POLÍTICA DE USO Y RESGUARDO A LA PROTECCIÓN DE DATOS PERSONALES
Objeto
Esta política regula cualquier tratamiento de datos de carácter personal de empleados, clientes y socios. La política crea un estándar unificado de protección de datos y seguridad de la información, basado en principios generales reconocidos en todo el mundo y válido para la totalidad de Sumco. La política establece las condiciones marco necesarias para el intercambio global de datos entre las sociedades que forman parte de Sumco.
Ámbito de aplicación
Esta política se aplica a todos los trabajadores y miembros de los órganos directivos de Sumco y de todas las compañías controladas por el Grupo.
Período de Validez Versión 1
22/07/2024 – 31/12/2024
GLOSARIO
- De acuerdo a la LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES los datos personales son cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información
- Se considera que los datos están anonimizados si es imposible de forma duradera que cualquier persona pueda restablecer su relación con una persona, o bien si la relación con una persona sólo puede restablecerse con un coste desproporcionado de tiempo, dinero y mano de
- Se consideran datos sujetos a una protección especial los datos de carácter personal que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas y la pertenencia a sindicatos de los interesados, así como los datos relativos a la salud o a la sexualidad. El Derecho nacional puede considerar datos sujetos a una protección especial a otras categorías de datos, o puede establecer categorías de datos diferentes. Del mismo modo, es frecuente que los datos relacionados con delitos penales sólo puedan tratarse bajo determinadas condiciones, especificadas en el Derecho
- Interesado de acuerdo con los términos de esta política de protección de datos es cualquier persona física o moral cuyos datos son sometidos a
- Transgresiones de la protección de datos son todos los hechos que permitan una sospecha justificada de que se han averiguado, recogido, modificado, copiado, transmitido o utilizado de forma ilegítima datos de carácter personal. Esto puede referirse a acciones de terceros o de los
- Tercero es cualquier persona o instancia con excepción del interesado y de la instancia responsable del tratamiento de los datos.
- Consentimiento es una manifestación de voluntad voluntaria y vinculante, por la que el interesado consiente en el tratamiento de
- Se considera necesario el tratamiento de datos de carácter personal si el objeto admisible o el interés legítimo no pueden alcanzarse sin los datos de carácter personal correspondientes, o sólo con un gasto desproporcionado de dinero o mano de
- Se consideran datos de carácter personal todas las informaciones que guardan relación con una persona física o moral determinada o identificable, tales como credenciales o documentos de identificación oficiales (Credenciales para votar, pasaportes, entre otros), actas constitutivas, poderes, comprobantes de domicilio entre otros, esto de manera enunciativa mas no limitativa. Se considera identificable una persona, por ejemplo, si es posible establecer la relación de los datos con su persona mediante la combinación de una o varias informaciones, incluso con conocimientos adicionales poseídos de forma casual
- Se da transferencia de datos cuando la instancia responsable da a conocer datos protegidos a
- Tratamiento de datos de carácter personal es cualquier operación de recogida, registro, organización, conservación, modificación, consulta, utilización, entrega, transmisión o difusión, aplicada a datos de carácter personal, así como su combinación, cotejo o interconexión, con o sin ayuda de procedimientos automatizados. Esto incluye también la destrucción, el borrado y el bloqueo de datos y soportes de
I. Objetivo de la protección de datos
Como expresión de su responsabilidad social, Sumco se compromete al cumplimiento de la legislación nacional de protección de datos de carácter personal. Esta política de protección de datos es válida para Sumco y se basa en principios generales reconocidos en todo el mundo sobre la protección de datos de carácter personal.
La política de protección de datos crea una de las condiciones marco necesarias para un intercambio global de datos entre las Sociedades del Grupo.
II. Ámbito de aplicación y modificación de la protección de datos
Esta política de protección de datos tiene validez para todas las empresas de Sumco, esto es, para “Sumco” y todas las sociedades del Grupo dependientes del mismo, así como para todas las empresas asociadas y sus empleados. Se considera sociedad dependiente según esta política a cualquier sociedad en la que Sumco pueda exigir el cumplimiento de esta política de protección de datos de forma inmediata o mediata, por ser parte del mismo grupo.
Las sociedades de Sumco no están autorizadas a adoptar disposiciones que difieran de esta política de protección de datos. Es posible crear directrices o reglas adicionales sobre protección de datos previa coordinación con el Encargado de Protección de datos de Sumco (en este caso específico el encargado del área de sistemas).
La versión actual de la política de protección de datos puede descargarse de los avisos sobre protección de datos de carácter personal en la página de Internet de Sumco: https://sumco.com.mx/wp-content/uploads/2024/08/POLITICA-DE-USO-Y-RESGUARDO-A-LA-PROTECCION-DE-DATOS-PERSONALES-1.pdf
III. Aplicación del Derecho nacional
Esta política de protección de datos contiene los principios de protección de datos aceptados comúnmente en todo el mundo, sin pretender reemplazar al Derecho nacional vigente. La política complementa el derecho nacional aplicable. Se aplicará el Derecho nacional vigente en cada caso siempre que existan divergencias preceptivas con respecto a esta política de protección de datos, o si contiene exigencias más estrictas.
Todas las empresas de Sumco son responsables del cumplimiento de esta política de protección de datos y de las obligaciones legales. Si tiene motivos para suponer que existen obligaciones legales que contradicen las obligaciones derivadas de esta política de protección de datos, la empresa del Grupo afectada informará sin demora al Encargado de Protección de datos de Sumco. En caso de colisión entre una prescripción legal nacional y la política de protección de datos, Sumco adoptará la disposición nacional, esto para no contravenir las normas de derecho.
Atendiendo específicamente en este caso a los artículos 6, apartado A, fracción II, y 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley General).
Uso de los Datos Personales
Uso para fines específicos
Los datos de carácter personal pueden tratarse solamente en relación con el fin para el que hayan sido recogidos originariamente. La modificación posterior del fin específico es posible sólo bajo determinadas condiciones y requiere una justificación.
Borrado
Se borrarán los datos de carácter personal que no sean necesarios una vez transcurridos los plazos de conservación prescritos por la ley. Si, en un caso individual, existen indicios de una necesidad de protección o de interés histórico de estos datos para Sumco, se prolongará el plazo de almacenamiento de estos datos hasta que se haya aclarado la necesidad legal de protección, o hasta que el Archivo de Sumco haya valorado la relevancia histórica de los datos para su inclusión en el archivo.
Exactitud y actualidad de los datos
Los datos de carácter personal conservados tienen que ser exactos y completos y deben ser actualizados siempre que sea necesario. Deberán tomarse todas las medidas razonables para que se supriman, se rectifiquen, se completen o se actualicen los datos inexactos, incompletos u obsoletos.
Confidencialidad y seguridad de datos
Los datos de carácter personal están sujetos a una obligación de confidencialidad. Es decir, se tratarán de forma confidencial en el trato personal y se protegerán con medidas organizativas y técnicas adecuadas contra el acceso por parte de personas no autorizadas, el tratamiento ilegal o la transferencia ilícita a terceros, así como contra la pérdida casual, la modificación o la destrucción.
Áreas que Intervienen en el tratamiento de los datos
Las áreas que intervienen en el proceso del tratamiento de los datos y finalmente, en su resguardo, son las áreas relativas a:
VENTAS. Cuando se quiera dar nacimiento a una relación contractual para la prestación de los servicios o de cualquier otra índole, donde esta área tenga que recabar información y datos personales (actas constitutivas, poderes, identificaciones oficiales, comprobantes de domicilio, entre otros), por la naturaleza mencionada, dicha área tendrá en su posesión los datos personales de dichos clientes como parte del proceso interno del nacimiento de la relación contractual.
LEGAL. Tendrá a su disposición los datos personales de las empresas con el fin de revisar la relación contractual, es decir, para el cotejo y veracidad de la información y de las declaraciones instituidas en los contratos, así como los documentos necesarios para la elaboración de los mismos, cuya información SOLAMENTE será usada como parte de forma de cotejo en el establecimiento de la relación contractual.
Asimismo, dicha información podrá ser usada como consulta para la localización del cliente, inicio de todo tipo de procesos y entrega de notificaciones o avisos, como se estipula en los contratos.
SISTEMAS. Esta es la última área a la que se le harán llegar los datos personales y que al final del proceso los tendrá en resguardo para ejercitar cualquiera de los derechos ARCO.
VI. Licitud del tratamiento de datos
Es lícito recoger, procesar y utilizar datos de carácter personal solamente si se cumple uno de los supuestos de licitud descritos en lo que sigue. Debe darse asimismo uno de los supuestos de licitud si desea modificarse el objetivo de la recogida, el tratamiento y el uso de los datos de carácter personal con relación al objetivo original.
Tratamiento de datos para una relación contractual
Los datos de carácter personal del interesado, el cliente o el socio pueden tratarse para la preparación, para la realización y para la cancelación de un contrato, esto será llevado a cabo por parte del área de ventas, así como el manejo y resguardo en un inicio, para, posteriormente se resguarden con el área de sistemas. Esto incluye también la atención del socio contractual, siempre que esté en relación con el objeto del contrato.
Antes de la conclusión de un contrato —es decir, en la fase de negociación del contrato— está permitido el tratamiento de datos de carácter personal para elaborar ofertas, para preparar solicitudes de compra o para cumplir otros deseos del interesado con el fin de llegar a la conclusión del contrato. Está permitido ponerse en contacto con los interesados durante la fase de negociación, utilizando los datos que han comunicado. Deberán tenerse en cuenta en su caso las restricciones mencionadas por el interesado
Tratamiento de los Datos y su Consentimiento
El tratamiento de datos de carácter personal es también lícito si existen disposiciones legales que exijan, presupongan o autoricen este tratamiento. El tipo y la extensión del tratamiento de datos tienen que ser necesarios para el tratamiento autorizado por la legislación, y tienen que realizarse de acuerdo con estas disposiciones.
También pueden tratarse datos de carácter personal si resulta necesario para salvaguardar un interés legítimo de Sumco. En general, los intereses legítimos pueden ser de tipo legal (por ejemplo, realizar títulos pendientes) o económico (por ejemplo, evitar perturbaciones del contrato). No está permitido el tratamiento de datos de carácter personal por razón de un interés legítimo si existen en algún caso particular indicios de que la protección de los intereses legítimos del interesado predomina sobre el interés de la instancia responsable en el tratamiento de los datos. Se examinará la legitimidad de estos intereses antes de cada tratamiento de datos.
INTERNET
Siempre que se recogen, se tratan o se usan datos de carácter personal en páginas web o en Apps debe informarse a los interesados sobre este aspecto en avisos sobre la protección de datos y, en su caso, sobre cookies. Los avisos sobre la protección de datos y sobre cookies deben integrarse de modo que estén disponibles continuamente, y que el interesado pueda reconocerlos con facilidad y acceder a ellos de forma inmediata. Al respecto se puede consultar el aviso de privacidad respectivo en el siguiente link: https://sumco.com.mx/comprehensive-privacy-notice/politica-de-calidad/aviso-de-privacidad-integral/
- Derechos
Todos los interesados pueden hacer valer los derechos especificados a continuación. La instancia responsable debe tramitar inmediatamente la reclamación de derechos, y los interesados no deben ser discriminados de ninguna manera por hacer valer sus derechos.
- El interesado puede exigir información acerca de los datos de carácter personal memorizados sobre su persona, acerca de su procedencia y acerca del uso
- Si los datos de carácter personal son incorrectos, o incompletos, el interesado puede exigir su corrección o su
- El interesado puede oponerse al tratamiento de sus datos personales con objeto de publicidad, o dentro del marco de estudios de mercado y de opinión. En ese caso se bloquearán los datos para impedir que se utilicen para este
- El interesado tiene derecho a exigir que se borren sus datos si falta o ha caducado el fundamento jurídico para el tratamiento de los Lo mismo se aplica en el caso de que haya prescrito el motivo del tratamiento de datos, sea por el tiempo transcurrido o por otros motivos. Se tendrán en cuenta los plazos de conservación obligatoria de determinados documentos y los derechos legítimos que se opongan al borrado.
El interesado tiene un derecho básico de oposición contra el tratamiento de sus datos personales, que se tendrá en cuenta siempre que se constate que su interés en la protección de sus datos de carácter personal predomina a causa de su situación personal particular sobre el interés en el tratamiento de los datos. Este derecho no se aplica si existe una normativa legal que prescriba el tratamiento de los datos.
Para hacer valer los derechos ARCO que arriban se describen, el titular podrá solicitar cualquier acción a través de la siguiente liga: https://sumco.com.mx/wp-content/uploads/2024/08/Rechazo-aviso-de-privacidad-batia.pdf
Confidencialidad de los Datos
Los datos de carácter personal están sujetos a confidencialidad. Se prohíbe a los empleados la recogida, el tratamiento y el uso de datos sin autorización. Se considera ilícito cualquier tratamiento de datos realizado por un empleado sin que constituya su cometido de acuerdo con su trabajo y sin estar autorizado para ello. Se aplica el principio de necesidad imperiosa. Se asegurará que los empleados sólo tienen acceso a datos de carácter personal cuando sea necesario y en el marco de la necesidad para sus tareas específicas. Esto exige una asignación y división precisa de roles y competencias, así como su implementación y actualización en el marco de conceptos de autorización.
Los empleados no pueden utilizar datos de carácter personal para usos particulares o económicos, entregarlos a terceros no autorizados o permitir a terceros el acceso de otro modo. Los superiores informarán a sus empleados al comienzo de una relación laboral acerca de la obligación de observar la confidencialidad de los datos. Esta obligación persiste después de finalizar la relación laboral.
- Seguridad y Proceso en el Tratamiento de los Datos
Los datos solicitados de los clientes, primeramente, serán resguardados y obtenidos por el área de ventas, para poder realizar las cotizaciones, presupuestos y negociaciones correspondientes.
Una vez de llevadas a cabo las negociaciones y habiendo tenido la firma del contrato, se pasarán los datos al área de resguardo correspondiente en sistemas.
Los datos de carácter personal deben protegerse en todo momento contra un acceso no autorizado, el tratamiento o comunicación ilícito y su pérdida, modificación o destrucción. Esta obligación se extiende tanto al tratamiento de los datos por vía electrónica como en forma impresa. Antes de la introducción de nuevos procedimientos de tratamiento de datos, especialmente nuevos sistemas informáticos, se definirán e implementarán medidas técnicas y administrativas idóneas para la protección de los datos de carácter personal. Estas medidas se orientarán por el estado de la técnica, los riesgos derivados del tratamiento de los datos y la demanda de protección de los datos (determinada siguiendo el proceso de clasificación de la información).
Los datos de carácter personal deben protegerse en todo momento contra un acceso no autorizado, el tratamiento o comunicación ilícito y su pérdida, modificación o destrucción. Esta obligación se extiende tanto al tratamiento de los datos por vía electrónica como en forma impresa. Antes de la introducción de nuevos procedimientos de tratamiento de datos, especialmente nuevos sistemas informáticos, se definirán e implementarán medidas técnicas y administrativas idóneas para la protección de los datos de carácter personal. Estas medidas se orientarán por el estado de la técnica, los riesgos derivados del tratamiento de los datos y la demanda de protección de los datos (determinada siguiendo el proceso de clasificación de la información).
- Transgresiones y Filtraciones
Todos los empleados deben informar sin demora a sus superiores o al Encargado de Protección de datos de Sumco acerca de infracciones contra la política de protección de datos o contra otras normas para la protección de datos de carácter personal. El directivo responsable del área o la unidad corporativa está obligado a informar sin demora sobre cualquier transgresión de la protección de datos al Encargado de Protección de datos del Grupo.
Si se dan casos de
- Entrega ilícita de datos de carácter personal a terceros,
- Acceso no autorizado de terceros a datos de carácter personal, o
- Pérdida de datos de carácter personal
- Sanciones y Responsabilidades
Las juntas directivas y los órganos directivos de las Sociedades de Sumco son responsables del tratamiento de datos en su ámbito de responsabilidad. Por tanto, están obligados a asegurar que se cumplen los requerimientos de protección de datos exigidos por la ley y los recogidos en la política de protección de datos (por ejemplo, obligaciones nacionales de información). Es una tarea de gestión de los directivos asegurar mediante medidas técnicas, personales y de organización el tratamiento correcto de los datos, teniendo en cuenta las exigencias de protección de datos. El cumplimiento de estas prescripciones es responsabilidad de los empleados competentes. Si una autoridad estatal desea realizar un control de la protección de datos, se informará sin demora al Encargado de Protección de datos de Sumco.
Asimismo, algunas de las sanciones que se podrán tomar en cuenta como respuesta al mal uso o mal manejo de la información son:
- Actas administrativas
- Multas
- Llamadas de atención
- Baja del empleado
- Resarcimiento de daños