá contener y acompañar lo siguiente:
I. Su nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud. II. Los documentos que acrediten su identidad o, en su caso, la representación legal.
III. La descripción clara y precisa de los Derechos ARCO que desea ejercer; y IV. Cualquier otro elemento o documento que facilite la localización de los datos personales.
El Responsable le comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud correspondiente, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta. En caso de que la información proporcionada en su solicitud resulte errónea o insuficiente, o no se acompañen los documentos necesarios para acreditar su identidad o la representación legal correspondiente, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá la subsanación de las deficiencias para poder dar trámite a la misma. En estos casos, usted contará con diez días hábiles para atender el requerimiento de subsanación, contados a partir del día siguiente en que hubiere recibido esta solicitud. La solicitud correspondiente se tendrá por no presentada si usted no responde dentro de dicho plazo.
Alternativamente, usted podrá dirigir su solicitud a la dirección [email protected], cumpliendo con todos los requisitos anteriormente enumerados, estableciendo como Asunto de la comunicación “Derechos ARCO y/o Revocación del consentimiento”. Los plazos del procedimiento serán los mismos a los mencionados en este apartado. El uso de medios electrónicos para el ejercicio de los derechos ARCO autoriza al Responsable para dar respuesta a la solicitud correspondiente a través del mismo medio, salvo que el propio titular indique otro medio de forma clara y expresa.
Usted podrá obtener la información o datos personales solicitados a través de medios electrónicos adecuados, que garanticen y acrediten el ejercicio efectivo del derecho solicitado.
Usted será responsable de mantener actualizados sus datos personales en posesión del Responsable. Por lo anterior, usted garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio a Responsable.
F. Revocación del consentimiento
Usted podrá revocar su consentimiento para el tratamiento de sus datos personales, sin efectos retroactivos, en todos aquellos casos en que dicha revocación no suponga la imposibilidad de cumplir obligaciones derivadas de una relación jurídica vigente entre usted y el Responsable. El procedimiento para la revocación del consentimiento, en su caso, será el mismo que el establecido en el apartado inmediato anterior para el ejercicio de los derechos ARCO.
G. Limitaciones sobre el uso y divulgación de sus datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestro Departamento de Datos Personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados en el apartado “Ejercicio de los derechos ARCO”. El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares registrados la constancia de inscripción correspondiente.
H. Modificaciones o actualizaciones al presente Aviso de Privacidad Integral
El responsable podrá modificar, actualizar, extender o de cualquier otra forma cambiar el contenido y alcance del presente Aviso de Privacidad, en cualquier momento y bajo su completa discreción. En tales casos, publicaremos dichos cambios en el sitio web www.vitrocanceles.com.mx, Sección “Avisos de Privacidad”. También podrán comunicarse cambios al presente Aviso de Privacidad vía de correo electrónico, cuando dicho medio hubiese sido establecido como canal de comunicación entre el titular y el Responsable, durante la vigencia de una relación jurídica.
Fecha de última actualización: ___ de ________de 2020
12.10. Modelo de cartel para difusión de Aviso de Privacidad Corto (VIDEO VIGILANCIA)
ZONA VIDEO VIGILADA
AVISO DE PRIVACIDAD CORTO
Vitro Canceles, S.A. de C.V. (en adelante el “Responsable”), con domicilio para oír y recibir notificaciones el ubicado en Arroz 89, Col. Santa Isabel Industrial, Iztapalapa C.P. 09820, Ciudad de México, le informa que las imágenes y grabaciones captadas por nuestros sistemas serán tratadas con la finalidad de vigilancia y seguridad de las instalaciones del Responsable; seguridad de sus clientes, empleados, proveedores y visitantes; monitorización del cumplimiento de los procedimientos y estándares de calidad de los servicios y actividades en las instalaciones.
Para mayor información acerca del tratamiento de sus datos personales y de los derechos que puede hacer valer, puede solicitar una copia del Aviso de Privacidad Integral aplicable, dirigiendo su solicitud a través del correo electrónico [email protected]. El Aviso de Privacidad Integral también puede ser consultado en la página web www.vitrocanceles.com.mx, sección “Avisos de Privacidad”.
13. ANEXO SEGUNDO. Modelos de contestaciones a solicitudes sobre
el ejercicio de derechos ARCO 13.1. Modelo de Contestación a Solicitud de Acceso a Datos Personales
Nombre y Apellidos
Dirección
En ___________, a__ de_______de 202_ Nº Expediente: ______________
Estimado Señor/a: En respuesta a su escrito de fecha _______________, en el que nos solicita el acceso a los datos personales de su titularidad contenidos en nuestras bases de datos, le informamos que en nuestra(s) Base(s) de Datos de (nombre(s) de la(s) base(s) de datos) aparecen asociados a su nombre, apellidos y/o resto de datos aportados, la siguiente información: (determinar la información) Las finalidades del tratamiento de sus datos personales, contenidos en la base de datos identificada: (determinar las finalidades) En su caso, indicar: Estos datos han sido transferidos en los últimos seis meses, a las siguientes entidades: (determinar las entidades receptoras) Atentamente, Le rogamos que para posteriores comunicaciones nos indique el número de expediente.
13.2. Modelo de Contestación a Solicitud de Rectificación de Datos Personales
Nombre y Apellidos
Dirección
En __________, a__ de_________, de 202_ Nº Expediente: _______________
Estimado Señor/a: En respuesta a su escrito de fecha _____________, en el que nos solicita la rectificación de sus datos, le comunicamos que de conformidad a la información que nos facilita y la documentación que nos ha remitido a tal efecto, con fecha __________________ hemos procedido a rectificar en nuestra(s) Base(s) de Datos de (nombre(s) de la(s) base(s) de datos), los siguientes datos: (determinar los datos rectificados) Atentamente, Le rogamos que para posteriores comunicaciones nos indique el número de expediente.
13.3. Modelo de Contestación a Solicitud de Cancelación de Datos Personales
Nombre y Apellidos
Dirección
En __________, a__ de_________, de 202_ Nº Expediente: _______________
Estimado Señor/a: En respuesta a su escrito de fecha ________________, en el que nos solicita la cancelación de sus datos personales, le comunicamos que en cumplimiento de la normativa de protección de datos personales y con fecha efectiva ______________, hemos procedido a la cancelación en nuestra(s) Base(s) de Datos, de la siguiente información: (Identificar los datos cancelados) Atentamente, Le rogamos que para posteriores comunicaciones nos indique el número de expediente que aparece como referencia.
13.4. Modelo de Contestación negando la Cancelación de Datos Personales
Nombre y Apellidos
Dirección
En __________, a__ de_________, de 202_ Nº Expediente: _______________
Estimado Señor/a: En respuesta a su escrito de fecha ________________, en el que nos solicita la cancelación de sus datos, le comunicamos que los datos de que dispone ________________________ son datos que:
Se refieren a un contrato privado, social o administrativo y son necesarios para su desarrollo y cumplimiento.
Son datos que deben ser tratados por disposición legal. Su cancelación obstaculizaría actuaciones judiciales o administrativas vinculadas a
obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
Son necesarios para proteger sus intereses jurídicamente tutelados. Son necesarios para realizar una acción en función del interés público. Son necesarios para cumplir con una obligación legalmente adquirida por usted. Son objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de
servicios de salud, por parte de un profesional de la salud sujeto a un deber de secreto. Por la razón arriba marcada, le comunicamos que no es factible la cancelación de los datos conforme a la legislación vigente. No obstante, le informo que los datos se utilizan exclusivamente para los fines para los cuales se recabaron y del derecho que le asiste para solicitar el inicio del procedimiento de protección de derechos ante el Instituto Federal de Acceso a la Información Pública y Protección de Datos, si considera que no hemos atendido su solicitud en tiempo y forma. Atentamente, Le rogamos que para posteriores comunicaciones nos indique el número de expediente.
13.5. Modelo de Contestación a Solicitud de Oposición al Tratamiento de Datos Personales
(Nombre y Apellidos)
(Dirección)
En __________, a__ de_________, de 202_ Nº Expediente: _____________
Estimado Señor/a: En respuesta a su escrito de fecha _____________, en el que nos solicita el cese en el tratamiento de sus datos personales con la finalidad de ________________ (determinar la finalidad que motivaba el tratamiento), le comunicamos que con fecha de ______________ hemos procedido a la inclusión de sus datos en nuestra lista de exclusión, cesando en el tratamiento de sus datos con la finalidad de __________________________ (determinar la finalidad que motivaba el tratamiento). Atentamente, Le rogamos que para posteriores comunicaciones nos indique el número de expediente.
13.6. Modelo de Contestación a Revocación del Consentimiento para el Tratamiento de Datos Personales
(Nombre y Apellidos)
(Dirección)
En __________, a__ de_________, de 202_ Nº Expediente: _____________
Estimado Señor/a: En respuesta a su escrito de fecha _____________, en el que nos manifiesta la revocación de su consentimiento previamente otorgado para el tratamiento de sus datos personales con la finalidad de ________________ (determinar la finalidad que motivaba el tratamiento), le comunicamos y confirmamos que con fecha ______________ hemos cesado en el tratamiento de sus datos con la finalidad de __________________________ (determinar la finalidad que motivaba el tratamiento). Atentamente, Le rogamos que para posteriores comunicaciones nos indique el número de expediente.
13.7. Modelo de contestación requiriendo la Subsanación de Errores en la Solicitud de Ejercicio de Derechos ARCO
(Nombre y Apellidos)
(Dirección)
En __________, a__ de_________, de 202_ Nº Expediente: _____________
Estimado Señor/a: En respuesta a su escrito de fecha _____________, mediante el cual solicita el ejercicio de su derecho de (determinar el tipo de derecho ARCO), dentro del plazo legalmente establecido para ello le informamos: Que su solicitud no cumple con todos los requisitos establecidos por la Ley Federal de Protección de Datos en Posesión de los Particulares y su Reglamento, y por esta razón le comunicamos que es necesaria la subsanación de los siguientes errores:
No aporta copia del documento que acredite su identidad. No aporta los documentos que acrediten la identidad del representante legal. No aporta los documentos que acrediten la representación legal del titular de los
datos. No aporta la descripción clara y precisa de los datos personales respecto de los que
busca ejercer su derecho de (determinar el tipo de derecho ARCO). Le comunicamos que dispone de diez días hábiles, contados a partir de la fecha en que reciba esta comunicación, para subsanar su solicitud, transcurrido los cuales tendremos que considerar su solicitud original como no presentada. Atentamente, Le rogamos que para posteriores comunicaciones nos indique el número de expediente.
13.8. Modelo de Contestación negando el Derecho de Acceso al Solicitante
(Nombre y Apellidos)
(Dirección)
En __________, a__ de_________, de 202_ Nº Expediente: _____________
Estimado Señor/a: En respuesta a su escrito de fecha _____________, mediante el cual solicita el ejercicio de su derecho de acceso a sus datos personales, dentro del plazo legalmente establecido para ello le informamos:
Que no es posible atender su solicitud en virtud de que usted no es la persona legitimada para el ejercicio de dicho derecho, que en todos los casos deberá ser ejercido por su titular o por un representante legal debidamente acreditado.
Que no es posible atender su solicitud en virtud de que no existen registros relativos al tratamiento de sus datos personales en nuestras bases de datos. Asimismo, le informamos del derecho que le asiste para solicitar el inicio del procedimiento de protección de derechos ante el Instituto Federal de Acceso a la Información Pública y Protección de Datos, si considera que no hemos atendido su solicitud en tiempo y forma. Atentamente, Le rogamos que para posteriores comunicaciones nos indique el número de expediente.
14. ANEXO TERCERO. Modelos de cláusulas 14.1. Convenio de Protección de Datos Personales para contratos preexistentes con
proveedores (prestadores de servicios) con acceso a datos personales
CONVENIO MODIFICATORIO AL CONTRATO DE PRESTACIÓN DE SERVICIOS __________ ENTRE ________________ Y _____________ PARA REGULAR EL TRATAMIENTO DE DATOS PERSONALES ASOCIADO A LA PRESTACIÓN DE DICHOS SERVICIOS, MISMOS QUE SE SUJETAN AL TENOR DE LAS SIGUIENTES DEFINICIONES, DECLARACIONES Y CLÁUSULAS
DEFINICIONES
A efectos de lo dispuesto en el presente Convenio, se entenderá por:
• RESPONSABLE: [SOCIEDAD RESPONSABLE] • ENCARGADO: [SOCIEDAD ENCARGADA DEL TRATAMIENTO POR CUENTA DEL RESPONSABLE] • Contrato de Servicios: Aquél celebrado entre el ENCARGADO y el RESPONSABLE con fecha
[_____________], que regula la prestación del primero al segundo de Servicios [____________], en los términos y condiciones pactados en el mismo.
• LFPD: La Ley Federal de Protección de Datos Personales en Posesión de los Particulares. • RLFPD: El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares. • DATOS: Datos personales, en los términos a que se refiere el artículo 3, fracción V de la LFPD,
contenidos en BASES DE DATOS titularidad del RESPONSABLE. • BASES DE DATOS: Conjunto organizado de DATOS, en los términos a que se refiere el artículo 3,
fracción II de la LFPD. • TITULARES: Las personas físicas a quienes corresponden los DATOS. • SUBCONTRATADO: Conforme al artículo 54 del RLFPD, la persona física o moral subcontratada
por el ENCARGADO, con autorización del RESPONSABLE, para la prestación de servicios que impliquen el tratamiento de DATOS o BASES DE DATOS del RESPONSABLE, en el marco de ejecución del Contrato de Servicios.
• Vulneración de Seguridad de Datos Personales: Conforme a lo dispuesto por el artículo 64 del RLFPD, y en cualquier fase del tratamiento:
o La pérdida o destrucción no autorizada de DATOS o BASES DE DATOS; o El robo, extravío o copia no autorizada de DATOS o BASES DE DATOS; o El uso, acceso o tratamiento no autorizado de DATOS o BASES DE DATOS, o o El daño, la alteración o modificación no autorizada de DATOS o BASES DE DATOS.
DECLARACIONES
PRIMERA. - Que el [FECHA] el RESPONSABLE y el ENCARGADO suscribieron el Contrato de Servicios, en virtud del cual acordaron:
Que es objeto del Contrato de Servicios regular el marco de condiciones en el que el ENCARGADO prestará los siguientes servicios al RESPONSABLE:
• [______________]. • [______________]. • [______________].
SEGUNDA.-Que el RESPONSABLE y el ENCARGADO acuerdan mantener en todo su alcance y contenido las disposiciones y cláusulas del Contrato de Servicios.
TERCERA.- Que a todos los efectos legales, el presente Convenio Modificatorio formará parte integral del Contrato de Servicios como Anexo ___ del mismo
CUARTA.- Que el RESPONSABLE, en cumplimiento de la LFPD, lleva a cabo el tratamiento de DATOS de los cuales es responsable en los términos previstos en dicho ordenamiento.
QUINTO.- Que el presente convenio tiene por objeto el establecimiento y definición de las obligaciones a que se refiere el artículo 50 del RLFPD, en el marco de las cuales el ENCARGADO podrá llevar a cabo el tratamiento de los DATOS a que tenga acceso en virtud del Contrato de Servicios, y que están contenidos en las BASES DE DATOS del RESPONSABLE, con la finalidad de realizar las actividades encomendadas por el RESPONSABLE al ENCARGADO a través del Contrato de Servicios.
SEXTO.- Que es voluntad de ambas partes que el presente convenio, a partir de su fecha de firma, derogue y sustituya cualquier cláusula, acuerdo o convenio anterior relativo a la protección de datos personales y su tratamiento entre las partes, que a partir de la fecha indicada deberá efectuarse de conformidad a los términos y condiciones establecidos en las siguientes cláusulas.
En consecuencia, ambas partes acuerdan suscribir el presente Convenio de Modificación, sujeto a las siguientes
CLÁUSULAS
PRIMERA. TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES
El RESPONSABLE reconoce que, en el marco de ejecución y cumplimiento del Contrato de Servicios celebrado con el ENCARGADO, el primero podrá encargar al segundo el tratamiento de DATOS contenidos en las BASES DE DATOS del primero. El ENCARGADO se obliga a respetar todas y cada una de las obligaciones que pudieran corresponderle como “encargado” con arreglo a las disposiciones de la LFPD, su Reglamento, y cualquier otra disposición complementaria o regulación que resulte aplicable.
En concreto, el ENCARGADO deberá cumplir con las siguientes obligaciones:
• Tratar los DATOS contenidos en las BASES DE DATOS única y exclusivamente conforme a las instrucciones que reciba expresamente del RESPONSABLE.
• No destinar y/o utilizar los DATOS para cualquier otro fin distinto al expresamente indicado por el RESPONSABLE, o de cualquier otra forma que suponga un incumplimiento de las instrucciones expresas que el RESPONSABLE le proporcione.
• No revelar, transferir, ceder o de otra forma comunicar las BASES DE DATOS ni los DATOS en ellas contenidos, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero. A tal efecto, el ENCARGADO sólo podrá permitir el acceso a los DATOS a aquellos colaboradores que tengan necesidad de conocerlos, exclusivamente, para la prestación de los servicios contratados y siempre que tales colaboradores estén sujetos a las mismas obligaciones de confidencialidad y protección de datos personales que aquí se establecen.
• Garantizar al RESPONSABLE la adopción y el mantenimiento de las medidas de seguridad que correspondan al tipo de DATOS objeto del tratamiento, de conformidad con lo dispuesto en la LFPD y el RLFPD.
En concreto, el ENCARGADO garantiza al RESPONSABLE, con carácter previo a la prestación de los servicios relacionados con el tratamiento de los DATOS, que reúne las condiciones necesarias para cumplir con las disposiciones del RLFPD, correspondientes al tipo de DATOS contenidos en las BASES DE DATOS cuyo tratamiento le es encargado.
• Destruir o devolver al RESPONSABLE (según éste le indique a la terminación por cualquier causa del Contrato de Servicios, o de los servicios relativos a las BASES DE DATOS o los DATOS, o parte de ellos) la totalidad o aquella parte de las BASES DE DATOS o DATOS correspondientes, así como
cualesquiera copias o soportes en los que éstos estuviesen contenidos, debiendo certificar inmediatamente por escrito dicha devolución o destrucción.
SEGUNDA. VULNERACIONES DE SEGURIDAD DE DATOS PERSONALES
El ENCARGADO estará obligado a comunicar al RESPONSABLE cualquier vulneración de seguridad relacionada con los DATOS a su cargo, que pudiese ocurrir en cualquier fase del tratamiento bajo su responsabilidad o bajo la responsabilidad de un SUBCONTRATADO, en su caso.
A tales efectos, y con el objeto de que el RESPONSABLE cuente con la información y documentación necesaria para actuar conforme lo dispuesto por los artículos 64 y 65 del RLFPD, si el ENCARGADO sufre una vulneración de seguridad relacionada con dichos DATOS, éste deberá comunicar la ocurrencia de la vulneración de seguridad, comunicando, al menos, la siguiente información:
1. La naturaleza del incidente; 2. Los datos personales comprometidos; 3. Las acciones correctivas que hubiese realizado de forma inmediata, una vez haya
confirmado que ocurrió la vulneración de seguridad. 4. Cualquier información que permita al RESPONSABLE comunicar a los TITULARES las medidas
que puedan adoptar para proteger sus intereses. 5. Los medios a través de los cuales podrá obtener más información sobre la vulneración, para
poder informar a los TITULARES cualquier información relevante al respecto.
TERCERA. PRESTACIÓN DE SERVICIOS EN LAS INSTALACIONES O LOCALES DEL ENCARGADO
En atención a la naturaleza de los servicios contratados, ambas partes reconocen que el ENCARGADO deberá prestar los servicios comprendidos en el Contrato de Servicios, en sus propios locales.
En virtud de lo anterior, el RESPONSABLE autoriza expresamente al ENCARGADO para que en ejecución y cumplimiento de dicho Contrato preste los servicios contratados y por lo tanto trate los DATOS de las BASES DE DATOS en sus propias instalaciones o locales, ajenos a los locales del RESPONSABLE.
CUARTA. MEDIDAS DE SEGURIDAD
Conforme a lo dispuesto en el artículo 50, fracción III del RLFPD, las partes contratantes acuerdan que, en relación con las BASES DE DATOS, el ENCARGADO deberá implementar las medidas de seguridad correspondientes, y cualesquiera otras que le fueren impuestas para garantizar la correcta protección de los DATOS en cada caso, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a los que estén expuestos.
QUINTA. POSIBILIDAD DE SUBCONTRATACIÓN DE LOS SERVICIOS
El RESPONSABLE autoriza expresamente al ENCARGADO para que, en el marco de ejecución y cumplimiento del Contrato de Servicios y en los términos a que se refiere el artículo 54 del RLFOPD, pueda llevar a cabo con terceras personas, físicas o morales, la subcontratación de los siguientes servicios:
a) [_________________] b) [_________________] c) [_________________] Cuando el ENCARGADO subcontrate cualquiera de los servicios anteriormente enumerados, y dicha subcontratación implique acceso o tratamiento de los DATOS o BASES DE DATOS del RESPONSABLE, el ENCARGADO deberá formalizar la relación con el SUBCONTRATADO a través de un contrato que satisfaga los términos previstos en el artículo 54 del RLFPD. Para tales efectos, el ENCARGADO deberá suscribir un contrato por escrito en el que siempre se hará constar que el tratamiento de los DATOS
por parte del SUBCONTRATADO se ajustará a las instrucciones del RESPONSABLE y que este último asume las mismas obligaciones que se establecen para el encargado en la LFPD, en el RLFPD y demás disposiciones aplicables.
Hasta en tanto el ENCARGADO no hubiere celebrado con el SUBCONTRATADO el contrato a que se refiere el párrafo anterior, el primero no podrá comunicar, otorgar acceso, ni de ninguna otra forma permitir que el segundo trate DATOS o BASES DE DATOS del RESPONSABLE.
SEXTA. DERECHOS DE LOS TITULARES
Los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) a que se refiere la LFPD y su Reglamento se ejercitarán por los titulares frente al RESPONSABLE, debiendo el ENCARGADO remitir de forma inmediata a aquel cualquier solicitud dirigida en dicho sentido.
SÉPTIMA. RESPONSABILIDAD
El ENCARGADO será responsable e indemnizará al RESPONSABLE por cualquier reclamación, costo, pérdida, daño de terceros o responsabilidad contraída y que se derive directa o indirectamente del incumplimiento por parte del ENCARGADO del presente Contrato o de las disposiciones de la normativa aplicable de protección de datos personales.
En particular, si el ENCARGADO destina los DATOS a otra finalidad que la prevista en el Contrato de Servicios, los comunica o los utiliza incumpliendo las estipulaciones del presente Contrato, será considerado también como “responsable” en los términos establecidos en la LFPD.
OCTAVA. COMUNICACIÓN DEL AVISO DE PRIVACIDAD
En los términos previstos en el Lineamiento Decimoquinto de los Lineamientos del Aviso de Privacidad publicados en el Diario Oficial de la Federación de fecha 17 de enero de 2013, el RESPONSABLE comunica al ENCARGADO el Aviso de Privacidad que regula el tratamiento de los DATOS necesario para la ejecución del Contrato de Servicios, mediante la entrega de copia íntegra del mismo que se anexa al presente Convenio como Anexo 1.
El ENCARGADO también podrá acceder a dicho Aviso de Privacidad a través del siguiente enlace: www._________.com/_____; donde también podrá consultar cualquier modificación o actualización que el RESPONSABLE pudiera implementar sobre el mismo, sin perjuicio de que el RESPONSABLE comunique al ENCARGADO cualquier modificación o actualización a través de los medios convenidos para el envío de notificaciones entre las partes.
NOVENA. LEY APLICABLE
Para todo lo relativo a la interpretación, cumplimiento y ejecución del presente Convenio, serán aplicables las leyes de los Estados Unidos Mexicanos.
Ambas partes se reconocen mutuamente la personalidad con que comparecen y en pleno conocimiento y entendimiento del contenido y alcance del presente Convenio, lo firman y ratifican por duplicado en el día ____________ de ________.
Por _____________
Por ________________
Representante Legal Cargo: ___________
Representante Legal Cargo: ___________
14.2. Modelo de cláusulas para contratos con proveedores (prestadores de servicios) sin acceso a datos personales
El presente modelo de cláusulas debe ser adoptado por VITRO CANCELES para ser incluido en aquellos servicios que por su propia naturaleza no requieren que los prestadores del servicio tengan acceso a datos personales, pero que por su naturaleza podrían permitir que sus empleados o personal lo tuviesen (p.e. servicio de limpieza, mantenimiento de equipo, etc.)
INFORMACIÓN CONFIDENCIAL Y DATOS PERSONALES. Las Partes manifiestan y reconocen que para la ejecución y cumplimiento del presente contrato, ni [PRESTADOR DEL SERVICIO], ni su personal (propio o externo) requieren tener acceso, disponer de copias ni de ninguna otra forma acceder, tratar, manejar o copiar: (i) información confidencial, (ii) información financiera, (iii) información sujeta al secreto bancario, (iv) información relativa a la propiedad industrial o intelectual y/o (v) datos personales, de cuyo tratamiento sea responsable VITRO CANCELES.
No obstante lo anterior, si por cualquier motivo o causa ajena a la voluntad expresa de cualquiera de las Partes, el personal de [PRESTADOR DEL SERVICIO] dedicado a la ejecución y cumplimiento de los servicios objeto del contrato de prestación de servicios en las instalaciones o sistemas de VITRO CANCELES tuviese acceso, por cualquier medio, a cualquier tipo de información a la que no deba tener acceso, desde ese momento quedará individualmente sujeto al deber de confidencialidad, y en particular a lo dispuesto por el artículo 21 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y demás disposiciones aplicables.
[PRESTADOR DEL SERVICIO] será responsable de comunicar a su personal la existencia del deber de confidencialidad a que se refiere el párrafo anterior, con independencia de las instrucciones que deba trasladar a aquéllos para que se abstengan de acceder a cualquier tipo de información cuyo tratamiento sea responsabilidad de VITRO CANCELES, cuando presten sus servicios en cualquiera de sus instalaciones.
14.3. Modelo de cláusula sobre tratamiento de datos personales para Contratos Laborales
[Número consecutivo de la Cláusula]. DATOS PERSONALES. Conforme a lo dispuesto por el artículo 21 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el Empleado está obligado a mantener la confidencialidad de los datos personales a los pudiera tener acceso por motivo de las funciones que desempeñe, obligación que subsistirá aún después de finalizar su relación laboral con la Empresa.
La firma del presente contrato expresa el conocimiento y aceptación del Aviso de Privacidad Integral de EMPLEADOS de la Empresa; el consentimiento del Empleado para el tratamiento de sus datos personales sensibles previstos en dicho Aviso y, salvo indicación en contrario comunicada expresamente y por escrito a la Empresa, su consentimiento para el tratamiento de sus datos personales para las finalidades adicionales identificadas en el mismo Aviso de Privacidad.
El Aviso de Privacidad Integral de EMPLEADOS a que se refiere la presente cláusula forma parte del presente contrato y se adjunta como “Anexo ___”, en el entendido de que el mismo podrá ser modificado de tiempo en tiempo y deberá ser comunicado al Empleado de conformidad con las disposiciones legales aplicables.
15. ANEXO CUARTO. Departamento de Datos Personales y
Responsables Funcionales
Figura Responsable(s) Cargo
Departamento de Datos Personales
Nombre y Apellido [Determinar Cargo y Área o Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento]
Responsables Funcionales de Datos Personales
Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento]
Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento]
Responsables Operativos de Datos Personales
Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento] Nombre y Apellido [Determinar Cargo y Área/Departamento]
16. ANEXO QUINTO. Inventario de Bases de Datos Personales y Sistemas de Tratamiento
BASE DE DATOS RESPONSABLES FUNCIONALES RESPONSABLES OPERATIVOS TIPO DE TRATAMIENTO SISTEMA DE INFORMACIÓN NIVEL DE SEGURIDAD ENCARGOS DEL TRATAMIENTO TRANSFERENCIAS
LIBROS Y ACTAS (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE O, EN SU CASO, NO APLICA]
Compañías matrices, afiliadas o subsidiarias del Responsable, a una sociedad matriz. Organismos Públicos; Administraciones públicas federales, estatales o municipales; Comisiones; Institutos y/o Entidades Reguladoras. [SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
CLIENTES (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE O, EN SU CASO, NO APLICA]
Sociedades controladoras, subsidiarias o afiliadas del Responsable, o a una sociedad matriz.
Autoridades, organismos o entidades gubernamentales.
Empresas de cobranza.
[SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
CONTACTO (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE O, EN SU CASO, NO APLICA]
Sociedades controladoras, subsidiarias, afiliadas, o a una sociedad matriz. Autoridades, organismos o entidades gubernamentales.
[SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
PROVEEDORES (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE O, EN SU CASO, NO APLICA]
Sociedades controladoras, subsidiarias, afiliadas, o a una sociedad matriz. Prestadores de servicios con los cuales el Responsable mantenga una relación jurídica.
[SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
EMPLEADOSS (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE O, EN SU CASO, NO APLICA]
Sociedades controladoras, subsidiarias, afiliadas, o a una sociedad matriz. Autoridades, organismos o entidades gubernamentales. Compañías o agentes de seguros con los que el empleado tenga una relación jurídica Instituciones financieras o bancarias con las que el empleado mantenga una relación jurídica.
[SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
BASE DE DATOS RESPONSABLES FUNCIONALES RESPONSABLES OPERATIVOS TIPO DE TRATAMIENTO SISTEMA DE INFORMACIÓN NIVEL DE SEGURIDAD ENCARGOS DEL TRATAMIENTO TRANSFERENCIAS
CANDIDATOS (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE O, EN SU CASO, NO APLICA]
Compañías matrices, afiliadas o subsidiarias del Responsable, a una sociedad matriz.
[SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
VISITANTES (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto No Aplica.
[SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
No Aplica. [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE]
REDES SOCIALES (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto No Aplica.
[SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
No Aplica. [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE]
VIDEO VIGILANCIA (Conforme a designación del
responsable) (Conforme a designación del
responsable) Automatizado/No
Automatizado/Mixto
SUJETO A CONFIRMACIÓN DEL RESPONSABLE Y DE LA
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN]
Básico/Medio/Alto No Aplica.
[SUJETO A CONFIRMACIÓN DEL RESPONSABLE]
No Aplica. [SUJETO A CONFIRMACIÓN DEL
RESPONSABLE]
17. ANEXO SEXTO. Relación de Medidas de Seguridad aplicables a las Bases de Datos que tratan datos personales en VITRO CANCELES
El presente Documento (de ahora en adelante el “Documento” o la “Relación de Medidas de Seguridad”) tiene por objeto, en cumplimiento de lo dispuesto por el artículo 61 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, abordar las medidas técnicas y organizativas que deben ser adoptadas por VITRO CANCELES (de ahora en adelante, “El Responsable”), con el fin de garantizar la seguridad de los datos personales que en el curso de sus actividades somete a tratamiento, cualquiera que sea el soporte en el que se contengan (de aquí en adelante “datos personales”), todo ello en cumplimiento de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, “LFPD”) y de su Reglamento.
Este documento ha sido creado bajo el control del Responsable, quien se compromete a implantar y actualizarlo, si así fuese necesario, en los términos a que se refiere el artículo 62 del Reglamento de la LFPD.
Este Documento es de obligado cumplimiento para el Responsable, sus empleados y, en su caso, para cualquier proveedor de servicios del Responsable que para la prestación de dichos servicios tenga acceso a los datos personales protegidos, a los sistemas de información que los contienen y/o a cualquier otro soporte que los contenga (Encargado).
Todas las personas que tengan acceso a los datos personales tratados en las bases de datos, a través de los medios automatizados o no de acceso a los mismos, se encuentran obligados por ley a cumplir lo establecido en este documento, así como sujetas a las consecuencias que pudieran derivarse de su incumplimiento.
A efectos del presente Documento, los siguientes términos tendrán el significado que a continuación se indica:
• Empleados o personal: Personas físicas contratadas por el Responsable o terceros subcontratados para la prestación de servicios laborales para el Responsable (personal externo).
• Base de datos: Cualquier base de datos que contenga o que trate datos personales.
• Responsable de Datos Personales: La persona o titular del Departamento de Datos Personales a que se refiere el artículo 30 de la LFPD.
RELACIÓN DE MEDIDAS DE SEGURIDAD APLICABLES A LA BASE DE DATOS DE [IDENTIFICAR BASE DE DATOS CORRESPONDIENTE]
OBJETO Y ÁMBITO DE APLICACIÓN
Este Documento tendrá la consideración de instrucciones dirigidas a cualquier Encargado que en virtud de un contrato de prestación de servicios trate los datos personales contenidos en las bases de datos del Responsable, de conformidad con el artículo 50, fracción I del Reglamento de la LFPD, advirtiendo el Responsable al Encargado de su obligación de elaborar una Relación de Medidas de Seguridad propia que contendrá, como mínimo, las medidas citadas en este Documento, de conformidad con lo establecido en los artículo 50, fracción III y 61 del Reglamento de la LFPD.
1. FUNCIONES Y OBLIGACIONES DEL PERSONAL
Todas las personas que accedan a la información del Responsable están obligadas a cumplir la normativa en vigor en materia de protección de datos personales, así como el presente Documento.
Únicamente tendrán acceso a los datos personales contenidos en las bases de datos del Responsable aquellos colaboradores que precisen de dicho acceso para el desarrollo de sus funciones en su puesto de trabajo. Para que dicho acceso tenga lugar, deberá asignarse a cada colaborador un código de usuario único y personalizado.
La actividad de todas las personas que tengan acceso a los datos personales deberá quedar registrada en el sistema y en los históricos de las aplicaciones o programas, de forma que se permita la identificación de forma inequívoca y personalizada a todo aquel usuario que intente acceder a los sistemas de información que contienen los datos personales, y la verificación de que está autorizado.
Con el objeto de garantizar la seguridad de las bases de datos, no se permite divulgar o proporcionar datos a otros departamentos o áreas de la organización que no lo precisen para el desarrollo de sus funciones, así como a personas ajenas a la misma, ya sea de forma verbal o por escrito, puesto que el personal está obligado a mantener el secreto profesional y la confidencialidad de la información a la que tenga acceso con motivo de las funciones de su puesto.
El Responsable llevará a cabo las acciones necesarias para que el personal que tenga acceso a datos personales conozca el contenido del presente Documento, así como las obligaciones que le corresponden para lograr su cumplimiento y las consecuencias que pueden derivarse de su inobservancia.
2. RECURSOS PROTEGIDOS
La seguridad de las bases de datos frente a accesos no autorizados se realizará mediante la vigilancia de todos los medios y técnicas que puedan ser utilizadas para tener acceso a dicha información.
Los recursos que por servir de medio directo o indirecto para acceder a las bases de datos, y que serán controlados por este Documento, son:
1. Los puestos de trabajo, tanto locales o remotos, desde los que se pueda tener acceso a las bases de datos.
2. Los centros de tratamiento y locales donde se encuentren ubicadas las bases de datos o se almacenen los soportes que las contengan.
3. Los sistemas informáticos o aplicaciones establecidos para acceder a los datos personales.
4. Los servidores, el entorno del sistema operativo y de comunicaciones en los que se encuentran ubicadas las bases de datos.
3. PUESTOS DE TRABAJO
Se consideran puestos de trabajo aquellos elementos desde los cuales se puede acceder a las bases de datos,
como por ejemplo y a título meramente enunciativo, computadoras personales (PCs) o laptops.
• Cada puesto de trabajo estará bajo la responsabilidad de una persona autorizada (colaborador) que tendrá la obligación de no mostrar la información que figure en pantalla a ninguna persona que no esté debidamente autorizada. En el caso de puestos de trabajo compartidos deberán estar debidamente identificados los usuarios que acceden desde el mismo.
• Los puestos de trabajo que por su naturaleza puedan mostrar a través de los monitores, impresoras u otros dispositivos información relativa a las bases de datos, deberán estar físicamente ubicados en lugares estratégicos dentro del centro de trabajo de manera que se garantice la confidencialidad de los datos.
• Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos personales protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos y que se activará a los diez minutos de inactividad. La reanudación del trabajo debe implicar la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.
• Los responsables de los puestos de trabajo deberán asegurarse de que no quedan documentos impresos que contengan datos protegidos en la bandeja de salida de las impresoras o fotocopiadoras. Si las impresoras o fotocopiadoras son compartidas con otros usuarios no autorizados para acceder a las bases de datos, los responsables deberán retirar los documentos conforme vayan siendo impresos.
• Los puestos de trabajo desde los que se tenga acceso a las bases de datos tendrán en sus aplicaciones y sistemas operativos una configuración fija que sólo podrá ser cambiada previa autorización del Responsable de Datos Personales del Responsable.
4. CENTRO DE TRATAMIENTO E INSTALACIONES. ARCHIVO DE LA DOCUMENTACIÓN
Las instalaciones donde se ubiquen las computadoras que contengan las bases de datos estarán especialmente protegidas para garantizar la disponibilidad y confidencialidad de los datos personales, especialmente si se encuentran en un servidor.
• Las instalaciones contarán con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad y/o pérdidas de las bases de datos que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas.
• Sólo estará permitido el acceso a las instalaciones donde se encuentren los Sistemas de Información, a los operadores, responsables de su explotación y al personal de mantenimiento de los Sistemas para los que sea imprescindible el acceso físico.
El archivo de soportes y/o documentos no automatizados que contengan datos personales a que se refiere el presente Documento se realizará a través de un sistema de archivo que permita su rápida localización.
Los dispositivos de almacenamiento que se utilicen para el archivo de soportes que contengan bases de datos no automatizadas deben impedir su apertura, por lo que contarán con llaves o sistemas de protección equivalentes, y no serán accesibles a personas no autorizadas.
Asimismo, y en la medida en que los datos protegidos por esta Relación de Medidas de Seguridad hayan sido identificados y clasificados como datos sensibles, los soportes que los contienen deberán estar almacenados en áreas cerradas donde el acceso esté protegido con puertas con llaves u otro dispositivo equivalente.
La documentación que contenga datos personales objeto del tratamiento deberá estar siempre archivada y sin acceso a personas no autorizadas; no obstante, en el caso de no estar archivada por encontrarse en revisión, la persona que esté a su cargo deberá custodiarla impidiendo el acceso a terceros no autorizados.
5. RÉGIMEN DE TRABAJO FUERA DE LAS INSTALACIONES DEL RESPONSABLE
Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de las instalaciones del Responsable y si el acceso a los datos personales es o no remoto por parte del usuario, siempre y cuando sea necesario para el desarrollo de las funciones de aquél, será preciso recabar la autorización del Responsable Funcional correspondiente.
La autorización a que se refiere el párrafo anterior podrá establecerse para un usuario o para un perfil de usuarios, determinando un periodo de validez para la misma. En cualquier caso, dicho tratamiento no se autorizará si el dispositivo portátil no permite el cifrado de los datos y/o si los datos contenidos en dispositivos móviles no son susceptibles de cifrado.
6. ENTORNO DE SISTEMA OPERATIVO Y DE COMUNICACIONES
A efectos de este Documento, el Entorno de Sistema Operativo y de Comunicaciones regula el uso de las partes del sistema operativo, herramientas o programas de utilidad (utilities), o del entorno de comunicaciones; y limita el acceso no autorizado a los mismos, con el propósito de proteger las bases de datos.
• Se deberá disponer de medidas que posibiliten la limitación de accesos no autorizados a las bases de datos.
• Ninguna herramienta o programa de utilidad que permita el acceso a las bases de datos será accesible a ningún usuario o administrador que no esté autorizado.
• Si la computadora en la que están ubicadas las bases de datos está integrada en una red de comunicaciones, de forma que desde otras computadoras conectadas a dicha red sea posible el acceso a las bases de datos, el Responsable deberá asegurarse de que el acceso no se permita a personas que no se encuentren debidamente autorizadas.
7. SISTEMA INFORMÁTICO O APLICACIONES DE ACCESO A LAS BASES DE DATOS
Se regularán dentro de la organización el uso de los sistemas informáticos, programas o aplicaciones con los que el personal autorizado puede acceder a las bases de datos.
Estos sistemas pueden ser aplicaciones informáticas expresamente diseñadas para acceder a las bases de datos, o sistemas pre-programados de uso general como aplicaciones o paquetes disponibles en el mercado.
• Los sistemas informáticos de acceso a las bases de datos deberán estar protegidos mediante un código de identificación de usuario y una contraseña, que permitirán la identificación y la autenticación del mismo.
• Todos los usuarios autorizados para acceder a las bases de datos deben tener un código de usuario que será personal, y que esté asociado a la contraseña correspondiente. Tanto el código como la contraseña sólo serán conocidos por el usuario al que le sea asignado.
• Si la aplicación o programa informático que permite el acceso a las bases de datos no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas.
Se dispondrá de un sistema de control de usuarios autorizados, correspondiendo a los distintos Responsables Funcionales de Departamentos, Áreas, Oficinas, Plantas, Delegaciones o cualquier otra Área notificar al Responsable de Datos Personales la baja o cambio de cargo o destino de los usuarios autorizados para acceder a las bases datos, cesando su autorización de acceso si cesa su prestación de servicios al Responsable, por despido o renuncia.
El Responsable de Datos Personales mantendrá actualizada, en todo momento, una relación de usuarios en la que se especifique para cada uno de ellos el tipo de acceso que le corresponde en función de su perfil (modo lectura, consulta, edición, etc.).
8. GESTIÓN DE LAS CONTRASEÑAS/PASSWORDS DE ACCESO
Las contraseñas o passwords personales constituyen uno de los componentes básicos de la seguridad de los datos. Como llaves de acceso al sistema que son, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al Responsable de Datos Personales del Responsable y subsanada en el menor plazo de tiempo posible.
Estas incidencias quedarán registradas bajo las siguientes premisas:
• Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida de forma fortuita o fraudulenta por personas no autorizadas, deberá registrarlo como incidencia y proceder inmediatamente a su sustitución.
• Las contraseñas se asignarán y se cambiarán mediante un mecanismo auditable y con una periodicidad nunca inferior a 6 meses.
• El archivo donde se almacenen las contraseñas estará protegido y bajo la responsabilidad del Responsable de Datos Personales del Responsable.
9. REGISTRO DE ACCESOS
Únicamente tendrán acceso a los datos personales contenidos en las bases de datos aquellos colaboradores del Responsable que lo precisen para el desarrollo de sus funciones en su puesto de trabajo. Para que dicho acceso tenga lugar, deberá asignarse a cada persona un código de usuario único y personalizado.
La actividad de todas las personas que tengan acceso a los datos deberá quedar registrada en el sistema y en los históricos de las aplicaciones, de forma tal que se permita la identificación de forma inequívoca y personalizada a todo aquel usuario que intente acceder a los sistemas de información en que se contengan los datos personales y la verificación de que está autorizado.
El Responsable conservará registros de los accesos efectuados a aquellas bases de datos que contengan y traten datos personales sensibles.
• De estos accesos se conservarán los siguientes datos:
§ Identificación del usuario que accede,
§ Fecha y hora en que se produce el acceso,
§ Base de datos accedida,
§ Tipo de acceso, y
§ Resultado del mismo, según sea autorizado o denegado.
En el supuesto de que el acceso sea autorizado, se conservará la información que permita identificar el registro accedido.
• Todos los sistemas que permitan el registro de accesos estarán bajo el control directo del Responsable de Datos Personales, que se encargará de revisarlos con una periodicidad mensual. También elaborará un informe de las revisiones realizadas y el resultado de las mismas.
• El registro de los accesos efectuados se conservará, como mínimo, durante dos años.
• En el caso de bases de datos no automatizadas, deberá existir un control físico del acceso a éstas mediante la firma de un registro de accesos u otro mecanismo equivalente que permita identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios. Asimismo, el acceso de personas no autorizadas deberá quedar adecuadamente registrado y controlado.
Los mecanismos que permiten el registro de accesos estarán bajo el control directo del Responsable de Datos Personales, sin que se deba permitir, en ningún caso, la desactivación de los mismos.
10. GESTIÓN DE INCIDENCIAS Y VULNERACIONES DE SEGURIDAD
Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar a la seguridad de bases de datos. Estas incidencias pueden suponer un peligro para la seguridad de las bases de datos en las siguientes vertientes: confidencialidad, integridad y disponibilidad de los datos.
El artículo 63 del Reglamento de la LFPD identifica, de forma taxativa, los siguientes tipos de vulneraciones de seguridad de datos personales, que pueden ocurrir en cualquier fase de su tratamiento:
Artículo 63. Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son:
I. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El daño, la alteración o modificación no autorizada.
El mantenimiento de un Registro de Incidencias y Vulneraciones de Seguridad es imprescindible para la prevención de posibles contingencias que afecten a la seguridad, así como para la identificación de los responsables de las mismas. Para ello:
• El Responsable de Datos Personales dispondrá de un Registro de Incidencias y Vulneraciones de Seguridad a disposición de todos los usuarios, responsables funcionales y administradores de las bases de datos personales, con el fin de que se registren en él cualesquiera incidencias o vulneraciones de seguridad que pudieran suponer un peligro para la seguridad de aquéllas.
• Todo el personal del Responsable que detecte algún tipo de anomalía que afecte o pudiera afectar a los datos personales, tiene la obligación de informar de las mismas en el mismo momento en que sea conocedora de la misma.
• El conocimiento y la no-notificación o registro de una incidencia o vulneración de seguridad por parte de un usuario será considerado como una falta contra la seguridad de las bases de datos personales
por parte de ese usuario y podrá generar las responsabilidades correspondientes conforme a la legislación laboral vigente.
Una vez identificada y documentada la incidencia o vulneración de seguridad, se comunicará la ocurrencia de la misma al Responsable de Datos para asegurar su conocimiento y control, teniendo siempre a su disposición el registro para su seguimiento, describiendo además las medidas correctoras adoptadas con el objeto de proceder conforme a los artículos 64, 65 y 66 del Reglamento de la LFPD.
11. BORRADO SEGURO Y DESTRUCCIÓN DE SOPORTES
Con el objetivo de cumplir con el principio de calidad, los soportes automatizados y no automatizados deberán ser sometidos a un proceso de borrado seguro o eliminación, que garantice que los datos personales no puedan ser recuperados y utilizarse indebidamente. Por lo tanto se deberán establecer métodos y técnicas para la eliminación definitiva de los datos personales, de modo que la probabilidad de recuperarlos sea mínima.
Lo anterior, está basado en la Guía de Borrado Seguro de Datos Personales, publicada por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en junio del 2016. Se deberá consultar cualquier modificación que se realice de la misma.
• Se deberá utilizar el método lógico, basado en limpieza de los datos almacenados, para los datos almacenados en medios automatizados.
• Se deberá utilizar el método físico cuando la información se almacena en soportes tangibles, este método implica un daño irreversible o la destrucción total de los medios de almacenamiento, tanto físico como electrónico. Se deberá elegir la técnica de destrucción más adecuada (trituración, incineración).
• Los métodos de borrado seguro o destrucción se deberán elegir tomando en cuenta el modelo de negocio, volumen de la información que se destruirá, tipo de datos personales contenidos en los soportes. Para llevar a cabo este proceso, se podrá determinar si el borrado se hace de forma directa o subcontratando un servicio.
Se deberá generar evidencia del proceso de borrado seguro y destrucción de soportes para, en su caso, estar en posibilidad de demostrar ante la autoridad competente el cumplimiento de esta medida de seguridad. Esta evidencia se podrá generar por medio de un certificado de destrucción, actas administrativas, evidencia fotográfica en la que se observe el momento de la destrucción o bitácoras
12. GESTIÓN DE SOPORTES
Los soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que gestiona las bases de datos.
• Los soportes que contengan bases de datos, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, estarán claramente identificados con una etiqueta externa que indicará de qué base de datos se trata y cuál es la fecha de creación, salvo que el soporte no lo permita dejándolo debidamente documentado.
• Si el soporte contiene datos personales sensibles, este hecho deberá estar debidamente identificado en el soporte a través de un sistema que no permita identificar el contenido por personas no autorizadas al acceso a los datos personales sensibles.
• Los medios que sean reutilizables, y que hayan contenido copias de las bases de datos, serán borrados físicamente antes de su reutilización, de forma que los datos personales no sean recuperables.
• Los soportes que contengan bases de datos serán almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso del mismo.
• La salida de soportes y documentos desde las instalaciones del Responsable, que contengan datos personales, incluidos los comprendidos y/o añadidos a un correo electrónico, deberá ser autorizada por aquél.
• En el caso de bases de datos en soportes no automatizados, deberá procederse a la destrucción de las copias o reproducciones desechadas, de forma tal que evite el acceso a la información contenida en las mismas o su recuperación posterior.
• Se establecerá un sistema de registro de entrada y/o de salida de soportes informáticos que permita conocer el tipo de soporte, el emisor o el receptor (según proceda), el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega y/o recepción que esté debidamente autorizada.
• El traslado de soportes observará las medidas de seguridad que sean necesarias a fin de evitar el robo, pérdida o acceso indebido a la información durante su trasporte.
• Cuando se distribuyan soportes que contengan datos personales sensibles, deberá asegurarse el cifrado de los datos contenidos en el mismo o bien utilizar cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.
• Cuando se utilicen dispositivos portátiles (laptops, memorias USB, tablets, smartphones, etc.) para el tratamiento y almacenamiento de datos personales sensibles, se cifrarán los datos que contengan estos dispositivos, identificando cuando éstos se encuentren fuera de las instalaciones del Responsable.
• Se evitará el tratamiento de datos personales sensibles en dispositivos portátiles que no permitan su cifrado.
• Los soportes no automatizados son todos aquellos medios que sin ser automatizados incorporen datos personales objeto de protección por el presente Documento, siempre que los datos se incorporen y organicen en la base de datos de forma sistematizada, esto es, que de forma tal que permita la rápida localización de una persona sin esfuerzos desproporcionados.
• Los soportes no automatizados que contengan datos personales deberán estar archivados en los dispositivos de almacenamiento establecidos para la seguridad de los datos. Estos dispositivos de almacenamientos deberán contar con llave si en ellos se archivan soportes no automatizados con datos personales sensibles.
• Aquellos soportes no automatizados que conteniendo datos personales no se encuentren archivados en los dispositivos de almacenamiento establecidos por estar siendo objeto de revisión; consulta; edición o cualquier otro tratamiento, deberán ser custodiados por la persona que se encuentre a cargo de los mismos, que deberá impedir el acceso a estos soportes por parte de personas no autorizadas.
• Siempre que se proceda al traslado físico de la documentación contenida en una base de dato no automatizada, deberá recabarse la autorización del Responsable y adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado, que deberán estar convenientemente documentadas.
13. PROCEDIMIENTOS DE RESPALDO Y RECUPERACIÓN
El Responsable dispondrá de procesos de respaldo y de recuperación de datos contenidos en bases de datos automatizadas que, en caso de fallo del sistema informático, permitan recuperar y, en su caso, reconstruir los datos si estos se tratan en sus sistemas.
• Existirá una persona con conocimientos técnicos que será el responsable de obtener periódicamente una copia de seguridad de las bases de datos, a efectos de respaldo y posible recuperación en caso de fallo.
• Estas copias deberán realizarse con una periodicidad al menos semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos. Semestralmente se verificarán los procedimientos de copias de respaldo y recuperación.
• En el caso de pérdida total o parcial de los datos contenidos en una base de datos, existirá un procedimiento, informático o manual que, partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos al estado en que se encontraban en el momento del fallo.
• Será necesaria la autorización por escrito del Responsable de Datos Personales para la ejecución de los procesos de recuperación de datos.
• Las copias de respaldo de las bases de datos que contengan datos personales clasificados sensibles, se guardarán en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan y les serán aplicable idénticas medidas de seguridad.
• El Responsable de Datos Personales se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
En el caso de datos personales contenidos en soportes no automatizados, únicamente se realizarán copias previa autorización del Responsable de Datos Personales. En cualquier caso, la realización de las mismas sólo podrá ser realizada bajo el control del personal autorizado para tener acceso a los datos personales, y deberá ser objeto de destrucción una vez deje de servir para el uso que motivó su copia.
14. PRUEBAS CON DATOS REALES
Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten datos personales, se realizan siempre con datos ficticios y en entornos de pruebas (Desarrollo y Usuario) debidamente segregados y con un acceso limitado, únicamente, al personal autorizado.
En caso de llevarse a cabo pruebas con dato reales se aplicarán las mismas medidas de seguridad que resultaren aplicables al tipo de datos personales tratados, previa realización de una copia de seguridad que. Las pruebas y la realización de la copia de seguridad correspondiente deberán ser autorizadas por el Responsable de Datos Personales.
15. AUDITORIAS
El Responsable deberá someter todos los sistemas de información e instalaciones de tratamiento, así como todas las bases de datos no automatizados, a una auditoria, al menos cada dos años, que verifique el cumplimiento del Reglamento de la LFPD. Dicha auditoria podrá realizarla a nivel interno o a través de una
empresa externa.
El informe de auditoría recogerá la adecuación de las medidas y controles a lo dispuesto por la legislación vigente y normas internas de seguridad, identificando deficiencias y proponiendo las medidas correctoras o complementarias necesarias. También incluirá los datos, evidencias y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas, debiendo adoptar el Responsable las medidas correctoras oportunas.
El informe de auditoría deberá quedar a disposición del Instituto Nacional de Trasparencia, Acceso a la Información y Protección de Datos (INAI) en previsión de cualquier requerimiento de documentación efectuado en el marco de un procedimiento de verificación.
El Responsable de Datos Personales será el encargado de custodiar los informes de auditoría a que se refiere este apartado, así como de impulsar dentro de la organización las medidas correctoras que, en su caso, pudieran haberse recomendado en aquéllos.
16. TELECOMUNICACIONES
Cuando se lleven a cabo transmisiones online de datos personales sensibles, éstos deberán cifrarse o bien utilizar cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por usuarios no autorizados y/o terceros.
Cuando se envíen correos electrónicos que lleven anexados archivos con datos personales sensibles, éstos deberán ir cifrados.
17. ACUERDOS CON TERCEROS
Los acuerdos con terceros para la prestación de servicios que conlleven el acceso a datos personales contenidos en las bases de datos del Responsable, deberán formalizarse en un contrato por escrito (o por cualquier otro medio que permita acreditar sus términos y condiciones) que contenga las obligaciones a que se refiere el artículo 50 del Reglamento de la LFPD.
El Encargado podrá ofrecer la adopción de medidas adicionales a las relacionadas en este Documento. En cualquier caso, dicho Encargado deberá implementar, como mínimo, las medidas de seguridad recogidas en el presente Documento y en el contrato a que servirá de Anexo
El acceso a las bases de datos por parte de terceros deberá ser autorizado por el Responsable de Datos Personales, quien deberá asegurarse que no existirá acceso a las bases de datos del Responsable sin la existencia previa del contrato que regule la prestación del servicio en lo general y el tratamiento de datos personales en lo particular.
18. BASES DE DATOS TEMPORALES
El Responsable procurará que en la organización no se creen bases de datos temporales. En el caso de que fuera necesario crearlas para que los colaboradores autorizados puedan desempeñar sus funciones en sus puestos de trabajos, se les aplicarán los mismos criterios establecidos en la presente Relación de Medidas de Seguridad.
Las bases de datos temporales deberán ser borradas o destruidas cuando dejen de ser necesarias para los fines que determinaron su creación.