GA ENERGY SERVICES
PROTECCIÓN DE DATOS PERSONALES
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES.
1. OBJETIVO
Establecer los lineamientos por los cuales se deberán atender las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales; así como las acciones que deberán llevar a cabo la empresa como responsable de la protección, tratamiento, conservación, resguardo y eliminación de los datos personales que recabe por cualquier medio.
2. ALCANCE
Es de aplicación general y obligatoria para todo el personal, en especial al que ejecuta las actividades en los diferentes procesos clave de la compañía, así como proveedores, funcionarios y cualquier parte interesada.
Al contratar a terceros como proveedores y socios, el área dentro de la empresa que efectúe las negociaciones y contratación, deberá asegurar el correcto tratamiento de la información relativa al cumplimiento de la Legislación de protección de datos personales aplicable.
3. DEFINICIONES
No. |
Concepto |
Descripción |
1. |
Análisis de brecha |
Herramienta de análisis para comparar el estado y desempeño de las medidas de seguridad existentes de los sistemas de datos personales respecto de las faltantes |
2. |
Análisis de riesgo |
Estudio de las posibles amenazas, vulnerabilidades y eventos no deseados que puedan producir afectaciones a los derechos del titular de los datos personales. |
3. |
Área Jurídica |
El área facultada dentro de la empresa que se encarga de dar continuidad, soporte y seguimiento a los temas legales. |
4. |
Colaborador |
Todo el personal que presta servicios subordinados a la empresa. |
5. |
Comité de Integridad |
Órgano encargado de establecer las bases mínimas para la prevención, atención, investigación e implementación de sanciones respecto a conductas o actos de soborno, corrupción, protección de datos personales, igualdad laboral y nodiscriminación. |
6. |
Datos Personales |
Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. |
7. |
Datos Personales Sensibles |
Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o implique un riesgo grave para su titular. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas, afiliación sindical y preferencia sexual |
8. |
Derecho ARCO |
Los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales. |
9. |
Legislación vigente en materia de Protección de Datos Personales |
De manera enunciativa y no limitativa, la legislación aplicable en la materia es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulaes, la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y los Lineamientos del Aviso de privacidad. |
10. |
Oficial de cumplimiento |
Es la persona responsable de vigilar la adecuada implementación y funcionamiento de la documentación del marco normativo y legal aplicable de la organización, así como administrar el canal de denuncias respecto de conductas, actividades o comportamientos realizados por personal, proveedores, accionistas que provoquen que estas incurran en una infracción. |
4. DESCRIPCIÓN DE LA POLÍTICA
La empresa está comprometida con los más altos estándares éticos en los negocios en que participan y en la prestación de sus servicios; es por ello que cumple con la legislación vigente y aplicable en materia de protección de datos personales en México, incluyendo, pero no limitándose a los artículos 6o y 16 de la Constitución Política de los Estados Unidos Mexicanos y la Ley Federal de Protección de Datos Personales en Posesión de los particulares, publicada en el Diario Oficial de la Federación el 5 de julio de 2010.
4.1 LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES
En el tratamiento de datos personales, las áreas deberán observar los principios de calidad, consentimiento, finalidad, información, lealtad, licitud, proporcionalidad y responsabilidad.
- Principio de licitud. Obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional. La empresa garantiza el presente principio de licitud mediante el cabal cumplimiento por parte de la empresa o los encargados que este mismo designe, de cada una de las políticas, procedimientos, formatos, declaratorias o regulaciones aplicables.
- Principio de consentimiento. El responsable deberá obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible con arreglo a lo previsto en el artículo 10 de la LFPDPPP. La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad. La empresa garantiza el presente principio de consentimiento mediante la firma de cada uno de los titulares de datos personales en el aviso de privacidad aplicable.
- Principio de información. El responsable deberá dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la LFPDPPP y el presente reglamento. La empresa garantiza el presente principio de información mediante el contenido puntual, claro y exacto dentro del aviso de privacidad aplicable, respecto al tratamiento que se les darán a sus datos personales.
- Principio de calidad. Se cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados. La empresa garantiza el presente principio de calidad mediante la actualización periódica y constante de las bases de datos para procurar que los datos personales contenidos en dichas bases, sean pertinentes, correctos y actualizados según los fines para los cuales fueron recabados.
- Principio de finalidad. Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la LFPDPPP. La empresa garantiza el presente principio de finalidad mediante revisiones periódicas con intervención del comité de integridad, supervisando que el tratamiento de datos personales se limite al cumplimiento de las finalidades previstas en el aviso de privacidad.
- Principio de lealtad. El principio de lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la LFPDPPP. La empresa garantiza el presente principio de lealtad obligándose a no obtener y tratar datos personales, a través de medios engañosos o fraudulentos. La empresa tendrá que privilegiar la protección de los intereses del titular de los datos personales y la expectativa razonable de privacidad, y velará por el cumplimiento de los principios de protección de datos personales, establecidos en la legislación, debiendo adoptar medidas necesarias para su aplicación.
- Principio de proporcionalidad. Sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido. La empresa garantiza el presente principio de proporcionalidad asegurando que el tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. La empresa sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.
- Principio de responsabilidad. En términos de los artículos 6 y 14 de la LFPDPPP, el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano. La empresa garantiza el presente principio de responsabilidad tomando las medidas necesarias y suficientes para asegurar que el aviso de privacidad dado a conocer al titular sea respetado en todo momento por él, o por terceros con los que guarde alguna relación jurídica.
La empresa y todos sus colaboradores adoptarán las medidas necesarias para mantener exactos, completos, pertinentes, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos, para lo cual deberán atender lo siguiente:
- Los datos personales son exactos cuando reflejan la realidad de la situación de su titular, es decir, son verdaderos o fieles;
- Los datos personales están completos cuando no falta ninguno de los que se requiera para las finalidades para las cuales se obtuvieron y son tratados;
- Los datos personales son pertinentes cuando corresponden efectivamente al titular y no a una homonimia;
- Los datos personales están actualizados cuando corresponden a la situación presente de su titular;
- Los datos personales son correctos cuando cumplen con todas las características anteriores, es decir, son exactos, completos, pertinentes y actualizados.
La Dirección de unidad de negocio o área de soporte, será encargado de apoyar al Comité de integridad o al Oficial de cumplimiento para el tratamiento responsable de los datos personales ejerciendo las funciones siguientes:
- Adoptar las medidas de seguridad para el resguardo del o los Sistemas de Datos Personales bajo su responsabilidad, en soporte físico, de manera que se evite su alteración, pérdida o acceso no autorizado;
- Autorizar expresamente, en los casos en que no esté previsto por un instrumento jurídico o disposición normativa, a los usuarios, y llevar una relación actualizada de las personas que tengan acceso al o los Sistemas de Datos Personales que se encuentran en soporte físico, y
- Aplicar y vigilar el cumplimiento de las medidas y estándares de seguridad para la conservación y resguardo de Sistemas de Datos Personales de la organización, que para tal efecto determine el Comité de integridad o el Oficial de cumplimiento, a través de las disposiciones normativas específicas de observancia general para el área de Procesos.
- Mantener actualizado el inventario de datos personales que son tratados por su área a cargo y asegurar el envío a intervalos planificados al Comité de integridad o el Oficial de cumplimiento. Adicional a lo anterior, deberán tener actualizado el nivel de riesgo de cada uno de los datos personales dentro de dicho inventario, debiendo informar cuando lo solicite el Comité de Integridad o el Oficial de cumplimiento las acciones que están realizando para mitigar y controlar dicho riesgo.
Las áreas deberán tratar los datos personales que resulten estrictamente necesarios para el ejercicio de sus atribuciones y funciones, observando las disposiciones aplicables en materia de datos personales. El Comité de integridad deberá asegurarse de tener un inventario de datos personales actualizado al menos en una ocasión por año calendario, solicitando a cada director de unidad de negocio o área de soporte, la actualización del mismo derivado a su responsabilidad estipulada dentro del numeral romano IV anterior.
Se presume que se cumple con la calidad en los datos personales cuando son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.
4.2 DATOS PERSONALES SENSIBLES
Los Datos Personales Sensibles que se describen a continuación son de manera enunciativa y no limitativa:
- Origen racial o étnico;
- Estado de salud presente o futuro
- Información genética
- Creencias religiosas
- Creencias filosóficas y morales
- Opiniones políticas
- Preferencia sexual; y Afiliación sindical.
Tratándose de datos personales sensibles, se deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
Se le informa a todo el personal de la empresa que, en caso de cualquier duda o aclaración respecto al tratamiento de datos personales sensibles, pueden contactar al Comité de integridad o al Oficial de cumplimiento.
El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.
En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.
4.3 CANCELACIÓN DE DATOS PERSONALES
Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos.
Los plazos de conservación de los datos personales no deberán exceder aquellos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales.
La empresa, a través del Comité de integridad establecerá controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar su relación con el mismo.
Las unidades de negocio / áreas staff deberá poner a disposición de todo el personal, así como proveedores, funcionarios y cualquier parte interesada el Aviso de Privacidad correspondiente de acuerdo a lo establecido por los parámetros del mismo.
4.4 TRANSFERENCIAS DE DATOS PERSONALES
Toda transferencia de datos personales se encontrará sujeta al consentimiento de su titular y, una vez obtenido el consentimiento, deberá ser autorizada por el Comité de integridad lo anterior, única y exclusivamente cuando no se encuentre contemplada previamente dentro del aviso de privacidad firmado por el respectivo titular de los datos personales.
El instrumento que, en caso de ser necesario, formalice la transferencia en términos de este artículo deberá contener al menos, lo siguiente:
- Identificación del Sistema de Datos Personales, del transmisor y del destinatario de los mismos;
- Finalidad de la transferencia, así como el tipo de datos que son objeto de la misma;
- Las medidas de seguridad y custodia que fueron adoptadas por la organización y el destinatario;
- Plazo por el que conservará el destinatario los datos que le hayan sido transmitidos, el cual podrá ser ampliado mediante aviso a la empresa, y.
- Señalar si una vez concluidos los propósitos de la transmisión, los datos personales deberán ser destruidos o devueltos a la empresa, al igual que cualquier soporte o documento en que conste algún Dato Personal objeto de la transmisión.
4.5 DERECHOS ARCO
El ejercicio de los derechos ARCO será gratuito y la empresa sólo podrá realizar cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable.
Los plazos y procedimientos para dar trámite a las solicitudes del ejercicio de los derechos ARCO en la organización, deberán desahogarse dentro del plazo máximo establecido en la LFPDPPP, atendiendo a lo dispuesto dentro de dicho plazo. El titular será notificado a través del Comité de integridad o, en su caso, por el área jurídica.
La empresa cuenta con un procedimiento establecido de ejercicio de derechos ARCO denominado “PR-GAL-01 Reclamación de Derechos ARCO”, mismo que establece paso a paso los lineamientos a seguir para dar respuesta a cualquier ejercicio de derechos ARCO que realicen los titulares de los mismos.
4.6 CAPACITACIÓN
El responsable de capacitación debe programar cursos para el personal, y partes interesadas que considere pertinentes de la empresa en relación con el cumplimiento de la presente Política, así como información general importante referente a protección de datos personales; para ello tomará en consideración las recomendaciones del Comité de integridad.
En el transcurso de un año por lo menos todo el personal y partes interesadas habrán de participar en por lo menos un curso de capacitación.
Adicional a lo anterior, el área de capacitación deberá contemplar dar capacitaciones cuando existan reformas a la legislación aplicable, estas capacitaciones deberán incluir también a los integrantes del Comité de integridad.
4.7 PUERTAS ABIERTAS
La empresa pone a disposición de todo el personal, proveedores y terceros, el siguiente formulario para el ejercicio de los derechos ARCO, así como para formular cualquier consulta al Comité de Datos Personales. El formulario podrá remitirse al siguiente correo electrónico: compliancegaes@gaes.mx.
Asimismo, cualquier persona interesada podrá establecer contacto para realizar cualquier consulta o solicitud en relación con la aplicación y cumplimiento de esta política a través del formulario de contacto que se encuentra en el sitio de internet.
4.8 ENUNCIA ANTE EL COMITÉ DE INTEGRIDAD
El personal, funcionarios, proveedores, terceros y partes interesadas, asumen la responsabilidad de denunciar ante el Comité de integridad o el Oficial de cumplimiento cualquier actividad que viole o pudiera violar esta política o la legislación aplicable. La denuncia podrá ser realizada por cualquier persona que se identifique con documento oficial y que describa, lo más detalladamente posible el hecho, junto con los medios de prueba y convencimiento que estime convenientes.
Para ello, la empresa ha implementado un sistema de denuncia mediante la habilitación del correo electrónico compliancegaes@gaes.mx en donde cualquier persona puede denunciar cualquier actividad que viole o pudiera violar esta política o la legislación aplicable.
En su caso, la empresa contratará abogados externos para asesorarse en la determinación de la existencia de una potencial violación a esta política si fuera necesario. En caso de no poder hacer una determinación con la información disponible o de que se determine la existencia de una potencial violación, se llevarán a cabo las medidas correctivas aplicables de acuerdo al mecanismo para prevenir, atender y sancionar actos ilícitos aplicables de corrupción y soborno.
4.9 SANCIÓN
Como medida preventiva, la empresa hace del conocimiento de los funcionarios, proveedores, terceros y partes interesadas que, en caso de que se viole la presente Política, la empresa, pudiendo discrecionalmente decidir erigirse en conjunto con el Comité de Integridad, o no, aplicará las medidas disciplinarias que estime convenientes de acuerdo al PR-GAL-03 Sanciones Administrativas, y que pueden incluir la terminación de la relación laboral, profesional o comercial y, según sea apropiado, la denuncia del asunto ante las autoridades competentes y todas aquellas que contemple la Legislación aplicable.
4.10 MEDIDAS CORRECTIVAS,
La empresa, a través del Comité de integridad con apoyo de las áreas que puedan intervenir en ello, procurará ejercer las Medidas Correctivas que tienen como finalidad, identificar las actividades que potencialmente puedan constituir una violación a esta Política o a la legislación aplicable, investigarlas hasta sus últimas consecuencias y aplicar las sanciones correspondientes, así como dejar una base de conocimiento para la mejora continua de seguridad de datos personales.
4.11 AUDITORÍA INTERNA
De resultar necesario, a criterio del Comité de Integridad planificará las evaluaciones que ayuden a realizar un análisis de brecha en las medidas de seguridad de la información, contando con la obligación de realizar revisiones al menos cada 12 (doce) meses, de los avisos de privacidad de la empresa, actualizándolos en caso de ser necesarios.
4.12 DENUNCIA ANTE AUTORIDADES
El reporte y documentación de soporte sobre las actividades sometidas a la investigación del Comité de integridad por posible irregularidades en el cumplimiento de la presente política, será analizado por el personal encargado de Jurídico, quienes en conjunto con los abogados externos y, dependiendo de cada caso en particular, elaborarán una estrategia de denuncia de los hechos investigados ante las autoridades competentes cuando ello fuere aplicable, informando de ello a la Dirección General por medio al PR-GPO-06 Revisión por la Dirección.
4.13 COLABORACIÓN EN SANCIONES
En caso de que alguna autoridad comience el procedimiento administrativo de investigación en contra de la empresa, este último en conjunto con el Comité de integridad se comprometen a colaborar con la obtención e identificación de la información que sea requerida.