1.   Objetivo

Establecer las políticas relativas a la privacidad de datos personales del Consejo Ejecutivo de Empresas Globales A.C. (CEEG) en cumplimiento a lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

2.   Alcance

Las políticas son aplicables a:

Personal:

  • Todos los colaboradores del CEEG, independientemente de su posición dentro del mismo.
  • Proveedores, personal de empresas asociadas, consultores, y otros terceros a quienes se confían datos personales mientras conducen negocios u operaciones a nombre del CEEG.

Registros, dispositivos y sistemas de información:

  • Todos los registros de datos personales físicos y electrónicos, independientemente de los medios de almacenaje a los que el CEEG da tratamiento.
  • Todos los sistemas para manejo de documentos y/o datos personales, incluyendo, pero no limitado a: correo electrónico, sistemas, bases de datos, archivos documentales y de datos, así como sitio web.

3.   Responsabilidades

Es responsabilidad de los colaboradores, personal de empresas asociadas, proveedores, clientes, consultores y otros terceros relacionados con las actividades del CEEG adherirse a las políticas y procedimientos de privacidad de datos, y reportar cualquier violación a éstos al Oficial de Privacidad de Datos Personales del CEEG.

Responsabilidades del Oficial de Privacidad de Datos Personales

  • Fomentar y vigilar la protección de datos personales al interior del CEEG.
  • Proveer atención a solicitudes de derechos ARCO (C.04.01.05).
  • Mantener la versión vigente de la política y procedimientos de privacidad de datos personales, así como de los avisos correspondientes publicados.
  • Asegurar que los requerimientos legales y regulatorios se cumplan conforme a la LFPDPPP en los avisos de privacidad, políticas y procedimientos de derechos ARCO, con el apoyo de un tercero especializado en el tema o alguno de los departamentos jurídicos de las empresas asociados, conforme lo estime el Presidente del CEEG.
  • Asegurar que los servicios de red e informáticos utilizados por el CEEG protejan la privacidad, confidencialidad, integridad y disponibilidad de los sistemas, en los que se manejan datos personales dentro del CEEG, con el apoyo de una entidad revisora externa conforme lo estime el Presidente del CEEG (C.04.01.04).
  • Coordinar la realización de revisiones al cumplimiento de las políticas y procedimientos relativas a la LFPDPPP del CEEG con el apoyo de un tercero especializado en el tema conforme lo estime el Presidente del CEEG.
  • Resguardar los documentos originales con las firmas autógrafas de autorización.

 

4.   Definiciones

  • Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato (cómo puede ser visual o sonoro) generado por el responsable, que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con lo que establece la LFPDPPP.
  • Colaborador: Persona perteneciente a la organización que es responsable final de la información que almacene, procese y transmita por medio de los sistemas de información que utilicen, asegurando el buen uso y manejo de la misma, apegándose a las políticas, lineamientos y medidas de seguridad establecidas.
  • Datos financieros: Cualquier información del titular referente a números de cuenta bancaria, número de tarjeta de débito o crédito, tipo de tarjeta de crédito.
  • Datos patrimoniales: Cualquier información del titular referente a bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados, referencias personales, entre otros.
  • Datos personales: Cualquier información concerniente a una persona física identificada o identificable como: nombre, domicilio, teléfono particular, teléfono celular, correo electrónico, estado civil, firma, firma electrónica, RFC, CURP, cartilla militar, lugar de nacimiento, fecha de nacimiento, nacionalidad, edad, nombres de familiares, dependientes y beneficiarios, fotografía, costumbres, idioma o lengua, entre otros.
  • Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futura, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
  • Derechos ARCO: Derecho de Acceso, Rectificación, Cancelación y Oposición de los Titulares sobre sus datos personales.
  • Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
  • IFAI: Instituto Federal de Acceso a la Información y Protección de Datos.
  • Información confidencial del CEEG: Es aquella que se considera crítica, ya que su mal uso tanto interno como externo, implica un daño material y/o de imagen serio para el Consejo y/o sus socios, colaboradores o proveedores. En esta clasificación encontramos por ejemplo: información contable, técnica y financiera, proyectos y desarrollos, secretos industriales, estrategias de inversión y mercadotecnia, información de colaboradores y asociados, entre otras.
  • Información pública: Es información que se puede compartir con el entorno interno y externo de la entidad y no implica ningún riesgo o impacto. En esta clasificación se encuentran: reportes anuales, página de Internet, normas y estándares públicos, entre otras.

Cuando se encuentre información o un activo informático sin identificación de clasificación, se deberá tratar como confidencial hasta que sea debidamente identificado por el responsable de la misma.

  • Información sensible: Es aquella que no ha sido aprobada para darse a conocer en áreas fuera del CEEG, ya que su difusión o mal uso implica un daño grave para el CEEG, así como la incapacidad para satisfacer objetivos de negocio, derivando en pérdidas financieras significativas, sanciones por incumplimiento de regulaciones o pérdida de confianza de asociados, mismos que podrían ser irreparables. En esta clasificación se encuentran por ejemplo: métodos y políticas, correos internos, minutas de trabajo, reportes de proyectos, diseños y especificaciones de operación, entre otras.
  • LFPDPPP: Se refiere a la Ley Federal de Protección de Datos Personales en Posesión de Particulares, de orden público y de observancia general en toda la República que tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
  • Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales (El CEEG).
  • Titular: La persona física a quien corresponden los datos personales.
  • Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos, a quien se le transfiera o de quien se reciban datos personales para su tratamiento.
  • Tratamiento: La obtención, uso, divulgación y almacenamiento de datos personales por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

5.   Descripción de las políticas

POLÍTICAS DE PRIVACIDAD DE DATOS

DE OBSERVANCIA GENERAL

  • Todos los colaboradores del CEEG, SIN EXCEPCIÓN ALGUNA, deberán conocer y apegarse a la presente Política de Privacidad (C.04.01.01).
  • El desconocimiento de la presente política, no exime a ningún colaborador de las responsabilidades que en ella se establecen, así como de las posibles sanciones administrativas, civiles y penales por incumplimientos con la LFPDPPP.

RECOLECCIÓN DE DATOS PERSONALES

  • El CEEG sólo puede recibir datos personales, si previamente informó sobre su aviso de privacidad al titular, ya sea socio o invitado a evento (Anexo 6.1), empleado del CEEG (Anexo 6.2) o proveedores (Anexo 6.3); dichos datos no se podrán transferir a terceros si esto no se establece en dicho aviso; bastará con un aviso de privacidad durante la relación comercial que se guarde con el personal de la empresa asociada o proveedor, en tanto no cambie el fin establecido en el mismo, pues no se pueden utilizar datos personales para fines distintos a los establecidos en los avisos de privacidad (C.04.01.02).
  • En todos aquellos procesos del CEEG en donde se implementó el uso de un Aviso de Privacidad, éste deberá proporcionarse a los titulares, o informarse del medio para su consulta SIN EXCEPCIÓN. Si se están recabando datos personales sensibles, se deberá obtener adicionalmente el consentimiento expreso por parte del titular mediante los avisos establecidos para tal fin.
  • Sólo se pueden recabar datos personales, para el fin que se necesitan y deberán obtenerse y tratarse de manera lícita y sensible.
  • El responsable de datos (con el apoyo de un especialista en el área jurídica), deberá efectuar la regularización de los contratos existentes y futuros del CEEG en relación con la protección de datos personales, de acuerdo a lo establecido en los diferentes modelos de clausulados aplicables (proveedores, colaboradores, datos de personal de empresas asociadas, aseguradoras, reaseguradoras, afianzadoras, acuerdo de confidencialidad, entre otros).
  • El responsable deberá instrumentar medidas compensatorias de comunicación masiva para la regularización de bases de datos de personal de las empresas asociadas, proveedores, colaboradores y usuarios de la página de internet del CEEG que se hayan recabado antes de la entrada en vigor de la Ley. por medio de la publicación del aviso de privacidad.
  • La información se clasificará con base a su valor para el CEEG y para quienes se relacionan con este, considerando el daño que podría causarse si se divulga sin autorización (confidencial del negocio, pública, sensible, datos personales, datos personales sensibles).

TRATAMIENTO DE DATOS PERSONALES

  • Si la finalidad del tratamiento de los datos personales llegara a cambiar dentro del CEEG (cambio en algún proceso, proceso nuevo, regulaciones, etc.); se deberá hacer del conocimiento del Oficial de Privacidad de Datos Personales.
  • Los colaboradores que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar su relación con el titular o, en su caso, con el CEEG indefinidamente (C.04.01.03).
  • No se deberán utilizar cuentas de correo personales para tratar asuntos de índole laboral.
  • Queda estrictamente prohibido sustraer de las instalaciones del CEEG (en medios electrónicos de almacenamiento de datos como: USB’s, CD’s, DVD’s, IPOD’s, IPAD’s, etc.) información que contenga datos personales, sin previa justificación.
  • No se deberá reciclar papel que contenga información de datos personales.
  • Todos aquellos documentos físicos o dispositivos electrónicos (CD, DVD, USB) que contengan datos personales y que requieran ser enviados ó recibidos vía electrónica o mensajería (interna o externa), deberán guardar estrictas normas de seguridad para evitar el acceso a los mismos (sobre cerrado y sellado, bolsa con seguro, etc.).
  • No se puede vender o comprar, información o bases de datos que contengan datos personales.
  • Una vez finalizado el uso de documentos con datos personales durante la operación diaria, deberán resguardarse de forma segura en espacios destinados para tal fin (gavetas, oficinas bajo llave, etc.). No deben permanecer documentos que contengan datos personales sobre escritorios y mesas.
  • Todas las relaciones con terceros que conlleven datos personales contenidos en contratos y que impliquen su transferencia y/o recepción de datos personales deberán ser revisados por la Responsable de datos, para asegurar que el tratamiento de los mismos sea consistente con los avisos de privacidad del CEEG.
  • Cuando los documentos físicos que contengan datos personales hayan cumplido su finalidad y ya no sea necesario mantenerlos, deberán ser destruidos por medios seguros (trituradora, eliminación de archivos, etc.).
  • Toda la información sobre datos personales deberá respaldarse únicamente en medios definidos por el CEEG.
  • Si algún titular (asociado o proveedor) desea ejercer sus derechos ARCO y solicita apoyo a algún colaborador del CEEG, este último deberá referirlo con la Responsable de datos personales o a la dirección electrónica info@ceeg.mx. Para mayor detalle, ver “Descripción de roles y responsabilidades del Oficial de Privacidad de Datos Personales” y “Procedimientos para la atención de solicitudes de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)”.
  • Es responsabilidad del Presidente y los colaboradores del CEEG, apoyar al Oficial de Privacidad de Datos Personales en cumplir con la atención de las solicitudes ARCO en los tiempos y formas establecidas por la LFPDPPP y su reglamento. Para mayor detalle, ver “Descripción de roles y responsabilidades del Oficial de Privacidad de Datos Personales” y “Procedimientos para la atención de solicitudes de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)”.

SEGURIDAD FÍSICA Y LÓGICA PARA PROTECCIÓN DE DATOS PERSONALES

  • Los colaboradores que tengan “llaves” de lugares donde se resguarden datos personales, deberán responsabilizarse de su buen uso. Queda estrictamente prohibido compartir con personal de empresas asociadas y proveedores, las “llaves” o “credenciales” para el acceso a datos personales.
  • Los servicios de correo electrónico y mensajería deberán utilizarse para tratar temas relacionados con las funciones y actividades encomendadas al colaborador, el cual es responsable de bloquear o cerrar su sesión de correo electrónico y mensajería cuando su equipo no se utilice.
  • Las cuentas de correo electrónico y mensajería serán personales e intransferibles.
  • Cada colaborador debe contar con su usuario/clave de acceso asignado y personalizado (password). Queda estrictamente prohibido compartir con otros colaboradores de la Compañía, los medios lógicos (usuario, claves de acceso/passwords) para el acceso a datos personales y otra información del CEEG.
  • Los usuarios que como parte de sus responsabilidades laborales requieran el uso de correo electrónico en dispositivos móviles (tabletas, teléfonos inteligentes, lap top, etc.) deberán mantener estricto resguardo de la información a través de medidas de seguridad mínimas como uso de usuarios/claves de acceso (passwords) y cifrado de archivos.

6.   Referencias normativas

  • Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).
  • Reglamento de la LFPDPPP.