Política de Protección de datos personales
Presentación
Es bien sabido que, como organización empresarial, cada vez sabemos más de los demás, ya que al construir una confianza sólida con nuestros colaboradores, clientes, proveedores y demás terceros involucra que un sinfín de información circule por distintos medios de comunicación; especialmente aquella que está relacionada con la intimidad, el honor, la reputación, la vida privada y, consecuentemente, la dignidad humana. La tecnología y, especialmente la inteligencia artificial, han originado a que los datos personales y sensibles de las personas se transmitan con mayor prontitud.
Es por ello que hemos creado la presente política que contiene lo elementos necesarios para que nuestra empresa recabe, resguarde y administre los datos personales de manera diligente y conforme a lo que manda la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su respectivo reglamento, entre otras disposiciones y así no violar ningún derecho de las personas. De igual manera, hemos nombramos a un Comisionado quien tendrá la encomienda de hacer que se cumpla estrictamente cada uno de los lineamientos.
La presente política estará al alcance de todo el personal y podrá ser consultado cuantas veces sea necesario, especialmente por los clientes de NOVAMIND; el propio comisionado tendrá el deber de divulgarla y actualizarla, cuando sea necesario.
Objetivo general
La presente política tiene como objetivo establecer los lineamientos idóneos a seguir para la recolección, resguardo y transferencia de los datos personales que se lleguen a recabar de trabajadores, proveedores, clientes y demás personas que se involucren directa e indirectamente con NOVAMIND, con la finalidad de garantizar que datos personales obtenidos sean tratados bajo los principios y preceptos legales que se precisan en esta política.
Alcance
Los lineamientos establecidos son aplicables para todo el personal, independientemente del puesto y función desempeñada, así como para accionistas, proveedores, clientes, asociados y demás personas físicas y morales que mantengan una relación comercial o jurídica con NOVAMIND.
Marco legal
Tanto la política, así como los entregables que deriven de ella cumplen con diversas disposiciones legales de carácter obligatorio, tomándose en cuenta los siguientes ordenamientos.
Obligatoriedad
Todo el personal que recabe datos personales tendrá la obligación de acatar los lineamientos de la presente política; de igual manera serán de observación obligatoria para los administradores, directivos y gerentes. La dirección general de NOVAMIND tendrá la obligación de asignar una fecha dentro de sus programas anuales de capacitación para que, por lo menos una vez al año, los trabajadores conozcan lo establecido en esta política, así como las futuras actualizaciones o modificaciones que, en su momento, sean agregadas.
Principios
Cada lineamiento precisado en esta política, así como los avisos de privacidad que sean diseñados e implementados en la operación de la empresa cumplen con los principios que se señalan en el artículo 6 de la LFPDPPP y con el Informe sobre Privacidad y Protección de Datos Personales, Comité Jurídico Interamericano (CJI) de la Organización de los Estados Americanos (OEA), del 26 de marzo del 2015, los cuales se definen a continuación.
Comisionado
La Asamblea General de Socios nombró a una persona encargada de vigilar la correcta recolección de datos personales, así como su debido resguardo y manejo de estos. A dicha persona se le denominará como el “Comisionado de Protección de Datos Personales (Comisionado)” y será quien reportará directamente a la asamblea, administradores, comisarios y demás personas que le sean señaladas todo lo concerniente con la administración de los datos personales, teniendo a su cargo las siguientes funciones:
-
Solicitar a los encargados de departamentos la información relacionada con la recopilación de los datos personales solicitados a trabajadores, clientes, proveedores, visitantes y demás terceros.
-
Vigilar que las respectivas áreas de trabajo estén emitiendo los avisos de privacidad a las personas que les sean requeridas datos personales.
-
Actualizar junto con el equipo legal asignado los avisos de privacidad.
-
Llevar a cabo un inventario de datos personales y resguardarlo en sistemas electrónicos fiables,
seguros y avalados por los administradores.
-
Garantizar los derechos de Acceso, Rectificación, Oposición y Cancelación de datos personales, cuando
sean solicitados por los titulares de los datos personales.
-
Cumplir y hacer que se cumplan las medidas de seguridad descritas en la presente política.
-
Atender quejas o incidentes derivados de vulneraciones de datos personales, investigando
profesionalmente lo ocurrido mediante los lineamientos estipulados en la presente política.
-
Presentar ante los administradores y comisarios un informe que contenga la referente al inventario de datos personales, reportes de vulneraciones y demás información relacionada con el resguardo y
administración de los datos personales recabados.
-
Divulgar y actualizar la presente política en base a los criterios legales que emitan las autoridades.
-
Diseñar un plan de trabajo semestral que indique las acciones de vigilancia que llevará a cabo en las
diversas áreas de trabajo de la empresa, con la finalidad de supervisar, sugerir, y/o modificar las formas en que se están solicitando y tratando datos personales. Dichas acciones quedarán registradas en un documento denominado “Verificación de Tratamiento de Protección de Datos Personales” (Anexo 1)
El comisionado será removido de su cargo cuando incumpla con las funciones anteriormente enumeradas y demás actividades que le sean encomendadas por los administradores o asamblea de socios que estén relacionadas con la recolección, resguardo y administración de datos personales.
Aviso de privacidad
La redacción que integra el aviso de privacidad se realizó conforme a lo requerido en el artículo 16 de la LFPDPPP, también se atendieron las recomendaciones de las Guías del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), así como las que emitió la Organización para la Cooperación y el Desarrollo Económicos (OECD). De tal modo que el contenido del aviso contiene la siguiente información.
Modelos de Aviso de Privacidad
Ahora bien, atendiendo los lineamientos del aviso de privacidad publicados en el Diario Oficial de la Federación, el 17 de enero del 2013, se desarrollaron tres modelos de aviso de privacidad, los cuales serán utilizados conforme a las siguientes directrices:
Tratamiento diligente
1. Obtención:
Los datos personales podrán ser recabados mediante los siguientes medios o vías: presencialmente, llamada telefónica, mensajes de textos, correo electrónico o bien, que hayan ido transferidos por un tercero. Asimismo, ciertos departamentos de la empresa recabarán datos personales para fines debidamente necesarios para el cumplimiento de ciertas funciones; por ejemplo:
a. Administración y Finanzas: Datos para emisión de facturas y comprobantes de pagos, transferencias electrónicas interbancarias, así como de identificación de socios, administradores y directivos para el desarrollo de asambleas, minutas, reportes, balances, entre otros.
b. Recursos Humanos: Datos de identificación de candidatos y trabajadores, así como la conformación de los expedientes laborales, exámenes médicos, entrevistas relacionadas con incidentes psicosociales, prevención de riesgos y accidentes de trabajo y demás que sean requeridas por normatividades y autoridades laborales.
c. Comercialización: Datos para la elaboración y envío de propuestas comerciales (cotizaciones), órdenes de compra, estudios estadísticos para el mejoramiento de productos y servicios, entre otros.
2. Resguardo:
La empresa seleccionará a una persona que vigilará las formas de recolección de datos personales y la correcta aplicación de las medidas de seguridad que garanticen un debido resguardo de los datos. De igual manera, tendrá el control de un inventario de los datos recolectados, mismo que actualizará constantemente. La presente política establece las medidas de seguridad y el diseño del inventario de datos personales.
3. Bloqueo:
Aquellos datos personales que ya no sean necesarios para el uso que fueron requeridos serán bloqueados para que ningún tercero accedo a ellos; sin embargo, se mantendrán resguardados hasta el tiempo que estipule la relación contractual o bien, por si alguna autoridad los solicite mediante oficio.
4. Supresión:
Tanto los datos bloqueados como aquellos otros que fueron recabados y que ya no serán utilizados por la terminación de la relación contractual, deberán eliminarse de la base de datos siempre y cuando sea solicitado por el titular de dichos datos. La supresión de los datos tendrá que ser lo suficientemente segura, de tal manera que sea imposible su recuperación. Ningún dato será eliminado sin la previa autorización de su titular o por disposición judicial.
5. Transferencia o remisión:
Se podrán transferir datos personales a terceros, siempre y cuando se cuente con el consentimiento por parte de los titulares y bajo los siguientes parámetros:
a. Que hayan sido solicitados por alguna autoridad gubernamental mediante oficio.
b. Se celebrará un convenio con aquellos terceros que soliciten la transferencia de datos, el cual tendrá que especificar, por lo menos: la (i) finalidad de la transferencia, (ii) los datos a transferir,
(iii) confidencialidad y penalizaciones en caso de divulgar los datos transferidos.
c. Se verificará que quienes reciban la transferencia cuenten con una política de protección de
datos similar a la presente, así como las medidas de seguridad pertinentes.
d. Se mantendrá comunicación constante para consultar y vigilar el resguardo de los datos
personales transferidos.
Vulneración
Se entenderá que habrá vulneración de datos personales cuando sucedan los siguientes supuestos:
a. Pérdida o destrucción no autorizada.
b. Robo, extravío o copia no autorizada.
c. Uso, acceso o manejo no autorizado.
d. Daño, alteración o modificación no autorizada.
e. Transferencia no autorizada o llevada a cabo sin los lineamientos de seguridad.
En caso de que de algún integrante de la empresa detecte algún tipo de vulneración de los datos personales que estén bajo su resguardo, dará aviso inmediato al comisionado para que éste lleve a cabo una investigación conforme a los lineamientos establecidos más adelante. El aviso podrá darse a los medios de contacto señalados en el rubro de la presente política.
Lineamientos de investigación
El comisionado se entrevistará con la persona que haya reportado algún tipo de vulneración, de igual manera, podrá indagar con las personas que considere pertinentes y que estén probablemente relacionadas con el incidente. El comisionado podrá hacer lo mismo cuando por su cuenta propio detecte alguna vulneración que no necesariamente le haya sido reportada, pero que la haya identificado en sus facultades de supervisión.
Independientemente de lo averiguado y asentado en el Informe, el comisionado tendrá la obligación de llevar a cabo un control de todos los informes levantados, además de cumplir con lo siguiente:
a. Firmar el reporte y resguardarlo físicamente y en sus respectivos controles digitales.
b. Enviarlo a los correos electrónicos del administrador general único o presidente del consejo de
administración, director general y comisario de la sociedad.
c. En caso de que sea necesario ejercer una o varias acciones legales o avisar a autoridades
administrativas, lo hará saber en el propio reporte al administrador general único o presidente del consejo de administración.
En ninguna circunstancia, el comisionado tendrá la facultad de rescindir una relación laboral ni proponer o llevar a cabo alguna sanción; por lo que, en caso de que algún tipo de vulneración de datos personales haya sido generada por un acto doloso u omiso, error o descuido por parte de los trabajadores, serán los administradores quienes decidirán las sanciones pertinentes, conforme a la Ley Federal de Trabajo, Reglamento Interno de Trabajo y demás políticas internas de la empresa.
Medidas de seguridad
El comisionado, así como los encargados de las áreas de trabajo participarán conjuntamente para el debido cumplimiento de las siguientes medidas de seguridad administrativas, físicas y técnicas:
I. Inspección:
a. Se identificará a las áreas de trabajo que tendrán la facultad para solicitar datos personales, el resto lo tendrán prohibido.
b. Cada área facultada sabrá cuáles datos personales son los que se tienen que solicitar y conocerá su respectiva clasificación; de igual manera, se cerciorarán de que los titulares de datos personales sensibles acepten y firmen su respectivo aviso de privacidad.
c. Previo a una contratación laboral, los encargados de reclutamiento de personal darán a conocer a los candidatos el aviso de
d. Según lo establezca el plan de trabajo del comisionado supervisará que las áreas de trabajo facultadas estén solicitando datos personales conforme a los lineamientos de la presente política, tomándose en cuenta lo siguiente:
i. Expedientes laborales: contarán con su respectivo aviso de privacidad, el cual será firmado por el trabajador desde el momento de su contratación.
ii. Expedientes con terceros (clientes, proveedores, asociados y demás terceros): estarán integrados por su respectivo aviso de privacidad, el cual será firmado como anexo a los contratos de prestación de servicios, compraventa, comodato, mutuo, asociación en participación, distribución, comisión mercantil u otros. En caso de que la relación comercial no se determine mediante un contrato por escrito, la emisión del aviso de privacidad se hará por medio electrónicos, especialmente por correo institucional de la empresa.
iii. Cotizaciones y/o órdenes de compra: contarán con una cláusula de protección de datos personales.
iv. Correos electrónicos: Todas las direcciones de correos electrónicos contarán con una leyenda de protección de datos personales al calce de la firma.
e. Para el caso de los datos personales que no sean objeto de resguardo, ya sea porque terminó una relación contractual o bien porque el titular solicitó su eliminación, se garantizará su bebido borrado de los sistemas digitales, de igual manera de destruirá toda documentación impresa que contenga dichos datos.
f. La documentación impresa que contenga datos personales será resguardada en gabinetes y/o archiveros lo suficientemente seguros, con llave de seguridad y de preferencia de acero inoxidable para evitar daños, desgastes o destrucción de dicha documentación.
g. La papelería que contenga datos personales recolectados estará a disposición únicamente al personal autorizado por el encargado de cada área de trabajo.
h. Los visitantes y/o personas que presten servicios especializados dentro de las instalaciones de la empresa no podrán acceder a áreas que resguarden datos personales. Los equipos de cómputo de escritorio o portátiles contarán con antivirus, Firewall y VPN (entre otros) lo suficientemente funcionales para evitar que los datos personales resguardados en tales dispositivos no sean eliminados, dañados o sustraídos.
i. Los empleados que tengan asignados equipos de cómputo portátiles y que, por la naturaleza de sus funciones, tengan que ser usados fuera de las instalaciones de la empresa deberán de firmar una carta responsiva mediante la cual se obligan a transferir al comisionado los datos personales que llegasen a solicitar.
k. El comisionado, así como la comisión mixta de capacitación y adiestramiento organizarán una capacitación a todos los colaboradores mediante la cual expliquen y divulguen, por lo menos, los siguientes temas:
-
Definiciones de la Ley Federal de Protección de Datos Personales en Posesión de Particulares
-
Principios de PDP
-
Modelos de aviso de privacidad (corto, simplificado e integral) y su respectivo contenido
-
Derechos ARCO
-
Tratamiento correcto de datos personales
-
Formas de transferencia de datos personales
-
Sanciones relacionadas con la PDP
-
Estructura de la Política de PDP
