1. OBJETIVO
Establecer la política que norme y oriente el cumplimiento de los principios previstos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento, con el objeto de garantizar la debida protección derivada de los Datos Personales obtenidos por KETORO, así como su custodia y privacidad.
2. DEFINICIÓN DE DATOS PERSONALES.
Los datos personales son el conjunto de datos o información referente a una persona física que pueda ser usada para identificarla, directa o indirectamente, considerando que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información, la cual puede ser expresada de forma numérica, alfabética, fotográfica, sonora, holográfica, entre otros.
3. CLASIFICACIÓN DE LOS DATOS PERSONALES.
Los datos personales se clasifican en diversas categorías atendiendo a las características del dato que se trate, por lo que sin ser limitativo se clasificarán de la siguiente forma:
IDENTIFICABLES: Domicilio, nombre, fotografía, lugar y fecha de nacimiento, edad, nacionalidad, números telefónicos particulares, RFC, firma, números de identificación personal con referencia en alguna base de datos, CURP, matrícula del Servicio Militar Nacional, pasaporte, IFE y demás similares que hagan identificable a la persona.
BIOMÉTRICOS: Relativos a propiedades biológicas, características fisiológicas o rasgos de la personalidad que mediante métodos automáticos conllevan al reconocimiento de los rasgos físicos únicos e intransferibles de la persona, como la huella dactilar, geometría de la mano, características de iris y retina, código genético u otros.
SALUD: Relacionados con el estado físico o mental de la persona, cualquier atención médica, expediente clínico, diagnósticos, padecimientos, sintomatologías o análogos relacionados con la salud humana. Este tipo de datos se considera como datos sensibles.
INFORMÁTICOS: Relativos a correos electrónicos particulares, nombres de usuarios, contraseñas, firma electrónica, dirección de IP (Protocolo de Internet) privada, o cualquier dirección de control o información empleada por la persona, que implique su identificación o acceso en internet, conexión o red de comunicación electrónica.
PATRIMONIALES: relacionados con los bienes muebles e inmuebles, ingresos y egresos, cuentas bancarias, seguros, fianzas, historial crediticio, información fiscal y los afines pertenecientes al titular.
LABORALES: Los concernientes a solicitudes de empleo, referencias personales, recomendaciones, capacitación, documentos de selección y reclutamiento, nombramiento, incidencias y demás que se puedan derivar o surgir de la relación laboral del individuo.
ACADÉMICOS: Los que permitan identificar la preparación profesional de la persona como boletas, constancias, certificados, reconocimientos, títulos, cédulas profesionales o cualquier documento que tenga que ver con la trayectoria académica.
PROCEDIMIENTOS JURISDICCIONALES: La relacionada íntimamente con el individuo, contenida en procedimientos administrativos o juicios en materia laboral, civil, penal, fiscal, mercantil u otra rama del Derecho.
DE TRÁNSITO: Relativo a cualquier tipo de información susceptible del tránsito de personas.
SENSIBLES: Aquellos que están en estrecha relación con la vida íntima de la persona, como lo pueden ser el origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, preferencias sexuales y demás similares que puedan afectar al interesado.
NATURALEZA PÚBLICA: Los que por disposición expresa de algún ordenamiento jurídico se consideren públicos y accesibles en general.
4. PROTECCIÓN DE DATOS PERSONALES
KETORO, deberá garantizar mediante la presente política la salvaguarda del derecho de protección de datos personales, implementando mecanismos que protejan de forma adecuada el acceso, rectificación, cancelación y oposición de los datos, (Derechos ARCO), los cuales son personalísimos y podrán ser ejercidos directamente por el interesado o su representante legal.
5. DERECHO AL ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (ARCO)
Los derechos ARCO, hacen referencia a los derechos de Acceso, Rectificación, Cancelación y Oposición de la información personal de cada persona, los cuales quedan identificados de la siguiente forma:
ACCESO: Es la prerrogativa del interesado de obtener información acerca de si sus datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento, que en su caso se esté realizando, así como la información disponible sobre el origen de dichos datos y las transmisiones realizadas o previstas de los mismos
RECTIFICACIÓN: Derecho del interesado a que se modifiquen los datos que resulten inexactos o incompletos, respecto de la finalidad para la cual fueron obtenidos. Los datos serán considerados exactos si corresponden a la situación actual del interesado.
CANCELACIÓN: Es la prerrogativa del interesado a solicitar que se eliminen los datos personales de los cuales es titular, que resulten inadecuados o excesivos en el sistema de datos personales de que se trate, conforme a la Ley, su reglamento y los presentes Lineamientos. Para efectos de lo anterior, se considerará que los datos son inadecuados cuando no guarden una relación con el ámbito de aplicación y finalidad por la cual fueron recabados, o bien, si dejaron de ser necesarios con respecto a dicha finalidad.
Se considerarán excesivos, cuando los datos personales obtenidos sean más de los estrictamente necesarios en relación con dicha finalidad.
OPOSICIÓN: Es la prerrogativa del interesado a solicitar que no se lleve a cabo o se cese el tratamiento de sus datos personales para un fin determinado, cuando no sea necesario otorgar el consentimiento para el tratamiento en términos de lo dispuesto por el artículo 58 de la Ley, como consecuencia de un motivo legítimo y fundado del interesado y siempre que no exista un ordenamiento superior que disponga lo contrario.
En todo momento el titular de los datos podrá solicitar la rectificación y cancelación de su información a través de la solicitud formal presentada en los medios proporcionados por KETORO a través del aviso de privacidad y de conformidad con la política para el tratamiento de datos personales.
6. PRINCIPIOS RECTORES DE LOS DATOS PERSONALES
Los principios básicos que el encargado y el personal de KETORO debe observar, son los siguientes:
LÍCITUD: Los datos personales deberán recabados de conformidad con las atribuciones legales o reglamentarias vigentes y se obtendrán a través de los medios y bajo los principios fundamentales establecidos en los lineamientos y con apego a las normas aplicables, los cuales deberán ser utilizados únicamente para la finalidad determinada para la cual fueron obtenidos, puntualizando que la obtención de los datos personales no se realizará por conducto de medios fraudulentos o engañosos.
CALIDAD: Los datos deben ser pertinentes, ciertos, exactos, adecuados y actualizados para los fines que fueron recabados y se conservarán solamente el tiempo mínimo necesario para cumplir con sus fines.
INFORMACIÓN: El sujeto obligado que recabe los datos personales, deberá informar al titular de éstos, el fundamento, motivo y finalidad de su tratamiento mediante el aviso de privacidad, de conformidad con la Ley y con el presente Manual.
SEGURIDAD: El sujeto obligado deberá adoptar y ejercer las medidas necesarias para garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales, a fin de evitar su alteración, pérdida, transmisión y acceso no autorizados.
PROPORCIONALIDAD: La recopilación de datos personales será la mínima necesaria, se hará acorde al ámbito y finalidad perseguida para ello, y en ningún momento se podrá realizar excesivamente.
CUSTODIA: Los datos personales deberán protegerse; el encargados garantizarán el manejo cuidadoso en su tratamiento.
CONSENTIMIENTO: la aceptación libre e inequívoca del titular de la información respecto a cualquier tratamiento que se dé a los datos personales del titular, salvo las excepciones previstas por la ley.
Los principios antes mencionados se observarán en todo momento, para la debida protección de los datos personales en poder de KETORO.
7. OBTENCIÓN DE DATOS PERSONALES
KETORO, obtendrá, almacenará y tratará los datos personales en virtud de la relación comercial que existe con los particulares, así como por los servicios proporcionados y/o recibidos, o bien por cualquier solicitud, registro o contacto que haga un particular con KETORO.
Es importante señalar que los datos personales proporcionados a KETORO derivado de cualquier tipo de relación por servicios proporcionados y/o recibidos, sean dispuestos por el titular o representante legal, serán informados a través del Aviso de Privacidad puestos a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología que determine KETORO.
En todo caso tratándose de datos personales sensibles se debe obtener el consentimiento expreso y por escrito del titular para su tratamiento través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
A efecto de dar cumplimiento a la Ley y su Reglamento, toda obtención de datos personales se realizará con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional. No deben de utilizarse medios engañosos o fraudulentos para recabar y tratar datos personales, por lo que debe entenderse como acciones fraudulentas la existencia de dolo, mala fe o negligencia en la información proporcionada al titular sobre el tratamiento de sus datos, cuando se vulnere la expectativa razonable de privacidad del titular o bien cuando la finalidad de la información no es informada en el aviso de privacidad.
Los datos personales obtenidos, deben ser los mínimos necesarios para el cumplimiento de la finalidad para la cual se recabaron; deben ser correctos, exactos, completos, pertinentes y actualizados, de acuerdo con la finalidad para la cual fueron recabados.
8. AVISO DE PRIVACIDAD
Es el documento generado por KETORO, puesto a disposición del titular de los datos, previo al tratamiento de los datos personales, mediante el cual se le informan los fines del tratamiento de los datos personales obtenidos conforme a lo establecido en la Ley, su Reglamento y estos lineamientos.
Es obligación de KETORO, comunicar a los titulares de los datos, la información que se recaba de ellos y con qué fines serán tratados, a través del aviso de privacidad, mismo que se hará llegar al titular de los datos personales a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.
La aceptación del tratamiento de datos a través del aviso de publicidad se entenderá de las siguientes formas:
EXPRESO: El titular externa su voluntad por escrito, firma electrónica, medios ópticos o cualquier otra tecnología, que implique certeza de su identificación.
TÁCITO: El titular no manifiesta oposición alguna, respecto al Aviso de Privacidad.
Tratándose de datos especialmente sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.
9. PROTECCIÓN DE DATOS PERSONALES.
KETORO, cuenta con las medidas de seguridad administrativas, técnicas y físicas suficientes para proteger los datos personales de nuestros clientes, con el fin de evitar el daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado de los mismos, contando con el Departamento de Datos Personales y su responsable, quién es el encargado de establecer los procedimientos y políticas para dar certeza a los Titulares de la información sobre la obtención, manejo, resguardo, modificación y destrucción de la información, así mismo será el encargado de atender las solicitudes de los Titulares para ejercer sus derechos ARCO, de conformidad con lo estipulado en las Políticas para el Tratamiento de Datos Personales.
Todo el personal de la Institución que maneje, use, recabe o transfiera datos personales en cualquier fase del tratamiento de los mismos, está obligado a mantener secreto, discreción, confidencialidad y custodia sobre los mismos. El personal de KETORO deberá encontrarse debidamente capacitado y comprometido para tratar datos personales preservando su confidencialidad y privacidad, encontrándose estrictamente prohibida la copia, destrucción, uso, acceso, tratamiento, daño, alteración y/o modificación no autorizada de los datos personales proporcionados por los titulares.
KETORO, es una empresa comprometida con la seguridad de los datos y la prestación de un servicio de calidad, por ello, consciente del desarrollo tecnológico y de los riesgos que con ello se conlleva, se compromete a implementar y conservar las medidas de seguridad necesarias, suficientes y óptimas para el efecto de evitar en la medida de lo posible cualquier riesgo que pudiera afectar sus datos personales, teniendo la inherente atribución y obligación de tramitar y dar respuesta a las solicitudes en materia de datos personales.
En caso de que existiera alguna situación de riesgo, inmediatamente KETORO, adoptará el procedimiento adecuado para la solución de la problemática que se presentase. Todas las solicitudes que presente el Titular para ejercer sus derechos ARCO, deberán ser dirigidas y atendidas exclusivamente por el Encargado del Departamento de Protección de Datos Personales.
10. TRANSMISIÓN DE DATOS PERSONALES
La transmisión de datos dará lugar cuando KETORO pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado y deberá comunicar a los titulares en el aviso de privacidad las finalidades de su transmisión, no obstante, de acuerdo con la Ley, a continuación, se refieren los supuestos en los cuales podrá llevarse la transferencia de datos sin consentimiento del titular:
I. Cuando la transferencia esté prevista en una Ley o Tratado en los que los Estados Unidos Mexicanos sea parte;
II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del encargado, o a una sociedad matriz o a cualquier sociedad del mismo grupo del encargado que opere bajo los mismos procesos y políticas internas;
IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
11. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES
El sistema de gestión de seguridad de datos personales tiene como objetivo proveer un marco de trabajo para el tratamiento de datos personales que permita mantener vigente y mejorar la protección de datos personales para el cumplimiento de la legislación y fomentar las buenas prácticas.
Las fases del ciclo serán consideradas de acuerdo con los diferentes pasos y objetivos:
PLANEAR: Definir los objetivos, políticas, procesos y procedimientos relevantes para gestionar los riesgos de los datos personales, con el fin de cumplir con la legislación sobre protección de datos y obtener resultados acordes con las políticas y objetivos generales de KETORO.
HACER: Implementar y operar las políticas, objetivos, procesos y procedimientos de un Sistema de Gestión de Datos, así como sus controles o mecanismos con indicadores de medición.
VERIFICAR: Evaluar y medir el cumplimiento del proceso de acuerdo con la legislación vigente relacionada con la protección de datos personales, la política, los objetivos y la experiencia práctica del Sistema de Gestión de Datos.
ACTUAR: Para lograr la mejora continua se deben adoptar medidas correctivas y preventivas, en función de los resultados obtenidos del Sistema de Gestión de Datos.
Dicho sistema deberá observar todos los principios establecidos en la presente política, dando atención a la Ley y su Reglamento.
12. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES
El encargado deberá dar cumplimiento a las siguientes acciones:
1. Establecer el alcance y los objetivos de la gestión de los datos personales;
2. Elaborar una política de tratamiento de datos personales;
3. Establecer las funciones y obligaciones de quienes traten los datos personales;
4. Elaborar un inventario de datos personales;
5. Analizar los riesgos a los que están sujetos los datos personales, y
6. Identificar las medidas de seguridad y realizar el análisis de brecha.
Estas acciones quedarán reflejadas en la Política para el Tratamiento de los datos personales.
13. SANCIONES
Conforme a lo estipulado en la Ley y su Reglamento, así como a las disposiciones complementarias emitidas en la materia, en caso de que KETORO, no de cumplimiento a sus obligaciones estará sujeto al procedimiento correspondiente sujetándose a las infracciones, multas y sanciones establecidas en la Ley.
La presente política se encuentra expedida en fecha 22 de febrero 2023, con la finalidad de establecer los lineamientos generales, respecto al tratamiento de los datos obtenidos en cumplimiento del objeto social de KETORO.
