Política de privacidad - México
Fecha de última actualización: Agosto de 2023
Objetivo
Establecer las directrices generales para la gestión y protección de datos personales que BELVO llegue a tener en su posesión como Responsable o como Encargado, para establecer políticas homólogas en el tratamiento de los Datos Personales. Estas políticas forman parte del programa que BELVO ha implementado para procurar la seguridad administrativa, técnica y física de los Datos Personales.
1. Alcance
Esta Política es de carácter obligatorio para los colaboradores de BELVO, al igual que las entidades colaboradoras que hagan uso de la información y/o datos personales, o que tengan acceso a los sistemas de información propiedad de BELVO, así como a todas las áreas con personal interno y externo que integra o trabaja directamente o indirectamente para BELVO, en cualquier momento del ciclo de vida de la información, incluido el tratamiento de la información y/o datos personales.
2. Definiciones
| Aviso de privacidad | Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley. |
| Datos Personales | Cualquier información concerniente a una persona física identificada o identificable. |
| Encargado | La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. |
| Responsable | Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. |
| Titular de los Datos Personales | La persona física a quien corresponden los datos personales. |
| Tratamiento | La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. |
| Transferencia de Datos Personales | Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. |
| Vulneraciones de Seguridad | Son aquellas que pueden ocurrir en cualquier momento del Tratamiento, y que pueden consistir en: la pérdida o destrucción no autorizada; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, o el daño, la alteración o modificación no autorizada. |
3. Principios rectores en el Tratamiento de Datos Personales
- Licitud. Significa efectuar el Tratamiento en apego al marco regulatorio que le aplique.
- Basado en el consentimiento otorgado por el Titular. BELVO como Responsable debe poder demostrar la obtención del consentimiento o bien, exigirla del Responsable cuando actúe como Encargado.
- El tratamiento de los Datos Personales está limitado a las finalidades y propósitos para los cuales se haya consentido.
- Minimización de los datos, es decir sólo tratar los datos necesarios y relevantes en relación a las finalidades para los cuales se solicitaron.
- Calidad. Consiste en que los Datos Personales sean exactos, completos, pertinentes, correctos y actualizados.
- Lealtad. El Tratamiento debe ser transparente y regirse bajo la expectativa razonable de privacidad.
4. Seguridad de los Datos Personales
BELVO tiene designado a un Data Protection Officer (DPO) que supervisa al interior de BELVO el cumplimiento de las obligaciones establecidas por la regulación en temas de protección de datos personales.
Los Datos Personales que BELVO tenga como Responsable en todo momento se tratarán con confidencialidad, responsabilidad y proporcionalidad. Los mismos principios deben ser exigidos de los encargos que BELVO tenga con terceros.
Cuando BELVO pretenda llevar a cabo la contratación con un tercero para dar cumplimiento a sus obligaciones, deberá asegurarse de que éste cumple al menos con lo previsto en las disposiciones legales a las que BELVO esté sujeto.
En el tratamiento de los Datos Personales de usuarios finales, Belvo actúa principalmente como Reponsable de los Datos Personales y, sólo en casos muy específicos, actua como Encargado, siempre para el cumplimiento de las finalidades establecidas en el aviso de privacidad.
Vulneraciones o Incidentes de Seguridad
Las Políticas relacionadas a la protección de Datos Personales se revisarán a efecto de evitar posibles Vulneraciones cuando:
- Se modifiquen las medidas o procesos de seguridad para su mejora ;
- Se produzcan modificaciones sustanciales en el Tratamiento que deriven en un cambio del nivel de riesgo;
- Se vulneren los sistemas de Tratamiento; o,
- Exista una afectación a los Datos Personales.
Como Responsable, Belvo comunicará al Titular la existencia de alguna Vulneración de Seguridad de carácter relevante que guarde relación con los Datos Personales a su cargo, y que pudiese ocurrir en cualquier fase del tratamiento bajo su responsabilidad, según lo dispuesto en la legislación aplicable.
5. Data Protection Officer
El Oficial de Protección de Datos (DPO) es el funcionario de BELVO que tiene la responsabilidad de asegurarse del cumplimiento de las obligaciones impuestas por la regulación, que asigna responsabilidades y que dirige las actividades de capacitación de los colaboradores de BELVO.
El DPO es el encargado de evaluar los riesgos y vulnerabilidades a los que están expuestos los Datos Personales que tenga en posesión, y en su caso, fortalecer las políticas de BELVO a efecto de mitigar los riesgos que detecte. Dicha evaluación deberá ser considerada para los programas de capacitación que se impartan a los colaboradores de BELVO que traten Datos Personales.
Las medidas que el DPO tome para la protección de los Datos Personales deben tomar en consideración lo siguiente:
- El riesgo inherente por tipo de Dato Personal;
- La sensibilidad de los Datos Personales tratados;
- El desarrollo tecnológico, y
- Las posibles consecuencias de una vulneración para los titulares.
Aspectos como el número de Titulares, Vulnerabilidades previas, el riesgo potencial que pudieran tener los Datos Personales tratados por un tercero no autorizado pueden ser considerados a efecto de establecer las medidas de seguridad necesarias.
El medio de contacto es privacy@belvo.com
6. Tratamiento de los Datos Personales
Todo Tratamiento de Datos Personales llevado a cabo por BELVO es conforme y limitado a lo establecido por el Aviso de Privacidad bajo el cual se hayan recabado los Datos Personales. En caso de que BELVO pretenda dar un uso diferente a los Datos Personales que tenga como Responsable, debe requerir el consentimiento del Titular, salvo cuando el tratamiento pretendido:
- Esté previsto en una Ley;
- Los datos figuren en fuentes de acceso público;
- Los datos personales se sometan a un procedimiento previo de disociación;
- Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el Titular y el Responsable;
- Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
- Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o
- Se dicte resolución de autoridad competente.
7. Avisos de Privacidad
En los Avisos de Privacidad que BELVO ponga a disposición a los Titulares, deberá asegurarse de que estos cumplen con los elementos necesarios para que el Titular conozca las finalidades del Tratamiento, los datos de identificación de BELVO, los medios para ejercer los derechos de acceso, rectificación, oposición y cancelación, las Transferencias que se efectúen y la modalidad en que se comunicarán las modificaciones al mismo al Titular o al representante legal.
El Aviso de Privacidad debe ponerse a disposición del Titular en el mismo medio a través del cuál se hayan recabado los Datos Personales. La difusión del Aviso de Privacidad se hará preferentemente a través de medios electrónicos.
Siempre que hayan de por medio datos sensibles, financieros o patrimoniales el consentimiento debe ser expreso y puede recabarse por medios electrónicos o por escrito.
8. Transferencia de Datos Personales
La Transferencia de Datos Personales que BELVO como Responsable vaya a efectuar deberá incluirse en el Aviso de Privacidad que ponga a disposición del Titular.
No se requiere el consentimiento del Titular:
- Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;
- Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
- Cuando la transferencia sea efectuada a cualquier sociedad del grupo BELVO operando bajo estas Políticas;
- Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
- Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
El documento que sirva como soporte para la Transferencia de Datos Personales a terceros que no formen parte del grupo, debe prever mismas obligaciones a las que se encuentra sujeto el Responsable de conformidad a estas Políticas.
