- POLÍTICA DE PROTECCIÓN DE DATOS
GRUPO CEDSA BEST.
(Cedsamóvil S.A. de C.V., Comunicaciones y Enlaces Digitales S.A. de C.V.)
INTRODUCCIÓN
Esta Política de Protección de Datos Personales (la “Política”) ha sido desarrollada a los efectos de garantizar el cumplimiento de la normativa vigente en materia de protección de datos personales.[1]
El presente documento tiene por objeto cumplir, por un lado, con el artículo 48, fracción I del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (en lo sucesivo “LFPD”), en el que se prevé que el Responsable podrá adoptar políticas de privacidad obligatorias y exigibles al interior de su organización como medida para garantizar el debido tratamiento de los datos personales, privilegiando los intereses del titular y la expectativa razonable de privacidad.
Asimismo, tiene por objeto cumplir con el artículo 61, fracción II en relación con el artículo 2, fracción V, también del Reglamento de la LFPD; en donde de forma clara y concisa se indica que el Responsable deberá adoptar las medidas organizativas necesarias para que el personal conozca las normas de seguridad en materia de protección de datos personales que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
Además, contiene la regulación de las condiciones organizativas de las bases de datos que tratan datos personales en posesión de CEDSA MÓVIL, S.A. DE C.V. o COMUNICACIONES Y ENLACES DIGITALES S.A. DE C.V.(en adelante “Responsable o CEDSA BEST BEST”), existentes en la actualidad o que puedan crearse en el futuro; así como de las condiciones para la obtención de dichos datos personales, la entrega y transferencia de los datos a un tercero y los procedimientos a seguir para atender solicitudes relativas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos por los titulares (derechos ARCO) y de revocación del consentimiento.
Esta Política es de aplicación a la obtención y tratamiento de los datos personales que figuren en bases de datos en posesión del Responsable, así como a toda modalidad de uso posterior, incluso no automatizada, de datos personales registrados en soportes físicos o digitales susceptibles de tratamiento automatizado, no automatizado o mixto.
Quedan exceptuados de la aplicación de esta política:
- Las bases de datos relativas a personas morales (sociedades anónimas, fundaciones, asociaciones, y otros tipos de personas jurídicas);
- Las bases de datos de información tecnológica o comercial que reproduzcan datos ya publicados en diarios oficiales u otras publicaciones oficiales;
- Las bases de datos mantenidas por personas físicas en el ejercicio de sus actividades exclusivamente personales o domésticas.
ALCANCE
El presente documento define y documenta las funciones y obligaciones de cada una de las áreas/departamentos que accedan a bases de datos con tratamiento automatizado o no automatizado de datos personales. Esta política es aplicable a todas las operaciones de CEDSA BEST, todos los empleados, subcontratistas y terceros autorizados están obligados a conocer, comprender, promover, así como poner en práctica las directrices contenidas en la misma.
Se recomienda facilitar este documento a cada persona que tiene una relación laboral con CEDSA BEST a través de un correo electrónico personalizado y con acuse de recibo en donde se expondrá la obligación de su lectura y el cumplimiento de las medidas reflejadas o cualquier otro mecanismo que CEDSA BEST considere oportuno.
- El incumplimiento de las directrices, principios y obligaciones definidas en la presente Política puede ser motivo de rescisión del contrato de prestación de servicios celebrado con CEDSA BEST.
Cualquier modificación a la presente deberá ser autorizado por el área de protección de datos personales, seguridad de la información y legal, en su caso.
- COORDINACIÓN DE DATOS PERSONALES
La figura del Coordinador de datos personales tendrá las siguientes funciones y obligaciones:
- Coordinar, gestionar y ejecutar las medidas y acciones necesarias para tramitar y responder en tiempo y forma las solicitudes de ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), limitaciones sobre el uso y divulgación y revocación al consentimiento que formulen los titulares de datos personales.
- Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, reglas vigentes de aspecto organizativo, así como las consecuencias en que dicho personal pudiera incurrir en caso de incumplimiento.
- Determinar junto con el Departamento de Sistemas el nivel de seguridad recomendable para las bases de datos personales, en función de los tipos de datos contenidos en las mismas.
- Controlar junto con el Departamento de Sistemas la adopción de las medidas definidas en la Relación de Medidas de Seguridad de cada base de datos.
- Asegurar junto con el Departamento de Sistemas el establecimiento de procedimientos de identificación y autenticación para el acceso a los datos personales tratados por CEDSA BEST.
- Autorizar las personas y Áreas que, de acuerdo con las necesidades de gestión, puedan acceder a la información.
- Actualizar junto con el Departamento de Sistemas la Relación de Medidas de Seguridad de las bases de datos, cuando sea procedente de conformidad al Reglamento de la LFPD.
- Realizar revisiones de control sobre el cumplimiento y seguimiento de las normas y procedimientos establecidos en la Relación de Medidas de Seguridad.
- Analizar, junto con las áreas correspondientes, los Informes de Auditoría que se emitan sobre los sistemas de información que tratan datos personales y elevar las conclusiones a la Dirección General.
- Coordinar dentro de la organización acciones de formación y concientización periódicas en materia de protección de datos.
- Revisar periódicamente que los Avisos de Privacidad se encuentren debidamente actualizados.
- Custodiar debidamente las Relaciones de Medidas de Seguridad, documentación interna en materia de protección de datos; documentación relativa a las funciones y obligaciones del personal que trata datos personales, así como los Informes Jurídicos y de Auditoría elaborados sobre la materia para CEDSA BEST.
- En el caso de las bases de datos de CEDSA BEST que contienen datos personales considerados sensibles (origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y/o preferencia sexual), controlar los mecanismos de registro de acceso a los datos protegidos, revisar periódicamente la información de control registrada, así como elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
- Guardar el secreto profesional respecto de los datos personales a que tenga acceso con motivo de sus funciones.
- Actuar como interlocutor, en representación de la empresa, en todas aquellas actuaciones que se lleven a cabo frente al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (en lo sucesivo “INAI”).
- Cualquier otra actividad prevista en la presente Política de Protección de Datos Personales que le identifique como Responsable de su gestión y control.
- Asegurar que cada departamento cumpla con las normativas de esta política y tenga correctamente definidos los niveles de autorización y acceso a las bases de datos correspondientes.
- OBTENCIÓN, UTILIZACIÓN, CONSERVACIÓN Y CANCELACIÓN DE DATOS PERSONALES
La obtención de los datos personales, así como su uso, aprovechamiento, almacenamiento, cancelación, bloqueo y supresión, ya sea por sistemas automatizados así como no automatizados, deberá realizarse en CEDSA BEST con sujeción a lo dispuesto en los apartados siguientes.
2.1 Medios por los cuales se obtienen datos personales
A la fecha, CEDSA BEST puede utilizar medios físicos o electrónicos para la obtención de datos personales y para ello deberá observar las reglas generales para el tratamiento de los mismos ya que es el primer contacto por el cual se obtienen los datos de los titulares. A efectos del presente, se obtienen datos mediante formulario en sitio web o contrato de servicio de internet, entre otros.
Con la independencia del formato que decidan emplear deberán observar lo siguiente:
2.2 Obtención de los datos personales
La obtención de datos personales se realizará con fines determinados, explícitos y legítimos.
Los datos a obtener deben ser necesarios, adecuados y relevantes en relación con el ámbito y los fines para los que se han obtenido, no pudiendo obtenerse por medios fraudulentos, desleales, mediante engaño o ilícitos y apegándose en todo momento a la presente política, así como a las políticas o instrucciones que determine CEDSA BEST.
La obtención de datos puede realizarse recabándolos personal o directamente del propio titular sin que exista engaño, dolo o mala fe, ya sea través de terceros o de fuentes de acceso público (obtención indirecta). La obtención de datos personales origina el nacimiento de los derechos de sus titulares a la información preceptiva que se indica en el siguiente apartado.
El hecho de que los datos personales sean tratados posteriormente con fines históricos, estadísticos y/o científicos, no se considerará incompatible con la finalidad que originó su obtención.
El Responsable está obligado a mantener datos personales exactos y actualizados, salvo que tenga elementos que demuestren lo contrario, de forma que respondan con veracidad a la situación actual de sus titulares, debiendo cancelar dichos datos una vez que hayan dejado de ser necesarios o pertinentes para las finalidades para las cuales hubieran sido recabados; respetando en todo momento los posibles plazos legales de conservación de la información establecidos disposiciones legales distintas a la normativa de protección de datos personales.
2.3 El derecho de información en la obtención de datos personales
Conforme a la normativa vigente – adicional y complementaria de la LFPD y su Reglamento – denominada “Lineamientos del Aviso de Privacidad”, CEDSA BEST debe facilitar a los titulares de datos personales que trata para finalidades determinadas, la siguiente información, a través de los Avisos de Privacidad correspondientes, incluidos en esta Política:
- La identidad y domicilio del Responsable que trata los datos personales;
- Los datos personales que serán sometidos a tratamiento;
- En su caso, el señalamiento expreso de los datos personales sensibles que se tratarán;
- Las finalidades del tratamiento;
- Los mecanismos para que el titular pueda manifestar su negativa para el tratamiento de sus datos personales para aquellas finalidades que no son necesarias, ni hayan dado origen a la relación jurídica con el Responsable;
- Las transferencias de datos personales que, en su caso, se efectúen; el tercero receptor de los datos personales, y las finalidades de las mismas;
- La cláusula que indique si el titular acepta o no la transferencia, cuando así se requiera;
- Los medios y el procedimiento para ejercer los derechos ARCO;
- Los mecanismos y procedimientos para que, en su caso, el titular pueda revocar su consentimiento al tratamiento de sus datos personales;
- Las opciones y medios que el Responsable ofrece al titular para limitar el uso o divulgación de los datos personales;
- La información sobre el uso de mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en su caso, y
- Los procedimientos y medios a través de los cuales el Responsable comunicará a los titulares los cambios al aviso de privacidad.
Cuando los datos personales sean obtenidos de manera indirecta del titular, el Responsable deberá observar lo siguiente para la puesta a disposición del Aviso de Privacidad correspondiente:
- Cuando los datos personales sean tratados para una finalidad prevista en una transferencia consentida o se hayan obtenido de una fuente de acceso público, El Responsable dará a conocer el Aviso de Privacidad respectivo en el primer contacto que se tenga con el titular, o
- Si CEDSA BEST pretende utilizar los datos para una finalidad distinta a la originalmente consentida, es decir, vaya a tener lugar un cambio de finalidad, el Aviso de Privacidad deberá darse a conocer antes de realizar el aprovechamiento de dichos datos personales.
2.4 Requisitos internos previos para la obtención de datos personales
Cualquier Área Gerencial, de Dirección o de Sub-Dirección que vaya a recabar datos personales a través de cualquier medio (electrónicamente, contractualmente, a través de medios impresos o formularios, telefónicamente, etc.), deberá someter la captación de dichos datos a las directrices aquí expuestas.
Con el objeto de vigilar internamente que se cumpla el deber de información en la obtención de los datos personales, se describe el siguiente procedimiento interno:
- Cuando el titular de cualquier Área de CEDSA BEST decida emprender actos, campañas o cualesquiera actos que vayan a significar, entre otros, la obtención de datos personales de cualquier persona física, deberá notificar al Coordinador de datos personales sobre la siguiente información:
- Procedencia de la información.
- Tipología de los datos personales.
- Finalidades para las cuales se van a utilizar los datos.
- Sistema de información en el que se procederá a tratar dicha información.
- El Coordinador de datos personales procederá a analizar la situación de hecho para redactar el o los correspondientes Avisos de Privacidad, que cumplan con las especificaciones descritas.
- Posterior, implementará el o los Avisos de Privacidad dentro de su proceso de captación de datos (mediante su colocación en los medios que vayan a ser empleados para recabar datos personales), conforme a las instrucciones que obtenga de la Coordinación de datos personales.
- El consentimiento del titular para el tratamiento de sus datos personales
El tratamiento de datos personales requiere, como norma general, del consentimiento del titular, salvo que:
- Esté previsto en una Ley;
- Los datos figuren en fuentes de acceso público;
- Los datos personales se sometan a un procedimiento previo de disociación;
- Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el Responsable;
- Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
- Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o
- Se dicte resolución de autoridad competente.
La obtención del consentimiento deberá ser:
- Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;
- Específica: referida a una o varias finalidades determinadas que justifiquen el tratamiento, e
- Informado: que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.
El consentimiento expreso también deberá ser inequívoco, es decir, que existan elementos que de manera indubitable demuestren su otorgamiento.
En este sentido, es importante diferenciar entre la necesidad de obtener el consentimiento y la obligación de informar a los titulares sobre el tratamiento de sus datos, a través de Avisos de Privacidad. El primero, podrá no ser necesario en algunas ocasiones, pero la obligación de informar a los titulares sobre el tratamiento de sus datos, nunca puede dejar de cumplirse.
Por otro lado, la legislación sobre protección de datos personales establece la obligación de obtener un consentimiento expreso y por escrito de los titulares cuando se recaben de éstos datos personales sensibles (que revelen ideología, afiliación sindical, religión, creencias, datos de salud, etc.)
En ese sentido sólo se procederá a tratar este tipo de datos personales gestionando esta información con estricta confidencialidad y con las medidas de seguridad aplicables a este tipo de datos, y exclusivamente a efectos de cumplir con las finalidades legítimas y justificadas a que se refieran los Avisos de Privacidad que, en su caso, deban ser emitidos o modificados.
Este tipo de datos personales no podrá ser usado con fines discriminatorios, ni en perjuicio de ningún titular de los mismos.
Como regla general, se prohíbe expresamente la creación de bases de datos que traten datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos perseguidos por CEDSA BEST.
2.6 Conservación y cancelación de datos personales
Los datos personales deben conservarse de forma diligente y con las medidas de seguridad necesarias y adecuadas. La conservación diligente exige que los datos estén actualizados y que sean almacenados de forma que permitan el ejercicio de los derechos ARCO por parte del titular, debiendo durar el tiempo necesario para que se cumplan los fines para los cuales se obtuvieron y usaron.
Los plazos de conservación pueden depender, por una parte, de la relación jurídica existente o no entre CEDSA BEST y los titulares (candidatos, trabajadores clientes, entre otros.), en cuyo caso deberá mantenerse conservados, con carácter general, mientras subsista esta relación y, una vez concluida o bien a solicitud del titular, como máximo, por los siguientes plazos generales:
- Diez años para los datos de clientes y proveedores, tratados en cualquier documentación relativa a la actividad de CEDSA BEST (cumplimiento de las disposiciones de los artículos 38 y 46 del Código de Comercio).
- Cinco años para la documentación relativa a la contabilidad de la empresa y para los Comprobantes Fiscales Digitales.
- Diez años para cualquier otra obligación a la que resulte aplicable el artículo 1159 del Código Civil Federal, o su equivalente de los Códigos Civiles locales, contados a partir del momento en que dicha obligación sea exigible.
Por ello, CEDSA BEST deberá proceder a eliminar los datos del sistema, una vez hayan vencido los plazos de conservación y aquéllos hayan dejado de ser útiles o pertinentes.
En todo caso, debe tomarse en cuenta que los plazos anteriormente indicados pueden variar en función de diversas circunstancias, como pueden ser el inicio de procedimientos judiciales o administrativos basados en la información contenida en la documentación genéricamente identificada.
La norma general al respecto, que establece actualmente el artículo 37 del Reglamento de la LFPD, es la siguiente:
Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, y deberán atender las disposiciones aplicables a la materia de que se trate, y tomar en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento, y cuando no exista disposición legal o reglamentaria que establezca lo contrario, el Responsable deberá proceder a la cancelación de los datos en su posesión previo bloqueo de los mismos, para su posterior supresión.
En otras palabras: CEDSA BEST no deberá conservar datos personales más allá del tiempo que sea necesario para el cumplimiento de las finalidades que justificaron su obtención, procesamiento, uso, aprovechamiento y conservación, incluyendo los períodos que sea necesario conservar dichos datos para acreditar el cumplimiento de obligaciones o cualesquiera otras relaciones jurídicas.
La LFPD establece que CEDSA BEST, en su calidad de Responsable, procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados. Esta obligación de actualización recae sobre el Responsable, que requiera corregir o actualizar datos personales, y en especial en aquellos casos en que el titular de los datos ha ejercido su derecho de rectificación, definido más adelante.
No se procederá a la cancelación, en cualquiera de los siguientes supuestos:
- Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;
- Deban ser tratados por disposición legal;
- Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;
- Sean necesarios para proteger los intereses jurídicamente tutelados del titular;
- Sean necesarios para realizar una acción en función del interés público;
- Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y
- Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.
Cualquier duda o consulta sobre la cancelación de datos personales en las bases de datos de CEDSA BEST, deberá dirigirse a la Coordinación de datos personales.
- EJERCICIO DE LOS DERECHOS DE LOS TITULARES DE DATOS PERSONALES
Cuando las personas físicas titulares de los datos personales que son objeto de tratamiento por parte de CEDSA BEST ejerzan alguno de los derechos que les corresponden (relacionados a continuación), se actuará de acuerdo con el procedimiento establecido en la presente política (Procedimiento de ejercicio de los derechos ARCO y plazos legales). La atención de dichos derechos lleva implícito el cumplimiento de los plazos señalados en la LFPD y su Reglamento, que se identifican en la presente Política.
Cualquier duda respecto al alcance de los derechos ARCO o de las solicitudes sobre revocación del consentimiento, deberá dirigirse a la Coordinación de datos personales.
3.1 Derechos ARCO, revocación del consentimiento y limitación sobre el uso o divulgación de datos personales
Los derechos de los titulares reconocidos en nuestro ordenamiento jurídico, con relación al tratamiento de sus datos personales, son:
- DERECHO DE ACCESO: Se refiere al derecho de los titulares para obtener información sobre sus datos personales en posesión del Responsable, así como información relativa a las condiciones y generalidades del tratamiento.
- DERECHO DE RECTIFICACIÓN: Los titulares podrán solicitar, en todo momento, que el Responsable rectifique sus datos personales que resulten ser inexactos o incompletos.
- DERECHO DE CANCELACIÓN: Los titulares podrán solicitar, en todo momento, la cancelación de los datos personales únicamente cuando consideren que su tratamiento ya no es necesario para las finalidades por las cuales dieron origen a la relación entre el Responsable y el Titular en primer lugar, o cuando consideren que no están siendo tratados conforme a los principios y deberes que establece la LFPD y su Reglamento.
La cancelación procederá respecto de la totalidad de los datos personales del titular, contenidos en una base de datos del Responsable, o de sólo una parte de ellos, según lo haya solicitado.
La cancelación implica el cese en el tratamiento por parte del Responsable, a partir de un bloqueo de los mismos y su posterior supresión.
En el caso de que exista una obligación de conservación de los datos y se hubiere solicitado la cancelación conforme a derecho y por persona legitimada para hacerlo, los datos deberán ser conservados, pero se bloqueará el acceso a los mismos de forma general, evitando cualquier proceso posterior de utilización y limitando su acceso sólo a un concreto de personas, definidas por CEDSA BEST.
- DERECHO DE OPOSICIÓN AL TRATAMIENTO DE DATOS PERSONALES. Los titulares podrán, en todo momento, oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo cuando:
- Exista causa legítima y su situación específica así lo requiera. En estos casos, deberá justificarse que aun siendo lícito el tratamiento, éste debe cesar para evitar que su persistencia cause un perjuicio al titular, o
- Requiera manifestar su oposición para el tratamiento de sus datos personales a fin de que no se lleve a cabo el tratamiento para fines específicos.
No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación legal impuesta al Responsable.
- REVOCACIÓN DEL CONSENTIMIENTO: En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el Responsable deberá establecer mecanismos sencillos y gratuitos, que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó, siempre y cuando no lo impida una disposición legal.
- LIMITACIÓN SOBRE EL USO O DIVULGACIÓN DE DATOS PERSONALES. Los titulares pueden solicitar la limitación del uso o divulgación de sus datos personales por parte del Responsable o de terceros, mediante su inclusión en listados de exclusión propios o comunes. En su caso, puede darse a conocer a los titulares la existencia de los Registros Públicos de Consumidores y de Usuarios que prevén la Ley Federal de Protección al Consumidor y la Ley de Protección y Defensa al Usuario de Servicios Financieros, respectivamente.
3.2 Procedimiento de ejercicio de los derechos ARCO y revocación del consentimiento. Plazos legales
El ejercicio de cualquiera de los derechos ARCO no excluye la posibilidad de ejercer alguno de los otros, ni puede constituir requisito previo para el ejercicio de cualquier otro de ellos. Las revocaciones del consentimiento para el tratamiento de datos personales deben tramitarse dentro de los mismos plazos legales aplicables para atender solicitudes de ejercicio de derechos ARCO.
La LFPD y su Reglamento reconocen a dos personas facultadas para ejercer los derechos ARCO:
- Por el titular, previa acreditación de su identidad, a través de la presentación de copia de su documento de identificación.
- Por el representante del titular, previa acreditación de su identidad, del titular al que representa y de la existencia de la representación.
Asimismo, el Reglamento de la LFPD establece que para el ejercicio de los derechos ARCO en relación con datos personales de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad establecida por ley, se estará a las reglas de representación dispuestas en el Código Civil Federal.
En relación con las bases de datos de CEDSA BEST, se facilitará este ejercicio de acuerdo con el procedimiento que se establece a continuación.
3.2.1 Requisitos comunes al ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO), revocaciones del consentimiento y solicitudes de limitación sobre el uso o divulgación de datos personales
El ejercicio de los derechos ARCO tendrá carácter gratuito, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos (art. 35 de la LFPD). En los casos en que el mismo titular ejerza su solicitud en un tiempo menor a 12 meses los costos no serán mayores a 3 días del Salario Mínimo General vigente en la Ciudad de México, siempre y cuando no existan modificaciones sustanciales al aviso de privacidad que motiven tales consultas.
Sólo deben recibirse solicitudes de atención de derechos ARCO, de revocación del consentimiento, o de limitación del uso o divulgación de datos personales (conjuntamente y en adelante, Solicitudes de Derechos), a través de dos vías:
- Vía postal, a la dirección: Paseo del Olimpo #1490, Campestre la Rosita, C.P. 27250, Torreón, Coahuila.
- Vía correo electrónico, a la siguiente cuenta: contacto@cedsa.com.mx
La solicitud deberá dirigirse a:
CEDSA BESTMOVIL, S.A. DE C.V.
Coordinación de datos personales
Referencia: Protección de Datos – Derechos ARCO / Revocación del Consentimiento
Y contendrá:
- El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
- Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
- La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
Toda persona parte de CEDSA BEST que reciba una Solicitud de Derechos, por cualquier medio de los indicados, (correo postal o correo electrónico) deberá canalizarla de manera inmediata hacia la Coordinación de datos personales, ya que se tiene un plazo de 20 días hábiles para contestar.
El único medio habilitado y aceptable para recibir las Solicitudes de Derechos por correo electrónico es a través de la cuenta: contacto@cedsa.com.mx misma que se encuentra señalada en todos los Avisos de Privacidad de CEDSA BEST. En caso de recibir una Solicitud de Derechos, por cualquier motivo, a través de otra dirección, deberá responderse indicando cuál es la dirección habilitada para ello.
Si cualquier área de CEDSA BEST recibe una solicitud a través de un correo electrónico que no sea el anteriormente señalado, deberá consultar con la Coordinación de datos personales para poder contestar al titular, invitándolo a dirigir su solicitud a través del correo habilitado.
Si la solicitud se envía a la cuenta de correo electrónico o domicilio señalados en el Aviso de Privacidad, no obstante esta no reúne los requisitos citados (solicitud incompleta), El Responsable, a través de la Coordinación de datos personales, solicitará al titular la corrección de los mismos.
Se contestarán por escrito con acuse de recibo, por cualquier medio, sugiriendo sea por el cual se recibió, con el fin de acreditar el envío y la recepción de todas las solicitudes de ejercicio de los derechos ARCO, incluso en aquellos casos en que no existiera en las bases de datos del Responsable información sobre el titular que envió la solicitud. Asimismo, deberá crearse un archivo, ya sea físico o electrónico, de cada uno de los casos atendidos.
3.3 Derecho de Acceso
Cada titular de datos personales sólo podrá ejercer este derecho a intervalos no inferiores a doce meses, salvo que hubiesen ocurrido modificaciones sustanciales al Aviso de Privacidad correspondiente.
Para permitir el ejercicio de este derecho a los titulares, se podrá optar por uno o varios de los siguientes sistemas de consulta a la base de datos correspondiente:
- Visualización en pantalla.
- Impresión del registro correspondiente.
- Escrito descriptivo.
- Fotocopia de documentos.
- Cualquier otro procedimiento que pueda ofrecerse, adecuado a la configuración e implantación material de la base de datos.
Si el titular de los datos no elige en su petición la forma de acceso, la Coordinación de datos personales podrá remitir una carta indicando:
- Que el acceso a sus datos personales lo podrá realizar en las oficinas de CEDSA BEST, durante un plazo no menor a quince días hábiles contados a partir de la fecha de envío de la respuesta, salvo que el tipo de solicitud de acceso aconseje que la información se proporcione por escrito (por ejemplo, al haber sido solicitado el acceso por titulares que no tienen su domicilio en la misma localidad que El Responsable), o
- Que CEDSA BEST remita la información solicitada en alguno de los formatos indicados, según sea definido por la Coordinación de datos personales.
Si el titular no acude para tener acceso a sus datos personales dentro del plazo otorgado, será necesaria la presentación de una nueva solicitud. En dichos casos, se recomienda que CEDSA BEST remita una comunicación informativa, por la vía que recibió la solicitud, mediante la cual haga conocer al titular y deje constancia (unilateral) de su inasistencia para acceder a los datos, esta constancia deberá ser archivada por la Coordinación de datos personales de CEDSA BEST.
En todo caso, la información, cualquiera que sea la forma en que se facilite, se dará de forma legible y de fácil comprensión, transcribiendo los datos personales solicitados y los resultantes de cualquier elaboración o proceso informático, así como el origen de los mismos; los receptores de transferencias realizadas (si los hubiere), y los usos y finalidades para los que se obtuvieron y conservaron.
Si la determinación adoptada es positiva para el acceso a los datos, ésta se hará efectiva mediante la comunicación por escrito a través de la vía por la que solicitó, del resultado obtenido de las búsquedas realizadas (si el titular optó por este medio) o bien dentro de un plazo no menor a quince días hábiles si el titular optó por acudir personalmente a la consulta de sus datos, contados a partir de que la determinación sea comunicada al titular.
En caso de que la solicitud fuese desestimada o hubiese transcurrido el plazo de veinte días hábiles sin que CEDSA BEST hubiese dado contestación a la misma, el titular puede iniciar el procedimiento de protección de derechos ante el INAI. Bajo ningún motivo se debe permitir que una solicitud no sea atendida en el plazo legal.
Como regla general, únicamente se denegará el acceso cuando la solicitud sea formulada por persona distinta del titular o cuando no existan datos del solicitante en las bases de datos del Responsable.
Si el titular ejerce el derecho de acceso en un intervalo inferior a doce meses sin que se hubiesen realizado modificaciones sustanciales al Aviso de Privacidad que pudieran motivar nuevas consultas, el Responsable podrá optar por solicitar al primero que cubra los costos de búsqueda y respuesta, que en ningún caso podrán ser superiores a tres días de Salario Mínimo General Vigente en la CDMX (artículo 35 de la LFPD).
3.4 Derechos de rectificación, cancelación y oposición
Las personas físicas (titulares) tienen derecho a que sus datos personales sometidos a tratamiento sean rectificados sin son erróneos o están desactualizados.
También tienen derecho a indicar que no desean que se traten para una finalidad específica por parte del Responsable (por ejemplo, que no desean recibir publicidad, pero desean mantener vigente una relación contractual con el Responsable).
La solicitud de cancelación deberá indicar si se trata de un dato erróneo o inexacto o si revoca la autorización para el tratamiento del dato.
No procederá la cancelación de los datos:
- Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;
- Cuando no se encuentren los datos personales del solicitante en ninguna base de datos;
- Cuando se lesionen los derechos de un tercero;
- Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y
- Cuando la rectificación, cancelación u oposición haya sido previamente realizada.
Cuando procediendo la cancelación no sea posible la supresión física de los datos personales, deberán bloquearse con el fin de impedir un futuro proceso o uso, conservándose con el único propósito de determinar posibles responsabilidades en relación con su tratamiento hasta el plazo de prescripción legal o contractual de éstas. Cumplido el citado plazo deberá procederse a su supresión.
La procedencia de la rectificación, cancelación u oposición se hará efectiva dentro de los quince días siguientes a la comunicación de la determinación adoptada.
Si lo procedente es negar la rectificación, cancelación u oposición ejercidas, deberá comunicarse al titular la razón motivada de la denegación dentro del plazo de veinte días a que se refiere el artículo 32 de la LFPD.
3.5 Procedimiento y cómputo ordinario de plazos para atender el ejercicio de derechos de los titulares
Los plazos y el procedimiento general descrito con anterioridad, se desarrolla con mayor detalle a continuación. Por consiguiente, y siguiendo el mismo sistema de cómputo de días hábiles y las partes intervinientes, se describe los siguientes plazos internos:
3.5.1 Plazos internos ordinarios para atender el ejercicio de los derechos ARCO (días hábiles):
- Desde la entrada de la solicitud (fecha de comienzo del cómputo del plazo legal) se remitirá la solicitud a la Coordinación de datos personales, como máximo al día siguiente.
- Dentro de los 4 (cuatro) días siguientes, la Coordinación de datos personales analizará la solicitud para determinar si la misma cumple con los requisitos formales que marca la LFPD y su Reglamento.
- Si la solicitud cumple con los requisitos establecidos, la Coordinación de datos personales remitirá por correo electrónico y con categoría de urgente la solicitud a cada una de las áreas que manejan los datos personales.
- Las áreas internas, desde la recepción de la solicitud remitida por la Coordinación de datos personales, tendrán de un plazo interno de 12 (doce) días para tramitar y recopilar la información del interesado que ejercita cualquiera de los derechos ARCO.
Las áreas involucradas y el área de protección de datos deberán:
- Analizar la legitimación de la solicitud del titular; es decir, si resulta posible y procedente:
- Acceder a sus datos;
- Rectificar sus datos;
- Cancelar sus datos, u
- Oponerse al tratamiento de sus datos.
- Realizar búsquedas (manuales y electrónicas) sobre la base de datos a los efectos de identificar los datos.
- En su caso, identificar la información en las bases de datos no automatizadas.
- Una vez llevada a cabo esta tarea y dentro del plazo marcado (doce días), cada una de las áreas remitirá a la Coordinación de datos personales la información/documentación con los datos personales existentes sobre el titular que remitió la solicitud atendida.
A tales efectos, deberán indicar:
- Si el acceso a los datos personales es posible, conforme a la información que remitan; o
- Si la rectificación de datos es procedente y ejecutable; o
- Si la cancelación es procedente y ejecutable; o
- Si la oposición al tratamiento es procedente y ejecutable.
- La Coordinación de datos personales, tras la revisión y supervisión correspondiente, contará con tres días para remitir al titular la determinación adoptada en relación con su ejercicio de derechos ARCO.
- Si la solicitud ha resultado procedente, la Coordinación de datos personales deberá coordinar con las áreas correspondientes que la determinación adoptada se haga efectiva dentro de los siguiente 15 (quince) días a la comunicación de la respuesta.
3.5.2 Cómputo de plazos en caso de solicitudes incompletas o erróneas
En aquellos casos en que el titular presente una solicitud errónea o incompleta, se procederá conforme al siguiente procedimiento:
- Desde la entrada de la solicitud (fecha de comienzo del cómputo del plazo legal) ésta se remitirá a la Coordinación de datos personales, como máximo al día siguiente.
- Dentro de los 4 (cuatro) días siguientes, la Coordinación de datos personales analizará la solicitud para determinar si la misma cumple con los requisitos formales que marcan la LFPD y su Reglamento.
- Si la solicitud está incompleta o contiene errores que no permiten su tramitación, la Coordinación de datos personales deberá comunicar de inmediato esta situación al solicitante, remitiéndole una comunicación por la misma vía que recibió la solicitud, en la que explique las causas por las cuales no se cumplen los requisitos legales necesarios para tramitarla; Indicando al titular que cuenta con diez días hábiles para subsanar su solicitud.
- Si el titular no subsana su solicitud dentro del plazo anteriormente indicado se tendrá por no presentada. La Coordinación de datos personales deberá archivar toda la documentación relacionada con aquélla para el caso en que exista una solicitud por parte del INAI, y podrá tenerla por no presentada.
- Si el titular subsana adecuadamente su solicitud, comenzarán a contar los plazos a que se refiere el artículo 32 de la LFPD y, por lo tanto, la Coordinación de datos personales debe tratar la solicitud dentro del procedimiento ordinario a que se refiere el apartado inmediato anterior.
- ACCESO A LOS DATOS. RECURSOS CONTENIDOS EN BASES DE DATOS AUTOMATIZADAS Y NO AUTOMATIZADAS
Únicamente podrán acceder a bases de datos que procesan o contienen datos personales (BBDD) las personas especialmente autorizadas para ello, y sólo tendrán acceso a la información o recursos autorizados.
Cuando una persona o Área precise, para el cometido de sus funciones en CEDSA BEST, acceder por primera vez a datos personales o a recursos de bases de datos automatizadas o no automatizadas que contengan este tipo de datos, debe solicitar la oportuna autorización a la Coordinación de datos personales, informándole de las razones por las que necesita el acceso y el tipo o tipos de datos que precisa consultar.
La Coordinación de datos personales sólo autorizará el acceso a aquellos datos o recursos que sean precisos para el desarrollo de las funciones del peticionario.
4.1 Obligaciones del personal con acceso a datos personales
Las obligaciones que deben conocer los colaboradores de CEDSA BEST en el desarrollo de sus funciones, derivadas de la LFPD y de su Reglamento, son las siguientes:
- Quienes intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, subsistiendo estas obligaciones aún después de haber finalizado su relación con CEDSA BEST, o de haber cambiado de función.
- La violación del deber de secreto tendrá la consideración de falta laboral muy grave y dará lugar al inicio del Procedimiento Disciplinario vigente en CEDSA BEST, sin perjuicio de otras responsabilidades a que hubiere lugar. La inobservancia de las demás obligaciones se calificará según la gravedad del hecho, en aplicación de normativa aplicable.
- Aplicar las directrices de seguridad que impone la Normativa Interna y habilitar aquellas otras medidas de seguridad necesarias para una correcta protección de su entorno de trabajo. En este sentido es necesario recalcar la política interna aprobada por ea Coordinación de datos personales denominada “Funciones y Obligaciones del Personal con relación a los Sistemas de Información”.
- Usar los datos exclusivamente para el fin que han sido facilitados y de acuerdo con la función que le ha sido encomendada.
- Utilizar software aprobado/homologado por el departamento de Sistemas.
- Utilizar las funciones de control de acceso, a todos los niveles, en computadoras que almacenan datos personales: setup, protector de pantallas, etc.
- Proteger y mantener en secreto las contraseñas utilizadas para su gestión y cambiarlas con la periodicidad que establezca el Departamento de Sistemas.
- Apagar de forma ordenada los equipos de trabajo, al finalizar la jornada de trabajo, salvo que por razones específicas éstos deban permanecer encendidos, y exista control sobre aquéllos en esta situación.
- Comunicar cualquier anomalía por mal funcionamiento (hardware, software, virus informáticos) al departamento de Sistemas, así como cualquier incidencia de seguridad (intentos de acceso no autorizados, manejo inadecuado de datos, etc.) mediante el correspondiente Registro de Incidencias.
- Habilitar los medios necesarios para proteger los soportes que contengan datos de personales.
- Utilizar los medios necesarios para destruir los soportes antes de desecharlos o reutilizarlos cuando la información contenida en estos así lo requiera.
- Guardar los soportes que contengan datos personales en armarios o escritorios protegidos con llave o con un sistema de combinación, al finalizar la jornada de trabajo.
- Comunicar a través del correspondiente modelo de entrada y salida de soportes cualquier tipo de soportes que entre o salga de las instalaciones de CEDSA BEST.
- Utilizar los equipos informáticos exclusivamente para la finalidad para la que han sido facilitados y nunca para trabajos o comunicaciones personales.
- Utilizar trituradoras de papel para la destrucción de documentación donde se alberguen datos personales y/o en contenedores de papel para su posterior destrucción, cuando dicha documentación deje de ser necesaria o pertinente, tal como se señala en las políticas internas en relación al manejo de información confidencial.
Todas las funciones de cada una de las personas con acceso a los datos personales y a los sistemas de información deberán estar definidas y documentadas en la Relación de Medidas de Seguridad correspondiente, conforme a la configuración que el departamento de Sistemas de CEDSA BEST, en su caso.
A fin de que todas las personas que intervienen en el tratamiento de datos personales conozcan sus funciones y obligaciones respecto a la confidencialidad de la información, la Coordinación de datos personales dará publicidad a las presentes obligaciones, así como a las obligaciones adicionales que deban observarse en razón de los datos personales tratados.
- TRANSFERENCIAS DE DATOS. RECURSOS CONTENIDOS EN UNA BASE DE DATOS PERSONALES
Por transferencia de datos se entiende “toda comunicación de datos realizada a persona distinta del Responsable o encargado del tratamiento” (art. 3, fracción XIX de la LFPD). Dadas las consecuencias e implicaciones que conlleva la transferencia de datos personales contenidos en las bases de datos de CEDSA BEST, para su realización se seguirán las siguientes reglas:
5.1 Regla general
Con carácter general, no se transferirán datos personales a terceros. Se exceptúan de dicha regla los siguientes supuestos:
- Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;
- Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
- Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del Responsable que opere bajo los mismos procesos y políticas internas;
- Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el Responsable y un tercero;
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
- Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el Responsable y el titular.
Podrán llevarse a cabo transferencias de datos personales en aquellos supuestos que se obtenga el consentimiento del titular, siempre que el Responsable-Receptor trate los datos personales conforme a lo establecido en el Aviso de Privacidad que el Responsable-Transferente (CEDSA BEST) le comunique en todos los casos.
5.2 Control de la transferencia efectuada
El departamento dueño de la base de datos a la que correspondan los datos personales objeto de transferencia, deberá informar a la Coordinación de datos personales sobre:
- La finalidad de la transferencia,
- Los datos que se transfieren,
- Contar con el consentimiento del titular, en los casos que aplique.
- La identidad y el domicilio del Responsable receptor de los datos.
Si la transferencia de datos se efectúa mediante la entrega de soportes (informáticos o papel), ésta deberá autorizarse por la Coordinación de datos personales, e identificar si la base de datos es considerada de riesgo alto o no, de acuerdo a las indicaciones de CEDSA BEST. Por último, deberá anotarse en un Registro la transferencia de datos para tener mapeado las comunicaciones que se efectúan de acuerdo a lo que establezca el área de Protección de Datos.
- INVENTARIO DE BASES DE DATOS QUE TRATAN DATOS PERSONALES
Las bases de datos existentes en CEDSA BEST con datos personales deberán estar en un Inventario de Bases de Datos. Estas bases de datos pueden ser clasificadas en:
6.1 Clasificación
- En razón de su uso:
- CORPORATIVAS: Aquellas que son básicas para la gestión de CEDSA BEST, independientemente del entorno donde residan o del lugar de su ubicación y que normalmente son utilizadas por más de una Dirección y/o Gerencia.
- NO CORPORATIVAS: Aquellas que son utilizadas por una sola Dirección, Gerencia, Jefatura o Área de CEDSA BEST.
- En razón de las medidas de seguridad que deberían adoptar tomando en cuenta la sensibilidad de los datos personales tratados:
- Bases de datos que deben contar con medidas de seguridad de nivel básico: Por defecto, todas las bases de datos automatizadas deben disponer de medidas de seguridad de nivel básico.
- Bases de datos que deben contar con medidas de seguridad de nivel medio: Contendrán las medidas de nivel básico más las de nivel medio aquellas bases de datos que traten, además de datos personales “genéricos”, datos de tipo financiero y/o patrimonial.
- Bases de datos que deben contar con medidas de seguridad de nivel alto: Contendrán medidas de nivel básico, medio y alto las bases de datos que traten datos personales considerados como sensibles por la LFPD.
Dependiendo de la clasificación de las bases de datos por el nivel de las medidas de seguridad que deberían adoptar en consideración de la sensibilidad de los datos tratados, CEDSA BEST implementará las medidas de seguridad que considere oportunas y aplicables para cada caso.
Lo anterior, con independencia de que por sí mismo o mediante la ejecución de un proyecto específico adopte en el plazo que considere pertinente las “Recomendaciones en materia de seguridad de datos personales” publicadas en el Diario Oficial de la Federación el pasado 30 de octubre de 2013 y todas las modificaciones que de ella deriven.
6.2. Creación de nuevas bases de datos
Cuando se trate de crear nuevas bases de datos personales distintas a las inventariadas en la fecha de publicación de la primera versión de esta Política de Protección de Datos Personales, se deberá contar con la autorización del Titular del Área correspondiente, que lo comunicará por escrito a la Coordinación de datos personales, informando de todos los extremos que figuran en el Inventario de Bases de Datos y dejando el correspondiente registro de dicha actualización.
Las pruebas previas a la creación o modificación de bases de datos, consistentes en la grabación o transmisión de datos personales, no se realizarán con datos reales salvo que se garantice el nivel de seguridad correspondiente al tipo de datos personales tratado.
6.3 Modificaciones o supresiones de bases de datos
Las supresiones de bases de datos, o las modificaciones que se realicen de cualquier extremo que figura en el Inventario, se comunicarán por parte del área Responsable a la Coordinación de datos personales y al Departamento de Sistemas para que estos últimos ejecuten las modificaciones procedentes en los sistemas de información, en el Inventario de Bases de Datos de CEDSA BEST y en la Relación de las Medidas de Seguridad de la base de datos afectada.
En aquellos casos en que se suprima una base de datos, deberá quedar constancia del destino de los datos personales, indicando si los mismos han sido suprimidos o transferidos a otra base de datos.
Se recomienda conservar durante al menos dos años la Relación de Medidas de Seguridad de cualquier base de datos que hubiese sido suprimida, a contar desde su fecha efectiva de baja en los sistemas de información.
- MEDIDAS DE SEGURIDAD DE LAS BASES DE DATOS
A fin de garantizar la confidencialidad, disponibilidad e integridad de la información, se establecen una serie de medidas técnicas y organizativas aplicables en todo el ámbito de CEDSA BEST para garantizar la seguridad que deben reunir las bases de datos personales automatizadas y no automatizadas, centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos personales.
Por defecto, cualquier base de datos que trate datos personales debe adoptar las medidas de seguridad de nivel básico. Asimismo, que aquellas bases de datos que traten, entre otros, datos financieros y/o patrimoniales, deberán adoptar además medidas de seguridad de nivel medio. Por último, que aquellas bases de datos que traten datos personales sensibles, deberán adoptar medidas de seguridad de nivel alto, en adición a las medidas de nivel básico y medio.
Las medidas de seguridad que deben implementarse sobre las bases de datos serán acorde al sistema de tratamiento y la tipología de los datos personales tratados.
[1] Dicha normativa comprende, entre otras, las siguientes disposiciones: (i) Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPD”); (ii) Reglamento de la LFPD; (iii) Lineamientos del Aviso de Privacidad; (iv) RECOMENDACIONES en materia de seguridad de datos personales; (v) Modelo de Aviso de Privacidad Corto para Video-Vigilancia publicado por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI, antes IFAI), y (vi) Recomendaciones aplicables emitidas por el INAI.
Todas las bases de datos personales deberán disponer de su propia “Relación de Medidas de Seguridad” bajo la gestión y control de la Coordinación de datos personales en coordinación con el Departamento de Sistemas.
Conforme a lo dispuesto por el artículo 61 del Reglamento de la LFPD, esta relación deberá contener las Medidas de Seguridad derivadas de las fracciones contenidas en el mismo numeral, por lo que habrá de tenerse en cuenta cuál es su contenido:
Acciones para la seguridad de los datos personales
Artículo 61. A fin de establecer y mantener la seguridad de los datos personales, el Responsable deberá considerar las siguientes acciones:
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;
V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;
VII. Llevar a cabo revisiones o auditorías;
VIII. Capacitar al personal que efectúe el tratamiento, y
IX. Realizar un registro de los medios de almacenamiento de los datos personales.
X. El Responsable deberá contar con una relación de las medidas de seguridad derivadas de las fracciones anteriores.
7.1 Actualización de la Relación de Medidas de Seguridad
Conforme al artículo 62 del Reglamento de la LFPD, la Relación de Medidas de Seguridad deberá actualizarse, cuando ocurra cualquiera de los siguientes eventos:
I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del Responsable;
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo;
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20 de la Ley y 63 del presente Reglamento, o
IV. Exista una afectación a los datos personales distinta a las anteriores.
En el caso de datos personales sensibles, los Responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año.
La presente Política de Privacidad de Datos entrará en vigor el día primero del mes siguiente a la fecha de su comunicación interna a las Áreas involucradas y deroga cualquier otra comunicación interna relativa a la seguridad de datos personales tratados en los sistemas de información de CEDSA BEST.
Cualquier propuesta de modificación, corrección o mejora de la presente Política de Protección de Datos Personales se dirigirá a la Coordinación de datos personales:
ANEXO 1
AVISOS DE PRIVACIDAD.
AVISO DE PRIVACIDAD
CANDIDATOS
I. Identidad y Domicilio del Responsable
En términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y demás normativa aplicable, le informamos que CEDSA BESTMÓVIL, S.A. de C.V. (En adelante e indistintamente, CEDSA BEST o el Responsable), señala como domicilio el ubicado en Paseo del Olimpo #1490 Campestre la Rosita, c.p. 27250 Torreón, Coahuila y en relación con el tratamiento de sus datos personales le informa:
II. Datos personales que se obtienen para su tratamiento
Los datos personales que se obtienen para llevar a cabo las finalidades que se establecen en el presente documento, son los siguientes:
1. Datos de identificación y contacto.
2 Datos laborales.
3. Datos académicos.
4. Datos patrimoniales y/o financieros.
5. Datos de ocupación laboral.
6. Datos sobre pasatiempos, entretenimientos y diversión.
Por este medio, se informa al titular que para el cumplimiento de las finalidades descritas, y por regla general, no se recaban datos personales sensibles. No obstante, en algunos casos y para puestos de trabajo que así lo justifiquen, CEDSA BEST podrá solicitar datos personales de esa naturaleza, observando las reglas para la obtención del consentimiento del Titular para el tratamiento a dichos datos.
Los datos personales cuyas categorías han sido identificadas pueden ser recabados por el Responsable directa o personalmente del titular, o de forma indirecta a través de transferencias de datos que haya consentido mediante la publicación de sus datos en páginas web o redes sociales.
Como candidato usted es responsable de comunicar a las personas que hubiese proporcionado como referencias (familiares o antiguos empleadores) sobre la existencia del proceso de selección en el que participa y sobre el tratamiento de los datos personales de contacto que ha proporcionado para las finalidades establecidas en el presente Aviso de Privacidad. En su caso, deberá comunicarles los medios a través de los cuales pueden conocer el contenido íntegro de este Aviso.
La aceptación del presente Aviso de Privacidad conlleva la autorización que como candidato a un puesto de trabajo otorga al Responsable para que contacte con las referencias familiares o profesionales que hubiese proporcionado, para obtener información y antecedentes sobre su desempeño en otros lugares de trabajo.
III. Finalidades del tratamiento
Finalidades originarias y necesarias:
1. Gestión, control y administración de los currículos y solicitudes de empleo recibidas por el Responsable para su valoración; contacto con candidatos y referencias de los candidatos, y selección de personal para el Responsable.
2. Gestión, control y administración de currículos e información profesional proporcionada y/o publicada por profesionistas en páginas web o redes sociales de carácter profesional, como candidatos a puestos de trabajo.
3. Verificación de referencias personales o laborales.
4. Estadística y registro histórico de candidatos.
5. En su caso, generación y comunicación de ofertas laborales con carácter vinculante y no-vinculante.
Finalidades adicionales:
No existen.
IV. Transferencia de datos personales
Sus datos personales no serán transferidos para el cumplimiento de las finalidades descritas, salvo cuando se actualicen las excepciones previstas en los artículos 37 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 17 y 68 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
V. Ejercicio de derechos de Acceso, Rectificación, Cancelación y Oposición
En los casos que sean legalmente procedentes, usted podrá ejercer en todo momento sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Responsable de Datos Personales al domicilio indicado en el inciso A de este Aviso o al correo electrónico contacto@cedsa.com.mx
La solicitud deberá contener y acompañar lo siguiente:
- Nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud;
- Documentos que acrediten su identidad o, en su caso, la representación legal;
- Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los Derechos de Acceso Rectificación, Cancelación y Oposición; y
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
Para poder ejercer el derecho de Rectificación, el Titular deberá proporcionar algún documento para acreditar la modificación que se solicita.
En caso de que la información proporcionada en su solicitud resulte errónea, insuficiente o no se acompañen los documentos señalados en párrafos anteriores, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá que modifique las omisiones para poder dar trámite a la misma. Usted contará con diez días hábiles para atender lo solicitado, contados a partir del día siguiente en que lo hubiere recibido. En caso de no responder en el plazo señalado, su solicitud se tendrá por no presentada.
El Responsable comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud con la información completa y la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta.
CEDSA BEST pondrá a su disposición el acceso a sus datos personales ya sea en copias simples o mediante algún formato de fácil comprensión comunicado en programas de fácil acceso como puede ser Word, Excel o PDF. De igual forma, si la solicitud fuera presentada en medios electrónicos, entonces se entenderá que se podrá usar dichos mecanismos, para el acceso a sus datos personales.
Usted será responsable de mantener actualizados sus datos personales durante el tratamiento de los mismos que lleva Responsable. Por lo anterior, garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio al Responsable.
VI. Revocación del Consentimiento
Se informa al titular que podrá revocar el consentimiento para el tratamiento de datos personales que haya otorgado a CEDSA BEST, siempre y cuando sea el caso en que dicha revocación no derive en una imposibilidad para cumplir la relación jurídica vigente entre usted y el Responsable.
Por lo anterior, el titular podrá solicitar dicha revocación, conforme al procedimiento señalado en el apartado de “Ejercicio de Derechos ARCO”.
VII. Opciones y medios para limitar el uso o divulgación de los datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestra Coordinación de datos personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados para el ejercicio de los derechos ARCO.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares que soliciten su registro, la constancia de inscripción correspondiente.
VIII. Medios automáticos para recabar datos personales
El Responsable utiliza cookies para facilitar la navegación y la contratación de cursos online en el sitio web www. Si usted navega a través de dicho sitio y/o contrata servicios online a través del mismo, las cookies utilizadas por CEDSA BEST nos permitirán recopilar, analizar y conservar información técnica relacionada con sus hábitos de navegación y uso de dichos servicios, a través de dichos medios electrónicos que permiten recabar esta información de forma automática, en el momento mismo en que el usuario hace uso de nuestros servicios electrónicos. También podemos recolectar información usando “web beacons”, “pixel tags” o medios similares (genéricamente “web beacons”) que nos permiten obtener información no personal o agregada, como por ejemplo nombres de dominio, las áreas del sitio que usted visite, su sistema operativo, la versión de sistema operativo que usa, la versión del navegador y el URL previo a su visita. Esta información es usada para mejorar su experiencia en el sitio y entender patrones de tráfico.
Usted puede configurar su navegador para aceptar o rechazar automáticamente todas las cookies o para recibir un aviso en pantalla sobre la recepción de cada cookie y decidir en ese momento su implantación o no en su disco duro. Le sugerimos consultar la sección de ayuda de su navegador para saber cómo cambiar la configuración sobre aceptación o rechazo de cookies.
IX. Coordinación de datos personales de CEDSA BEST,
Es importante hacer de su conocimiento que CEDSA BEST cuenta con una Coordinación de datos personales el cual, como parte de sus funciones, tiene la de resolver cualquier duda que usted pudiere tener relacionada con el uso de su información. Asimismo, la Coordinación de datos personales dará seguimiento a cualquier queja o reclamación que usted pudiere tener relacionada con el tratamiento de su información personal.
Usted puede contactar a la Coordinación de datos personales de CEDSA BEST enviando un correo electrónico a la siguiente dirección electrónica: contacto@cedsa.com.mx
X. INAI.
En caso de considerarlo necesario, le informamos que tiene el derecho de acudir ante el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI) para hacer valer cualquier inconformidad relacionada con el tratamiento de sus datos personales por parte de CEDSA BEST.
XI. El procedimiento o medios por el cual CEDSA BEST comunicará usted los cambios en el aviso de privacidad
CEDSA BEST podrá modificar, actualizar o cambiar el contenido y alcance del aviso de privacidad, bajo su consideración. En tal situación el Responsable publicará dichos cambios a usted mediante su página de internet www.cedsabest.com en la pestaña de Avisos de Privacidad o bien, si la comunicación hubiera sido mediante medios electrónicos u otro medio de comunicación que el Responsable y usted eligieron como canal de comunicación.
Fecha de actualización junio de 2022
AVISO DE PRIVACIDAD
CLIENTES
I. Identidad y Domicilio del Responsable
En términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y demás normativa aplicable, le informamos que CEDSA BESTMÓVIL, S.A. de C.V. (En adelante e indistintamente, CEDSA BEST o el Responsable), señala como domicilio el ubicado en Paseo del Olimpo #1490 Campestre la Rosita, c.p. 27250 Torreón, Coahuila y en relación con el tratamiento de sus datos personales le informa:
II. Datos personales que se obtienen para su tratamiento
Los datos personales que se obtienen para llevar a cabo las finalidades que se establecen en el presente documento, son los siguientes:
1. Datos de identificación y contacto.
2. Datos patrimoniales y financieros o de seguros, datos fiscales.
III. Finalidades del tratamiento
Finalidades originarias y necesarias.
1. Proporcionar los servicios ofrecidos por el Responsable.
2. Cuando así lo solicite el Titular, personalmente o a través de nuestra página web, proporcionar a usted o a quien designe la cotización de nuestros productos.
3. Gestión, control, administración y actualización de la información relacionada con nuestros clientes para la contratación de servicios.
4. Gestión, control y administración de las comunicaciones entre el Responsable y sus clientes.
5. Atención de clientes a través de medios electrónicos en relación a los servicios contratados.
6. Atención de cliente en cuanto a las preguntas que pudiera realizar.
7. Estadística y registro histórico de clientes.
8. Facturación y cobro por lo servicios contrataos.
9. Acreditar y verificar su identidad conforme a nuestros procedimientos y políticas, incluyendo la verificación de los datos de su Credencial para Votar y similitud de huellas dactilares ante el Instituto Nacional Electoral.
10. Dar cumplimiento a la obligación de cooperación con instancias de seguridad y justicia en términos de lo dispuesto por la normatividad aplicable, así como a los requerimientos de autoridades competentes en los casos legalmente previstos.
11. Mantener la seguridad de las redes y servicios de comunicaciones electrónicas, detectar fallos o errores técnicos en la transmisión de las comunicaciones electrónicas, así como cualquier tratamiento que sea necesario para la correcta prestación del servicio de telecomunicaciones
Finalidades adicionales
1. Envío de información y ofertas sobre productos comercializados por el Responsable, incluyendo información sobre descuentos, nuevos productos y ofertas.
IV. Transferencia de datos personales
Sus datos personales no serán transferidos para el cumplimiento de las finalidades descritas, salvo cuando se actualicen las excepciones previstas en los artículos 37 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 17 y 68 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. En todo caso sus datos serán manejados por sucursales del Responsable para el cumplimiento de las obligaciones.
V. Ejercicio de derechos de Acceso, Rectificación, Cancelación y Oposición
En los casos que sean legalmente procedentes, usted podrá ejercer en todo momento sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Responsable de Datos Personales al domicilio indicado en el inciso A de este Aviso o al correo electrónico contacto@cedsa.com.mx
La solicitud deberá contener y acompañar lo siguiente:
- Nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud;
- Documentos que acrediten su identidad o, en su caso, la representación legal;
- Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los Derechos de Acceso Rectificación, Cancelación y Oposición; y
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
Para poder ejercer el derecho de Rectificación, el Titular deberá proporcionar algún documento para acreditar la modificación que se solicita.
En caso de que la información proporcionada en su solicitud resulte errónea, insuficiente o no se acompañen los documentos señalados en párrafos anteriores, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá que modifique las omisiones para poder dar trámite a la misma. Usted contará con diez días hábiles para atender lo solicitado, contados a partir del día siguiente en que lo hubiere recibido. En caso de no responder en el plazo señalado, su solicitud se tendrá por no presentada.
El Responsable comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud con la información completa, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta.
CEDSA BEST pondrá a su disposición el acceso a sus datos personales ya sea en copias simples o mediante algún formato de fácil comprensión comunicado en programas de fácil acceso como puede ser Word, Excel o PDF. De igual forma, si la solicitud fuera presentada en medios electrónicos, entonces se entenderá que se podrá usar dichos mecanismos, para el acceso a sus datos personales.
Usted será responsable de mantener actualizados sus datos personales durante el tratamiento de los mismos que lleva Responsable. Por lo anterior, garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio al Responsable.
VI. Revocación del Consentimiento
Se informa al titular que podrá revocar el consentimiento para el tratamiento de datos personales que haya otorgado a CEDSA BEST, siempre y cuando sea el caso en que dicha revocación no derive en una imposibilidad para cumplir la relación jurídica vigente entre usted y el Responsable o bien para finalidades adicionales.
Por lo anterior, el titular podrá solicitar dicha revocación, conforme al procedimiento señalado en el apartado de “Ejercicio de Derechos ARCO”.
VII. Opciones y medios para limitar el uso o divulgación de los datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestra Coordinación de datos personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados para el ejercicio de los derechos ARCO.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares que soliciten su registro, la constancia de inscripción correspondiente.
VIII. Medios automáticos para recabar datos personales
El Responsable utiliza cookies para facilitar la navegación y la contratación de cursos online en el sitio web www. Si usted navega a través de dicho sitio y/o contrata servicios online a través del mismo, las cookies utilizadas por CEDSA BEST nos permitirán recopilar, analizar y conservar información técnica relacionada con sus hábitos de navegación y uso de dichos servicios, a través de dichos medios electrónicos que permiten recabar esta información de forma automática, en el momento mismo en que el usuario hace uso de nuestros servicios electrónicos. También podemos recolectar información usando “web beacons”, “pixel tags” o medios similares (genéricamente “web beacons”) que nos permiten obtener información no personal o agregada, como por ejemplo nombres de dominio, las áreas del sitio que usted visite, su sistema operativo, la versión de sistema operativo que usa, la versión del navegador y el URL previo a su visita. Esta información es usada para mejorar su experiencia en el sitio y entender patrones de tráfico.
Usted puede configurar su navegador para aceptar o rechazar automáticamente todas las cookies o para recibir un aviso en pantalla sobre la recepción de cada cookie y decidir en ese momento su implantación o no en su disco duro. Le sugerimos consultar la sección de ayuda de su navegador para saber cómo cambiar la configuración sobre aceptación o rechazo de cookies.
IX. Coordinación de datos personales de CEDSA BEST,
Es importante hacer de su conocimiento que CEDSA BEST cuenta con una Coordinación de datos personales el cual, como parte de sus funciones, tiene la de resolver cualquier duda que usted pudiere tener relacionada con el uso de su información. Asimismo, la Coordinación de datos personales dará seguimiento a cualquier queja o reclamación que usted pudiere tener relacionada con el tratamiento de su información personal.
Usted puede contactar a la Coordinación de datos personales de CEDSA BEST enviando un correo electrónico a la siguiente dirección electrónica: contacto@cedsa.com.mx
X. INAI.
En caso de considerarlo necesario, le informamos que tiene el derecho de acudir ante el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI) para hacer valer cualquier inconformidad relacionada con el tratamiento de sus datos personales por parte de CEDSA BEST.
XI. El procedimiento o medios por el cual CEDSA BEST comunicará usted los cambios en el aviso de privacidad
CEDSA BEST podrá modificar, actualizar o cambiar el contenido y alcance del aviso de privacidad, bajo su consideración. En tal situación el Responsable publicará dichos cambios a usted mediante su página de internet www.cedsabest.com en la pestaña de Avisos de Privacidad o bien, si la comunicación hubiera sido mediante medios electrónicos u otro medio de comunicación que el Responsable y usted eligieron como canal de comunicación.
Fecha de actualización junio de 2022
AVISO DE PRIVACIDAD
CONTACTO
I. Identidad y Domicilio del Responsable
En términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y demás normativa aplicable, le informamos que CEDSA BESTMÓVIL, S.A. de C.V. (En adelante e indistintamente, CEDSA BEST o el Responsable), señala como domicilio el ubicado en Paseo del Olimpo #1490 Campestre la Rosita, c.p. 27250 Torreón, Coahuila y en relación con el tratamiento de sus datos personales le informa:
II. Datos personales que se obtienen para su tratamiento
Los datos personales que se solicitan para llevar a cabo las finalidades que se establecen en el presente documento, son los siguientes:
1. Datos de identificación;
2. Datos de contacto.
CEDSA BEST informa al Titular de los datos personales que no se recaban datos sensibles para las finalidades descritas en este documento.
III. Finalidades del tratamiento.
Finalidades originarias y necesarias.
1. Informar sobre productos o servicios del Responsable.
2. Atender las solicitudes que se hacen mediante la página web.
3. Envío de información y ofertas comerciales sobre productos y servicios comercializados por el Responsable.
4. Generación de campañas publicitarias a través de medios electrónicos.
5. Estadística y registro histórico de contactos.
b. Finalidades adicionales
No existen.
IV. Transferencia de datos personales
Sus datos personales no serán transferidos para el cumplimiento de las finalidades descritas, salvo cuando se actualicen las excepciones previstas en los artículos 37 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 17 y 68 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
V. Ejercicio de derechos de Acceso, Rectificación, Cancelación y Oposición
En los casos que sean legalmente procedentes, usted podrá ejercer en todo momento sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Responsable de Datos Personales al domicilio indicado en el inciso A de este Aviso o al correo electrónico contacto@CEDSA BEST.com.mx
La solicitud deberá contener y acompañar lo siguiente:
- Nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud;
- Documentos que acrediten su identidad o, en su caso, la representación legal;
- Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los Derechos de Acceso Rectificación, Cancelación y Oposición; y
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
Para poder ejercer el derecho de Rectificación, el Titular deberá proporcionar algún documento para acreditar la modificación que se solicita.
En caso de que la información proporcionada en su solicitud resulte errónea, insuficiente o no se acompañen los documentos señalados en párrafos anteriores, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá que modifique las omisiones para poder dar trámite a la misma. Usted contará con diez días hábiles para atender lo solicitado, contados a partir del día siguiente en que lo hubiere recibido. En caso de no responder en el plazo señalado, su solicitud se tendrá por no presentada.
El Responsable comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud con la información completa y la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta.
CEDSA BEST pondrá a su disposición el acceso a sus datos personales ya sea en copias simples o mediante algún formato de fácil comprensión comunicado en programas de fácil acceso como puede ser Word, Excel o PDF. De igual forma, si la solicitud fuera presentada en medios electrónicos, entonces se entenderá que se podrá usar dichos mecanismos, para el acceso a sus datos personales.
Usted será responsable de mantener actualizados sus datos personales durante el tratamiento de los mismos que lleva Responsable. Por lo anterior, garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio al Responsable.
VI. Revocación del Consentimiento
Se informa al titular que podrá revocar el consentimiento para el tratamiento de datos personales que haya otorgado a CEDSA BEST, siempre y cuando sea el caso en que dicha revocación no derive en una imposibilidad para cumplir la relación jurídica vigente entre usted y el Responsable.
Por lo anterior, el titular podrá solicitar dicha revocación, conforme al procedimiento señalado en el apartado de “Ejercicio de Derechos ARCO”.
VII. Opciones y medios para limitar el uso o divulgación de los datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestra Coordinación de datos personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados para el ejercicio de los derechos ARCO.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares que soliciten su registro, la constancia de inscripción correspondiente.
VIII. Medios automáticos para recabar datos personales
El Responsable utiliza cookies para facilitar la navegación y la contratación de cursos online en el sitio web www. Si usted navega a través de dicho sitio y/o contrata servicios online a través del mismo, las cookies utilizadas por CEDSA BEST nos permitirán recopilar, analizar y conservar información técnica relacionada con sus hábitos de navegación y uso de dichos servicios, a través de dichos medios electrónicos que permiten recabar esta información de forma automática, en el momento mismo en que el usuario hace uso de nuestros servicios electrónicos. También podemos recolectar información usando “web beacons”, “pixel tags” o medios similares (genéricamente “web beacons”) que nos permiten obtener información no personal o agregada, como por ejemplo nombres de dominio, las áreas del sitio que usted visite, su sistema operativo, la versión de sistema operativo que usa, la versión del navegador y el URL previo a su visita. Esta información es usada para mejorar su experiencia en el sitio y entender patrones de tráfico.
Usted puede configurar su navegador para aceptar o rechazar automáticamente todas las cookies o para recibir un aviso en pantalla sobre la recepción de cada cookie y decidir en ese momento su implantación o no en su disco duro. Le sugerimos consultar la sección de ayuda de su navegador para saber cómo cambiar la configuración sobre aceptación o rechazo de cookies.
IX. Coordinación de datos personales de CEDSA BEST,
Es importante hacer de su conocimiento que CEDSA BEST cuenta con una Coordinación de datos personales el cual, como parte de sus funciones, tiene la de resolver cualquier duda que usted pudiere tener relacionada con el uso de su información. Asimismo, la Coordinación de datos personales dará seguimiento a cualquier queja o reclamación que usted pudiere tener relacionada con el tratamiento de su información personal.
Usted puede contactar al Coordinación de datos personales de CEDSA BEST enviando un correo electrónico a la siguiente dirección electrónica: contacto@cedsa.com.mx
X. INAI.
En caso de considerarlo necesario, le informamos que tiene el derecho de acudir ante el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI) para hacer valer cualquier inconformidad relacionada con el tratamiento de sus datos personales por parte de CEDSA BEST.
XI. El procedimiento o medios por el cual CEDSA BEST comunicará usted los cambios en el aviso de privacidad
CEDSA BEST podrá modificar, actualizar o cambiar el contenido y alcance del aviso de privacidad, bajo su consideración. En tal situación el Responsable publicará dichos cambios a usted mediante su página de internet www.cedsabest.com en la pestaña de Avisos de Privacidad o bien, si la comunicación hubiera sido mediante medios electrónicos u otro medio de comunicación que el Responsable y usted eligieron como canal de comunicación.
Fecha de actualización junio de 2022
AVISO DE PRIVACIDAD
EMPLEADOS
I. Identidad y Domicilio del Responsable
En términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y demás normativa aplicable, le informamos que CEDSA BESTMÓVIL, S.A. de C.V. (En adelante e indistintamente, CEDSA BEST o el Responsable), señala como domicilio el ubicado en Paseo del Olimpo #1490 Campestre la Rosita, c.p. 27250 Torreón, Coahuila y en relación con el tratamiento de sus datos personales le informa:
II. Datos personales que se obtienen para su tratamiento
Los datos personales que se obtienen para llevar a cabo las finalidades que se establecen en el presente documento, son los siguientes:
1. Datos de identificación y contacto.
2. Datos laborales.
3. Datos académicos.
4. Datos patrimoniales y/o financieros.
5. Datos de características personales.
Por este medio, se informa al titular que para el cumplimiento de las finalidades descritas, y por regla general, no se recaban datos personales sensibles. No obstante, en algunos casos y para puestos de trabajo que así lo justifiquen, CEDSA BEST podrá solicitar datos personales de esa naturaleza, observando las reglas para la obtención del consentimiento del Titular para el tratamiento a dichos datos.
Los datos personales cuyas categorías han sido identificadas pueden ser recabados por el Responsable directa o personalmente del titular, o de forma indirecta a través de transferencias de datos que haya consentido mediante la publicación de sus datos en páginas web o redes sociales de carácter profesional.
III. Finalidades del tratamiento
Finalidades originarias y necesarias:
1. Gestión de expedientes de empleados.
2. Gestión de incidencias o incapacidades de empleados.
3. Gestión, control y administración del pago de nómina al personal.
4. Gestión, control y administración del pago de beneficios, salarios y prestaciones laborales.
5. Asignación de herramientas de trabajo, claves y contraseñas.
6. Medición de resultados a través de los procedimientos establecidos por el Responsable.
7. Asegurar el cumplimiento de los procedimientos establecidos por el Responsable.
8. Asegurar el cumplimiento de obligaciones de confidencialidad, ética y transparencia, mediante la implementación de procedimientos administrativos y técnicos establecidos por el Responsable para tales efectos.
9. Verificación de referencias personales y laborales.
10. Contactar a sus familiares y/o dependientes económicos en caso de emergencia.
11. Registro históricos y estadísticos de los empleados.
Finalidades adicionales:
´No existen
IV. Transferencia de datos personales
Sus datos personales podrán ser transferidos por terceros distintos al responsable en los siguientes supuestos:
– Autoridades de todos los niveles o entidades gubernamentales para el cumplimiento de las obligaciones y/o requerimientos en el ámbito de su competencia.
Para los incisos anteriores no se requiere su consentimiento de conformidad con el artículo 37 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
V. Ejercicio de derechos de Acceso, Rectificación, Cancelación y Oposición
En los casos que sean legalmente procedentes, usted podrá ejercer en todo momento sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Responsable de Datos Personales al domicilio indicado en el inciso A de este Aviso o al correo electrónico contacto@cedsa.com.mx
La solicitud deberá contener y acompañar lo siguiente:
- Nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud;
- Documentos que acrediten su identidad o, en su caso, la representación legal;
- Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los Derechos de Acceso Rectificación, Cancelación y Oposición; y
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
Para poder ejercer el derecho de Rectificación, el Titular deberá proporcionar algún documento para acreditar la modificación que se solicita.
En caso de que la información proporcionada en su solicitud resulte errónea, insuficiente o no se acompañen los documentos señalados en párrafos anteriores, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá que modifique las omisiones para poder dar trámite a la misma. Usted contará con diez días hábiles para atender lo solicitado, contados a partir del día siguiente en que lo hubiere recibido. En caso de no responder en el plazo señalado, su solicitud se tendrá por no presentada.
El Responsable comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud con la información completa, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta.
CEDSA BEST pondrá a su disposición el acceso a sus datos personales ya sea en copias simples o mediante algún formato de fácil comprensión comunicado en programas de fácil acceso como puede ser Word, Excel o PDF. De igual forma, si la solicitud fuera presentada en medios electrónicos, entonces se entenderá que se podrá usar dichos mecanismos, para el acceso a sus datos personales.
Usted será responsable de mantener actualizados sus datos personales durante el tratamiento de los mismos que lleva Responsable. Por lo anterior, garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio al Responsable.
VI. Revocación del Consentimiento
Se informa al titular que podrá revocar el consentimiento para el tratamiento de datos personales que haya otorgado a CEDSA BEST, siempre y cuando sea el caso en que dicha revocación no derive en una imposibilidad para cumplir la relación jurídica vigente entre usted y el Responsable.
Por lo anterior, el titular podrá solicitar dicha revocación, conforme al procedimiento señalado en el apartado de “Ejercicio de Derechos ARCO”.
VII. Opciones y medios para limitar el uso o divulgación de los datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestra Coordinación de datos personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados para el ejercicio de los derechos ARCO.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares que soliciten su registro, la constancia de inscripción correspondiente.
VII. Coordinación de datos personales de CEDSA BEST,
Es importante hacer de su conocimiento que CEDSA BEST cuenta con una Coordinación de datos personales el cual, como parte de sus funciones, tiene la de resolver cualquier duda que usted pudiere tener relacionada con el uso de su información. Asimismo, la Coordinación de datos personales dará seguimiento a cualquier queja o reclamación que usted pudiere tener relacionada con el tratamiento de su información personal.
Usted puede contactar a la Coordinación de datos personales de CEDSA BEST enviando un correo electrónico a la siguiente dirección electrónica: contacto@cedsa.com.mx
IX. INAI.
En caso de considerarlo necesario, le informamos que tiene el derecho de acudir ante el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI) para hacer valer cualquier inconformidad relacionada con el tratamiento de sus datos personales por parte de CEDSA BEST.
X. El procedimiento o medios por el cual CEDSA BEST comunicará usted los cambios en el aviso de privacidad
ABD podrá modificar, actualizar o cambiar el contenido y alcance del aviso de privacidad, bajo su consideración. En tal situación el Responsable publicará dichos cambios a usted mediante su página de internet www.cedsabest.com en la pestaña de Avisos de Privacidad o bien, si la comunicación hubiera sido mediante medios electrónicos u otro medio de comunicación que el Responsable y usted eligieron como canal de comunicación.
Fecha de actualización de junio de 2022.
AVISO DE PRIVACIDAD
PROVEEDORES
I. Identidad y Domicilio del Responsable
En términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y demás normativa aplicable, le informamos que CEDSA BESTMÓVIL, S.A. de C.V. (En adelante e indistintamente, CEDSA BEST o el Responsable), señala como domicilio el ubicado en Paseo del Olimpo #1490 Campestre la Rosita, c.p. 27250 Torreón, Coahuila y en relación con el tratamiento de sus datos personales le informa:
II. Datos personales que se obtienen para su tratamiento
Los datos personales que se obtienen para llevar a cabo las finalidades que se establecen en el presente documento, son los siguientes:
- Datos de carácter identificativo;
- Datos de características personales;
- Datos de ocupación laboral;
- Datos de información comercial;
- Datos económicos, financieros y de seguros.
III. Finalidades del tratamiento
Finalidades originarias y necesarias.
1. Alta y pago de adeudos a proveedores
2. Cumplimiento de obligaciones fiscales relacionadas con proveedores
3. Contratación de servicios.
Finalidades adicionales
1. Envío de información y ofertas sobre productos comercializados por el Responsable, incluyendo información sobre descuentos, nuevos productos y ofertas.
IV. Transferencia de datos personales
Sus datos personales no serán transferidos para el cumplimiento de las finalidades descritas, salvo cuando se actualicen las excepciones previstas en los artículos 37 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 17 y 68 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. En todo caso sus datos serán manejados por sucursales del Responsable para el cumplimiento de las obligaciones.
V. Ejercicio de derechos de Acceso, Rectificación, Cancelación y Oposición
En los casos que sean legalmente procedentes, usted podrá ejercer en todo momento sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) a través de los procedimientos que hemos implementado.
La solicitud correspondiente deberá cumplir con los requisitos establecidos en la legislación vigente, mediante escrito dirigido a nuestro Responsable de Datos Personales al domicilio indicado en el inciso A de este Aviso o al correo electrónico contacto@cedsa.com.mx
La solicitud deberá contener y acompañar lo siguiente:
- Nombre y domicilio u otro medio para comunicarle la respuesta a su solicitud;
- Documentos que acrediten su identidad o, en su caso, la representación legal;
- Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los Derechos de Acceso Rectificación, Cancelación y Oposición; y
- Cualquier otro elemento o documento que facilite la localización de los datos personales.
Para poder ejercer el derecho de Rectificación, el Titular deberá proporcionar algún documento para acreditar la modificación que se solicita.
En caso de que la información proporcionada en su solicitud resulte errónea, insuficiente o no se acompañen los documentos señalados en párrafos anteriores, el Responsable, dentro de los cinco días hábiles siguientes a la recepción de su solicitud, requerirá que modifique las omisiones para poder dar trámite a la misma. Usted contará con diez días hábiles para atender lo solicitado, contados a partir del día siguiente en que lo hubiere recibido. En caso de no responder en el plazo señalado, su solicitud se tendrá por no presentada.
El Responsable comunicará, en un plazo máximo de veinte días hábiles, contados desde la fecha en que aquél reciba la solicitud con la información completa, la determinación adoptada. Si la solicitud resulta procedente, ésta se hará efectiva dentro de los quinces días hábiles siguientes a la fecha en que el Responsable comunique la respuesta.
CEDSA BEST pondrá a su disposición el acceso a sus datos personales ya sea en copias simples o mediante algún formato de fácil comprensión comunicado en programas de fácil acceso como puede ser Word, Excel o PDF. De igual forma, si la solicitud fuera presentada en medios electrónicos, entonces se entenderá que se podrá usar dichos mecanismos, para el acceso a sus datos personales.
Usted será responsable de mantener actualizados sus datos personales durante el tratamiento de los mismos que lleva Responsable. Por lo anterior, garantiza y responde, en cualquier caso, de la veracidad, exactitud, vigencia y autenticidad de los datos personales facilitados, y se compromete a mantenerlos debidamente actualizados, comunicando cualquier cambio al Responsable.
VI. Revocación del Consentimiento
Se informa al titular que podrá revocar el consentimiento para el tratamiento de datos personales que haya otorgado a CEDSA BEST, siempre y cuando sea el caso en que dicha revocación no derive en una imposibilidad para cumplir la relación jurídica vigente entre usted y el Responsable.
Por lo anterior, el titular podrá solicitar dicha revocación, conforme al procedimiento señalado en el apartado de “Ejercicio de Derechos ARCO”.
VII. Opciones y medios para limitar el uso o divulgación de los datos personales
Usted podrá limitar el uso o divulgación de sus datos personales dirigiendo la solicitud correspondiente a nuestra Coordinación de datos personales. Los requisitos para acreditar su identidad, así como el procedimiento para atender su solicitud serán los mismos que los señalados para el ejercicio de los derechos ARCO.
El Responsable cuenta con medios y procedimientos para asegurar la inclusión de algunos de sus datos en listados de exclusión propios, cuando usted solicita su inclusión en ellos de forma expresa. El Responsable otorgará a los titulares que soliciten su registro, la constancia de inscripción correspondiente.
VIII. Medios automáticos para recabar datos personales
El Responsable utiliza cookies para facilitar la navegación y la contratación de cursos online en el sitio web www. Si usted navega a través de dicho sitio y/o contrata servicios online a través del mismo, las cookies utilizadas por CEDSA BEST nos permitirán recopilar, analizar y conservar información técnica relacionada con sus hábitos de navegación y uso de dichos servicios, a través de dichos medios electrónicos que permiten recabar esta información de forma automática, en el momento mismo en que el usuario hace uso de nuestros servicios electrónicos. También podemos recolectar información usando “web beacons”, “pixel tags” o medios similares (genéricamente “web beacons”) que nos permiten obtener información no personal o agregada, como por ejemplo nombres de dominio, las áreas del sitio que usted visite, su sistema operativo, la versión de sistema operativo que usa, la versión del navegador y el URL previo a su visita. Esta información es usada para mejorar su experiencia en el sitio y entender patrones de tráfico.
Usted puede configurar su navegador para aceptar o rechazar automáticamente todas las cookies o para recibir un aviso en pantalla sobre la recepción de cada cookie y decidir en ese momento su implantación o no en su disco duro. Le sugerimos consultar la sección de ayuda de su navegador para saber cómo cambiar la configuración sobre aceptación o rechazo de cookies.
IX. Coordinación de datos personales de CEDSA BEST,
Es importante hacer de su conocimiento que CEDSA BEST cuenta con una Coordinación de datos personales el cual, como parte de sus funciones, tiene la de resolver cualquier duda que usted pudiere tener relacionada con el uso de su información. Asimismo, la Coordinación de datos personales dará seguimiento a cualquier queja o reclamación que usted pudiere tener relacionada con el tratamiento de su información personal.
Usted puede contactar a la Coordinación de datos personales de CEDSA BEST enviando un correo electrónico a la siguiente dirección electrónica: contacto@cedsa.com.mx
X. INAI.
En caso de considerarlo necesario, le informamos que tiene el derecho de acudir ante el Instituto Nacional de Transparencia Acceso a la Información y Protección de Datos Personales (INAI) para hacer valer cualquier inconformidad relacionada con el tratamiento de sus datos personales por parte de CEDSA BEST.
XI. El procedimiento o medios por el cual CEDSA BEST comunicará usted los cambios en el aviso de privacidad
CEDSA BEST podrá modificar, actualizar o cambiar el contenido y alcance del aviso de privacidad, bajo su consideración. En tal situación el Responsable publicará dichos cambios a usted mediante su página de internet www.cedsabest.com en la pestaña de Avisos de Privacidad o bien, si la comunicación hubiera sido mediante medios electrónicos u otro medio de comunicación que el Responsable y usted eligieron como canal de comunicación.
Fecha de actualización junio de 2022
ANEXO 2
DOCUMENTOS – FORMULARIOS
GLOSARIO
i. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.
ii. Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable.
iii. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.
iv. Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
v. Datos personales: Cualquier información concerniente a una persona física identificada o identificable.
vi. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
vii. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
viii. Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
ix. Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
x. Remisión: La comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano;
xi. Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.