POLÍTICA DE GESTIÓN DE DATOS PERSONALES
po-e-ge-02-02-politica-de-gestion-de-datos-personales-01.pdf
1. OBJETIVO
Bajo el compromiso de garantizar el adecuado cumplimiento de la protección de datos personales, se establecen los lineamientos rectores que ser deberán respetar dentro de la organización en relación con el flujo de datos personales obtenidos.
2. ALCANCE
En concordancia con el sistema de gestión de seguridad de datos personales, el presente documento tiene como alcance el tratamiento de los datos personales en el diseño, administración y operación de productos para medios de pago y servicios de atención telefónica a cliente, con base en el inventario de datos personales de TOKA, en cumplimiento con los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, además de los deberes de seguridad y confidencialidad, así como las obligaciones establecidas en la Ley.
3. REFERENCIAS
- Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
- Recomendaciones para la designación de la persona o departamento de Datos Personales.
- Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
- Parámetros de Autorregulación en materia de Protección de Datos Personales.
4. DEFINICIONES
Activo: Cualquier bien que tiene valor para la organización (sistemas, equipos, soportes, edificios, personas, documentos, etc.).
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con la Ley.
Confidencialidad: Acceso a la información por parte únicamente de quienes están autorizados.
Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.
Datos personales: Cualquier información concerniente a una persona física identificada o identificable.
Disociación: Procedimiento por el cual los datos personales no pueden asociarse al titular de éstos, ni permitir por su estructura, contenido o grado de desagregación, la identificación del mismo.
Disponibilidad: Característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
Encargado: La persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Incidente: Acontecimiento repentino o inesperado que representa un peligro potencial y que podría terminar en daño físico, material, interrupción del proceso productivo y/o compromiso de la integridad, confidencialidad y disponibilidad de la información de la empresa.
Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
LFPDPPP: Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Parte interesada: Persona o grupo de personas con intereses específicos sobre una organización. Por ejemplo: inversionistas, clientes, proveedores, autoridades de protección de datos y titulares.
Remisión: Comunicación de datos personales entre el responsable y el encargado, que se realiza dentro o fuera del territorio mexicano.
Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de los datos personales.
Riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos.
SGSDP: Sistema de Gestión de Seguridad de Datos Personales.
Titular: La persona física a quien corresponden los datos personales.
Transferencia: Toda comunicación de datos realizada a persona distinta del titular, responsable o encargado del tratamiento, dentro o fuera del territorio nacional.
Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.
5. ROLES Y RESPONSABILIDADES
Es responsabilidad del departamento de datos personales:
- Participar en la elaboración de la presente política, para su aprobación por parte de la alta dirección.
- Realizar revisiones administrativas a la presente política, a fin de que reflejen las actualizaciones normativas, de práctica y tecnológicas.
- Revisar y actualizar continuamente la presente política.
Es responsabilidad del director de Normatividad:
- Coordinar la elaboración del SGDP y de la política de gestión de datos personales.
- Realizar las gestiones necesarias para la aprobación del SGDP y de la política por parte de la alta dirección.
- Realizar las acciones necesarias para asegurar la implementación y cumplimiento del SGDP y de la política.
- Designar el personal que considere necesario para estar a cargo del cumplimiento cotidiano del SGDP y de la política de gestión de datos personales.
6. POLÍTICA DE GESTIÓN DE DATOS PERSONALES
6.1 CUMPLIMIENTO A LOS PRINCIPIOS, DEBERES Y OBLIGACIONES EN PROTECCIÓN DE DATOS PERSONALES
En TOKA estamos comprometidos con la protección y seguridad de los datos personales que son tratados dentro de la organización, en este sentido, es obligación de todos los colaboradores de TOKA que mantienen una relación directa o indirecta con los datos personales de nuestras partes interesadas, aplicar al 100% los procesos determinados en el sistema de Gestión de seguridad de datos personales (SGSDP), que cumplen con la Ley.
Federal de Protección de Datos Personales en Posesión de los Particulares, y su documentación de apoyo.
De tal manera, que las actividades realizadas por los colaboradores de TOKA, en relación con el flujo de vida de los datos personales, durante los procesos internos de la organización, deberán de acatar los lineamientos establecidos dentro de la PO-E-GE-02-01 Política de seguridad de datos personales, documento que contempla el cumplimiento a cada principio, deber y obligación establecida por la Ley, su reglamento y los parámetros de autorregulación vinculante.
De tal manera, que las actividades realizadas por los colaboradores de TOKA, en relación con el flujo de vida de los datos personales, durante los procesos internos de la organización, deberán de acatar los lineamientos establecidos dentro de la PO-E-GE-02-01 Política de seguridad de datos personales, documento que contempla el cumplimiento a cada principio, deber y obligación establecida por la Ley, su reglamento y los parámetros de autorregulación vinculante.
6.2 ACCIONES PARA EL DESARROLLO, IMPLEMENTACIÓN, MANTENIMIENTO Y MEJORA CONTINUA DEL SGSDP
Con la finalidad de mantener un sistema de gestión de seguridad de datos personales vigente, velando por el adecuado mantenimiento y su mejora continua, la alta dirección, asume el compromiso y designa al director de Compliance, para planear, implementar y desarrollar el SGSDP; el cual deberá de cumplir con las responsabilidades establecidas por el MA-E-GE-02-01 Manual del sistema de gestión de datos personales.
6.3 IMPLEMENTACIÓN DE BUENAS PRÁCTICAS
En TOKA entendemos que la implementación de buenas prácticas es fundamental para mantener y mejorar el sistema de seguridad de datos personales y bajo el criterio de realizar un tratamiento de datos personales legítimo, controlado e informado, el cual garantice la privacidad y el derecho a la autodeterminación informativa de nuestras partes interesadas, TOKA como responsable y encargado de los sistemas descritos en el alcance de la presente política, ha establecido la necesidad de comprometerse de manera voluntaria autorregularse de conformidad con los Parámetros de Autorregulación en Materia de Protección de Datos Personales, publicados por la secretaría de economía a través del Diario oficial de la Federación.
De tal manera, que, para vigilar y evaluar el desempeño del sistema, se establece dentro del MA-E-GE-02-01 Manual del sistema de gestión de datos personales la necesidad de realizar auditorías externas al sistema, a fin de mejorar continuamente el desempeño de la organización en torno a la protección de datos personales.
Por otro lado, el departamento de datos personales vigila de manera diaria las actualizaciones y publicaciones de apoyo a la protección y seguridad de datos personales, establecidas por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Además se contempla los criterios establecidos por el Reglamento General de Protección de Datos de la Unión Europea, conocido por sus siglas en inglés como GDPR, documento que no es vinculante en la legislación mexicana en torno a la regulación de protección de datos personales, sin embargo, al contemplar aspectos no contenidos en la normativa mexicana aplicable, se establece como un documento orientativo a fin de garantizar y estatuir el principio pro homine en cuento a protección de datos personales.
7. CUMPLIMIENTO
Las presentes políticas pretenden instituir y afianzar la cultura de protección de datos personales entre los colaboradores de TOKA, personal externo y proveedores. Por lo que, cualquier violación a las mismas será penalizada de acuerdo con el RI-S-TH-03-09-01 Reglamento interior de trabajo o de manera penal, de acuerdo con las circunstancias, si así lo ameritan.
8. COMUNICACIÓN Y REVISIÓN
La presente política se encuentra disponible y es comunicada dentro de la organización por medio de intranet, se hace mención en las inducciones de los nuevos ingresos de igual forma se implementa un curso de Protección de Datos Personales en Posesión de los Particulares con los colaboradores con base al documento PR-S-TH-02-01 Plan General de Capacitación, Adiestramiento y Desarrollo de Talento Humano; la revisión a este documento deberá realizarse un periodo no mayor a un año o en caso de presentarse algún cambio relevante que impacte el sistema seguridad de datos personales.
9. CONTROL DE CAMBIOS