POLITICA DE PROTECCIÓN DE DATOS
OBJETIVO
Establecer los lineamientos mediante los cuales se dará cumplimiento a la legislación, cuyo contenido
es de orden público y de observancia general en toda la República Mexicana y en especial al
tratamiento legítimo de Datos Personales, así como aquellas actividades de carácter obligatorio para
quienes obtengan, usen, divulguen, tengan acceso y/o almacenen Datos Personales a nombre de
ROAD TRACK MÉXICO, S.A. de C.V. (en lo sucesivo ITURAN)
ALCANCE
El contenido del presente documento es aplicable a todo el personal empleado bajo cualquier régimen por
ITURAN, nuestros Prestadores y/o Proveedores de bienes y servicios, así como a aquel que de
cualquier forma realice tratamiento de Datos Personales a nombre y representación de ITURAN o
por mandato de ésta.
Serán ejes centrales de esta Política:
- La protección de Datos Personales a través de medidas de seguridad administrativas,
físicas y técnicas, implementadas con la finalidad de evitar la pérdida, robo, daño, así
como la destrucción, extravío, tratamiento o modificación no autorizada de los datos que
hayan sido recabados.
- Que el tratamiento de Datos Personales sea legítimo, controlado e informado.
- Evitar riesgos derivados del mal manejo de la información, evitando la pérdida de
confianza de nuestros clientes y una mala reputación frente a ellos, lo que tendría como
consecuencia la pérdida de activos en ITURAN y por lo tanto, pérdida de competitividad
y confianza en el mercado.
- Minimizar el riesgo de quejas, demandas o procesos administrativos interpuestos por
particulares cuyos datos sean tratados en nuestros procesos y prestación de servicios a
través del seguimiento de la observancia a estrictos protocolos internos.
- Minimizar vulneraciones en caso de verificación de cumplimiento respecto a lo dispuesto
por la legislación, por parte de Instituto Nacional de Transparencia, Acceso a la
Información y Protección de Datos Personales (INAI), quien es la autoridad que determina
en caso de incumplimiento la imposición de multas y sanciones.
ANTECEDENTES
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares publicada el 5 de
julio de 2010, el Reglamento de dicha Ley, publicado el 21 de diciembre de 2011, y las disposiciones que de éstos emanan, (en lo sucesivo denominado “Legislación”) llena vacíos importantes en la
protección del tratamiento de diversos datos pertenecientes a una persona física, que conciernen
entre otros, a su identidad y su patrimonio, con el fin de regular su legítimo tratamiento.
Esta Legislación establece obligaciones para todas las personas física y morales de carácter privado,
que obtengan, usen, divulguen o almacenen Datos Personales, con el fin de que adopten medidas
que garanticen que la información estará adecuadamente resguardada y que no se le dará un uso distinto
al autorizado por el Titular de los datos.
DEFINICIONES
AVISO DE PRIVACIDAD: documento físico, electrónico o en cualquier otro formato
generado por el Responsable que es puesto a disposición del Titular, previo al tratamiento de sus
datos personales, de conformidad con el artículo 15 de la Ley Federal de Protección de Datos
Personales en Posesión de Particulares.
CONSENTIMIENTO: manifestación de la voluntad del Titular de los datos mediante la cual se
efectúa el tratamiento de estos.
DATOS PERSONALES: cualquier información concerniente a una persona física identificada o
identificable.
DATOS PERSONALES SENSIBLES: aquellos Datos Personales que afecten a la esfera
más íntima de su Titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve
un riesgo para éste.
DERECHOS ARCO: los derechos que el Titular por su propio derecho o a través de su
representante legal podrán solicitar en cualquier momento, estos son: Acceso, Rectificación,
Cancelación u Oposición respecto de los datos que le conciernen.
DISOCIACIÓN: procedimiento mediante el cual los Datos Personales no pueden asociarse al
Titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del
mismo.
ENCARGADO: Persona física o jurídica que sola o conjuntamente con otras trate Datos
Personales por cuenta del responsable.
INSTITUTO: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales, a que hace referencia la Ley Federal de Transparencia y Acceso a la información Pública.
MEDIDAS DE SEGURIDAD ADMINISTRATIVAS: Conjunto de actividades, controles o
mecanismos que tienen la finalidad de concientizar, documentar, gestionar o normar los factores
humanos que intervienen en el tratamiento de datos personales. Estos incluyen, de forma
enunciativa más no limitativa, las políticas y procedimientos de seguridad de la información,
análisis de riesgos, cláusulas de confidencialidad para empleados y prestadores y/o
proveedores, cursos de donde se haga del conocimiento de empleados y otros colaboradores o
participantes en el proceso de actividades de las medidas que debe tomar para mantener la
protección de los datos personales.
MEDIDAS DE SEGURIDAD FÍSICAS: Conjunto de actividades, controles o mecanismos, ya
sea que utilicen o no la tecnología, con el objeto de prevenir el acceso no autorizado, el daño o
interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;
proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las
instalaciones; proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionamiento e integridad, y garantizar la
eliminación de datos en forma segura.
MEDIDAS DE SEGURIDAD TÉCNICAS: Conjunto de actividades, controles o mecanismos
que se valen de la tecnología para asegurar que el acceso a las bases de datos lógicas o a la
información en formato lógico sea por usuarios identificados y autorizados, que dichos accesos
sean únicamente para llevar a cabo las actividades que requiere debido a sus funciones, que
se incluyan acciones para la adquisición, operación, desarrollo y mantenimiento de sistemas
seguros, y que se lleve a cabo la gestión de comunicaciones y operaciones de los recursos
informáticos que se utilicen en el tratamiento de datos personales.
REMISIÓN: La comunicación de Datos Personales entre el responsable y el encargado, dentro
o fuera del territorio mexicano.
RESPONSABLE: Persona física o moral de carácter privado que decide sobre el
tratamiento de Datos Personales.
SOPORTE ELECTRÓNICO: Medio de almacenamiento al que se puede acceder sólo
mediante el uso de algún aparato con circuitos electrónicos que procese su contenido para examinar,
modificar o almacenar los Datos Personales, incluidos los microfilms.
SOPORTE FÍSICO: Medio de almacenamiento inteligible a simple vista, es decir, que no requiere
de ningún aparato que procese su contenido para examinar, modificar o almacenar los Datos
Personales.
TERCERO: La persona física o moral, nacional o extranjera, distinta del Titular o del
responsable de los datos.
TITULAR: La persona física a quien correspondan los Datos Personales.
TRANSFERENCIA: Toda comunicación de datos realizada a persona distinta del
Responsable o encargado del tratamiento.
TRATAMIENTO DE DATOS: La obtención uso, divulgación o almacenamiento de Datos
Personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo,
aprovechamiento, transferencia o disposición de Datos Personales.
DEL AVISO DE PRIVACIDAD.
Para dar cumplimiento a la legislación es necesario poner a disposición del Titular, de forma previa a la
obtención de sus Datos Personales, el Aviso de Privacidad correspondiente, de acuerdo con lo señalado
en la presente política.
5.1. Queda prohibido el uso de textos distintos a los indicados en el Aviso de Privacidad de ITURAN
cuyas versiones vigentes se encuentran a cargo del área de Datos Personales, siendo su
responsable el área legal corporativa.
5.2. Tipos de Avisos de Privacidad:
- Integral: Este Aviso será utilizado cuando los Datos Personales se obtengan personalmente del
Titular, a través de los formatos institucionales aprobados por ITURAN. Es responsabilidad de
quien recaba Datos Personales obtener el nombre y la firma del Titular en los espacios
destinados para tal fin, respecto de los documentos que contienen el Aviso de Privacidad,
antes de que sean acabados.
- Simplificado: Este Aviso se utilizará cuando los datos se obtienen de manera directa del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra
tecnología. Es responsabilidad de quien recaba los datos del Titular por cualquier medio
electrónico, óptico, sonoro, visual, dar a conocer a éste el Aviso de Privacidad señalado en el
párrafo precedente, antes de que sean recabados.
Aviso simplificado que se utiliza a través de medios sonoros, a través del Call Center
(Aviso sonoro); así mismo será empleado a través de medios electrónicos a través de medios
de esa naturaleza como lo es el correo electrónico (aviso electrónico).
5.3. PUBLICACIÓN. El aviso de Privacidad se encuentra publicado en la página pública
de ITURAN [**].
5.4. REVISIÓN Y MODIFICACIÓN. El área legal corporativa, podrá realizar revisiones,
cambios e incluso sustituciones del aviso de privacidad cuando así requerido de
forma interna o bien por la propia legislación.
El Aviso de Privacidad debe ser revisado al menos una vez al año tomando como referencia la fecha de
su inicio de vigencia.
El Titular del área de Datos Personales designado por la Dirección General de ITURAN coordinará
las acciones necesarias para garantizar que el Aviso de Privacidad se encuentre vigente y a
disposición para su consulta. ITURAN podrá modificar en cualquier tiempo el Aviso de Privacidad
Integral, Simplificado y Corto, en cumplimiento a lo establecido por la legislación aplicable,
debiendo notificar únicamente el Aviso de Privacidad Integral mediante su publicación en el sitio
en Internet, por lo que las personas sujetas a lo dispuesto por esta política deberán consultar
periódicamente esta página para observar el aviso de privacidad vigentes.
APLICACIÓN Y USO
Todo el personal empleado bajo cualquier régimen por ITURAN, Prestadores y/o Proveedores de
Servicios, así como a cualquier otro que de cualquier forma realice tratamiento de Datos Personales a
nombre y representación de ITURAN, o por mandato de ésta, están obligados a respetar y a garantizar
la aplicación de las políticas y procedimientos relacionados con la protección de datos.
Legislación establece por incumplimiento a las disposiciones establecidas en ella, la aplicación de
sanciones económicas las cuales por ser ITURAN el responsable directo en el tratamiento de Datos
Personales será quien cubra el importe de esas sanciones, sin que ello impida que pueda reclamar al
Encargado causante de dicha sanción el pago de dicha cantidad en los términos y condiciones que
ITURAN establezca en el caso específico.
Para el debido tratamiento de los Datos Personales transferidos por los titulares como consecuencia de
la celebración de Contratos, todas las áreas de ITURAN deberán:
- Remitir sus contratos al área Legal Corporativa para su revisión e inserción de cláusulas
en las que se prevea que en caso de que los prestadores, proveedores o cualquier
otro que por la actividad contratada realicen el tratamiento de Datos Personales, hicieren un mal uso de ellos, es decir realizaran el tratamiento de Datos Personales
en contra o más allá de lo dispuesto en el Aviso de Privacidad de ITURAN y/o lo
dispuesto en la legislación y como consecuencia de ello ITURAN fuere acreedor a una
multa o cualquier sanción pecuniaria, los prestadores y/o proveedores deberán
pagar a ITURAN el importe que ésta haya pagado.
- Identificar si dichos contratos implican el tratamiento de Datos Personales y de ser
así, los remitirá a la Subdirección Legal Corporativa para que se suscriba la adenda
correspondiente.
El área Legal Corporativa, respecto de los contratos antes señalados, deberá observar lo siguiente: br
Si los contratos son celebrados con prestadores de servicios y/o proveedores de bienes, ya sean
personas físicas con actividad empresarial, comerciantes y/o profesionista, o que contengan
Datos Personales de la persona física que los representa, atenderá lo relativo a los siguientes
supuestos:
- Si los Datos Personales contenidos son únicamente: nombre y apellidos, domicilio
físico del lugar de trabajo, dirección de correo electrónico, teléfono y fax, no será
necesaria la inserción de la cláusula de Datos Personales en el contrato
correspondiente.
- En caso de que existan más datos a los señalados en el punto anterior (i),
deberá insertar la cláusula de Datos Personales que haya hecho de su
conocimiento el área de Datos Personales, en caso de no contar con ella, deberá
solicitarla a dicho departamento, señalando los Datos Personales recabados y la
justificación del requerimiento de los mismos.
Las cláusulas que deberán ser implementadas en cada caso serán aquellas que
el área de Datos Personales les proporcione previa solicitud del área
correspondiente. Esta solicitud deberá contener los Datos Personales tratados y
la finalidad del tratamiento.
MEDIDAS DE SEGURIDAD ADMINISTRATIVAS, FÍSICAS Y TÉCNICAS.
Es relevante considerar que de forma específica a las medias que a continuación se establecen, todos y
cada uno de los empleados de ITURAN y/o personal que por cualquier régimen guarde una relación con
ésta, derivado de la cual pueda tener acceso por cualquier medio a información de carácter personal ya
sea de clientes, debe de forma irrestricta suscribir el correspondiente convenio de confidencialidad,
adicionalmente atendiendo a las características y naturaleza del puesto a desempeñar podrá ser requerida
la firma de documentos complementarios que garanticen el correcto manejo de la información.
Las medidas de seguridad necesarias para garantizar el control y proteger la seguridad de los Datos
Personales tanto de los Titulares, como de terceros, son las siguientes:
- La capacitación del personal que realiza el tratamiento de Datos Personales será de forma anual y
obligatoria, la cual consiste en realizar un curso virtual o presencial, relacionado con las disposiciones
contenidas en la Legislación y se deberá acreditar el examen correspondiente. Este curso estará
publicado en cualquier medio de comunicación interna que ITURAN opte, estando a cargo el área
legal corporativa, el seguimiento sobre el cumplimiento de este curso así como sus resultados será
compartido a Dirección General.
- Todos los sistemas de control de información, sistemas de gestión y archivos electrónicos, para su
acceso deberán contar con una clave de usuario y password personal e intransferible: Cada clave de
usuario para el acceso a los sistemas de control de información, sistemas de gestión o archivos
electrónicos, deberá contar además con un perfil que le permita consultar los Datos Personales
mínimos necesarios para desempeñar sus funciones. Quien realice el tratamiento de Datos Personales
deberá de establecer cuáles son los datos a los que se le permite tener acceso y forzosamente deben
corresponder al tipo de actividad que desarrolle en ITURAN. En caso de que algún usuario requiera
ampliar el acceso a los Datos Personales en virtud de sus actividades, deberá justificarlo al área de
pertenencia, notificarlos al departamento legal y solicitarlo al Área de Sistemas, según el caso, con la
justificación correspondiente y pueda ampliarse dicho acceso.
- La asignación de claves y passwords, tema a cargo del Área de Sistemas, siendo obligación de esta
última que dicha política cumpla con lo dispuesto en la presente política, es decir, protegiendo que el
tratamiento de Datos Personales sea legítimo y que en caso de que intervenga cualquier tercero que
pudiera tener acceso a los Datos Personales, o a bases de Datos que los contengan, deberán
asegurarse de la protección de dichos datos.
- Queda a cargo del Área de Sistemas la adquisición, operación, desarrollo y mantenimiento de
sistemas seguros para las computadoras. En el caso de los usuarios; de los equipos que por
cualquier causa realicen tratamiento de Datos Personales a nombre de ITURAN, será su obligación
cumplir con lo dispuesto en la Política de Asignación y Uso de Equipo y Herramientas de Trabajo.
Respecto del control de los dispositivos que salgan de las instalaciones, los usuarios que por
cualquier causa realicen tratamiento de Datos Personales a nombre de ITURAN, deberán cumplir con
lo dispuesto en la Política de Asignación y Uso de Equipo y Herramientas de Trabajo. Lo dispuesto
en los dos párrafos anteriores, también se encuentra establecido en la Política Corporativa de
Seguridad de la Información, misma que centraliza los esfuerzos globales de protección de los activos
de ITURAN, a fin de asegurar el correcto funcionamiento de las tecnologías de información que
soportan los procesos de negocio de la organización. En esta política se persigue la adopción de
acciones destinadas a preservar la confidencialidad, integridad, disponibilidad y auditabilidad de toda
la información que es manejada por ITURAN, incluyendo los Datos Personales de Asegurados de
ITURAN.
- Realizar el análisis de brecha consistente en la diferencia de las medidas de seguridad existente y
aquellas faltantes que resulten necesarias para la protección los Datos Personales este estudio deberá
realizarlo el Área de Sistemas.
- Con el fin de evitar robo de información en nuestras instalaciones físicas, las distintas áreas de ITURAN
ya sean administrativas u operativas, deberá solicitar al área Legal Corporativa, documentar contratos
de servicios de seguridad y vigilancia, para salvaguardar nuestras instalaciones y los bienes contenidos
en ellas.
- En caso de que ocurran los siguientes eventos se deberán actualizar las medidas de seguridad:
1.Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones
a la política de seguridad.
2.Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de
riesgo.
3.En caso de que se traten más Datos Personales a los que actualmente se tratan, el nivel de riesgo
aumentará, independientemente de que sea Datos Personales Sensibles, Datos Personales Patrimoniales
o Datos Personales Financieros.
4.En virtud de lo anterior, cualquier área que detecte lo señalado en el párrafo anterior, deberá hacerlo del
conocimiento del área legal corporativa, estando éste facultado a solicitar a las áreas involucradas adopten
mayor seguridad a la existente.
5.Se vulneren los sistemas de tratamiento.
6.En este caso el área de Sistemas deberá informar al área legal corporativa en qué consistió la vulneración,
así como las posibles consecuencias de las mismas.
7.Exista cualquier tipo de afectación a los Datos Personales distinta a las anteriores. El área que haya sufrido
la afectación deberá notificar al Departamento de Datos Personales en qué consistió la misma y las posibles
consecuencias.
RESPONSABILIDADES
Al Director General le corresponde designar al Titular del área de Protección de Datos Personales.
Al Titular del área de Protección de Datos Personales le corresponden las siguientes
obligaciones:
- Resolver las solicitudes de ejercicio de Derechos ARCO, así como las demás
solicitudes realizadas por los Titulares conforme a los procedimientos
especificados en la presente política.
- Garantizar la vigencia y actualización de los Avisos de Privacidad.
- Recibir y dar respuesta a dudas, quejas o solicitudes de los Titulares, dentro de los
términos legales aplicables.
- Atender y dar seguimiento a los procedimientos de verificación impuestos por el
Instituto como consecuencia del incumplimiento a la Legislación o a las
resoluciones dictadas con motivo de procedimientos de protección de derechos
ARCO. Por lo anterior, todas las áreas que cuenten con la información que ésta
última requiera, deberán transferirla en los formatos solicitados en un plazo no
mayor a 5 (cinco) días contados a partir de la solicitud.
Encargados: Son todos aquellos que de cualquier forma realizan tratamiento de Datos Personales
a nombre y representación de ITURAN o por mandato de ésta y tendrán las siguientes obligaciones:
- En caso de que reciban requerimientos por parte del área de Datos Personales, a
través de correo electrónico o cualquier otro medio, respecto a información de los
Titulares, deberán dar respuesta en el término en el que se les indique.
-
En el supuesto de que el área de Datos Personales les solicite la rectificación,
respecto de los Datos Personales de un Titular deberán efectuar esto dentro del día hábil siguiente a que ITURAN se lo haya requerido.
- Conocer, respetar y ejecutar lo relativo en el presente documento.
- Garantizar que las personas a su cargo, y que realicen el tratamiento de Datos
Personales conozcan, respeten y apliquen las políticas y procedimientos relativos a la
Protección de Datos Personales.
SOLICITUDbr
Cualquier área a la que algún Titular le solicite información sobre el tratamiento de Datos Personales o le
solicite la recepción de cualquier solicitud de ejercicio de Derechos ARCO o cualquier otro documento
relacionado, no deberá recibirla y deberá informar al Titular sobre la existencia del Aviso de Privacidad
publicado en la página de ITURAN en la sección Aviso de Privacidad para que con base en lo ahí señalado
ejerza cualquier derecho o solicitud.
MEJORES PRÁCTICAS
El área de Datos Personales podrá implementar mejores prácticas para el cumplimiento de la legislación,
por lo que todas las áreas de ITURAN estarán obligadas a cumplir con lo citado por este departamento.
EJERCICIO DE DERECHOS ARCO
Los titulares de los Datos Personales podrán solicitar por su propio derecho o a través de su
representante el ejercicio de algún Derecho ARCO (pueden ser varios derechos a la vez). El área de
Datos Personales establecerá las bases y condiciones para la atención de las solicitudes de conformidad a
lo establecido en la legislación y en el Aviso de Privacidad de ITURAN. Queda prohibida la recepción de
cualquier solicitud de ejercicio de Derechos ARCO en cualquier oficina distinta a la señalada en el Aviso de
Privacidad.
SANCIONES
El INAI es el órgano que se encarga de vigilar por la debida ejecución de las disposiciones previstas en la
legislación de esta materia, en particular aquellas relacionadas con el cumplimiento de obligaciones por parte
de los sujetos regulados por este ordenamiento.
En caso de que INAI inicie un procedimiento de verificación de cumplimiento y no se satisfaga con lo
dispuesto por dicha legislación podremos ser sujetos de sanciones consistentes en multas que van desde
100 hasta los 320,000 días de Salario Mínimo Vigente, incrementándose hasta dos veces dicha cantidad en
caso de reiteración y tratándose de datos sensibles.
La infracción a las normas contenidas en este documento traerá como consecuencia, según la gravedad
del caso, la imposición de las sanciones previstas en el Reglamento Interior de Trabajo y, de ser necesario,
las establecidas en las leyes que sean aplicables.