POLITICA DE PROTECCIÓN DE DATOS

OBJETIVO
Establecer los lineamientos mediante los cuales se dará cumplimiento a la legislación, cuyo contenido es de orden público y de observancia general en toda la República Mexicana y en especial al tratamiento legítimo de Datos Personales, así como aquellas actividades de carácter obligatorio para quienes obtengan, usen, divulguen, tengan acceso y/o almacenen Datos Personales a nombre de ROAD TRACK MÉXICO, S.A. de C.V. (en lo sucesivo ITURAN)

ALCANCE
El contenido del presente documento es aplicable a todo el personal empleado bajo cualquier régimen por ITURAN, nuestros Prestadores y/o Proveedores de bienes y servicios, así como a aquel que de cualquier forma realice tratamiento de Datos Personales a nombre y representación de ITURAN o por mandato de ésta.

Serán ejes centrales de esta Política:

• La protección de Datos Personales a través de medidas de seguridad administrativas, físicas y técnicas, implementadas con la finalidad de evitar la pérdida, robo, daño, así como la destrucción, extravío, tratamiento o modificación no autorizada de los datos que hayan sido recabados.
• Que el tratamiento de Datos Personales sea legítimo, controlado e informado.
• Evitar riesgos derivados del mal manejo de la información, evitando la pérdida de confianza de nuestros clientes y una mala reputación frente a ellos, lo que tendría como consecuencia la pérdida de activos en ITURAN y por lo tanto, pérdida de competitividad y confianza en el mercado.
• Minimizar el riesgo de quejas, demandas o procesos administrativos interpuestos por particulares cuyos datos sean tratados en nuestros procesos y prestación de servicios a través del seguimiento de la observancia a estrictos protocolos internos.
• Minimizar vulneraciones en caso de verificación de cumplimiento respecto a lo dispuesto por la legislación, por parte de Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), quien es la autoridad que determina en caso de incumplimiento la imposición de multas y sanciones.

ANTECEDENTES
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares publicada el 5 de julio de 2010, el Reglamento de dicha Ley, publicado el 21 de diciembre de 2011, y las disposiciones que de éstos emanan, (en lo sucesivo denominado “Legislación”) llena vacíos importantes en la protección del tratamiento de diversos datos pertenecientes a una persona física, que conciernen entre otros, a su identidad y su patrimonio, con el fin de regular su legítimo tratamiento.
Esta Legislación establece obligaciones para todas las personas física y morales de carácter privado, que obtengan, usen, divulguen o almacenen Datos Personales, con el fin de que adopten medidas que garanticen que la información estará adecuadamente resguardada y que no se le dará un uso distinto al autorizado por el Titular de los datos.

DEFINICIONES

AVISO DE PRIVACIDAD: documento físico, electrónico o en cualquier otro formato generado por el Responsable que es puesto a disposición del Titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares.
CONSENTIMIENTO: manifestación de la voluntad del Titular de los datos mediante la cual se efectúa el tratamiento de estos.
DATOS PERSONALES: cualquier información concerniente a una persona física identificada o identificable.
DATOS PERSONALES SENSIBLES: aquellos Datos Personales que afecten a la esfera más íntima de su Titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo para éste.
DERECHOS ARCO: los derechos que el Titular por su propio derecho o a través de su representante legal podrán solicitar en cualquier momento, estos son: Acceso, Rectificación, Cancelación u Oposición respecto de los datos que le conciernen.
DISOCIACIÓN: procedimiento mediante el cual los Datos Personales no pueden asociarse al Titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
ENCARGADO: Persona física o jurídica que sola o conjuntamente con otras trate Datos Personales por cuenta del responsable.
INSTITUTO: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, a que hace referencia la Ley Federal de Transparencia y Acceso a la información Pública.
MEDIDAS DE SEGURIDAD ADMINISTRATIVAS: Conjunto de actividades, controles o mecanismos que tienen la finalidad de concientizar, documentar, gestionar o normar los factores humanos que intervienen en el tratamiento de datos personales. Estos incluyen, de forma enunciativa más no limitativa, las políticas y procedimientos de seguridad de la información, análisis de riesgos, cláusulas de confidencialidad para empleados y prestadores y/o proveedores, cursos de donde se haga del conocimiento de empleados y otros colaboradores o participantes en el proceso de actividades de las medidas que debe tomar para mantener la protección de los datos personales.
MEDIDAS DE SEGURIDAD FÍSICAS: Conjunto de actividades, controles o mecanismos, ya sea que utilicen o no la tecnología, con el objeto de prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionamiento e integridad, y garantizar la eliminación de datos en forma segura.
MEDIDAS DE SEGURIDAD TÉCNICAS: Conjunto de actividades, controles o mecanismos que se valen de la tecnología para asegurar que el acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados, que dichos accesos sean únicamente para llevar a cabo las actividades que requiere debido a sus funciones, que se incluyan acciones para la adquisición, operación, desarrollo y mantenimiento de sistemas seguros, y que se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.
REMISIÓN: La comunicación de Datos Personales entre el responsable y el encargado, dentro o fuera del territorio mexicano.
RESPONSABLE: Persona física o moral de carácter privado que decide sobre el tratamiento de Datos Personales.
SOPORTE ELECTRÓNICO: Medio de almacenamiento al que se puede acceder sólo mediante el uso de algún aparato con circuitos electrónicos que procese su contenido para examinar, modificar o almacenar los Datos Personales, incluidos los microfilms.
SOPORTE FÍSICO: Medio de almacenamiento inteligible a simple vista, es decir, que no requiere de ningún aparato que procese su contenido para examinar, modificar o almacenar los Datos Personales.
TERCERO: La persona física o moral, nacional o extranjera, distinta del Titular o del responsable de los datos.
TITULAR: La persona física a quien correspondan los Datos Personales.
TRANSFERENCIA: Toda comunicación de datos realizada a persona distinta del Responsable o encargado del tratamiento.
TRATAMIENTO DE DATOS: La obtención uso, divulgación o almacenamiento de Datos Personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de Datos Personales.

DEL AVISO DE PRIVACIDAD.
Para dar cumplimiento a la legislación es necesario poner a disposición del Titular, de forma previa a la obtención de sus Datos Personales, el Aviso de Privacidad correspondiente, de acuerdo con lo señalado en la presente política.
5.1. Queda prohibido el uso de textos distintos a los indicados en el Aviso de Privacidad de ITURAN cuyas versiones vigentes se encuentran a cargo del área de Datos Personales, siendo su responsable el área legal corporativa.
5.2. Tipos de Avisos de Privacidad:

• Integral: Este Aviso será utilizado cuando los Datos Personales se obtengan personalmente del Titular, a través de los formatos institucionales aprobados por ITURAN. Es responsabilidad de quien recaba Datos Personales obtener el nombre y la firma del Titular en los espacios destinados para tal fin, respecto de los documentos que contienen el Aviso de Privacidad, antes de que sean acabados.
• Simplificado: Este Aviso se utilizará cuando los datos se obtienen de manera directa del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología. Es responsabilidad de quien recaba los datos del Titular por cualquier medio electrónico, óptico, sonoro, visual, dar a conocer a éste el Aviso de Privacidad señalado en el párrafo precedente, antes de que sean recabados. Aviso simplificado que se utiliza a través de medios sonoros, a través del Call Center (Aviso sonoro); así mismo será empleado a través de medios electrónicos a través de medios de esa naturaleza como lo es el correo electrónico (aviso electrónico).

5.3. PUBLICACIÓN. El aviso de Privacidad se encuentra publicado en la página pública de ITURAN [**].
5.4. REVISIÓN Y MODIFICACIÓN. El área legal corporativa, podrá realizar revisiones, cambios e incluso sustituciones del aviso de privacidad cuando así requerido de forma interna o bien por la propia legislación.
El Aviso de Privacidad debe ser revisado al menos una vez al año tomando como referencia la fecha de su inicio de vigencia.
El Titular del área de Datos Personales designado por la Dirección General de ITURAN coordinará las acciones necesarias para garantizar que el Aviso de Privacidad se encuentre vigente y a disposición para su consulta. ITURAN podrá modificar en cualquier tiempo el Aviso de Privacidad Integral, Simplificado y Corto, en cumplimiento a lo establecido por la legislación aplicable, debiendo notificar únicamente el Aviso de Privacidad Integral mediante su publicación en el sitio en Internet, por lo que las personas sujetas a lo dispuesto por esta política deberán consultar periódicamente esta página para observar el aviso de privacidad vigentes.

APLICACIÓN Y USO
Todo el personal empleado bajo cualquier régimen por ITURAN, Prestadores y/o Proveedores de Servicios, así como a cualquier otro que de cualquier forma realice tratamiento de Datos Personales a nombre y representación de ITURAN, o por mandato de ésta, están obligados a respetar y a garantizar la aplicación de las políticas y procedimientos relacionados con la protección de datos.
Legislación establece por incumplimiento a las disposiciones establecidas en ella, la aplicación de sanciones económicas las cuales por ser ITURAN el responsable directo en el tratamiento de Datos Personales será quien cubra el importe de esas sanciones, sin que ello impida que pueda reclamar al Encargado causante de dicha sanción el pago de dicha cantidad en los términos y condiciones que ITURAN establezca en el caso específico.
Para el debido tratamiento de los Datos Personales transferidos por los titulares como consecuencia de la celebración de Contratos, todas las áreas de ITURAN deberán:

• Remitir sus contratos al área Legal Corporativa para su revisión e inserción de cláusulas en las que se prevea que en caso de que los prestadores, proveedores o cualquier otro que por la actividad contratada realicen el tratamiento de Datos Personales, hicieren un mal uso de ellos, es decir realizaran el tratamiento de Datos Personales en contra o más allá de lo dispuesto en el Aviso de Privacidad de ITURAN y/o lo dispuesto en la legislación y como consecuencia de ello ITURAN fuere acreedor a una multa o cualquier sanción pecuniaria, los prestadores y/o proveedores deberán pagar a ITURAN el importe que ésta haya pagado.
• Identificar si dichos contratos implican el tratamiento de Datos Personales y de ser así, los remitirá a la Subdirección Legal Corporativa para que se suscriba la adenda correspondiente.

El área Legal Corporativa, respecto de los contratos antes señalados, deberá observar lo siguiente: br Si los contratos son celebrados con prestadores de servicios y/o proveedores de bienes, ya sean personas físicas con actividad empresarial, comerciantes y/o profesionista, o que contengan Datos Personales de la persona física que los representa, atenderá lo relativo a los siguientes supuestos:

• Si los Datos Personales contenidos son únicamente: nombre y apellidos, domicilio físico del lugar de trabajo, dirección de correo electrónico, teléfono y fax, no será necesaria la inserción de la cláusula de Datos Personales en el contrato correspondiente.
• En caso de que existan más datos a los señalados en el punto anterior (i), deberá insertar la cláusula de Datos Personales que haya hecho de su conocimiento el área de Datos Personales, en caso de no contar con ella, deberá solicitarla a dicho departamento, señalando los Datos Personales recabados y la justificación del requerimiento de los mismos.
  Las cláusulas que deberán ser implementadas en cada caso serán aquellas que el área de Datos Personales les proporcione previa solicitud del área correspondiente. Esta solicitud deberá contener los Datos Personales tratados y la finalidad del tratamiento.

MEDIDAS DE SEGURIDAD ADMINISTRATIVAS, FÍSICAS Y TÉCNICAS.
Es relevante considerar que de forma específica a las medias que a continuación se establecen, todos y cada uno de los empleados de ITURAN y/o personal que por cualquier régimen guarde una relación con ésta, derivado de la cual pueda tener acceso por cualquier medio a información de carácter personal ya sea de clientes, debe de forma irrestricta suscribir el correspondiente convenio de confidencialidad, adicionalmente atendiendo a las características y naturaleza del puesto a desempeñar podrá ser requerida la firma de documentos complementarios que garanticen el correcto manejo de la información.
Las medidas de seguridad necesarias para garantizar el control y proteger la seguridad de los Datos Personales tanto de los Titulares, como de terceros, son las siguientes:

• La capacitación del personal que realiza el tratamiento de Datos Personales será de forma anual y obligatoria, la cual consiste en realizar un curso virtual o presencial, relacionado con las disposiciones contenidas en la Legislación y se deberá acreditar el examen correspondiente. Este curso estará publicado en cualquier medio de comunicación interna que ITURAN opte, estando a cargo el área legal corporativa, el seguimiento sobre el cumplimiento de este curso así como sus resultados será compartido a Dirección General.
• Todos los sistemas de control de información, sistemas de gestión y archivos electrónicos, para su acceso deberán contar con una clave de usuario y password personal e intransferible: Cada clave de usuario para el acceso a los sistemas de control de información, sistemas de gestión o archivos electrónicos, deberá contar además con un perfil que le permita consultar los Datos Personales mínimos necesarios para desempeñar sus funciones. Quien realice el tratamiento de Datos Personales deberá de establecer cuáles son los datos a los que se le permite tener acceso y forzosamente deben corresponder al tipo de actividad que desarrolle en ITURAN. En caso de que algún usuario requiera ampliar el acceso a los Datos Personales en virtud de sus actividades, deberá justificarlo al área de pertenencia, notificarlos al departamento legal y solicitarlo al Área de Sistemas, según el caso, con la justificación correspondiente y pueda ampliarse dicho acceso.
• La asignación de claves y passwords, tema a cargo del Área de Sistemas, siendo obligación de esta última que dicha política cumpla con lo dispuesto en la presente política, es decir, protegiendo que el tratamiento de Datos Personales sea legítimo y que en caso de que intervenga cualquier tercero que pudiera tener acceso a los Datos Personales, o a bases de Datos que los contengan, deberán asegurarse de la protección de dichos datos.
• Queda a cargo del Área de Sistemas la adquisición, operación, desarrollo y mantenimiento de sistemas seguros para las computadoras. En el caso de los usuarios; de los equipos que por cualquier causa realicen tratamiento de Datos Personales a nombre de ITURAN, será su obligación cumplir con lo dispuesto en la Política de Asignación y Uso de Equipo y Herramientas de Trabajo. Respecto del control de los dispositivos que salgan de las instalaciones, los usuarios que por cualquier causa realicen tratamiento de Datos Personales a nombre de ITURAN, deberán cumplir con lo dispuesto en la Política de Asignación y Uso de Equipo y Herramientas de Trabajo. Lo dispuesto en los dos párrafos anteriores, también se encuentra establecido en la Política Corporativa de Seguridad de la Información, misma que centraliza los esfuerzos globales de protección de los activos de ITURAN, a fin de asegurar el correcto funcionamiento de las tecnologías de información que soportan los procesos de negocio de la organización. En esta política se persigue la adopción de acciones destinadas a preservar la confidencialidad, integridad, disponibilidad y auditabilidad de toda la información que es manejada por ITURAN, incluyendo los Datos Personales de Asegurados de ITURAN.
• Realizar el análisis de brecha consistente en la diferencia de las medidas de seguridad existente y aquellas faltantes que resulten necesarias para la protección los Datos Personales este estudio deberá realizarlo el Área de Sistemas.
• Con el fin de evitar robo de información en nuestras instalaciones físicas, las distintas áreas de ITURAN ya sean administrativas u operativas, deberá solicitar al área Legal Corporativa, documentar contratos de servicios de seguridad y vigilancia, para salvaguardar nuestras instalaciones y los bienes contenidos en ellas.
• En caso de que ocurran los siguientes eventos se deberán actualizar las medidas de seguridad:
  1.Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad.
  2.Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo.
  3.En caso de que se traten más Datos Personales a los que actualmente se tratan, el nivel de riesgo aumentará, independientemente de que sea Datos Personales Sensibles, Datos Personales Patrimoniales o Datos Personales Financieros.
  4.En virtud de lo anterior, cualquier área que detecte lo señalado en el párrafo anterior, deberá hacerlo del conocimiento del área legal corporativa, estando éste facultado a solicitar a las áreas involucradas adopten mayor seguridad a la existente.
  5.Se vulneren los sistemas de tratamiento.
  6.En este caso el área de Sistemas deberá informar al área legal corporativa en qué consistió la vulneración, así como las posibles consecuencias de las mismas.
  7.Exista cualquier tipo de afectación a los Datos Personales distinta a las anteriores. El área que haya sufrido la afectación deberá notificar al Departamento de Datos Personales en qué consistió la misma y las posibles consecuencias.

RESPONSABILIDADES
Al Director General le corresponde designar al Titular del área de Protección de Datos Personales.
Al Titular del área de Protección de Datos Personales le corresponden las siguientes obligaciones:

• Resolver las solicitudes de ejercicio de Derechos ARCO, así como las demás solicitudes realizadas por los Titulares conforme a los procedimientos especificados en la presente política.
• Garantizar la vigencia y actualización de los Avisos de Privacidad.
• Recibir y dar respuesta a dudas, quejas o solicitudes de los Titulares, dentro de los términos legales aplicables.
• Atender y dar seguimiento a los procedimientos de verificación impuestos por el Instituto como consecuencia del incumplimiento a la Legislación o a las resoluciones dictadas con motivo de procedimientos de protección de derechos ARCO. Por lo anterior, todas las áreas que cuenten con la información que ésta última requiera, deberán transferirla en los formatos solicitados en un plazo no mayor a 5 (cinco) días contados a partir de la solicitud.

Encargados: Son todos aquellos que de cualquier forma realizan tratamiento de Datos Personales a nombre y representación de ITURAN o por mandato de ésta y tendrán las siguientes obligaciones:

• En caso de que reciban requerimientos por parte del área de Datos Personales, a través de correo electrónico o cualquier otro medio, respecto a información de los Titulares, deberán dar respuesta en el término en el que se les indique.
• En el supuesto de que el área de Datos Personales les solicite la rectificación, respecto de los Datos Personales de un Titular deberán efectuar esto dentro del día hábil siguiente a que ITURAN se lo haya requerido.
• Conocer, respetar y ejecutar lo relativo en el presente documento.
• Garantizar que las personas a su cargo, y que realicen el tratamiento de Datos Personales conozcan, respeten y apliquen las políticas y procedimientos relativos a la Protección de Datos Personales.

SOLICITUDbr Cualquier área a la que algún Titular le solicite información sobre el tratamiento de Datos Personales o le solicite la recepción de cualquier solicitud de ejercicio de Derechos ARCO o cualquier otro documento relacionado, no deberá recibirla y deberá informar al Titular sobre la existencia del Aviso de Privacidad publicado en la página de ITURAN en la sección Aviso de Privacidad para que con base en lo ahí señalado ejerza cualquier derecho o solicitud.

MEJORES PRÁCTICAS
El área de Datos Personales podrá implementar mejores prácticas para el cumplimiento de la legislación, por lo que todas las áreas de ITURAN estarán obligadas a cumplir con lo citado por este departamento.

EJERCICIO DE DERECHOS ARCO
Los titulares de los Datos Personales podrán solicitar por su propio derecho o a través de su representante el ejercicio de algún Derecho ARCO (pueden ser varios derechos a la vez). El área de Datos Personales establecerá las bases y condiciones para la atención de las solicitudes de conformidad a lo establecido en la legislación y en el Aviso de Privacidad de ITURAN. Queda prohibida la recepción de cualquier solicitud de ejercicio de Derechos ARCO en cualquier oficina distinta a la señalada en el Aviso de Privacidad.

SANCIONES
El INAI es el órgano que se encarga de vigilar por la debida ejecución de las disposiciones previstas en la legislación de esta materia, en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento.
En caso de que INAI inicie un procedimiento de verificación de cumplimiento y no se satisfaga con lo dispuesto por dicha legislación podremos ser sujetos de sanciones consistentes en multas que van desde 100 hasta los 320,000 días de Salario Mínimo Vigente, incrementándose hasta dos veces dicha cantidad en caso de reiteración y tratándose de datos sensibles.
La infracción a las normas contenidas en este documento traerá como consecuencia, según la gravedad del caso, la imposición de las sanciones previstas en el Reglamento Interior de Trabajo y, de ser necesario, las establecidas en las leyes que sean aplicables.

Política de cookies

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.