Políticas para el tratamiento de datos personales

1. OBJETO

 

El objeto de la presente política es definir los procedimientos relacionados con el tratamiento de los datos personales que Ketoro Digital LLC, (En lo sucesivo “KETORO”), obtiene por parte de los usuarios, clientes y proveedores, entre otros, en relación con los servicios y/o productos que ofrece. 

 

2. DEPARTAMENTO DE PROTECCIÓN DE DATOS PERSONALES

 

Es el área dentro de la organización de KETORO, en la cual se llevarán a cabo todas y cada una de las acciones encaminadas a dar cumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de Particulares, así como a su Reglamento, Circulares y/o Lineamientos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), en el cual se encontrará adscrito un Encargado, quien será el responsable de clasificar, recopilar, ordenar y resguardar los datos personales, y en su caso, realizar las modificaciones derivadas del ejercicio de los derechos ARCO. 

 

3. FUNCIONES Y OBLIGACIONES DEL ENCARGADO

Obligaciones

     El Encargado del Departamento de Datos Personales, estará a cargo del tratamiento de la información personal que KETORO obtenga de sus titulares o de las personas autorizadas para entregarlos, quien deberá clasificar dicha información con la finalidad de registrarla en el sistema de gestión de datos, delimitando su manejo en relacionado con el flujo de los datos personales de utilidad para el cumplimiento del objeto social de KETORO, tomando en cuenta las siguientes consideraciones respecto a la información obtenida: 

  1. De dónde se obtienen los datos personales (directamente del titular, a través de una transferencia o fuente de acceso público, entre otros);
  2. Las unidades de negocio o, departamentos que tratan datos personales para los servicios que ofrecen o actividades que realizan; 
  3. Las finalidades del tratamiento; 
  4. Con quién se comparten los datos personales (encargados o transferencias) y para qué se comparten; 
  5. En dónde y cómo se almacenan los datos personales; 
  6. Los procedimientos, mecanismos y tecnología utilizados para el tratamiento; 
  7. Cuánto tiempo se conservan los datos personales; y
  8. Los procedimientos para su depuración.  


Es obligación del encargado buscar el tratamiento legítimo, controlado e informado de los datos personales, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas, teniendo como principal objetivo reducir el número de vulneraciones a los datos personales.

 

Funciones. 
 

El Encargado, deberá realizar todos los procedimientos físicos y supervisar los procesos automatizados, que permitan recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y cancelar datos personales; dentro de sus principales actividades están las de capturar, actualizar y supervisar el sistema de datos personales.

 

El Encargado está obligado a guardar absoluta secrecía respecto de los datos personales, obligación que perdurará aún después de finalizada la relación por la cual se dio el tratamiento, quien junto con KETORO serán los únicos que tendrán acceso a los Sistemas de Datos Personales, debiendo contar con las siguientes características:  


a) Compromiso total del cumplimiento de la política; 

b) Desarrollo y revisión de la política; 

c) Asegurar la implementación de la política; 

d) Revisiones de la gestión de la política; 

e) Concienciar y brindar el entrenamiento necesario de la política; 

f) Aprobación de procedimientos donde sean tratados los datos personales, como: 

  • La administración de datos; 
  • El manejo de solicitudes de los titulares o sus representantes; 
  • La recolección y manipulación de datos personales; 
  • Manejo de quejas; 
  • La gestión de incidentes de seguridad; 

g) Enlace con las personas o áreas que obtengan y manejen datos personales.

 

A efecto de que el encargado lleve a cabo sus funciones, éste deberá implementar un sistema de seguridad físico que permita identificar de forma inequívoca y personalizada, a todo aquél que intente acceder al sistema de datos personales, manejando un registro o bitácora que verifique el evento. Así mismo dará atención al sistema de seguridad electrónico que se implemente para la administración y resguardo de la base de datos. 


 

Obtención de datos personales.

 

Los datos personales deberán ser proporcionados por sus titulares o representantes legales de forma voluntaria e inequívoca ya sea de forma directa al personal de KETORO, a través de los formatos proporcionados en el sitio web de KETORO o por cualquier otro medio electrónico, para tal efecto el encargado deberá tener constante comunicación con el personal que por la propia naturaleza de su labor sea quien obtenga y recabe dicha información para que le sea proporcionada y puesta bajo resguardo en la base de datos propiedad de KETORO.  

 

Inventario de datos personales. 

Una vez definidos los alcances y objetivos de los datos obtenidos, identificados y documentados, se dará seguimiento al proceso de organización, a través de un inventario de datos vinculado con la información básica que permita conocer la relación del flujo de la información, considerando la obtención, el almacenamiento, uso, procesamiento, divulgación, bloqueo, cancelación y depuración de la misma, a través de bases de datos que permitan identificarlos y tratarlos.  

 

Base de datos. 


La base de datos estará conformada por toda aquella información obtenida y utilizada por KETORO, resguardada y organizada a través de archivos electrónicos que permitan identificar la información fácilmente para su procesamiento, con la finalidad de asegurar el mejor tratamiento y resguardo de los datos personales, tales como; nombre, teléfono y correo electrónico. 

Una vez identificados los datos personales a tratar, se tiene que definir su relación con el personal de KETORO, para tal efecto con la finalidad de documentar el cruce de información entre los sistemas de tratamiento y el personal involucrado, se utilizará una matriz de responsabilidades, de conformidad con el acceso o uso que se tengan permitidos para cada área o departamento, determinando el tratamiento de la información a través de los siguientes parámetros: 

A: Almacenar 

B: Bloquear

M: Modificar 

O: Obtener 

U: Usar 

S: Suprimir

 

PERSONAL RELACIONADO

SISTEMA DE TRATAMIENTO

BASES DE DATOS CLIENTES 

BASE DE DATOS PROSPECTOS 

BASE DE DATOS EMPLEADOS 

Departamento de ventas 

   

Departamento de Recursos Humanos 

   

Departamento de protección de Datos 

   

Departamento de Finanzas 

   

Dichos datos deben ser actualizados, no obstante, cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad podrán ser cancelados. 

El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de 5 (cinco) años, contados a partir de la fecha calendario en que se presente el mencionado incumplimiento.

A efecto de determinar el nivel de tratamiento de los datos señalados con anterioridad se debe considerar la siguiente clasificación:  

 

a) Nivel estándar 

Esta categoría considera información de identificación usada de forma habitual en los procesos de KETORO, respecto a una persona física identificada o identificable, tal como: nombre, edad, lugar y fecha de nacimiento, domicilio, fotografía, nacionalidad, números de teléfono, RFC, CURP, identificación oficial, recomendaciones, incidencias, ingresos, cuentas bancarias y seguros, entre otros siendo éstos enunciativos mas no limitativos.  

b) Nivel sensible 

Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y/o futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, entre otros. 

c) Nivel especial 

Esta categoría corresponde a los datos cuya naturaleza única, o bien debido a un cambio excepcional en el contexto de las operaciones usuales de la organización, pueden causar daño directo a los titulares, por ejemplo la Información adicional de tarjeta bancaria que considera el número de la tarjeta de crédito y/o débito mencionado anteriormente en combinación con cualquier otro dato relacionado o contenido en la misma, por ejemplo fecha de vencimiento, códigos de seguridad, datos de banda magnética o número de identificación personal (PIN).

 

4. MEDIOS DE ALMACENAMIENTO Y ACTUALIZACIÓN DE LA BASE DE DATOS. 

 

El encargado debe mantener actualizado el inventario de los datos activos, así como los medios de almacenamiento en que residen las bases de datos personales, con la finalidad de identificar posibles vulnerabilidades y posibles amenazas, por lo que el encargado deberá identificar dos tipos de activos: 

 

Activos de información, los cuales corresponden a la esencia de KETORO: 

  • Información relativa a los datos personales 
  • Información de procesos del negocio en los que interviene el flujo de datos personales y actividades involucradas en el tratamiento de los mismos. 

 

En dicho supuesto, los documentos físicos se tienen que localizar en archiveros ordenados de acuerdo al funcionamiento de los mismos, en un espacio seguro garantizando su conservación y resguardo y limitando su acceso. 

 

Activos de apoyo, en los cuales residen los activos de información, como son: 

  • Hardware 
  • Software 
  • Redes y Telecomunicaciones 

 

ACTIVOS DE INFORMACIÓN

AUXILIARES



 

Hardware. 

Consiste en todos los elementos físicos que soportan procesos de datos personales

Equipo de procesamiento de datos. Equipo para el procesamiento automático de información personal, incluyendo los elementos que operan independientemente. Por ejemplo, servidores, estaciones de trabajo, computadoras de cualquier clase. 

Equipo móvil. Equipo de cómputo portátil. Por ejemplo, laptops, tablets, smartphones.

Periféricos. Equipo conectado a una computadora para la entrada o alimentación de datos, y salida de datos. 











 

Soportes

Medios de almacenamiento de datos personales

Soportes electrónicos. Medios electrónicos de información inteligibles mediante el uso de un dispositivo electrónico como una computadora, para examinar, modificar o almacenar los datos. Por ejemplo, servidores de almacenaje en la nube, servidores remotos, discos ópticos (CD’s yDVDs), cintas magnéticas de audio, video y datos, fichas de microfilm, discos duros removibles, memorias USB, y demás medios de almacenamiento masivo no volátil. 

Soportes físicos. Medios de información inteligibles a simple vista, que no requieren de ningún dispositivo electrónico que procese su contenido para examinar, modificar o almacenar los datos. Por ejemplo, papel escrito a mano o impreso, transparencias, fotografías, placas radiológicas, entre otros. 

Sistemas Operativos (SO). Incluye a todos los programas que funcionan como plataforma base para que operen otros programas tales como servicios y aplicaciones. Los principales elementos de un SO son los procesos relacionados a la gestión de servicios de equipo (CPU, memoria, discos, e interfaces de red), gestión de tareas o procesos, y servicios de gestión de permisos de usuario. 

Software de servicio, mantenimiento o administración del software. Este complementa los servicios del SO y no es directamente accesible por los usuarios o aplicaciones (incluso cuando es indispensable para la operación global de sistemas de información). Por ejemplo, plataformas de actualización, antivirus empresariales. 

Paquetería de software o software estándar. Son productos completamente comercializados que proveen servicios a los usuarios y aplicaciones, pero no están personalizados para requerimientos especiales de la organización como ocurriría con una aplicación de negocio. Por ejemplo, administradores de bases de datos, mensajería instantánea, servidores web, editores de texto, etc. 


 

Redes y Telecomunicaciones.

Consisten en todos los dispositivos usados para interconectar computadoras o elementos de un sistema de información de voz y/o datos

Medios y equipos. Los medios y equipos de comunicaciones y telecomunicaciones están definidos principalmente por las características físicas y técnicas (punto-a-punto, broadcast) y por los protocolos de comunicación (protocolos de enlace, de red). Ejemplos: Red Telefónica Pública Conmutada, Especificaciones de protocolos físicos, wireless, Bluetooth, etc. 

También se deben considerar los elementos que dan soporte a los protocolos de comunicación de red, incluyen funciones de enrutamiento y/o filtrado de las comunicaciones (por ejemplo, bridge, router, switch, hub); las interfaces (físicas y lógicas) para conectar y permitir el enlace de diferentes medios o protocolos; y los medios proporcionados por un tercero para la conexión (por ejemplo: líneas telefónicas externas e internas, adsl, comunicación vía satélite, etc.). 

5. RIESGOS DE LOS DATOS PERSONALES.

Identificación de riesgos 

 

La seguridad de los datos personales se basa en el entendimiento de la naturaleza del riesgo al que están expuestos los datos personales, el riesgo no se puede erradicar completamente, pero sí se puede minimizar a través de la mejora continua, por lo que el encargado determinará las características del riesgo que mayor impacto puede tener sobre los datos personales que tratan, con el fin de priorizar y tomar la mejor decisión respecto a los controles más relevantes e inmediatos a implementar de conformidad con los siguientes criterios: 

 

 

DE IMPACTO: Se definen en términos del posible nivel de daño y perjuicio al titular causado por un evento negativo a la seguridad de los datos personales, considerando: 

  • El valor de los datos para KETORO 
  • El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular 
  • Vulneraciones de seguridad 
  • Daño a la integridad de los titulares de datos personales 
  • Daño a la reputación de KETORO

 

ACEPTACIÓN DEL RIESGOEl encargado podrá aceptar o no ciertos niveles de riesgo, siempre y cuando la naturaleza del riesgo, sus consecuencias o su probabilidad sean consideradas como muy poco significativas. 

  • Se debe expresar el beneficio o el riesgo estimado para KETORO, aplicando diferentes criterios de aceptación correspondientes al riesgo. Por ejemplo, riesgos que pueden resultar del incumplimiento a la Ley que no pueden ser aceptados. 
  • Se deben incluir múltiples umbrales, correspondientes a diferentes niveles de aceptación, previendo aceptar riesgos sobre esos niveles en circunstancias específicas. 
  • Los criterios de aceptación del riesgo pueden incluir requerimientos para una gestión futura, por ejemplo, un riesgo puede ser aceptado si hay aprobación y el compromiso de la Alta Dirección para tomar acciones que permitan reducirlo a un nivel aceptable dentro de un periodo definido más adelante. 

  • Para definir todo criterio de aceptación del riesgo es importante considerar:

     

  1. Política(s) de la organización respecto al tratamiento de datos personales 
  2. Aspectos legales y regulatorios 
  3. Operaciones 
  4. Tecnología 
  5. Finanzas 
  6. Factores sociales y humanitarios 

 

El nivel de riesgo en los sistemas de tratamiento de datos personales puede disminuirse con mecanismos como: 


Disociación: Se aíslan los datos de manera que por sí mismos no aporten información con la que un titular pueda ser identificable. De esta manera el valor de la base de datos para una persona no autorizada se ve disminuido. 

 

Separación: Se separan los activos de información grandes en otros más pequeños, por ejemplo, una base de datos de clientes en dos bases de datos: clientes corporativos y personas físicas. Entre mayor cantidad de información tiene un activo, éste resulta más atractivo para una persona no autorizada. 


Valoración del riesgo 


El encargado deberá observar y valorar el riesgo de forma cuantitativa, cualitativa o ambas, para atenderlo en la fase de implementación. La valoración del riesgo debe identificar los activos existentes, las amenazas aplicables, y los escenarios de vulneración, considerando las consecuencias potenciales para KETORO, al efecto se deben tener las siguientes consideraciones:

 

TIPO DE ACTIVO

EJEMPLOS DE VULNERABILIDADES

EJEMPLOS DE AMENAZAS


 

POSIBLE VULNERACIÓN A LOS DATOS PERSONALES


 










 

      Hardware


 

Mantenimiento insuficiente 


 

Falla en el sistema de información personal 

Pérdida o daño 


 

Falta de un procedimiento para la sustitución de equipos 


 

Polvo, corrosión, congelamiento, fuego, agua, contaminación, radiación electromagnética. 

Pérdida o daño 


 

Susceptibilidad a daño físico 


 

Falla en el funcionamiento del equipo 

Pérdida, destrucción o daño 


 

Falta de configuraciones adecuadas al equipo 

Falla en el funcionamiento del equipo 

Pérdida, destrucción, acceso o uso no autorizado

Susceptibilidad a los cambios de voltaje 

Pérdida de suministro eléctrico

Pérdida, destrucción o corrupción de información


 

Susceptibilidad a las variaciones del ambiente 

Fenómenos hidrometeorológicos

Pérdida, destrucción o daño 


 

Almacenamiento no cifrado 


 

Robo de información y/o soportes electrónicos 


 

Robo, extravío o copia no autorizada / Uso, acceso o tratamiento no autorizado

Falta de cuidado en la destrucción de soportes electrónicos 

Robo de información y/o soportes electrónicos 

Robo, extravío o copia no autorizada / Uso, acceso o tratamiento no autorizado 











 

      Software 


 

Carencia o falta de pruebas al software y su configuración antes de su liberación 

Error en el funcionamiento de la aplicación 


 

Daño, alteración o modificación 


 

Falta de actualizaciones de seguridad en software 

Intrusiones, propensión a virus

Uso, acceso o tratamiento no autorizado 

No cerrar la sesión al abandonar la estación de trabajo 

Acceso no autorizado a los sistemas 


 

Uso, acceso o tratamiento no autorizado 


 

Desecho o reutilización de medios de almacenamiento sin un adecuado borrado de información 

Existencia de información confidencial en los medios


 

Robo, copia, uso, acceso o tratamiento no autorizado 


 

Falta de registros de auditoría 


 

Acciones fraudulentas 


 

Uso, acceso o tratamiento no autorizado 

Error en las asignaciones de privilegios de acceso 

Intrusión en los sistemas 


 

Uso, acceso o tratamiento no autorizado 

Interfaces de usuario complicadas 


 

Error en la operación de los sistemas 


 

Uso, acceso o tratamiento no autorizado, daño, alteración o modificación


















 

Redes


 

Falta de mecanismos de identificación y autenticación de usuario 

Suplantación de identidad 


 

Pérdida, destrucción robo, extravío o copia no autorizada, uso, acceso o tratamiento no autorizado 

daño, alteración o modificación 

Contraseñas débiles


 

Intrusión y manipulación de los sistemas 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Servicios de red innecesarios que estén habilitados y/o mal uso de protocolos 

Intrusión a la privacidad del personal 


 

Uso, acceso o tratamiento no autorizado 


 

Falta de monitoreo de los componentes de las redes, protocolos, servicios y aplicaciones 

Canales encubiertos y tráfico clandestino 


 

Uso, acceso, o tratamiento no autorizado 


 

Descarga y uso de software no controlado 


 

Ejecución de código malicioso 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Falta de respaldos 


 

Corrupción de datos en los sistemas 


 

Pérdida o destrucción 

Daño, alteración o modificación 

Falta de un registro sobre la administración de los recursos 


 

Uso no autorizado de los servicios 


 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Cableado de interconexión dañado o antiguo 


 

Malfuncionamiento en los equipos de telecomunicaciones 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Falta de personal sensibilizado y/o entrenado en Seguridad 

Fraude y robo 


 

Uso, acceso o tratamiento no autorizado 


 

Proceso de reclutamiento inadecuado 

Fraude y robo 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

















 

Personal 


 

Uso incorrecto de software y hardware 


 

Error en las operaciones de los sistemas 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación

Falta de supervisión al trabajo de externos 


 

Robo de información y/o soportes físicos/electrónicos 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Falta de políticas acerca del uso de medios de telecomunicaciones

Uso no autorizado de redes de comunicación



 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación

Falta o implementación inadecuada de controles de acceso 


 

Robo o destrucción de activos


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación

Lugar susceptible al daño por agua 

        Inundaciones


 

Pérdida o destrucción 


 




 

Sitio


 

Red eléctrica inestable 

Variación de voltaje 

Pérdida o destrucción 

Falta de procedimientos formales para la administración de privilegios de usuario 


 

Abuso de privilegios por parte de los usuarios 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Falta o ausencia de reportes de fallas 


 

Reincidencia de problemas 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 






















 

Organización



 

Falta de procedimiento formal para documentar y supervisar un Sistema de gestión de Datos Personales (SGD)

Malfuncionamiento del SGD 


 

Pérdida o destrucción 

Daño, alteración o modificación 

Falta de asignación de responsabilidades respecto a la seguridad de la información 


 

Abuso de privilegios por parte de los usuarios 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Falta de políticas de uso de correo electrónico 

Fuga de información 


 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Falta de procedimientos para la instalación y actualización de los 

sistema de información 

Fallas en los sistemas de información y vulnerabilidades.


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Falta de registros de actividad/bitácoras en los sistemas de administración u operación 

Uso no autorizado

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Falta de procesos para el tratamiento de datos personales 


 

Mal manejo de los datos personales


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Falta o insuficiencias de condiciones relacionadas a la protección de datos en contratos con empleados 

Empleado negligente 


 

Pérdida o destrucción 

Robo, extravío o copia no autorizada 

Uso, acceso o tratamiento no autorizado 

Daño, alteración o modificación 

Un escenario de vulneración se determina considerando el grado de daño en los activos o los cambios en el nivel de objetivos definidos por KETORO, que pueden afectar a más de un activo total o parcialmente. Las consecuencias pueden ser de naturaleza temporal, por ejemplo, la caída del servicio o de naturaleza permanente, por ejemplo, la destrucción de información escrita en documentos, para tal efecto se deberán considerar dos escenarios sobre activos: 

Escenario 1. Expediente del cliente (papel) 

Escenario 2. Expediente del cliente 

 

Reducción del riesgo 

 

El objetivo del encargado deberá seleccionar los controles apropiados y justificados para satisfacer los requerimientos especificados por la valoración del riesgo. Los controles pueden proporcionar uno o más de los siguientes tipos de protección: 

  • Corrección 
  • Eliminación 
  • Prevención 
  • Minimización del impacto 
  • Disuasión 
  • Recuperación 
  • Monitoreo 
  • Concienciar 


Evasión del riesgo 

 

Cuando el riesgo identificado es muy alto o los costos de tratamiento exceden a los beneficios, se debe tomar una decisión para evitar el riesgo, retirándose de las actividades actuales o cambiando las condiciones bajo las cuales operan dichas actividades. 


6. MEDIDAS DE SEGURIDAD 

 Con la finalidad de reducir una potencial amenaza se realizará un registro de los medios de almacenamiento de los datos personales, con la finalidad de proteger la información de algún tipo de vulneración a la seguridad del almacenamiento de datosLas amenazas pueden ser de origen natural o humano, y pueden ser accidentales o deliberadas y además provenir de adentro o desde afuera de KETORO. 

 

El encargado deberá identificar y considerar las amenazas recurrentes con la finalidad de localizar el tipo de ayuda tecnológica y de seguridad que determine para proteger la veracidad de la base de datos, por lo que, salvo los riesgos observados más adelante por el encargado, se deberá realizar una copia del respaldo a la base de datos semanalmente una vez implementado el sistema definitivo. 
 

7. ATENCIÓN DE SOLICITUDES POR PARTE DE LOS TITULARES.

 

Una de las principales funciones del encargado, respecto al tratamiento de datos personales, es dar atención a las solicitudes de los titulares o sus representantes legales, que deseen ejercer cualquiera de los derechos ARCO, en relación con los datos personales proporcionados parte de los mismos o bien por personas autorizadas para entregarlos. 
 

En caso de que el solicitante tenga contacto con el encargado de manera personal, por teléfono o por correo electrónico, éste en todo caso deberá indicar al titular o interesado que dicha solicitud la deberá realizar por escrito, el cual deberá contener los siguientes elementos: 

 

  1. El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud; 
  2. Los documentos que acrediten la identidad o, en su caso, la representación legal del titular; 
  3. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y 
  4. Cualquier otro elemento o documento que facilite la localización de los datos personales. 

 

Una vez que el interesado presente la solicitud con los elementos antes mencionados, KETORO contará con un plazo máximo de 20 (veinte) días hábiles contados a partir de la recepción de la misma, en el cual determinará si dicha petición resulta procedente, y en caso de serlo, se hará efectiva la misma en un plazo de 15 (quince) días hábiles siguientes a la fecha en que se comunique la respuesta para dar cumplimiento.

 

Tratándose de solicitudes de acceso a datos personales, procederá la entrega previa acreditación de la identidad del solicitante o representante legal, según corresponda. 

 

Los plazos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso.

 

En el supuesto de que las solicitudes recaigan sobre la cancelación de datos, se dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato o datos, sin embargo, el responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento y para efectos fiscales. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento de los datos personales, el cual una vez cancelado, se dará aviso al titular.
 

Cuando los datos personales hayan sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, KETORO deberá hacer del conocimiento del tercero dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también.


No obstante, KETORO no estará obligado a cancelar los datos cuando: 

 

  1. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento; 
  2. Deban ser tratados por disposición legal; 
  3. Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas; 
  4. Sean necesarios para proteger los intereses jurídicamente tutelados del titular; 
  5. Sean necesarios para realizar una acción en función del interés público; 
  6. Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y 
  7. Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.

 

Se podrá negar el acceso a los datos personales, o a realizar la rectificación, cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos: 

 

  1. Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello; 
  2. Cuando en su base de datos, no se encuentren los datos personales del solicitante; 
  3. Cuando se lesionen los derechos de un tercero; 
  4. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y 
  5. Cuando la rectificación, cancelación u oposición haya sido previamente realizada.

 

La negativa podrá ser parcial, en cuyo caso el responsable efectuará el acceso, rectificación, cancelación u oposición requerida por el titular. 


En todos los casos, el responsable deberá informar el motivo de su decisión y comunicarla al titular, o en su caso, al representante legal, en un plazo máximo de 20 (veinte) días hábiles contados a partir de la recepción de la solicitud, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.

 

El derecho se ejercerá por el titular en forma gratuita, previa acreditación de su identidad. No obstante, si la misma persona reitera su solicitud en un periodo menor a doce meses, los costos no deberán ser mayores a tres días de Salario Mínimo General Vigente en la Ciudad de México, o la unidad de medida que en un futuro la pueda suplir, a menos que existan modificaciones en la Ley o claramente establecidas en el aviso de privacidad que motiven nuevas consultas. 


8.   REVISIÓN 

Como parte de las obligaciones para el tratamiento de datos personales, el encargado deberá dar cumplimiento a la presente política y a la legislación vigente, por lo que el encargado debe asegurar que los siguientes puntos estén continuamente monitoreados: 
 

  • Nuevos activos que se incluyan en los alcances de la gestión de riesgo. 
  • Modificaciones necesarias a los activos, por ejemplo, cambio o migración tecnológica. 
  • Nuevas amenazas que podrían estar activas dentro y fuera de KETORO y que no han sido valoradas. 
  • La posibilidad de que vulnerabilidades nuevas o incrementadas sean explotadas por las amenazas correspondientes. 
  • Vulnerabilidades identificadas para determinar aquéllas expuestas a amenazas nuevas o pasadas que vuelven a surgir. 
  • Cambio en el impacto o consecuencias de amenazas valoradas, vulnerabilidades y riesgos en conjunto, que resulten en un nivel inaceptable de riesgo. 
  • Incidentes y vulneraciones de seguridad. 

 

9. ACTUALIZACIÓN Y CAPACITACIÓN

KETORO, deberá garantizar la constante capacitación del encargado a través de cursos, talleres, conferencias o cualquier otro medio que le permita una mejora continua al tratamiento de datos personales, adoptando medidas correctivas y preventivas, en función de los resultados obtenidos de la revisión por parte de la Alta Dirección o las auditorías que se realicen a KETORO. 

 

KETORO, implementará un sistema de concienciación, a través de programas a corto plazo para la difusión en general de la protección de datos personales en KETORO, así como la capacitación al personal de manera específica respecto a sus funciones y responsabilidad en el tratamiento y seguridad de los datos personales y fomentar la seguridad en el tratamiento de los datos personales dentro de la cultura de la organización. 

 

La presente política fue expedida en fecha 22 de febrero 2023, con la finalidad de establecer los lineamientos generales, respecto al tratamiento de los datos obtenidos en cumplimiento del objeto social de KETORO.