Política de Privacidad de Datos Personales

Política de Privacidad de Datos Personales de Inndot, S.A.P.I. de C.V.

I: Introducción

II: Objetivo y Alcance

III: Definiciones

IV: Administrador de Datos Personales

V: Cumplimiento de Principios

VI: Cumplimiento de Deberes

VII: Remisiones y Transferencias de Datos Personales

VIII: Inventario y ciclo de vida de los Datos Personales

IX: Derechos ARCO y otros derechos de los Titulares

X: Aplicación de Excepciones

XI: Definición de Responsabilidades

XII: Capacitación

XIII: Revisiones y Auditorías

XIV: Vulneraciones

 

I: INTRODUCCIÓN

Inndot, S.A.P.I. de C.V. (en adelante “Inndot”) está comprometida con la protección de los Datos Personales. Para ello lleva a cabo el tratamiento de Datos Personales de forma legítima, controlada e informada, a efecto de garantizar su privacidad. Para cumplir lo anterior Inndot se guía por los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad y por los deberes de seguridad y confidencialidad lo que conjunta el Sistema de Gestión de Datos Personales.

En las presentes Políticas de Privacidad de Datos Personales (las “Políticas”) se establece el marco de actuación de Inndot, sus colaboradores, funcionarios y empleados en la protección de Datos Personales.

II: OBJETIVO Y ALCANCE

Objetivo: Que todos los colaboradores, funcionarios y empleados de Inndot involucrados en el tratamiento de Datos Personales estén informados sobre la importancia de cumplir con las presentes Políticas y fomentar una cultura de protección de Datos Personales.

Alcance: Se aplicarán en el tratamiento de todos los Datos Personales que tenga Inndot, en todos sus departamentos y dentro de cualquier proceso de la empresa.

III: DEFINICIONES

Administrador Empleado o funcionario de Inndot que tiene las responsabilidades que se citan en la sección IV de las presentes Políticas.

 

Aviso de Privacidad Documento generado por Inndot y que se pone a disposición de los Titulares de Datos Personales, previo al tratamiento de sus Datos Personales, para informarles cómo se utilizarán.

 

Base de Datos El conjunto ordenado de Datos Personales.

 

Datos Personales Cualquier información concerniente a una persona física identificada o identificable. Aquellos datos que han sido desasociados no son considerados Datos Personales.

 

Datos Personales Sensibles Aquellos Datos Personales que afecten la esfera más íntima de su Titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para su Titular. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futura, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

 

Disociación Procedimiento mediante el cual los Datos Personales no pueden asociarse al Titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.

 

Encargado Cualquier persona ajena a Inndot que trata Datos Personales por cuenta de éste, como consecuencia de la existencia de una relación jurídica que las vincula y que delimita el ámbito de su actuación para la prestación de un servicio.

 

Instituto El Instituto Nacional de Transparencia, de Acceso a la Información y Protección de Datos Personales, quien es la autoridad responsable de promover el ejercicio de la Ley y vigilar su debida observancia.

 

Ley Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

 

Reglamento Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

 

Remisión La comunicación de Datos Personales entre Inndot y un Encargado, dentro o fuera de México.

 

Responsable Inndot, S.A.P.I. de C.V.

 

Titular Persona física propietaria de los Datos Personales.

 

Transferencia La comunicación de Datos Personales entre Inndot y una persona distinta del Encargado.

 

Tratamiento La obtención, uso, divulgación o almacenamiento de Datos Personales, por cualquier medio.  El uso abarca cualquier acción de acceso, manejo, aprovechamiento, Transferencia o disposición de Datos Personales.

 

 

IV: ADMINISTRADOR DE DATOS PERSONALES

El Administrador de Datos Personales ha sido designado por el Consejo de Administración de Inndot, quien tendrá a su cargo las siguientes responsabilidades:

a. Dar trámite a todas las solicitudes de ejercicios de derechos de Titulares.

b. Fomentar la protección de Datos Personales dentro de Inndot.

c. Supervisar que las presentes Políticas sean implementadas en las distintas áreas de la empresa, y evaluar su eficacia y eficiencia, conforme a lo señalado en el numeral V.

d. Asegurarse que se cumpla con la legislación aplicable al tratamiento de Datos Personales.

e. Modificar estas Políticas en caso de ser necesario debido a cambios en la legislación aplicable o en las prácticas de privacidad de Inndot.

f. Elaborar y actualizar el Aviso de Privacidad de Inndot, definiendo las modalidades de los avisos y el momento en que los mismos se deben poner a disposición de los Titulares.

g. Interpretar las excepciones legales aplicables al tratamiento de Datos Personales.

h. Elaborar y aprobar formatos de acuerdos y de cláusulas contractuales mediante los cuales se obtengan o compartan Datos Personales con Encargados u otros terceros.

i. Coordinarse con las áreas correspondientes a efectos de que las mismas elaboren inventarios de los Datos Personales que traten, los cuales deben ser correctos, mantenerse actualizados y suprimirse cuando hayan dejado de ser necesarios.

j. Diseñar e implementar los mecanismos, opciones, medios y procedimientos para que los Titulares de Datos Personales ejerzan sus derechos.

k. Asegurarse que, en cumplimiento del deber de seguridad de Inndot, se implementen medidas de seguridad administrativas, técnicas y físicas.

l. Difundir y comunicar a todo el personal sobre estas Políticas, principalmente a aquellos que como parte de sus funciones traten Datos Personales.

m. Llevar a cabo revisiones internas y coordinar auditorias, internas y externas, en el tema de protección de Datos Personales.

n. Coordinar e implementar acciones en materia de vulneraciones de bases de datos.

o. Alinear las presentes Políticas y los procesos internos que demanden o aprovechen Datos Personales.

p. Monitorear y evaluar los procesos internos donde se traten Datos Personales.

q. Colaborar y coordinar acciones con las distintas áreas de la empresa.

r. Identificar e implementar mejores prácticas relacionadas con la protección de Datos Personales.

s. Ser el representante de Inndot en materia de protección de Datos Personales ante otros actores, incluyendo el Instituto y los Titulares.

t. Implementar prácticas relacionadas al tratamiento de Datos Personales requeridas por nuestro sector o que le apliquen a nuestra empresa.

El Administrador de Datos Personales puede ser contactado directamente en el siguiente correo electrónico:  scanela@inndot.com.

Todo empleado, principalmente aquellos que como parte de sus funciones trate Datos Personales, deben acercarse al Administrador con cualquier duda o sugerencia sobre estas Políticas y en general sobre la protección de Datos Personales.

V. CUMPLIMIENTO DE PRINCIPIOS

Inndot está comprometida a que en tratamiento de Datos Personales se cumpla con los principios de protección señalados en la Ley.  Los colaboradores, funcionarios y empleados deben estar conscientes que en caso de incumplir con los principios y deberes de la protección de Datos Personales las consecuencias para Inndot pueden ser serias.  Por ejemplo, Inndot podría ser sujeto de multas administrativas, indemnizaciones por daños y perjuicios, daño a nuestra imagen y percepciones negativas por parte de las personas interesadas en nuestra empresa.

Tratar indebidamente Datos Personales puede ser inclusive considerado como un delito en ciertos casos.

Requerimos que todos nuestros colaboradores, funcionarios y empleados tomen con la debida seriedad y responsabilidad el cumplimiento de las presentes Políticas, atendiendo en todo momento los siguientes principios:

a) Principio de Licitud. Inndot está obligada a tratar y recabar Datos Personales de manera lícita, siempre en apego a la legislación en la materia. Inndot no utiliza tecnología para captar datos sin el consentimiento de los Titulares.

b) Principio de Consentimiento. Salvo las excepciones previstas en la Ley, todo tratamiento de Datos Personales está sujeto a que se haya obtenido el consentimiento de su Titular, el cual se obtiene a través del Aviso de Privacidad correspondiente. Los avisos deben ser claros y específicos. Las personas encargadas de tratar datos deben asegurarse de que Inndot cuenta con las autorizaciones necesarias al efecto.

c) Principio de Información. Mediante el Aviso de Privacidad debe informarse a todos los Titulares de Datos Personales qué información se recaba y con qué fines. Para esos efectos el Aviso de Privacidad debe contener, como mínimo, lo siguiente:

(i) Identidad y domicilio de Inndot.

(ii) Finalidades del tratamiento de los datos.

(iii) Opciones y medios que Inndot le ofrezca a los Titulares para limitar el uso o divulgación de sus Datos Personales.

(iv) Medios de los Titulares para ejercer sus derechos de acceso, rectificación, cancelación u oposición.

(v) Las Transferencias que en su caso se efectuarían.

(vi) El procedimiento y medio por el cual se comunicará a los Titulares de cambios al Aviso de Privacidad.

El Aviso de Privacidad se pondrá a disposición de los Titulares en dos distintas modalidades –integral o simplificado – dependiendo de la forma en que los datos sean obtenidos. El momento en que se ponen a disposición de los Titulares el Aviso de Privacidad también dependerá de la forma en que los datos son recabados por Inndot. El Administrador es responsable de definir el tipo de aviso y el momento en que el mismo deba ser puesto a disposición de los Titulares.

El Aviso de Privacidad debe, asimismo, cumplir con los requisitos que para el mismo señalan la Ley, el Reglamento y los Lineamientos del Aviso de Privacidad y deben ser elaborados y/o actualizados por el Administrador en conjunto con el área correspondiente.

Todos los colaboradores, funcionarios y empleados de Inndot que traten Datos Personales como parte de sus funciones deberán mantener una constante comunicación con el Administrador a efecto de asegurarse que los avisos correspondientes sean dados en tiempo y forma y que los mismos se mantengan actualizados, o bien se ponga a disposición de los Titulares un nuevo aviso cuando esto sea necesario.

d) Principio de Calidad. Todos los Datos Personales tratados deben:

(i) Ser correctos y mantenerse actualizados.

(ii) Suprimirse cuando hayan dejado de ser necesarios.

(iii) Ser tratados estrictamente el tiempo necesario para cumplir con los propósitos con los que se recabaron.

Una vez que se cumplan las finalidades del tratamiento, y cuando no exista una disposición legal o reglamentaria que establezca lo contrario, los Datos Personales deberán ser bloqueados, para posteriormente proceder a su cancelación y supresión.  Por ejemplo, una vez terminada la relación laboral con un empleado de Inndot, sus Datos Personales ya no son necesarios para administrar dicha relación por lo cual deben ser bloqueados durante los plazos de prescripción que marca la legislación laboral, fiscal y de seguridad social, para que una vez cumplidos tales plazos la información sea cancelada mediante su supresión.

e) Principio de Finalidad. El tratamiento de los Datos Personales debe estar limitado al cumplimiento de las finalidades previstas en el Aviso de Privacidad correspondiente.  Por ejemplo, si dentro de las finalidades no se incluyó la posibilidad de enviar información con finalidades de mercadotecnia, publicidad o prospección comercial, la organización debe abstenerse de enviarle cualquier tipo de información publicitaria a tales Titulares.  Por ello es importante que los avisos se ajusten constantemente y reflejen correctamente sus objetivos.

f) Principio de Lealtad. Bajo ninguna circunstancia los Datos Personales se deben obtener a través de medios fraudulentos y siempre se debe respetar la expectativa razonable de privacidad de sus Titulares.

g) Principio de Proporcionalidad y Minimización. Inndot debe tratar los menos Datos Personales posibles, y sólo aquéllos que resulten necesarios adecuados y relevantes en relación con las finalidades previstas en el Aviso de Privacidad correspondiente.

h) Principio de Responsabilidad. Inndot vela en todo momento por el cabal cumplimiento de los principios de protección de Datos Personales y ha adoptado una serie de medidas que son necesarias para su aplicación en términos de estas Políticas y de la Ley, el Reglamento y demás legislación relacionada.

En cumplimiento del principio de responsabilidad, Inndot, a través de su Administrador en coordinación las áreas que tratan Datos Personales dentro de la empresa, lleva a cabo las acciones necesarias para la implementación de las presentes Políticas.

VI: CUMPLIMIENTO DE DEBERES.

a) Deber de Seguridad.

En el tratamiento de Datos Personales, las áreas correspondientes deben asegurarse de que se han establecido y que se mantenga medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos contra daño, alteración, destrucción o su uso, acceso o tratamiento no autorizado.  Al adoptar las medidas de seguridad se debe verificar que éstas no sean menores que aquellas que la propia empresa mantenga para el manejo de su información. Estas medidas se clasifican y consisten en los siguientes:

Medidas de Seguridad Administrativa

  • Establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional.
  • Identificar y clasificar la información.
  • Concientizar al personal de Inndot en materia de protección de Datos Personales.

Medidas de Seguridad Físicas

  • Prevenir el acceso no autorizado, el daño e interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información.
  • Proteger equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones.
  • Proveer a los equipos que contienen o almacenan Datos Personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad.
  • Garantizar la eliminación de datos de forma segura.

Medidas de Seguridad Técnicas

  • El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados.
  • El acceso sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones.
  • Se incluyan acciones para la adquisición, operación, desarrollo y mantenimiento de sistemas seguros.
  • Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de Datos Personales.

En la determinación de las medidas de seguridad, el Administrador, en conjunto con el personal que trate los Datos Personales, deberán tomar en cuenta una serie de factores, que consisten en lo siguiente:

  • El riesgo inherente por tipo de Datos Personales.
  • La sensibilidad de los Datos Personales.
  • El desarrollo tecnológico y las posibles consecuencias de una vulneración de los Datos Personales.
  • El número de Titulares.
  • La existencia de vulnerabilidades previas.
  • El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los Datos Personales para una tercera persona no autorizada para su posesión.

 

Respecto a la determinación de riesgos, se debe: (I) analizar el riesgo al que los Datos Personales están sujetos –identificando potenciales amenazas y vulneraciones y sus consecuencias-, y (II) evaluar las medidas de seguridad existentes contra las que sería conveniente tener, a lo que se le denomina un análisis de brecha.

Es muy importante tener en cuenta que en caso de que ocurra una vulneración a la seguridad de los Datos Personales que tratamos, Inndot podrá tomar en consideración el cumplimiento de sus recomendaciones en materia de medidas de seguridad para determinar la atenuación de las sanciones que en su caso correspondan.

 

Por todo lo anterior, es de gran importancia que el Administrador y las áreas dentro de Inndot que en cumplimiento de sus funciones traten Datos Personales, trabajen conjuntamente para asegurarse que las medidas de seguridad utilizadas son las pertinentes y de esa forma reducir el riesgo de que existan vulneraciones de los Datos Personales en nuestra posesión.

Dentro del proceso de implementación, monitoreo y de mejoras y actualizaciones de las medidas de seguridad, se debe siempre observar lo establecido en la Ley, su Reglamento, las Recomendaciones en materia de seguridad de Datos Personales emitidas por el Instituto y la Guía para implementar un Sistema de Seguridad de Datos Personales a ser emitida por el Instituto y lo señalado en las presentes Políticas.

Asimismo, en caso de que dentro de Inndot alguno de sus empleados y funcionarios, incluyendo los responsables del Sistema, incumpla con alguno de los requisitos previstos en el esquema de autorregulación vinculante contenido en estas Políticas, será sancionado conforme al procedimiento disciplinario que se establezca por el Consejo de Administración para tal efecto;

b) Deber de Confidencialidad.

El personal de Inndot que tenga acceso a Datos Personales en cualquier fase de su tratamiento deberá guardar confidencialidad respecto de éstos y solo revelarlos en cumplimiento de los fines para los cuales fueron obtenidos.  Esta obligación subsistirá aun después de finalizar la relación con los Titulares de los datos.

Siempre que se compartan Datos Personales con terceros, es importante asegurarse que en los acuerdos respectivos se documente el deber legal de confidencialidad de los terceros receptores de la información.

VII: REMISIONES Y TRANSFERENCIAS DE DATOS PERSONALES

Una Remisión tiene lugar cuando Inndot comparte los Datos Personales en su posesión con un Encargado, quien trata la información por nuestra cuenta y como consecuencia de una relación jurídica (por ejemplo, para la subcontratación de un servicio como puede ser la nómina o la administración de los seguros de nuestros colaboradores, funcionarios y empleados). En este escenario, Inndot sigue decidiendo sobre los datos y actúa como responsable de la información frente a los Titulares.

Las Remisiones nacionales e internacionales de Datos Personales no requieren, pero pueden, ser informadas a los Titulares a través del Aviso de Privacidad, ni contar con el consentimiento del Titular, pero Inndot debe asegurarse de proporcionar al Encargado, el Aviso de Privacidad que delimita el ámbito de la actuación de Inndot frente a los Titulares y de que la relación entre Inndot y tales Encargados quede debidamente documentada mediante cláusulas contractuales u otros instrumentos jurídicos que permitan acreditar la existencia, alcance y contenido de la misma (incluyendo, por ejemplo, el deber de confidencialidad a que está sujeto el Encargado).

Por su parte, una Transferencia tiene lugar cuando se transfieren Datos Personales a terceros nacionales o extranjeros, distintos de los Encargados.  En estos casos Inndot debe asegurarse que los Titulares hayan aceptado la Transferencia en el Aviso de Privacidad correspondiente o bien que el consentimiento del Titular no sea requerido conforme a la Ley.

Inndot debe asegurarse de comunicarle a tales terceros el Aviso de Privacidad correspondientes donde se establezcan las finalidades a que los Titulares sujetaron su tratamiento.  El incumplimiento de esta obligación está sancionado por la Ley.  Los terceros receptores asumirán las mismas obligaciones que corresponden a los responsables de Datos Personales.

En caso de que cualquier colaborador, funcionario y empleado, dentro de Inndot, pretenda compartir Datos Personales en cumplimiento de sus funciones, ya sea mediante Remisiones o Transferencias, deberá informar ese hecho al Administrador para que éste se asegure de que en los acuerdos correspondientes se tomen las debidas medidas y precauciones en relación con la protección de Datos Personales.

Asimismo, en caso de que Inndot obtenga los Datos Personales por medio de una Transferencia se convertirá por ese hecho en responsable de los datos y estará obligado a dar cumplimiento a todas las disposiciones incluidas en estas Políticas y la legislación aplicable.

VIII: INVENTARIO Y CICLO DE VIDA DE LOS DATOS PERSONALES

Como medida de control y seguridad, cada área de Inndot que trate Datos Personales, en coordinación con el Administrador, debe preparar y mantener actualizado un inventario de estos o sus categorías, donde se identifique:

Área que trata los Datos Personales:

  • Dirección de Operación
  • Gerencia de Factor Humano
  • Gerencia de Finanzas
  • Dirección Legal
  • Administración
  • Contraloría
  • TI

Categoría de Datos Personales:

  • Colaboradores, funcionarios y empleados
  • Proveedores y clientes
  • Usuarios y consumidores
  • Cámaras de Videovigilancia
  • Otras

Catálogo o Categoría de Datos:

  • De identificación
  • Laborales
  • Académicos
  • Crediticios
  • Otros

Tipo de Datos:

  • Personal
  • Personal Sensible
  • Personal Financiero
  • Personal Patrimonial

Tipo de Tratamiento:

  • Obtención
  • Uso (acceso, manejo, aprovechamiento, Transferencia o disposición)
  • Divulgación
  • Almacenamiento
  • Bloqueo
  • Cancelación

Riesgo:

  • Bajo
  • Medio
  • Alto
  • Reforzado

Para determinar el nivel de riesgo se debe tener especial atención en los Datos Personales Sensibles y se debe atender lo señalado en Ley, su Reglamento, las Recomendaciones en materia de seguridad de Datos Personales emitidas por el Instituto y lo señalado en las presentes Políticas.

El ciclo de vida de los Datos Personales en posesión de Inndot, será por un plazo máximo de 5 años y una vez expirado el mismo, se procederá a la destrucción de estos.

IX. DERECHOS ARCO Y OTROS DERECHOS DE LOS TITULARES

En Inndot todos los derechos de los Titulares son respetados y consisten en los siguientes:

(i) Derechos de acceso, rectificación, cancelación y oposición (“Derechos ARCO”).

(ii) Derecho de revocar su consentimiento para el tratamiento de datos.

(iii) Derecho de manifestar su negativa para el tratamiento de datos que no son necesarios para cumplir con la relación jurídica con Inndot.

(iv) El derecho de aceptar o no que sus Datos Personales sean transferidos.

(v) El derecho de limitar el uso o divulgación de sus Datos Personales.

Los mecanismos, opciones, medios y procedimientos para que los Titulares de Datos Personales ejerzan estos derechos deben quedar asentados en el Aviso de Privacidad correspondiente, y el Administrador es responsable de diseñar e implementar tales procedimientos y por velar por el cumplimiento de estos y atender las solicitudes de ejercicio de los derechos de los Titulares correspondientes.

En caso de que por cualquier circunstancia algún colaborador, funcionario o empleado reciba una queja o solicitud de ejercicio de derechos por parte de un Titular de Datos Personales, no deberá contactar directamente al Titular, y deberá remitir dicha documentación inmediatamente al Administrador, quien tiene la responsabilidad y capacidad para atender los requerimientos.

X. APLICACIÓN DE EXCEPCIONES

El Administrador es responsable de analizar y determinar si es procedente aplicar las excepciones a la obligación de obtener el consentimiento de los Titulares para el tratamiento de sus datos o para llevar a cabo determinadas Transferencias.  Tales excepciones están contempladas en la normativa en materia de protección de Datos Personales.

Es importante considerar que aun y cuando no sea necesario obtener el consentimiento de los Titulares para determinados fines o para llevar acabo ciertas Transferencias de Datos Personales, dicha información –fines y Transferencias- sí deben ser comunicadas a los Titulares mediante el Aviso de Privacidad correspondientes.

Asimismo, el Administrador es el responsable de definir, en caso de duda, si información recabada por Inndot debe o no ser considerada como Datos Personales y por lo tanto sujeta a la legislación aplicable y a las presentes Políticas.

XI. DEFINICIÓN DE RESPONSABILIDADES

La contribución de cada uno de los colaboradores, funcionarios y empleados de Inndot es indispensable para el logro de los objetivos planteados en estas Políticas, y su incumplimiento podría tener consecuencias serias para la organización, tal como se describe al inicio de este documento, por lo que en la gestión de Datos Personales se debe definir claramente las funciones de las distintas áreas.

Actividades Dirección de Operación Gerencia de Factor Humano Gerencia de Finanzas Dirección Legal Administración Contraloría Dirección de IT
Cumplimiento de las Políticas de Privacidad
Inventario de Datos Personales
Preparación y actualización de Avisos de Privacidad
Análisis de Brecha y de Riesgo de los Datos Personales
Implementación de Medidas de Seguridad
Documentar Relaciones Legales con Terceros donde se Compartan Datos
Revisiones y Auditorias
Diseño e Impartición de Capacitaciones
Aplicación de Excepciones
Atención de Vulneraciones

 

XII. CAPACITACIÓN

Inndot reconoce que la medida de seguridad más relevante para evitar vulneraciones es contar con personal consciente de sus responsabilidades y deberes en la protección de Datos Personales. Cada uno de los colaboradores, funcionarios y empleados de Inndot debe entender que su contribución en la materia es indispensable, por lo cual el Administrador establecerá programas de capacitación –diseñados sobre los ejes de concienciación, entrenamiento y educación-, dirigidos principalmente a nuestros colaboradores, funcionarios y empleados  que estén involucrados en el tratamiento de Datos Personales y los cuales una vez completada su capacitación de forma exitosa serán certificados internamente en el tema, para lo que deberán declarar por escrito el conocimiento del contenido y alcance de las presentes Políticas. Para lo anterior, las responsabilidades y deberes en la protección de Datos Personales de cada uno de los colaboradores de Inndot se incluirá objetivos de su evaluación general anual y sus resultados serán resguardados por el Administrador por un plazo de 5 años.

XIII. REVISIONES Y AUDITORÍAS

Inndot, por medio de su Administrador, está comprometido con monitorear y revisar constantemente que el tratamiento que se da a los Datos Personales en su posesión se lleve a cabo en apego a la legislación aplicable y a las presentes Políticas, lo cual se llevará a cabo de forma anual, mediante la presentación del diagnóstico del Administrador al Consejo de Administración.

A través de las revisiones se supervisará el estado de riesgo de los Datos Personales para estar en posibilidades de aplicar las modificaciones pertinentes e identificar acciones correctivas y preventivas en los procesos de tratamiento de Datos Personales por parte de nuestra organización. Para lo anterior, el Administrador deberá documentar las acciones correctivas preventivas consistentes en:

(i) Eliminar la causa de incumplimiento de estas Políticas;

(ii) Reducir el grado de incumplimiento de estas Políticas, o

(iii) Documentar la situación a detalle, cuando se determine que la reducción en el grado de incumplimiento de estas Políticas no puede garantizarse.

Asimismo, se llevarán a cabo auditorías internas, al menos una vez al año y conforme a los lineamientos que para tal efecto se emitan por Inndot, y en determinados casos externas, para monitorear y revisar que la empresa opere en apego a estas Políticas y que se han implementado y mantenido los requerimientos tecnológicos correspondientes, así como en apego a cambios en la normativa aplicable, en la tecnología o en los valores y procedimientos del responsable en caso de que estos sean objeto de modificaciones a través del tiempo. Como resultado de las auditorias se podrá arribar a conclusiones sobre los riesgos existentes para estar en posibilidades de aplicar medidas correctivas y preventivas, mismas que deberán aplicarse en un plazo máximo de 60 días naturales, que sirvan como controles para reducir el riesgo de que ocurran vulneraciones en las bases de datos que mantiene Inndot.

Tanto en el caso de revisiones, como en el de auditorías, estas deberán basarse en:

(I). La retroalimentación por parte de los usuarios del Sistema de Gestión de Datos Personales de Inndot;

(II). Los riesgos identificados en el análisis de riesgos;

(III). Los resultados de auditorías;

(IV). Los resultados de las revisiones;

(V). Las actualizaciones o cambios en la tecnología utilizada por el responsable o encargado;

(VI). Los requerimientos por parte de autoridades;

(VII). El manejo de quejas, y

(VIII). Las vulneraciones de seguridad.

Estas revisiones administrativas deberán ser documentadas y serán resguardadas por el responsable por el plazo de 5 años posteriores a la fecha de la auditoría.

XIV. VULNERACIONES

De las revisiones y auditorías, así como de otros indicadores o alertas, se podría desprender la ocurrencia de vulneraciones de la seguridad de Datos Personales, que pueden consistir en:

(i) Pérdida o destrucción no autorizada.

(ii) Robo, extravío o copia no autorizada.

(iii) Uso, acceso o tratamiento no autorizado.

(iv) Daño, alteración o modificación no autorizada.

En caso de que algún área o empleado de la organización tenga conocimiento de que se ha presentado una vulneración, estará obligado a actuar conforme al mecanismo de reporte de asuntos relevantes a los niveles superiores deberá informarlo inmediatamente al Administrador, a efecto de que éste pueda actuar en consecuencia en apego a las presentes Políticas y la legislación aplicable, mediante la implementación, entre otras, de las siguientes acciones:

(i) Identificar la vulneración.

(ii) Notificar sobre la vulneración a los Titulares de los datos en caso de que se hubieren afectado de forma significativa sus derechos patrimoniales o morales.

(iii) Remediar el incidente.

(iv) Actualizar las medidas de seguridad.

(v) Informar al Consejo de Administración para la toma de medidas extraordinarias.

Asimismo, el Consejo de Administración podrá imponer sanciones a los colaboradores responsables en términos de los procedimientos que se emitan para tal efecto, incluyendo aquellas que deriven de otros casos como son la implementación de nuevos productos, servicios, tecnologías y modelos de negocios.

En caso de que Inndot implemente nuevos productos, servicios, tecnologías y modelos de negocios, el Consejo de Administración realizará las evaluaciones de impacto a la privacidad y emitirá la actualización a esta Política y todos sus documentos relacionados, así como las medidas para mitigarlo, de ser el caso.

Las “Políticas de Privacidad de Datos Personales de Inndot, S.A.P.I. de C.V., se emiten el 04 de enero 2024, en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y demás disposiciones aplicables.