GA ENERGY SERVICES
PROTECCIÓN DE DATOS PERSONALES
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES.
1. OBJETIVO.
Establecer los lineamientos por los cuales se deberán atender las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales; así como las acciones que deberán llevar a cabo las áreas Staff y Unidades de negocio en la protección, tratamiento, conservación, resguardo y eliminación de los datos personales.
2. ALCANCE.
La presente Política es de aplicación general y obligatoria para todo el personal, en especial al que ejecuta las actividades en los diferentes procesos clave de la compañía, así como proveedores, funcionarios y cualquier parte interesada del SGDP identificada por GA Energy Services S.A.P.I de C.V.
3. DEFINICIONES.
No. |
Concepto |
Descripción |
1. |
Análisis de brecha |
Herramienta de análisis para comparar el estado y desempeño de las medidas de seguridad existentes de los sistemas de datos personales respecto de las faltantes |
2. |
Análisis de riesgo |
Estudio de las posibles amenazas, vulnerabilidades y eventos no deseados que puedan producir afectaciones a los derechos Patrimoniales o morales del titular de los datos personales. |
3. |
Área Jurídica |
El área facultada dentro de GA Energy Services S.A.P.I de C.V que se encarga de dar continuidad, soporte y seguimiento a los temas legales de GA Energy Services S.A.P.I de C.V |
4. |
Colaborador |
Todo el personal que presta servicios subordinados a GA Energy Services S.A.P.I de C.V |
5. |
Contravenir |
Actuar en contra de lo que dispone una ley, norma o mandato. |
6. |
Corporativo |
Centro de trabajo en el cual prestan sus servicios el personal de GA Energy Services S.A.P.I de C.V |
7. |
Datos personales |
Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. |
8. |
Datos personales sensibles |
Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones |
9. |
Derechos ARCO |
Los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales. |
10. |
Legislación |
Conjunto de leyes, reglamentos y otras normas por las cuales se regula un Estado o una actividad determinada. |
11. |
Persona Jurídica |
Término utilizado como sinónimo de Persona Moral. |
12. |
SGDP |
Sistema de Gestión de Protección de Datos Personales |
13. |
Comité de Protección de Datos Personales. |
Órgano encargado de todo lo relacionado en materia de Protección de Datos Personales, quien tiene, entre otras atribuciones, auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales; asesorar a todo el personal de GA Energy Services S.A.P.I de C.V en materia de protección de datos personales; y en general hacer las gestiones necesarias para el manejo, mantenimiento, seguridad y protección de los sistemas de datos personales en posesión del responsable. |
4. DESCRIPCIÓN DE LA POLÍTICA
GA Energy Services S.A.P.I de C.V está comprometida con los más altos estándares éticos en los negocios en que participa y en la prestación de sus servicios.
Es por ello que GA Energy Services S.A.P.I de C.V cumple con la legislación aplicable en materia de protección de datos personales en México y en los lugares en los que presta servicios cumplimos con:
Los artículos 6 y 16 de la Constitución Política de los Estados Unidos Mexicanos.
Ley Federal de Protección de Datos Personales en Posesión de los particulares, publicada en el Diario Oficial de la Federación el 5 de julio de 2010.
5. LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES
- Principio de licitud
El principio de licitud obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.
2. Principio de consentimiento
El responsable deberá obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible con arreglo a lo previsto en el artículo 10 de la Ley. La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.
3. Principio de información
El responsable deberá dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la Ley y el presente Reglamento.
4. Principio de calidad
Se cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados.
5.Principio de finalidad
Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la Ley.
6. Principio de lealtad
El principio de lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la Ley.
7. Principio de proporcionalidad
Sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.
8. Principio de responsabilidad
En términos de los artículos 6 y 14 de la Ley, el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano.
Las unidades de negocio y de soporte deberán adoptar las medidas necesarias para mantener exactos, completos, pertinentes, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos, para lo cual deberán atender lo siguiente:
- Los datos personales son exactos cuando reflejan la realidad de la situación de su titular, es decir, son verdaderos o fieles;
- Los datos personales están completos cuando no falta ninguno de los que se requiera para las finalidades para las cuales se obtuvieron y son tratados;
- Los datos personales son pertinentes cuando corresponden efectivamente al titular y no a una homonimia;
- Los datos personales están actualizados cuando corresponden a la situación presente de su titular;
- Los datos personales son correctos cuando cumplen con todas las características anteriores, es decir, son exactos, completos, pertinentes y actualizados.
Cada Director de unidad de negocio o área de soporte, será encargado de apoyar al Comité de Protección de Datos Personales o al Head of Legal teniendo las siguientes funciones:
- Adoptar las medidas de seguridad para el resguardo del o los Sistemas de Datos Personales bajo su responsabilidad, en soporte físico, de manera que se evite su alteración, pérdida o acceso no autorizado;
- Autorizar expresamente, en los casos en que no esté previsto por un instrumento jurídico o disposición normativa, a los usuarios, y llevar una relación actualizada de las personas que tengan acceso al o los Sistemas de Datos Personales que se encuentran en soporte físico, y
- Aplicar y vigilar el cumplimiento de las medidas y estándares de seguridad para la conservación y resguardo de Sistemas de Datos Personales de la organización, que para tal efecto determine el Comité de datos personales, a través de las disposiciones normativas específicas de observancia general para el área de Procesos.
Las áreas deberán tratar los datos personales que resulten estrictamente necesarios para el ejercicio de sus atribuciones y funciones, observando las disposiciones aplicables en materia de datos personales.
El Comité de Protección de Datos Personales deberá elaborar un inventario actualizado de aquellos Sistemas de Datos Personales con los que cuente la organización en su posesión.
Se presume que se cumple con la calidad en los datos personales cuando son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.
6. DATOS PERSONALES SENSIBLES.
Los Datos Personales Sensibles, son aquellos que posee la organización, concernientes a una persona física identificada o identificable, que permiten conocer datos relativos a la vida privada y a la intimidad de las personas y que se describen a continuación de manera enunciativa y no limitativa:
- Origen racial o étnico; II. Estado de salud presente o futuro; III. Información genética; IV. Creencias religiosas; V. Creencias filosóficas y morales; VI. Opiniones políticas; VII. Preferencia sexual.
Tratándose de datos personales sensibles, se deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
Se le informa a todo el personal de GA Energy Services S.A.P.I de C.V que, en caso de cualquier duda o aclaración respecto al tratamiento de datos personales sensibles, deberán de contactar inmediatamente al Comité de Protección de Datos Personales.
El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.
En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.
7. CANCELACIÓN DE DATOS PERSONALES
Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos.
Los plazos de conservación de los datos personales no deberán exceder aquellos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales.
Corresponderá al Comité de Protección de Datos Personales establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar su relación con el mismo.
Para informar al titular de los datos personales que formen parte de nuestro SGDP, las unidades de negocio / áreas staff deberá poner a disposición el Aviso de Privacidad correspondiente de acuerdo a lo establecido por los parámetros de aviso de privacidad.
8.TRANSFERENCIAS DE DATOS PERSONALES.
Toda transferencia de datos personales deberá ser previamente autorizada por el Comité de Protección de Datos Personales, y la misma se encontrará sujeta al consentimiento de su titular.
El instrumento que formalice la transferencia en términos de este artículo deberá contener al menos, lo siguiente:
- Identificación del Sistema de Datos Personales, del transmisor y del destinatario de los mismos;
- Finalidad de la transferencia, así como el tipo de datos que son objeto de la misma;
- Las medidas de seguridad y custodia que fueron adoptadas por la organización y el destinatario;
- Plazo por el que conservará el destinatario los datos que le hayan sido transmitidos, el cual podrá ser ampliado mediante aviso a GA Energy Services S.A.P.I de C.V, y.
- Señalar si una vez concluidos los propósitos de la transmisión, los datos personales deberán ser destruidos o devueltos a GA Energy Services S.A.P.I de C.V, al igual que cualquier soporte o documento en que conste algún Dato Personal objeto de la transmisión.
- DERECHOS ARCO.
El ejercicio de los derechos ARCO será gratuito y GA Energy Services S.A.P.I de C.V. sólo podrá realizar cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable
Los plazos y procedimientos para dar trámite a las solicitudes del ejercicio de los derechos ARCO en la organización, deberán desahogarse dentro del plazo máximo establecido en la LFPDPPP, atendiendo a lo dispuesto dentro de dicho plazo, se entenderá comprendida la notificación al particular a través del área jurídica o al Comité de Protección de Datos Personales según corresponda.
Importante manifestar que GA Energy Services S.A.P.I de C.V. cuenta con un procedimiento establecido de ejercicio de derechos ARCO denominado PR-GAL-01 Reclamación de derechos ARCO, mismo que establece paso a paso los lineamientos a seguir para dar respuesta a cualquier ejercicio de derechos ARCO que realicen los titulares de los mismos.
10. CAPACITACIÓN.
El área de Capacitación debe programar cursos para el personal, y partes interesadas que considere pertinentes de G GA Energy Services de C.V. en relación con el cumplimiento de la presente Política, así como información general importante referente a protección de datos personales que el Comité de Protección de Datos Personales crea pertinente.
En el transcurso de un año por lo menos todos el personal y partes interesadas habrán de participar en por lo menos un curso de capacitación.
Adicional a lo anterior, el área de capacitación deberá contemplar dar capacitaciones cuando existan reformas a la legislación aplicable, a todos los integrantes del Comité de Protección de Datos Personales de GA Energy Services S.A.P.I de C.V. encargado de todo lo relacionado con la materia de datos personales
11. PUERTAS ABIERTAS DEL COMITÉ DE PROTECCIÓN DE DATOS PERSONAL
El Comité de Protección de Datos Personales, el Área Jurídica y las áreas en contacto con personal, proveedores y terceros, deben dar acceso al procedimiento de Reclamación de Derechos ARCO PR-GAL-01, con el objetivo de realizar preguntas y consultas en relación con la aplicación y cumplimiento de esta política.
El teléfono de contacto y el personal encargado de la Presidencia del Comité de Protección de Datos Personales:
Head of Legal- Gerente Jurídico Senior.
Teléfono: 54811800 ext. 4051
12. DENUNCIA ANTE EL COMITÉ DE DATOS PERSONALES
El personal, funcionarios, proveedores, terceros y partes interesadas, asumen la responsabilidad de denunciar ante cualquier miembro del Comité de Protección de Datos Personales, o en caso de ausencia de cualquiera de los miembros, al Consejo de Cumplimiento o al personal encargado del Área Jurídica, cualquier actividad que viole o pudiera violar esta política o la legislación aplicable.
La denuncia podrá ser realizada por cualquier persona que se identifique con documento oficial y que describa, lo más detalladamente posible el hecho, junto con los medios de prueba y convencimiento que estime convenientes.
Para ello, GA Energy Services S.A.P.I de C.V. ha implementado un sistema de denuncia mediante la habilitación del correo electrónico compliancegaes@gaes.mx
En su caso, GA Energy Services S.A.P.I de C.V. contratará abogados externos para asesorarse en la determinación de la existencia de una potencial violación a esta política si fuera necesario. En caso de no poder hacer una determinación con la información disponible o de que se determine la existencia de una potencial violación, se llevarán a cabo las medidas correctivas aplicables de acuerdo al mecanismo para prevenir, atender y sancionar actos ilícitos aplicables de corrupción y soborno.
CONOCE A TUS PROVEEDORES Y SOCIOS
Al contratar a terceros como proveedores y socios, el área dentro de GA Energy Services S.A.P.I de C.V. que efectúe las negociaciones y contratación, deberá asegurar el correcto tratamiento de la información relativa al cumplimiento de la Legislación de protección de datos personales aplicable.
13. SANCIÓN
Finalmente, como medida preventiva, el Comité de Protección de Datos Personales y el Área de Jurídico deberá hacer del conocimiento de los funcionarios, proveedores, terceros y partes interesadas de GA Energy Services S.A.P.I de C.V. los que, en caso de que se viole la presente Política, GA Energy Services S.A.P.I de C.V. aplicará las medidas disciplinarias que estime convenientes de acuerdo al PR-GAL-03 Sanciones Administrativas, incluyendo la terminación de la relación laboral, profesional o comercial y, según sea apropiado, la denuncia del asunto ante las autoridades competentes y todas aquellas que contemple la Legislación aplicable.
14. MEDIDAS CORRECTIVAS
El Comité de Protección de Datos Personales o el área de jurídico deberá procurar las Medidas Correctivas que tienen como finalidad, identificar las actividades que potencialmente puedan constituir una violación a esta Política o a la legislación aplicable, investigarlas hasta sus últimas consecuencias y aplicar las sanciones correspondientes, así como dejar una base de conocimiento para la mejora continua del SGDP.
15. AUDITORÍA INTERNA
De resultar necesario, a criterio del Comité de Protección de Datos Personales, planificará las evaluaciones que ayuden a realizar un análisis de brecha en las medidas de seguridad de la información, contando con la obligación de realizar revisiones al menos cada 6 (seis) meses, de los avisos de privacidad de GA Energy Services S.A.P.I de C.V. actualizándolos en caso de ser necesarios.
16. DENUNCIA ANTE AUTORIDADES
El reporte y documentación de soporte sobre las actividades sometidas a la investigación del Comité de Protección de Datos Personales será analizado por el personal encargado de Jurídico, quienes en conjunto con los abogados externos y, dependiendo de cada caso en particular, elaborarán una estrategia de denuncia de los hechos investigados ante las autoridades competentes cuando ello fuere aplicable, informando de ello a la Dirección General por medio al PR-GPO-06 Revisión por la Dirección.
17. COLABORACIÓN EN SANCIONES
En caso de que alguna autoridad comience el procedimiento administrativo de investigación en contra de GA Energy Services S.A.P.I de C.V. este último en conjunto con el Comité de Protección de Datos Personales se comprometen a colaborar con la obtención e identificación de la información que sea requerida.