ENVIO GRATIS EN COMPRAS MAYORES $1,000 PESOS.

Política de Privacidad y Protección de Datos Personales

CORPORATIVO EUTOPIO S. DE R.L. DE C.V.

1. INTRODUCCIÓN:
“CORPORATIVO EUTOPIO S. DE R.L. DE C.V. (en lo sucesivo “EUTOPIO”), con el afán de salvaguardar el derecho fundamental de la protección de nuestros Clientes, Proveedores, Prestadores de Servicios, Empleados, Etc., respecto al tratamiento de su información, el derecho que tiene toda persona de conocer y decidir quien, como y de qué manera recaban, utilizan y comparten sus datos personales, así como el poder de disposición y control a decidir cuáles de sus datos proporcionan a un tercero, crea la presente política para establecer los controles y procedimientos necesarios para tal fin.

2. OBJETIVO:
La presente Política de Privacidad y Protección de Datos Personales (la “Política”) establece los lineamientos generales que deberán observarse, con el fin de garantizar y proteger los Datos Personales con base en lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo la “Ley”) y su Reglamento (En lo sucesivo el “Reglamento”), así como la metodología y políticas a seguir para asegurar el cumplimiento de la “Ley” yel “Reglamento” por parte de la empresa.
Asimismo, la presente política tiene por objetivo comunicar a los empleados y usuarios de la empresa sobre los recursos, plataformas tecnológicas, sistemas o conjuntos de información y/o datos, y aplicaciones informáticas de la empresa, donde se manejen Datos Personales, las condiciones y conductas que deben asumir al acceder y utilizar dichos recursos.

3. ENTRADA EN VIGOR: A partir del 20 de enero de 2021.
4. ALCANCE: La siguiente Política es aplicable a todo tipo de tratamiento de Datos Personales de posibles clientes, clientes, proveedores, prestadores de servicios, candidatos a puestos de trabajo, empleados, ex empleados o cualquier otro análogo; así como a toda modalidad de uso posterior a dichos datos, incluyendo los sistemas de información, soportes y equipos tecnológicos empleados para el tratamiento de Datos personales, que deban ser protegidos conforme a la “Ley” y su Reglamento. De lo anterior, esta Política es aplicable para cualquier tipo de tratamiento de Datos Personales por parte de la empresa, es de observancia general y aplicación inmediata a partir de la fecha de publicación de la misma. El desconocimiento de ésta no exime a nadie de su cumplimiento y responsabilidad. El cumplimiento de esta Política es obligatorio para todos los empleados y/o usuarios que estén bajo el control común del mismo grupo de la empresa, independientemente de que se trate de empleados o usuarios de sociedades controladoras, subsidiarias, afiliadas o matrices.

5. DEFINICIONES:
Aviso de Privacidad.– Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales.
Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable.
Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabadas, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.
Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
Datos personales: Cualquier información concerniente a una persona física identificada o identificable.
Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, condición económica, estados financieros, propiedades y cualquier otro tipo de información patrimonial, entre otros.
Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el “Reglamento”.
Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.
Titular: La persona física a quien corresponden los datos personales.
Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

6. MEDIDAS ADMINISTRATIVAS, LEGALES Y DE SEGURIDAD:
a) Administrativas: -“EUTOPIO” designa al encargado de la oficina de privacidad. -De igual forma, obtiene utiliza, transmite, almacena y/o resguarda los datos personales conforma a los principios de la Ley: lealtad, fidelidad, calidad, proporcionalidad, responsabilidad, consentimiento, y licitud. -El procedimiento interno de atención a solicitudes de revocación de consentimiento y/o ejercicios de derechos ARCO consiste en poner a disposición del cliente un correo electrónico para que el encargado de la oficina de privacidad ofrezca un seguimiento pronto y oportuno a las solicitudes con el objetivo de cumplir con los plazos establecidos en la Ley.
b) Legales: -Los asesores externos y gerentes generales deberán obtener el consentimiento expreso del cliente al momento de recabar datos personales sensibles firmando una carta de consentimiento para el tratamiento de datos personales sensibles. -“EUTOPIO” pone a disposición de los titulares de los datos personales el aviso de privacidad a través de la página de internet de la compañía -La oficina de privacidad dará a conocer a los titulares de los datos personales cualquier modificación al aviso de privacidad. -La oficina de privacidad deberá alertar a los titulares de los datos personales mediante un aviso en caso de vulneración de la seguridad de los documentos, archivos, y/o sistemas de información que contengan los datos.
c) Seguridad: -Con fundamento en el artículo 60 del reglamento de la Ley “EUTOPIO” determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores: el riesgo inherente por tipo de dato personal; la sensibilidad de los datos tratados; el desarrollo tecnológico; las posibles consecuencias de una vulneración para los titulares.
-A fin de establecer y mantener la seguridad de los datos personales, “EUTOPIO” considera las siguientes acciones: cuenta con un inventario de datos personales y de los sistemas de tratamiento; determina las funciones y obligaciones de las personas que traten los datos personales; cuenta con un análisis de riesgo de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales; establece medidas de seguridad aplicables a los datos personales e identifica aquellas implementadas de manera efectiva; realiza el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquellas faltantes que resultan necesarias para la protección de los datos personales; se cuenta con un plan de trabajo para la implementación de las medidas de seguridad faltantes derivadas del análisis de brecha; lleva a cabo revisiones y auditorias; se ha capacitado a todo el personal para el debido tratamiento.
7. VULNERACIONES DE SEGURIDAD:
Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son:
-La pérdida o destrucción no autorizada
-El robo, extravío o copia no autorizada
-El uso, acceso, o tratamiento no autorizado
-El daño, alteración, o modificación no autorizada
En caso de vulneración “EUTOPIO” deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación y sin dilación alguna a fin de que los titulares afectados puedan tomar las medidas correspondientes informando al titular la naturaleza del incidente, los datos personales comprometidos, las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses, las acciones correctivas realizadas de forma inmediata, y los medios donde puede obtener más información al respecto.
En caso de que ocurra alguna vulneración de los datos personales, “EUTOPIO” deberá tomar medidas correctivas como el analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas, y de mejora para adecuar las medidas de seguridad correspondientes a efecto de evitar que la vulneración se repita.
Las vulneraciones de seguridad que se encuentren confirmadas, ocurridas en cualquier fase del tratamiento de Datos Personales, y que después de una evaluación se considere que pueden afectar de forma significativa los derechos patrimoniales o morales de los titulares, deben de ser notificadas de forma inmediata a los titulares por el Departamento legal de “EUTOPIO” .
Evaluación de vulneraciones: al identificar que ha ocurrido una vulneración de datos personales, el Departamento legal de “EUTOPIO” en coordinación con las demás áreas involucradas, deberán confirmar el tipo de vulneración, las razones por las que ocurrió, dar inicio al plan de mitigación de riesgos, de acuerdo a lo establecido en la presente Política y demás Políticas de la empresa en materia de Seguridad de la Información; evaluar el impacto de la vulneración para determinar si podría afectar los derechos del titular, y elaborar un plan de recomendaciones al titular sobre las medidas que puede tomar para proteger sus intereses debido a la vulneración.
Notificación: si la vulneración podría afectar los derechos del titular, el Departamento legal de “EUTOPIO” elaborará un informe para el titular, en el cual se señale lo siguiente:
– Tipo y razones de la vulneración
– Los datos personales objeto de la vulneración
– Recomendaciones al titular acerca de las medidas que puede tomar para proteger sus intereses
– Acciones que la empresa ha tomado para mitigar el riesgo
– Este informe deberá ser notificado al titular de forma inmediata, por el (o los) medio (s) de contacto directo que se tengan disponibles.
8. TIPO DE DATOS PERSONALES: Los Datos Personales son la información de las personas físicas, que las vuelve identificables. Esta información está contenida en soportes físicos, electrónicos y/o análogos, y se expresa en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo. Esta información, vuelve a una persona directa o indirectamente identificable, pues se refiere a su identidad física, fisiológica, psíquica, económica, cultural o social, por lo que un mal uso de la misma puede poner en riesgo al titular de sufrir daños considerables en su persona y patrimonio.
La información relativa a datos personales se ha dividido en dos rubros:

Datos personales: aquellos que se refieren a los generales del titular, como pueden ser el nombre, dirección, número telefónico, dirección de correo electrónico, entre otros.
Los datos personales que se recaben deberán ser solamente aquellos que resulten necesarios, adecuados y relevantes, en relación a la finalidad con que se estén obteniendo, misma que deberá ser descrita en el Aviso de Privacidad que se le dé a conocer el titular en el momento en que se lleve a cabo la recolección.

Datos personales sensibles: Aquellos que se refieren a aspectos raciales, étnicos, estado de salud presente y futuro, información genética, ideología política, creencias religiosas, filosóficas y morales, afiliación sindical, preferencias sexuales, condición económica, estados financieros, propiedades
y cualquier otro tipo de información patrimonial, entre otros.

Los Datos Personales Sensibles que se recaben deberán ser solamente aquellos que resulten extremadamente necesarios, adecuados y relevantes para el cumplimiento de una obligación jurídica, misma que deberá ser descrita explícitamente en el Aviso de Privacidad que se le dé a conocer al titular en el momento en que se lleve a cabo la recolección.

Siempre que se recaben Datos Personales Sensibles se deberá obtener el consentimiento expreso y por escrito del titular para poder llevar a cabo el tratamiento.

De acuerdo a la naturaleza de los datos personales se establecerán las condiciones y finalidades de la obtención y tratamiento de los mismos.


Los Datos relativos a Personales Morales, a Personas Físicas en representación de una Persona Moral, así como los datos de Personas Físicas en su calidad de Comerciantes y Profesionales, no son considerados “Datos Personales”, por lo que no son sujetos a la protección en la presente Política, siempre y cuando se traten de datos de contacto y se utilicen solo con esos fines.

9. NIVELES DE PROTECCIÓN DE DATOS PERSONALES:
Hay tres niveles de protección para el tratamiento de los Datos Personales:
Alto: relativo a datos personales de salud (estado de salud físico y mental), biométricos (huellas dactilares, iris, palma de la mano y análogos), y de condición social (ideología, afiliación política, religión, origen étnico, preferencia sexual y análogos).
Medio: relativo a datos personales patrimoniales (cuentas bancarias, saldos, propiedades y análogos).

Básico: relativo a datos personales de identificación (nombre, edad, domicilio, RFC, CURP y análogos).
Estos niveles de protección serán considerados por los usuarios, empleados y prestadores de servicios de la empresa al momento de elaborar el inventario de información relativa a Datos Personales, de acuerdo a lo establecido en la presente Política.

10. OBTENCIÓN DE DATOS PERSONALES:

La obtención de datos personales se da en varios supuestos, los más comunes se han identificado en siete rubros:
Datos personales de Clientes: son aquellos que proporcionados por los clientes u obtenidos por la empresa con motivo de la prestación de nuestros servicios, tales como: nombre, edad, estado de salud presente y futuro, condición económica, estados financieros, propiedades y cualquier otro tipo de información patrimonial, etc., los cuales tienen un alto contenido SENSIBLE.
Datos personales de Posibles Clientes: son aquellos que proporcionados por los posibles clientes u obtenidos por la empresa con motivo del ofrecimiento de nuestros servicios, tales como: nombre, edad, estado de salud presente y futuro, condición económica, estados financieros, propiedades y cualquier otro tipo de información patrimonial, etc., los cuales tienen un alto contenido SENSIBLE.
Datos personales de Candidatos a puestos de trabajo: son aquellos contenidos en solicitudes de empleos, cartas curriculares; exámenes médicos, psicométricos y de habilidades, realizados por la empresa durante el proceso de selección y otros análogos; que generalmente tienen un alto contenido SENSIBLE.
Datos personales de Empleados: son aquellos que se obtuvieron durante el proceso de selección para el puesto, así como los que se van obteniendo en el transcurso de la relación laboral, como lo son exámenes médicos, estados de salud, reportes de rendimiento, faltas, sueldos y otros análogos; que generalmente tienen un alto contenido SENSIBLE.
Datos personales de Proveedores: son aquellos que proporcionados por los proveedores, personas físicas u obtenidos por la empresa con motivo de la relación comercial entre ambos, como lo son contratos de compra y venta de productos y servicios, ofrecimiento de promociones y otros análogos; que generalmente tienen un
alto contenido SENSIBLE.
Fuentes de acceso público, son aquellos que se obtienen por medios remotos o locales de comunicación electrónica, óptica o de otra tecnología, siempre que el sitio donde se encuentren esté concebido para facilitar la información al público. En este supuesto, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular de los datos personales.
Los empleados y usuarios de la empresa que identifiquen supuestos distintos a los señalados, deberán informarlo al Áreas de Administración, Contabilidad, Recursos Humanos y Atención a Clientes, a fin de que se lleve a cabo la actualización correspondiente a la presente Política.

11. ELEMENTOS ESENCIALES DEL AVISO DE PRIVACIDAD:

Periódicamente se revisará, de acuerdo a lo establecido en la presente Política, que el Aviso de Privacidad contenga al menos los siguientes elementos actualizados:
– La identidad y domicilio del responsable que los recaba;
– Las finalidades del tratamiento de datos;
– Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
– Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley; En su caso, las transferencias de datos que se efectúen, y
– El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

11.1 MEDIOS PARA INFORMAR A LOS TITULARES EL CONTENIDO DEL AVISO DE PRIVACIDAD:

Previo a la obtención de datos personales, la empresa deberá informar al titular el contenido del aviso de privacidad, por cualquiera de los siguientes medios:
– El texto completo del aviso de privacidad deberá ser publicado en la página de internet de la empresa.
– En el formato en el que se recaban los datos personales, en el que deberá incluirse el texto del aviso de privacidad simplificado.
– En un exhibidor acrílico o cartel colocado a la vista del titular, en el que deberá incluirse el texto del aviso de privacidad simplificado.
– En un enlace web que contenga el texto completo del aviso de privacidad, recaben por medios electrónicos.

2 CAMBIOS EN EL AVISO DE PRIVACIDAD:

Para reflejar actualizaciones efectuadas a la presente política, la empresa podrá modificar el Aviso de Privacidad en cualquier tiempo y sin previo aviso, mismo que se deberá dar a conocer en la página de internet de la empresa en la cual se establecerá la fecha de la última actualización.

12. CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS PERSONALES:

Toda obtención de datos personales deberá ser libre, específica e informada a su titular y éste deberá, en todos los casos, manifestar su consentimiento para que la empresa pueda tratar sus datos personales.

De acuerdo a la naturaleza de los datos, el titular deberá manifestar su consentimiento para el tratamiento de sus datos personales, de forma tácita o expresa.

Consentimiento tácito: se tiene el consentimiento tácito del titular, cuando se puso a su disposición el Aviso de Privacidad, y el titular no manifestó su oposición al mismo.

El consentimiento tácito es aplicable al tratamiento de datos personales no sensibles, que no impliquen trasferencias a terceros ajenos a la empresa.

Consentimiento expreso: se tiene el consentimiento expreso del titular, cuando se puso a su disposición el Aviso de Privacidad y se ha recabado por escrito, por signos inequívocos, medios electrónicos o por cualquier otra tecnología que pueda dejar evidencia y constancia de su consentimiento.

Este tipo de consentimiento es aplicable respecto del tratamiento de Datos Personales sensibles, financieros o patrimoniales, o cuando se contemple la transferencia de los datos a terceros ajenos de la empresa.
El empleado o usuario que recabe los datos deberá asegurarse de que se documente el consentimiento otorgado por el titular para el tratamiento de sus datos personales sensibles, financieros y/o patrimoniales, y éste obre la constancia de consentimiento en el expediente del titular, ya sea de forma física o digital.
Supuestos en los que no es necesario el consentimiento del titular: no es necesario recabar el consentimiento del titular para llevar a cabo el tratamiento de sus datos, en los siguientes supuestos:

– Cuando el tratamiento de esos datos esté previsto en una Ley.

– Cuando el tratamiento de esos datos tenga como propósito cumplir con obligaciones derivadas de una relación jurídica entre el titular y la empresa.

– Cuando los datos figuren en fuentes de acceso público.

– Cuando los datos personales se sometan a un procedimiento previo de disociación.

– Por mandato judicial.

12.1 TRATAMIENTO DE DATOS PERSONALES:

El tratamiento de datos personales, consiste en el acceso, manejo, aprovechamiento, transferencia o disposición de los mismos por cualquier medio o recurso (archivos y registros manuales, bases de datos electrónicas o cualquier soporte físico), con el fin de dar cumplimiento a la relación jurídica entre el titular y la empresa, así como al envío de información y promociones que el titular haya autorizado.
Los empleados o usuarios que recaben Datos Personales para la empresa, deberán informar al titular la finalidad del tratamiento de sus Datos Personales de forma sencilla, clara, objetiva y gratuita, señalando las características principales del tratamiento a que serán sometidos sus datos, mediante el Aviso de Privacidad.
El tratamiento de los datos personales deberá ser en todos los casos aquel que resulte necesario, adecuado y relevante en relación a las finalidades del mismo. Cualquier uso distinto está prohibido.

13. PLAZOS PARA EL TRATAMIENTO DE LOS DATOS PERSONALES:

Se podrán tratar los Datos Personales de los titulares que así lo hayan consentido, por los siguientes plazos:

– Por el tiempo que dure la relación jurídica entre la empresa y el titular de los datos.
– Cuando el tratamiento de los datos personales siga siendo necesario en los términos y finalidades que consintió el titular.
– En tanto el titular de los datos personales no revoque el consentimiento de tratamiento sus datos personales.
– Por el plazo necesario para dar cumplimiento a las disposiciones legales aplicables de la materia de que se trate, tomando en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
– Una vez cumplida la o las finalidades del tratamiento, y cuando no exista disposición legal o reglamentaria que establezca lo contrario, la empresa deberá proceder a la cancelación de los datos en su posesión previo bloqueo de los mismos, para su posterior supresión, de conformidad con las reglas establecidas en la presente política.
– El plazo de conservación de datos personales obtenidos con motivo de una relación de carácter laboral, es de 5 años contados a partir de la fecha calendario en que el ex empleado se separó de la empresa.

– El plazo de conservación de datos personales e información relativa al incumplimiento de obligaciones contractuales, es de 72 meses contados a partir de la fecha calendario en que se presentó dicho incumplimiento, una vez concluido este plazo se deberá proceder al bloqueo, cancelación y supresión de esta información, de acuerdo a lo establecido en la presente Política.
– El plazo de tratamiento y conservación de Datos Personales Sensibles será el mínimo indispensable que se establezca en cada caso.
– El plazo de tratamiento y conservación del expediente de cada cliente será el mínimo de 5 cinco años a partir de la fecha dela últimaprestación deservicios.

14. TRANSFERENCIAS DE DATOS PERSONALES:

La transferencia de datos personales consiste en la comunicación de información a terceros ajenos a la empresa.
La empresa debe informar a los titulares, en el Aviso de Privacidad, los supuestos de transferencia y las finalidades de la misma; y el titular debe autorizar o prohibir expresamente su consentimiento para la transferencia.
La transferencia nacional o internacional de datos personales a terceros ajenos a la empresa deberá cumplir con lo siguiente:
– Verificar que se cuenta con el consentimiento expreso del titular para la transferencia.
– Verificar que la transferencia se da en los términos en que autorizó el titular.
– Informar al tercero receptor, las finalidades de tratamiento que autorizó el titular.
– Verificar que el tercero receptor cuente con Políticas de Privacidad, Seguridad de la Información y Atención de Derechos ARCO, análogas a las de la empresa.
– Establecer en un contrato las condiciones de transferencia y tratamiento de los datos personales que se van a comunicar.
– No se considera “Transferencia de Datos Personales” a terceros, cuando la transferencia se realice dentro del mismo grupo del responsable, ya sea porque se trate de sociedades controladoras, subsidiarias, afiliadas o matrices bajo el control común del mismo grupo de la empresa, y que por ende operen bajo los mismos procesos y estándares de Privacidad, Seguridad de la Información y Atención de Datos ARCO, por lo que no se requiere el consentimiento del titular para la transferencia de Datos Personales bajo estas condiciones.

Asimismo, no se requerirá el consentimiento del titular para la transferencia de sus datos personales en los siguientes supuestos:

– Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte.
– Cuando los datos personales figuren en fuentes de acceso público. – Cuando la transferencia sea necesaria para la prestación de servicios de gobierno corporativo, asesoría de negocios, impartición de seminarios, conferencias, congresos, foros, eventos y cursos especializados para dueños y presidentes de empresas, negocios e industrias, consultoría empresarial, coaching, retiros estratégicos, implementación de sistemas de gobierno familiar-empresarial.
– Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, la empresa y un tercero. – Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.
– Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
– Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre la empresa y el titular.
– Independientemente de lo anterior, se deberá informar al titular que se podrán realizar este tipo de transferencias, aun sin su consentimiento en el Aviso de Privacidad.

15. CESE DEL TRATAMIENTO DE DATOS PERSONALES:

Una vez cumplidas las finalidades que justificaron el tratamiento de los datos personales, tomando en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información, y no existiendo disposición legal o reglamentaria que establezca lo contrario, se procederá a la cancelación de los datos en posesión de la empresa, previo bloqueo de los mismos, para su posterior supresión.
La cancelación de los datos personales puede darse por dos supuestos:
– De oficio:cuando los datos personales y las disposiciones legales aplicables hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el Aviso de Privacidad.
– Por solicitud: que será a petición del titular o de su representante, que podrá solicitar en cualquier momento la cancelación de sus datos personales mediante una solicitud formal ante la empresa, de acuerdo a lo establecido en la presente Política.

Previo a la Cancelación de los datos, estos deberán ser bloqueados a fin de que cese el tratamiento por parte de los empleados y usuarios; se informe el cese de tratamiento a terceros, a quienes se hayan transferido; y se puedan determinar las condiciones en las que serán cancelados y después suprimidos.

 

Todo el procedimiento de cese del tratamiento de datos personales debe ser documentado, recabando evidencia efectiva de todas las comunicaciones entre las áreas de la empresa involucradas, así como de cada paso que se siguió durante el bloqueo, cancelación y supresión, a fin de que esto obre en el expediente correspondiente al cese de tratamiento, ya sea éste de oficio o a petición del titular.

16. SOLICITUDES DE DERECHOS ARCO:

El titular de los datos personales o su representante legaltienen derecho de ejercer, en cualquier momento, sus derechos de acceso, rectificación, cancelación, oposición y revocación (en adelante “DERECHOS ARCO”), respecto de sus datos personales y la forma en que son tratados por la empresa.

 

Los titulares podrán solicitar a la empresa el ejercicio de alguno o varios de sus Derechos ARCO, de acuerdo a lo establecido en el Aviso de Privacidad, ya sea mediante el llenado de la Solicitud de Derechos ARCO de la empresa; o bien, presentando un escrito libre en el domicilio o dirección de correo electrónico que se haya señalado en el Aviso de Privacidad.

16. SOLICITUDES DE DERECHOS ARCO:

El titular de los datos personales o su representante legaltienen derecho de ejercer, en cualquier momento, sus derechos de acceso, rectificación, cancelación, oposición y revocación (en adelante “DERECHOS ARCO”), respecto de sus datos personales y la forma en que son tratados por la empresa.

 

Los titulares podrán solicitar a la empresa el ejercicio de alguno o varios de sus Derechos ARCO, de acuerdo a lo establecido en el Aviso de Privacidad, ya sea mediante el llenado de la Solicitud de Derechos ARCO de la empresa; o bien, presentando un escrito libre en el domicilio o dirección de correo electrónico que se haya señalado en el Aviso de Privacidad.

En caso de que el titular presenta una solicitud de derechos ARCO a “EUTOPIO”, dicha solicitud deberá contener los siguientes requisitos de conformidad con el artículo 29 de la Ley y en los artículos 89 y 90 del Reglamento:

a) El nombre del titular y domicilio u otro medio para comunicarle la respuesta su solicitud.
b) Los documentos que acrediten la identidad, o en su caso, la representación legal del titular.
c) La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y
d) Cualquier otro elemento o documento que facilite la localización de los datos personales.

 

“EUTOPIO” deberá dar trámite a la solicitud de derechos ARCO conforme a lo previsto en el artículo 32 de la Ley previa acreditación de la identidad del solicitante o representante legal según corresponda, por lo que tendrá un plazo máximo de veinte días a partir del día en que se presente la solicitud para dar respuesta y en caso de ser procedente se hará efectiva en un plazo que no excederá los quince días posteriores a la fecha de la respuesta por parte de “EUTOPIO”.

 

EL acceso deberá de ser de forma gratuita a menos que el mismo titular reitere su solicitud en un periodo menor a doce meses, caso en el que podrá ser cobrado a un costo no mayor de tres días de salario mínimo general vigente.

 

El ejercicio de los Derechos ARCO será gratuito para el titular, debiendo cubrir, en su caso, únicamente los costos por envío (cuando haya solicitado se envíe respuesta por correo certificado o paquetería), los gastos de reproducción (correspondientes a la recuperación de material), y certificación de documentos (cuando sea aplicable), que serán evaluados por el Departamento legal de “EUTOPIO”, en su caso, serán informado al titular al momento de emitir la respuesta correspondiente.

El ejercicio de los Derechos ARCO, solo podrá restringirse cuando:

-El tratamiento, transferencia y/o conservación de los datos esté previsto en una Ley, o sean necesarios para el cumplimiento de obligaciones entre el titular y la empresa.
-El tratamiento, transferencia y/o conservación de los datos sea necesario por razones de Seguridad Nacional, disposiciones de orden público, Seguridad y Salud Pública.
-El tratamiento, transferencia y/o conservación de los datos, pudiera afectar derechos de terceras personas.
-Requisitos en las solicitudes: al recibir una Solicitud de Derechos ARCO, el Departamento legal de “EUTOPIO” deberá revisar que ésta cumpla al menos con los siguientes requisitos:
-Nombre completo del titular que realiza la solicitud y documento con que acredite su personalidad (carta poder en caso de ser representante legal).
-Domicilio u otro medio para comunicarle el estatus o la respuesta a la solicitud. -Derecho(s) ARCO que desea ejercer.
-Descripción clara y precisa de los datos personales respecto de los cuales, desea ejercer alguno o varios de sus Derechos ARCO.
-Elementos o documentos que faciliten la localización de los datos personales. En los casos de solicitudes de Derecho de Acceso y Rectificación de Datos se deberá además atender a los requisitos adicionales descritos en la presente Política.
-Requerimiento de información faltante: si la Solicitud de Derechos ARCO no cumple con los requisitos antes señalados, o bien la información proporcionada es insuficiente o errónea para poder atenderla, en un plazo no mayor a 5 días contados a partir del día siguiente al que se recibió la solicitud, se deberá requerir al titular a efecto de que proporcione la información faltante o necesaria para poder dar trámite a su solicitud.
-En el caso de que el titular no haya señalado un domicilio o medio para comunicarle el estatus de la solicitud, se tendrá como NO PRESENTADA, dejando constancia de esta condición.
-El titular de los datos personales tendrá un plazo de 10 días, contados a partir del día siguiente al que le sea notificado el requerimiento, para dar contestación. En caso de no dar respuesta se tendrá por no presentada la Solicitud correspondiente, dejando constancia de tal condición.

-Trámite a la solicitud: la empresa tiene un plazo máximo de 20 días, contados a partir del día siguiente al que se recibió la solicitud (el cual será interrumpido en caso de que se hubiera requerido información faltante, y se volverá a empezar a contar a partir del día siguiente al cual se diera contestación al requerimiento), para dar respuesta al titular.
-El plazo de 20 días podrá ser ampliado, por una sola ocasión, siempre que las circunstancias lo justifiquen, informando esta condición oportunamente al titular antes del vencimiento de los primeros 20 días. Durante el plazo de 20 días (y 20 días adicionales de ser el caso).
-Tipos de respuestas a la solicitud: en todos los casos se deberá dar respuesta a las Solicitudes de Derechos ARCO que se reciban, indicando si PROCEDIÓ, PROCEDIÓ PARCIALMENTE o NO PROCEDIÓ la Solicitud, señalando de forma clara las razones que motivaron esa respuesta y acompañando, en su caso, las pruebas que resulten pertinentes.

Procedente: en caso de haber sido procedente, la respuesta se tendrá por cumplida cuando se ponga a disposición del titular los datos personales o las pruebas de que se ha dado trámite a su solicitud, por el medio que haya elegido para tales efectos, en un plazo no mayor a 15 días, a partir del día siguiente en que se haya notificado la respuesta.

 

– El plazo de 15 días podrá ser ampliado por una sola ocasión, siempre que las circunstancias lo justifiquen, informando esta condición oportunamente al titular antes del vencimiento de los primeros 15 días.

– Procedencia parcial: si la Solicitud resulta procedente, solo respecto a algunos datos, pero otros se encuentran bajo un impedimento de acceso, rectificación, cancelación, oposición o revocación, la respuesta se tendrá por cumplida, cuando se ponga a disposición del titular los datos personales y/o las pruebas de que se ha dado trámite a su solicitud, en los términos en los que haya resultado procedente, por el medio que haya elegido para tales efectos, en un plazo no mayor a 15 días a partir del día siguiente en que se haya notificado la respuesta.

– El plazo de 15 días podrá ser ampliado, por una sola ocasión, siempre que las circunstancias lo justifiquen, informando esta condición oportunamente al titular antes del vencimiento de los primeros 15 días.

16.1 BLOQUEO Y SUPRESIÓN:

El bloqueo de los datos personales tiene como objeto impedir que continúe el tratamiento o posible acceso a los mismos, por parte de los empleados o usuarios de la empresa, salvo que exista un mandato o requerimiento judicial.
La solicitud de bloqueo de datos, la deberá ordenar el Departamento legal de “EUTOPIO” , a (las) área(s) correspondiente(s) que esté tratando los datos, marcando copia de todas las comunicaciones al Área de Recursos Humanos y Atención a Clientes, a fin de que proceda el bloqueo.
Posterior al bloqueo de los datos, se debe informar a los terceros a los que se hayan transferido, que en las mismas condiciones en que la empresa lo hará, se deberá cesar el tratamiento de esos datos personales.
El periodo de bloqueo será hasta el plazo de prescripción legal o contractual correspondiente en cada caso; una vez concluido se procederá a la supresión de los datos.En caso de no existir un impedimento para la cancelación, transcurrido un plazo de 15 días, se procederá a la supresión de los datos. La supresión de datos se sujetará a las medidas de seguridad descritas en esta Política.

17. TIPOS DE DERECHOS:

Derecho de Acceso: los titulares podrán acceder a los datos personales que obren en la base de datos de la empresa, y conocer el tratamiento y transferencias que se han efectuado a los mismos.
Las áreas responsables del manejo de datos deberán realizar la búsqueda de los datos e información que solicita el titular. Los resultados de la búsqueda deberán ser informados al Departamento legal de “EUTOPIO” fin de que se elabore la respuesta correspondiente.
Derecho de Rectificación: los titulares podrán solicitar que rectifiquen sus datos personales cuando estos sean inexactos, estén incompletos o necesiten actualizarse.
Antes de dar trámite a una Solicitud de Rectificación se deberá verificar si el titular señaló la modificación que se deberá realizar, y si aportó la documentación necesaria para acreditar que los cambios son procedentes. En caso de que la información proporcionada sea incompleta o errónea se deberá requerir la información faltante, de acuerdo a lo establecido en la presente Política.
Cuando se acredite que los cambios son procedentes, las áreas responsables del manejo de los datos deberán realizar las modificaciones solicitadas e informar al Departamento legal de “EUTOPIO” se ha dado tramite a la solicitud, a fin de que elabore la respuesta correspondiente.
Derecho de Cancelación: los titulares podrán solicitar la cancelación de sus datos personales, a fin de que la empresa cese el tratamiento de los mismos.
Las áreas responsables del manejo de datos deberán realizar la búsqueda de los datos que haya señalado el titular. Los resultados de la búsqueda deberán ser informados al Departamento legal de “EUTOPIO” a fin de que se evalúe si es procedente o no la cancelación, de acuerdo a lo establecido en la presente Política, y en su caso elabore la respuesta correspondiente.
Para el trámite de Cancelación se estará a lo dispuesto en el apartado de Cese de Tratamiento de Datos Personales de la presente Política.
Derecho de Oposición: los titulares podrán oponerse al tratamiento de sus datos personales a fin de que cese el tratamiento de los mismos para fines específicos o generales.
Se deberá verificar que en la Solicitud de Oposición, el titular señale las causas por las cuales se opone a que la empresa continúe con el tratamiento de los datos, a fin de determinar si la solicitud es procedente de acuerdo a lo establecido en la presente Política. En caso de que la información proporcionada en la solicitud sea insuficiente, se deberá requerir al solicitante, de acuerdo a lo establecido en la presente política.
Si la solicitud es procedente, las áreas responsables del manejo de datos deberán realizar la búsqueda de los datos e información del titular. Los resultados de la búsqueda deberán ser informados al Departamento legal de “EUTOPIO” a fin de que los datos del titular sean incluidos en la lista de exclusión, y con la constancia de que en la inscripción a la lista se elabore la respuesta correspondiente.
Derecho de Revocación del Consentimiento: para dar trámite a las Solicitudes de Revocación de Consentimiento, se estará a lo dispuesto en los apartados de Cese de Tratamiento de Datos Personales y Cancelación, de la presente Política.

18. RESPONSABILIDADES DE LAS ÁREAS DONDE SE TRATEN DATOS PERSONALES:

Responsabilidades de todos los empleados y usuarios de la empresa:
– Cumplir con lo establecido en la presente Política.
– Acceder únicamente a la información relativa a datos personales, que sea necesaria para el desarrollo de sus actividades laborales y/o contractuales, con el único propósito del cumplimiento de las mismas.
– No compartir el nombre de usuario y contraseña que se le asigne, para acceder a la información relativa a datos personales.
– Guardar confidencialidad de los datos personales a que tenga acceso. – Cooperar con las acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información, así como a la identificación y clasificación de la información.
– Elaborar el inventario de activos de información relativa a datos personales que estén a su cargo, o lleven a cabo tratamiento, de acuerdo a lo establecido en la presente Política.
– Informar de forma inmediata a su superior jerárquico, cuando detecte que ha ocurrido una vulneración a datos personales.
– Asistir a los programas de concienciación, formación y capacitación para la protección de Datos Personales que organice la empresa.

Responsabilidades específicas del Departamento legal de “EUTOPIO” :

– Promover e implementar planes y programas de Concienciación de Protección de Datos Personales.
– Promover la alineación de esta Política con otras Políticas de la empresa que pudieran estar relacionadas.
– Enlace entre las áreas de la empresa involucradas en el Manejo de Datos Personales.
– Coordinación para el mantenimiento de estándares de Seguridad en Bases de Datos de Datos Personales.
– Revisión y actualización periódica de los Avisos de Privacidad de la empresa y la presente Política.
– Atención y asesoría a empleados y usuarios sobre el correcto manejo de Datos Personales.
– Atención en conjunto con el Área Jurídica a Visitas de Inspección del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
– Atención de quejas y solicitudes de los titulares relacionadas con la presente Política o cualquier otra análoga.
– Requerir información a las distintas áreas de la empresa para la atención de quejas y solicitudes relacionadas con el ejercicio de los Derechos ARCO.
– Mantenimiento de Listas de Exclusión de Datos Persones.
– Preparar y dar a conocer a los titulares, los informes de vulneraciones a sus datos personales.
– Monitoreo y evaluación periódica de los procesos internos de obtención, uso, transferencia, conservación a fin de identificar el correcto tratamiento los datos personales, de acuerdo a la “Ley”, el “Reglamento”, a la presente Política y demás Políticas aplicables.
– Vigilar el cumplimiento de la presente Política por parte de todos los sujetos que estén involucrados en el tratamiento de Datos Personales, dentro de la empresa o para la empresa.

Responsabilidades específicas del Área de Administración:

− Dar a conocer a los Clientes y Posibles Clientes el contenido y alcances del Aviso de Privacidad de la empresa, antes de recabar sus datos personales.
− Recabar y resguardar de los Clientes y Posibles Clientes, el consentimiento para el tratamiento de sus datos personales.
− Coadyuvar con las demás Áreas de la empresa que estén involucradas con el tratamiento y protección de Datos Personales.
− Brindar asesoría al Departamento legal de “EUTOPIO” respecto de las modificaciones y actualizaciones al Aviso de Privacidad y a las Políticas en materia de Protección de Datos.
− Revisar, a petición del Departamento legal de “EUTOPIO” , las propuestas de contestación a quejas y solicitudes relacionadas con el ejercicio de los Derechos ARCO.
− Atención en conjunto con el Departamento legal de “EUTOPIO” , a Visitas de Inspección del IFAI.

Responsabilidades específicas del Área de Recursos Humanos:

− Dar a conocer a los empleados el contenido y alcances del Aviso de Privacidad de la empresa, antes de recabar sus datos personales.
− Recabar y resguardar de los empleados, el consentimiento para el tratamiento de sus datos personales.

Responsabilidades específicas del Área de Recursos Humanos:

− Poner a disposición a los empleados y usuarios la presente Política y demás aplicable.
− Dar a conocer a los CANDIDATOS o ASPIRANTES a puestos de trabajo, el contenido y alcances del Aviso de Privacidad de la empresa.
− Dar a conocer a los Empleados el contenido y alcances del Aviso de Privacidad de la empresa.
− Recabar y resguardar de los Candidatos, Aspirantes y Empleados, el consentimiento para el tratamiento de sus datos personales.

Responsabilidades del Área de Tecnologías de la Información:

− Establecer los parámetros necesarios para la protección de bases Datos Personales en los servidores, equipos, dispositivos electrónicos, u otros análogos utilizados por la empresa.
− Analizar, detectar y proponer acciones para evitar alguna fuga o apertura en los medios electrónicos.
− Respaldar y proteger electrónicamente la información relativa a datos personales utilizada por la empresa.
− Elaborar el inventario de activos de información relativa a Datos Personales que servirá para dar el tratamiento adecuado a cada activo, estableciendo los permisos a los usuarios o perfiles funcionales autorizados, manteniéndolos actualizados con el propósito de continuar con el tratamiento de la información, o bien, eliminando las restricciones de seguridad o destruyéndola.

19. ESTABLECIMIENTO DE MEDIDAS DE SEGURIDAD: Las medidas de seguridad para la protección de datos personales, que trata la empresa, son de carácter Administrativo, Técnico y Físico.

20. EVALUACIÓN PERIÓDICA DE RIESGOS:

El Área de Tecnologías de la Informacióndeberá realizar periódicamente un análisis y evaluación de riesgos como: accesos no autorizados, destrucción, pérdida, divulgación, malversación, no disponibilidad y repudio de información relativa a datos personales que esté contenida en cualquiera de los recursos, medios o soportes de la empresa, ya sean sistemas informáticos fijos, portátiles, transmitidos por medio de una red o una aplicación, impresos, escritos a mano, en cintas magnéticas, o cualquier otro.

El propósito de la evaluación de riesgos, es:

 

Identificar las áreas de vulnerabilidad de la información, es decir, aquellos recursos que no han sido debidamente clasificados.

 

Estimación de probabilidades de vulnerabilidad por acceso no autorizado, destrucción, pérdida, divulgación, malversación, no disponibilidad y repudio, o cualquier otro análogo de información relativa a datos personales.

 

Cálculo del riesgo, determinar si el probable riesgo causaría una afectación en los activos de la empresa de acuerdo a las reglas de clasificación y seguridad de la información.

 

Elaboración y aplicación de controles que minimicen la probabilidad de ocurrencia de la vulnerabilidad para mantener estándares de riesgos controlados.

 

Mitigación del riesgo: el Área de Tecnologías de la Informacióndeberá aplicar las medidas físicas y/o tecnológicas de prevención y corrección necesarias para prevenir y corregir el riesgo que se haya identificado en cada recurso, medio o soporte donde se traten datos personales.

20.1 MEDIDAS DE SEGURIDAD ADMINISTRATIVAS:

Inventario de activos de información relativa a datos personales: cada usuario de recursos, medios o soportes en los que se almacene o se dé tratamiento de información concerniente a datos personales, deberá elaborar un listado de información señalando lo siguiente:
La ubicación o soporte en que ha sido almacenado cada activo de información relativa a Datos Personales, por ejemplo: “Base de datos de Posibles Clientes”, “Base de Datos de Clientes”, “Base de datos de Candidatos a puestos de trabajo”, “Base de Datos de Empleados”, “Base de datos de Proveedores”.
La asignación de un nivel de protección a cada activo, de conformidad con lo establecido en la presente Política (Alto – Medio – Bajo).

Indicación del plazo o periodo para el tratamiento de cada activo, de conformidad con lo establecido en la presente Política (identificar si se tratan de Datos Sensibles).
Indicación de los usuarios o perfiles funcionales que deberán tener acceso a cada activo.
Cada usuario o responsable del recurso deberá entregar su listado de información al responsable asignado del Área de Tecnologías de la Información. El Área de Tecnologías de la Información elaborará un inventario de activos de información relativa a Datos Personales, el cual deberá ser actualizado y revisado cada seis meses y se encargará de establecer la clasificación y los protocolos de seguridad de la información que correspondan según cada caso.
De acuerdo al inventario de activos de información relativa a datos personales, tendrán identificados los recursos, medios o soportes donde se traten datos personales.
Parámetros de clasificación de información: los parámetros de clasificación de información para el establecimiento de protocolos de seguridad sonConfidencialidad, Integridad y Disponibilidad.
Para determinar el nivel de cada parámetro, a cada activo de información se le asignará un valor respecto del grado de confidencialidad, integridad y disponibilidad, conforme a los siguientes criterios:

Para determinar la Confidencialidad:
Valor Tipo de Información

1 Básica: relativo a datos personales como nombre, edad, domicilio, RFC, CURP y otros análogos. La divulgación o uso no autorizado podría causar riesgos o pérdidas leves en los activos de la empresa y en la esfera jurídica y personal del titular.
2 Media: relativo a datos personales como cuentas bancarias, saldos, propiedades y otros análogos. La divulgación o uso no autorizado de dicha información podría causar riesgos o pérdidas significativas en los activos de la empresa y en la esfera jurídica y personal del titular.
3 Alta: relativo a datos personales como estado de salud físico y mental, huellas dactilares, iris, palma de la mano y otros análogos, así como ideología, afiliación política, religión, origen étnico, preferencia sexual y otros análogos. La divulgación o uso no autorizado de dicha información podría causar riesgos o pérdidas graves en los activos de la empresa y en la esfera jurídica y personal del titular.

Para determinar la Integridad:
Valor Tipo de Información

1.- La información puede ser reparada ante alguna modificación no autorizada.
2.- La información es de difícil reparación ante alguna modificación no autorizada.
3.- La información no se puede reparar ante alguna modificación no autorizada.

Para determinar la Disponibilidad:

Valor Tipo de Información
1.- La inaccesibilidad de la información durante 1 día podría ocasionar pérdidas significativas en los activos de la empresa.
2.- La inaccesibilidad de la información durante 12 horas podría ocasionar pérdidas significativas en los activos de la empresa.
3.- La inaccesibilidad de la información durante 6 horas podría ocasionar pérdidas significativas en los activos de la empresa.

Para determinar el nivel de pérdidas en los activos se tomará en cuenta que hay pérdidas mesurables (una pérdida material) y pérdidas no mesurables (cartera de clientes, datos personales y datos personales sensibles de clientes, estados financieros, etc.).

Una vez asignados los valores se determinará el grado confidencialidad de la información:
Ninguno de los valores asignados supera el 1 Confidencialidad Baja Alguno de los valores asignados es 2 Confidencialidad Media
Alguno de los valores asignados es 3 Confidencialidad Alta
Fuga o vulneraciones de información: los usuarios o empleados que identifiquen la fuga o vulneración de información, deberán reportarlo de inmediato a su superior jerárquico y abstenerse de conocer el contenido de dicha información, divulgarlo o modificarlo de cualquier modo.
El superior jerárquico deberá dar aviso al Departamento de Tratamiento de Datos Personales y al Área de Tecnologías de la Información, para establecer los mecanismos de control de riesgos de seguridad de la información e investigar su origen, a fin de evaluar la fuga, mitigar y dar seguimiento a la falla que derivó en el problema.
Adicionalmente, el superior jerárquico dará aviso al Área de Recursos Humanos con el propósito de establecer las sanciones que correspondan a cada caso.

20.2 MEDIDAS DE SEGURIDAD TÉCNICAS:

Establecimiento de permisos de acceso a la información: todos los empleados de la empresa, así como los proveedores y personal externo que desempeñen labores o proporcionen algún tipo de servicio o producto (llamados “usuarios”), deberán tener acceso sólo a la información relativa a datos personales, necesaria para el desarrollo de sus actividades laborales y/o contractuales, con el único propósito de dar cumplimiento a las mismas.
Previo al otorgamiento de cualquier acceso a información relativa a datos personales, la persona autorizada deberá firmar un acuerdo de Confidencialidad y No Divulgación con la empresa.
Posterior a la celebración del acuerdo de Confidencialidad y No Divulgación, a cada usuario se le asignará un código de usuario que lo identifique y una contraseña, los cuales les serán requeridos al momento de intentar acceder a información y datos de la empresa, para efectos de autenticación.
El código de usuario y la contraseña serán validados por un mecanismo de comprobación que certifique la autenticidad de los mismos, que en caso de ser coincidentes, iniciará una sesión en la que podrá acceder a la información y datos que le fueron autorizados. El usuario deberá cerrar su sesión al concluir sus actividades.
El nombre de usuario y contraseña son intransferibles, el propietario de los mismos es responsable del uso que se le den y de las actividades realizadas durante la sesión que haya iniciado.
Cualquier cambio o restricción en las autorizaciones de los usuarios debe ser notificada al Área de Tratamiento de Datos Personales, con el propósito de evaluar la firma de un nuevo acuerdo de Confidencialidad y No Divulgación; y la necesidad de ajustar, dentro de los procedimientos implementados, el acceso a nuevos o distintos niveles de información y datos.
La comunicación y/o transferencia electrónica de información relativa a datos personales dentro de la empresa está permitida, pero se deberá realizar conforme a los procedimientos y herramientas de seguridad informática, que cuentan con mecanismos que aseguran la identificación del usuario que realizó la comunicación o transferencia, la seguridad de la conexión, la confidencialidad, integridad y disponibilidad de las mismas.
Rotulado de información: los documentos considerados de Confidencialidad Baja, Media o Alta, deberán ser identificados con ese nivel mediante el rotulado o etiquetado de su condición.
En caso de estar contenido en un soporte electrónico, bastará con que el título del documento o carpeta donde está almacenado, tenga la indicación del tipo de información de que se trata.
En caso de estar contenido en un medio físico se recomienda estar almacenado en un sobre, debidamente cerrado, que tenga en una parte visible la indicación del tipo de información de que se trata.
El rotulado de la información no exime la obligación del Área de Tecnologías de la Información de establecer los mecanismos de seguridad de la información, con el propósito de que el acceso a la información solo otorgue a aquellos usuarios que tienen autorizados para dicho efecto.

20.3 MEDIDAS DE SEGURIDAD FÍSICAS:

Seguridad de la información: las plataformas tecnológicas (propiedad de la empresa o de terceros) que traten datos personales de clientes, posibles clientes, empleados, proveedores de la empresa, deberán cumplir con estándares de seguridad y resguardo, que garanticen los principios de confidencialidad, disponibilidad, seguridad física e integridad de la información.
Así mismo, el software o hardware (desarrollado por la empresa o por terceros), también deberán cumplir con los estándares de seguridad y tener un nivel de criticidad y confidencialidad de datos.

De manera periódica se llevarán a cabo prácticas que permitan la identificación, evaluación, mitigación y seguimiento de controles de riesgo de seguridad de la información relativa a datos personales, en cada plataforma donde se traten o almacenen datos personales, que será gestionada por el área de Tecnologías de la Información.
Cada plataforma tecnológica, sistema o conjunto de información y/o datos deberá tener un plan de contingencia y recursos que aseguren la continuidad de los procesos de negocios en un tiempo razonable, el cual deberá contemplar al menos las aplicaciones consideradas como críticas para la empresa y los riesgos más probables que puedan afectar su continuidad.
Así mismo, cada plataforma tecnológica, sistema o conjunto de información y/o datos, y aplicaciones informáticas, deberán contar con un procedimiento de control de acceso, inicio de sesión y control de cambios, que asegure que sólo se realicen los cambios autorizados, los cuales no podrán ser ejecutados, aprobados e implantados por la misma persona.
Cualquier alianza o convenio con terceros que involucre elementos que procesen datos e información relativa a datos personales de clientes, posibles clientes, empleados, proveedores de la empresa, deberán cumplir con las medidas establecidas en la presente Política.
Administración de seguridad de la información: el desarrollo, implementación y mantenimiento de las medidas de seguridad que resulten necesarias para el resguardo, integridad, confidencialidad y disponibilidad de la información y datos, dispositivos informáticos y la red de la empresa, estarán a cargo del Área de Tecnologías de la Información, que además coordinará las acciones preventivas, correctivas o de mejora continua sobre los sistemas de seguridad.
El nivel de seguridad a implementar será determinado mediante un análisis de riesgo, en el cual se tomarán en cuenta variables como vulnerabilidades, amenazas, probable incidencia e impacto.

21. REVISIÓN PERIÓDICA A LA PRESENTE POLÍTICA:

Los responsables de las áreas de Departamentos de Administración, Contabilidad, Departamento legal, Tecnologías de la Información, Recursos Humanos, Atención a Clientes y cualquier otro involucrado con el tratamiento de Datos Personales y demás que estén relacionados con el tratamiento de datos personales deberán reunirse al menos una vez cada seis meses para la evaluación y revisión de la presente Política, los Avisos de Privacidad de la Empresa, y de los procedimientos para la atención de Solicitudes de Derechos ARCO. Cualquier cambio deberá ser autorizado expresamente por todos los responsables de las áreas involucradas.

22. SANCIONES:

Las violaciones e incumplimientos a la presente Política serán revisadas caso por caso por el Departamento legal de “EUTOPIO” y Administración, para determinar la gravedad de la falta y para tomar las medidas disciplinarias que correspondan, de acuerdo al siguiente orden:
Primer Incidente:si se determina que una persona ha violado o no ha observado cualquiera de las directrices previstas en esta Política, esa persona recibirá una advertencia por parte de su Coordinador, mientras se analizan las posibles consecuencias prácticas, técnicas o jurídicas. Posteriormente, se le informará sobre la gravedad de su falta y de la determinación que se haya tomado al respecto.
Segundo Incidente:si la persona reincide en una segunda violación o falta, recibirá una segunda advertencia y será reportado al área de Recursos Humanos. Tal acción puede dar lugar a una falta administrativa, una rescisión en la relación laboral, o bien, al ejercicio de una acción legal, ya sea civil, penal o administrativa.

23. NORMATIVIDAD QUE DEBEMOS DE CUMPLIR, EN RELACIÓN A LA CONFIDENCIALIDAD Y PRIVACIDAD DE DATOS PERSONALES:

– Constitución Política de los Estados Unidos Mexicanos, (art. 16)

– Ley Federal de Protección de Datos Personales en Posesión de Particulares.
– Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares.
– Ley Federal de Protección al Consumidor, (art. 76 bis, fracciones I y II). – Ley Federal del Trabajo, (art. 47).

Carrito de compra