V. PRINCIPIOS Y DEBERES EN EL TRATAMIENTO DE DATOS PERSONALES
MAAT, como responsable de datos personales de sus usuarios, debe observar en todo momento los principios y deberes previstos en la Ley de Datos Personales a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de nuestros usuarios y colaboradores:
- Principio de licitud.
- Principio de consentimiento.
- Principio de información.
- Principio de calidad.
- Principio de finalidad.
- Principio de lealtad.
- Principio de proporcionalidad.
- Principio de responsabilidad.
- .Deber de confidencialidad.
- Deber de cuidado o seguridad.
A continuación, se explican la forma en la que MAAT da cumplimiento a los principios y deberes antes listados en su operación diaria.
A. PRINCIPIO DE LICITUD
Todo tratamiento de datos personales debe ser hecho en apego a la Normatividad Aplicable en Materia de Protección de Datos Personales. Para efectos de lo anterior, MAAT ha diseñado e implementado esta Política, la cual es obligatoria para todos los que trabajamos en MAAT y cuyo cumplimiento es supervisado por el Departamento de Cumplimiento de la empresa.
Todos debemos capacitarnos sobre esta Política, la cual, al seguirla nos pone en una posición de cumplimiento con la Normatividad en Materia de Protección de Datos Personales. El Departamento de Cumplimiento está disponible para resolver cualquier duda sobre la misma. Es muy importante que en caso de dudar respecto a la licitud de cualquier práctica o para el desarrollo de un nuevo servicio, se consulte inmediatamente al Departamento de Cumplimiento, el cual, en caso de ser necesario, acudirá a un especialista en la materia para determinar la legalidad de la práctica.
B. PRINCIPIO DE CONSENTIMIENTO
Para el tratamiento de datos personales debemos, por regla general, obtener su consentimiento. Al poner a disposición de nuestros usuarios y colaboradores, el aviso de privacidad de MAAT y al no manifestar éstos su negativa, nos otorgan su consentimiento tácito. Tratándose de datos patrimoniales o financieros, el consentimiento deberá ser expreso. Para el caso de datos sensible se deberá obtener el consentimiento expreso y por escrito de su titular. En el entorno digital, como el nuestro, se considera que el consentimiento se obtuvo por escrito cuando se utiliza firma electrónica o cualquier otro mecanismo o procedimiento que permita identificar claramente a nuestro usuario y recabar su consentimiento, como puede ser el marcado de casillas electrónicas.
En este contexto, MAAT ha diseñado el marcado de casillas electrónicas para obtener el consentimiento de nuestros usuarios. Por otro lado, para estar en posibilidades de extraer y verificar información de nuestros usuarios (como es la credencial para votar, el CURP, acta de nacimiento y/o cédula profesional) en plataformas y bases de datos gubernamentales, o de otra naturaleza, también obtenemos la autorización de nuestros usuarios mediante el marcado de las casillas correspondientes durante el proceso de registro y apertura de la Bóveda MAAT. Este mecanismo nos permite identificar claramente al usuario y recabar su consentimiento para estos efectos. En caso de que nuestros usuarios no estén de acuerdo con que les prestemos este servicio deberán abstenerse de marcar tales casillas.
Ahora, MAAT no requerirá del consentimiento de los usuarios cuando el tratamiento de los datos personales tenga el propósito de cumplir obligaciones derivadas directamente de los servicios que les prestamos, las cuales son conocidas como finalidades primarias. Tampoco se requiere el consentimiento cuando tal situación esté prevista en una ley, los datos personales se sometan a un procedimiento previo de disociación, y otros supuestos previstos en la Ley de Datos Personales. Lo anterior, no exime a MAAT de su obligación de informar a sus usuarios, a través de su aviso de privacidad, sobre las finalidades para las cuales serán tratados sus datos personales.
Para finalidades secundarias, como son fines de mercadotecnia, publicidad y prospección comercial, nuestros usuarios deben tener la opción de manifestar su negativa para el tratamiento de sus datos personales para estos propósitos previo al tratamiento de su información personal. También podrán revocar su consentimiento posteriormente mediante el procedimiento de ejercicio de derechos ARCO que se explica más adelante.
MAAT actualmente no utiliza datos personales para finalidades de mercadotecnia, publicidad, prospección comercial o para otras finalidades no relacionadas con la prestación de nuestros servicios. En caso de que esto cambiará se deberá obtener el consentimiento para el tratamiento de los datos para estas finalidades secundarias e indicar en el propio aviso de privacidad el mecanismo que se pone a disposición de los titulares para que éstos puedan manifestar su negativa al tratamiento de su información para estas finalidades secundarias.
C. PRINCIPIO DE INFORMACIÓN (AVISO DE PRIVACIDAD)
El principio de información se cumple mediante la puesta a disposición de nuestros empleados, y usuarios de los servicios de MAAT, nuestro aviso de privacidad y nuestro aviso de privacidad para empleados, según resulte aplicable, en el cual se les informa sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales.
El aviso de privacidad debe publicarse en la página de internet http://www.maat.ai/ y en la aplicación MAAT. Cuando se lleva a cabo el registro electrónico y la apertura de la Bóveda MAAT, el aviso de privacidad debe ser informado y aceptado por nuestros usuarios a través del marcado de casillas electrónicas.
En caso de llevarse a cabo una entrevista presencial, al inicio de la misma se debe recordar al usuario que el aviso de privacidad ya ha sido puesto a su disposición como parte del registro electrónico y proporcionarle de nuevo una copia impresa del mismo como cortesía y como una medida para asegurar el cumplimiento a este principio. También será recomendable tenerlo publicado en un lugar visible en el espacio en el que se lleven a cabo las entrevistas. El aviso de privacidad actual de MAAT se adjunta a la presente como Anexo 1. Es muy importante que todos los conozcamos y estemos familiarizados con el mismo.
En caso de hacer modificaciones, cambios y/o actualizaciones a nuestro aviso de privacidad para atender disposiciones legales aplicables, nuestras prácticas de privacidad, o por otras causas, el nuevo aviso se hará conocimiento de nuestros usuarios mediante su publicación en nuestra página de Internet y en nuestro APP. En el aviso se debe incluir la fecha de la última versión del mismo.
En los siguientes casos se entenderá que es un nuevo aviso que se debe poner de nueva cuenta a disposición de los titulares:
- MAAT cambie su identidad.
- Recabemos datos personales sensibles, patrimoniales o financieros adicionales a los informados en el aviso, siempre que no se obtengan de manera personal o directa de nuestros usuarios y se requiera su consentimiento.
- Cambien las finalidades del tratamiento de los datos personales o se incorporen nueva.
- Se modifiquen las condiciones de las transferencias de datos o se vayan a realizar transferencias no previstas inicialmente y el consentimiento de los titulares sea necesario.
Nuestra página de internet y nuestro APP también deben informar a nuestros usuarios sobre el uso de cookies, web beacons, u otra tecnología que nos permita recabar datos personales de manera automática y simultánea al tiempo que el usuario hace contacto con los mismos, y la forma en que los mismos se pueden deshabilitar.
D. PRINCIPIO DE CALIDAD
Se cumple el principio de calidad cuando los datos tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para las finalidades para las cuales se obtienen. Se presume que se cumple con este principio cuando los datos sean proporcionados directamente por el titular. En caso de ser necesario o conveniente, MAAT implementará campañas de actualización de datos para asegurar cumplimiento con este principio.
Por otro lado, MAAT deberá asegurarse de conservar la información únicamente durante los plazos de conservación señalados en la Normatividad en Materia de Protección de Datos Personales, para después proceder a bloquearlos y eliminarlos de forma segura.
- Plazos de Conservación
MAAT deberá conservar los datos personales de sus usuarios durante los siguientes plazos:
• En tanto los datos personales se deban mantener para estar en posibilidades de cumplir con las finalidades que justifiquen su tratamiento; esto es, mientras el usuario mantenga su Bóveda MAAT;
+
• Los términos necesarios para cumplir con cuestiones administrativas, contables, fiscales, jurídicas e históricas de los datos;
=
• Los datos personales se pueden mantener mientras existan razones internas o existan disposiciones legales que requieran que los datos personales sean conservados;
+
El periodo de bloqueo;
=
El periodo de bloqueo es equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la legislación aplicable. Durante el periodo de bloqueo los datos personales no pueden ser tratados de forma alguna y se deben resguardar bajo medidas de seguridad apropiadas. - Eliminación segura de datos personales – “derecho al olvido”
Una vez vencidos los plazos antes señalados, MATT debe proceder al borrado seguro de los datos personales.
En caso del incumplimiento de obligaciones contractuales entre MAAT y sus usuarios, MAAT eliminará la información relativa al incumplimiento una vez transcurrido un plazo de 72 meses contados a partir de la fecha calendario en que se presente el mencionado incumplimiento.
En caso de que un usuario ejerza su derecho de cancelación de datos personales en términos del proceso que se explica en esta política y en el aviso de privacidad de MAAT, y éste resulte procedente, se deberá hacer efectivo dentro de los 15 días hábiles siguientes a que se comunique la respuesta al titular.
Para el borrado seguro de los datos, MAAT implementará las medidas recomendadas en la Guía para el Borrado Seguro de Datos Personales publicada por el INAI, la cual se encuentra disponible en http://inicio.ifai.org.mx/
DocumentosdeInteres/
Guia_Borrado_Seguro
_DP.pdf
E. PRINCIPIO DE FINALIDAD
Los datos personales solamente podrán ser tratados para el cumplimiento de las finalidades establecidas en el aviso de privacidad y descritas en el Apartado II de esta Política denominado “CON QUÉ FINALIDADES TRATAMOS DATOS PERSONALES EN MAAT”. Como se explica en dicha sección, se debe diferenciar entre las finalidades que dan origen a la relación entre MAAT y el usuario, de aquellas que no lo son, pudiendo el usuario oponerse o revocar su consentimiento para el tratamiento de las finalidades secundarias.
En caso de tratarse los datos para finalidades distintas para las que fueron recabados originalmente los datos personales, se deberá obtener el consentimiento del titular para la nueva finalidad mediante la puesta a disposición de un nuevo aviso de privacidad.
F. LEALTAD
MAAT siempre privilegiará la protección de los intereses de sus usuarios y su expectativa razonable de privacidad.
En ningún caso MAAT podrá utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Se entiende que existe una actuación fraudulenta o engañosa cuando:
- Exista dolo, mala fe o negligencia en la información que proporcionemos a nuestros usuarios sobre el tratamiento que se le dará a su información personal.
- Se vulnere la expectativa razonable de privacidad de nuestros usuarios.
- La información personal de nuestros usuarios se utilice para finalidades distintas a las informadas en nuestro aviso de privacidad.
G. PROPORCIONALIDAD
Solo serán objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes para las finalidades para las que fueron obtenidos.
MAAT debe seguir un criterio de minimización, en términos del cual utilizamos esfuerzos razonables para que los datos personales que tratamos sean los mínimos indispensables para la prestación de nuestros servicios. Esto es, no pedimos a nuestros usuarios más datos personales que aquellos que resultan necesarios para abrir la Bóveda MAAT y para prestarles nuestros servicios. Como se explica anteriormente, los usuarios son libres de almacenar en su Bóveda MAAT tantos documentos e información como ellos deseen y en todos los casos tal información se cuidará y procesará en términos de este documento.
H. RESPONSABILIDAD
MAAT debe seguir un criterio de minimización, en términos del cual utilizamos esfuerzos razonables para que los datos personales que tratamos sean los mínimos indispensables para la prestación de nuestros servicios. Esto es, no pedimos a nuestros usuarios más datos personales que aquellos que resultan necesarios para abrir la Bóveda MAAT y para prestarles nuestros servicios. Como se explica anteriormente, los usuarios son libres de almacenar en su Bóveda MAAT tantos documentos e información como ellos deseen y en todos los casos tal información se cuidará y procesará en términos de este documento.
1. Medidas para el cumplimiento del principio de responsabilidad
MAAT en todo momento velará por el tratamiento responsable de los datos personales que se encuentran bajo nuestra custodia, o de terceros encargados, y adoptará las siguientes medidas para garantizar el debido tratamiento de los mismos:
- Implementación de esta Política.
- Definición de los roles y de las responsabilidades específicas de los involucrados internos y externos de MAAT en el procesamiento de los datospersonales. El Departamento de Recursos Humanos de MAAT, el Departamento de Cumplimiento y/o quien gestione funciones de manejo de personal, deberá mantener manuales donde se definan con claridad quienes y con qué roles y responsabilidades están involucrados en el procesamiento de datos personales.
- Implementación de programas de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales. Para estos efectos, el Departamento de Cumplimiento de MAAT ha diseñado un Programa de Capacitación Calendarizado para asegurar la debida gestión de los datos personales y el cual está contenido en el Manual de Operaciones.
En términos del Programa de Capacitación Calendarizado:
- todo nuevo empleado o representante de la empresa deberá revisar y conocer esta Política, y
- aquellos que se encuentren expuestos en el tema de protección de datos personales deberán acudir a las capacitaciones cuatrimestrales previstas dentro del Programa de Capacitación Calendarizado.
- Sistema de Revisiones Administrativas, y Auditorías Internas y Auditorías Externas, conforme al Programa de Revisiones y Auditorías que diseña e implementa la organización y el cual está contenido en el Manual de Operaciones
- Destinar recursos para la implementación de esta Política.
- En el caso de que se diseñen e implementen nuevos servicios, tecnologías o modelos de negocios, el riesgo en el tratamiento de datos personales se debe de atender de antemano; es decir, se operará bajo un modelo de Privacy by Design.
- Implementación de programas de seguridad.
- Implementación de los procedimientos establecidos en esta Política para atender solicitudes de derechos de los titulares y atender quejas y sugerencias.
- Mecanismos para el cumplimiento de esta Política e implementar sanciones para el caso de incumplimiento, conforme a lo que se describe en el apartado VII de la presente Política.
- Medidas de trazabilidad, es decir contar con acciones y procedimientos que permitan rastrear los datos personales durante su tratamiento.
2. Figura del Encargado
Es común que las empresas que tratan datos personales, como MAAT, contraten prestadores de servicios que dentro de su encargo procesan datos personales que se encuentran bajo el control del responsable. Estos terceros son denominados en la Normatividad en Materia de Protección de Datos Personales como “encargados”. Para el caso de que MAAT sea contratado por un tercero para prestarle servicios de procesamiento de datos sin que MAAT tenga poder de decisión alguno sobre los datos personales en cuestión, entonces MAAT será quien asuma el rol de encargado en términos de la Normatividad en Materia de Protección de Datos Personales, debiendo cumplir con las obligaciones que como encargado se le imponen en dicha normatividad
El Reglamento de la Ley de Datos Personales explica la figura del encargado como sigue: “encargado es la persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”.
Toda relación entre MAAT y cualquier encargado debe quedar establecida mediante un contrato de procesamiento de datos personales, o bien como cláusulas contractuales contenidas dentro de los contratos de prestación de servicios, los cuales permitan acreditar la existencia, alcance y contenido de la relación con el encargado en cuestión.
Los acuerdos con los encargados deberán establecer, por lo menos, las siguientes obligaciones a cargo de los mismos:
- Tratar los datos personales únicamente conforme a las instrucciones de MAAT.
- Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por MAAT.
- Implementar medidas de seguridad en términos de la Normatividad en Materia de Protección de Datos Personales.
- Guardar confidencialidad respecto de los datos personales tratados.
- Suprimir los datos personales objeto de la prestación de servicios una vez terminada la relación con MAAT o por instrucciones nuestras, siempre y cuando no exista una disposición legal que les exija conservar los mismos.
- Abstenerse de transferir los datos, salvo que MAAT se los autorice o para una subcontratación consentida por MAAT. En caso de que una autoridad competente les solicite los datos personales deberán dar aviso inmediatamente a MAAT de tal solicitud.
- Informar inmediatamente a MAAT en caso de que ocurra una vulneración en sus sistemas, en la cual se vean afectados datos personales controlados por MAAT y cooperar con MAAT durante todo el proceso de revisión y remediación del incidente.
- Obligación de indemnizar y sacar en paz y a salvo a MAAT de todo daño y perjuicio que sufra MAAT como consecuencia del incumplimiento de los encargados a sus obligaciones en materia de protección de datos personales contenidas en los contratos respectivos y en la Normatividad en Materia de Protección de Datos Personales, incluyendo aquellos daños y perjuicios que le sean causados a MAAT derivados de vulneraciones en la seguridad de los datos que sean tratados por los encargados y por la imposición de sanciones por parte de autoridades competentes (INAI) a MAAT.
Para el caso de contratar servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, MAAT deberá asegurarse que el proveedor en cuestión cumple con los requisitos del Artículo 52 del Reglamento de la Ley de Datos Personales (tratamiento de datos personales en el denominado cómputo en la nube).
MAAT debe asegurarse de adjuntar a todo acuerdo de procesamiento de datos con encargados su aviso de privacidad a efecto de que el encargado trate los datos personales en línea con el mismo. Es decir, el encargo debe cuidar que los acuerdos entre MAAT y sus usuarios contenidos en el aviso no se vean transgredidos de forma alguna.
Toda subcontratación por parte de los encargados debe ser autorizada previamente y por escrito por parte de MAAT.
I. DEBER DE CONFIDENCIALIDAD
MAAT, y todo tercero encargado, deben guardar estricta confidencialidad respecto de los datos personales que nos proporcionan nuestros usuarios. Esta obligación subsiste aun después de finalizada la relación entre MAAT y sus usuarios. Conforme a lo anterior, MAAT solamente podrá compartir los datos personales de sus usuarios con aquellos encargados con los que haya formalizado su relación jurídica en términos del apartado que antecede.
Respecto a transferencias de datos personales, solo nuestros usuarios, haciendo uso de su Bóveda MAAT, pueden compartir su información personal con terceros, ya que nuestra tecnología les permite:
- Otorgar al tercero receptor de la información los permisos especiales que cada usuario decida, incluyendo: temporalidad del acceso a la información (por tiempo o acto específico), permiso para imprimir, visualización total o parcial del documento, etc.
- Identificar, por medios automáticos donde por regla general no hay intervención humana, todos los datos de la transmisión de su información a los terceros, incluyendo la fecha y hora en que se autorizó, destinatario, temporalidad y, en su caso, los permisos especiales otorgados.
MAAT no se hace responsable del tratamiento que le den a la información personal los terceros receptores de la misma, por lo que se debe recomendar a nuestros usuarios que revisen los avisos de privacidad y términos y condiciones emitidos por todo tercero al que le entreguen sus datos personales. Esta recomendación queda incluida en el aviso de privacidad de MAAT.
Es muy importante destacar que como parte de la prestación de nuestros servicios MAAT no transfiere datos personales de nuestros usuarios a tercero alguno, ya que toda divulgación de datos personales a terceros la llevan a cabo los propios usuarios haciendo uso de nuestra plataforma y NUNCA MAAT.
MAAT solamente transferirá los datos personales que se mantienen en la Plataforma MAAT de forma excepcional en los supuestos en que la Ley de Datos Personales disponga que la transferencia se deba llevar a cabo, pero no como parte de la prestación de nuestros servicios a los usuarios. Los supuestos que marca la Ley de Datos Personales donde se debe llevar a cabo la transferencia de datos personales son:
- Que exista una disposición legal que nos obligue a hacerlo.
- Que la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.
- Que la transferencia sea realizada a sociedades controladoras, subsidiarias o afiliadas de MAAT, bajo control común con nosotros o a cualquier otra sociedad de nuestro grupo corporativo que opera bajo los mismos procesos o políticas internas.
- Que la transferencia sea realizada a sociedades controladoras, subsidiarias o afiliadas de MAAT, bajo control común con nosotros o a cualquier otra sociedad de nuestro grupo corporativo que opera bajo los mismos procesos o políticas internas.
- Que la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés de nuestros usuarios, entre MAAT y un tercero.
- Que la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.
- Que la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Que la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre MAAT y sus usuarios.
J. DEBER DE SEGURIDAD
1) Medidas de Seguridad
MAAT debe establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales de sus usuarios contra daño, pérdida, alteración, destrucción y contra el uso, acceso, o tratamiento no autorizado. Por medidas de seguridad se entiende el control o grupo de controles de seguridad para proteger los datos personales.
MAAT no adoptará medidas de seguridad menores a las que utiliza para el manejo de nuestra información y en la implementación de las medidas de seguridad tomamos en cuenta el riesgo existente, las posibles consecuencias para nuestros usuarios, la sensibilidad de los datos personales y el desarrollo tecnológico al que tenemos acceso.
En esta Política se describen de forma general las medidas de seguridad implementadas por MAAT y en nuestro Manual de Operaciones (apartado 11) se describen a más detalle las mismas.
- Las medidas de seguridad administrativas son: el conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel de nuestra organización. La identificación y clasificación de los datos personales, así como la concienciación, formación y capacitación del personal de MAAT en esta materia son medidas de seguridad administrativas.
MAAT ha implementado y mantiene las siguientes medidas de seguridad administrativa:
- Inventario de datos personales y de los sistemas de tratamiento.
- Registro de los medios de almacenamiento de los datos personales.
- Determinación de funciones y obligaciones de los cargos dentro de nuestra empresa que tratan datos personales.
- Programa de revisiones y auditorias, para evaluar y medir el cumplimiento de esta Política.
- Implementación de análisis de riesgos periódicos para identificar peligros y maneras de reducir tales riesgos.
- Anualmente llevar a cabo un ejercicio para identificar medidas de seguridad que han sido implementadas de manera efectiva, e identificación de medidas de seguridad faltantes.
- Plan de trabajo para implementación de medidas de seguridad faltantes en términos del análisis antes señalado.
- Capacitación del personal de MAAT que efectúe el tratamiento de datos personales, conforme a lo señalado en esta Política.
- Las medidas de seguridad físicas son el conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinadas para: (i) prevenir el acceso no autorizado, el daño o la interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información, (ii) proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones, (iii) proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y (iv) garantizar la eliminación segura de datos personales.
Las siguientes medidas de seguridad físicas son implementadas y mantenidas en los centros de datos de Google donde se almacenan los datos:
- Modelo de seguridad por capas que incluye medidas como tarjetas de acceso electrónicas con un diseño personalizado, alarmas, barreras en los accesos para vehículos, vallas circundantes, detectoras de metales y autenticación biométrica. El suelo de los centros de datos está protegido por un sistema de detección de intrusos con rayos láser.
- Los centros de datos están vigilados las 24 horas con cámaras interiores y exteriores de alta resolución que detectan y siguen a los posibles intrusos. Si se produce un incidente, es posible consultar los registros de acceso, los informes de actividad y las imágenes de las cámaras. Además, los centros de datos disponen de guardias de seguridad experimentados que han superado rigurosas comprobaciones de antecedentes y han recibido la formación adecuada para patrullar las instalaciones de forma regular.
- Cumple estos estándares de la parte física: https://cloud.google
.com/security/
compliance
- Las medidas de seguridad tecnológicas son el conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la seguridad para asegurar que: (i) el acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados, (ii) que los usuarios que accesen la información lo hagan al llevar a cabo actividades que lo requieran con motivo de sus funciones, (iii) se implementen acciones para la adquisición, operación, desarrollo y mantenimiento de sistemas seguros, y (iv) se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.
MAAT implementa y mantiene las siguientes medidas de seguridad tecnológicas:
- Los datos el contenido de los clientes que se almacena en reposo se encuentran cifrados. Para ello, se utilizan uno o varios mecanismos de cifrado, con algunas excepciones poco significativas.
- Los datos se almacenan en discos persistentes se cifran según el estándar de encriptado avanzado de 256 bits, y cada clave de cifrado se cifra a su vez con un conjunto de claves maestras que va rotando de forma periódica.
- Nuestra aplicación utiliza “blockchain” o cadena de bloques para las transacciones lo cual minimiza la probabilidad de un error al requerir que cualquier cambio en la cadena se replique en los demás servidores.
En la implementación de las medidas de seguridad, MAAT puede tomar en cuenta el siguiente material desarrollado y publicado por el INAI:
2) Actualización de las medidas de seguridad.
MAAT deberá actualizar sus medidas de seguridad antes descritas cuando ocurran cualquier de los siguientes eventos:
- Derivado de revisiones a las medidas de seguridad se identifique que los procesos y medidas correspondientes deban ser modificadas.
- Se produzcan modificaciones sustanciales en el tratamiento de los datos personales derivadas de cambios en los niveles de riesgo.
- Tenga lugar una vulneración de los sistemas de tratamientos de datos personales de MAAT, conforme a lo que se describe en la siguiente sección.
- Exista una afectación a los datos personales, distinta a las antes señaladas.
MAAT procurará revisar y, en su caso actualizar, sus medidas de seguridad una vez al año.
3) Vulneraciones de seguridad.
Existe una vulneración a la seguridad de las bases de datos personales mantenidas por MAAT, cuando en cualquier fase de tratamiento tiene lugar alguno de los siguientes acontecimientos:
- Pérdida o destrucción no autorizada de datos personales.
- Robo, extravío o copia no autorizada.
- Uso, acceso o tratamiento no autorizado.
- Daño, alteración o modificación no autorizada.
El Departamento de Cumplimiento de MAAT, así como el personal de seguridad de la información y otros involucrados en la seguridad de la información, deben revisar y conocer las “Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales” emitidas por el INAI y que se encuentran disponibles en
http://inicio.inai.org.mx/
DocumentosdeInteres/
Recomen
daciones_Manejo_IS
_DP.pdf. En estas Recomendaciones se describen los procesos y controles sugeridos por el INAI para que responsable como MAAT respondan y mitiguen vulneraciones a la seguridad de la información personal que mantienen.
En caso de que ocurra una vulneración de seguridad, se deberá consultar inmediatamente las Recomendaciones del INAI antes señalados y, en cualquier caso, seguir los siguientes pasos:
1. Detonar un proceso de revisión exhaustivo de la magnitud de la afectación, incluyendo: (i) causas, (ii) sistemas y datos afectados, (iii) tipo de vulneración, (iv) medidas de seguridad que fueron comprometidas, (v) nivel de afectación (identificar si se afectaron, o no, derechos morales o patrimoniales de los usuarios y de qué forma), (vi) actores involucrados en la vulneración determinando si éstos podrían ser parte de la organización o terceros ajenos a la misma, y (vii) otros factores.
Este proceso de revisión se describe paso a paso en el apartado 5 del Manual de Operaciones el cual debe ser revisado para la debida atención de vulnerabilidades.
En caso de que la vulneración ocurra en sistemas administrado por un tercero encargado, el prestador de servicios deberá estar obligado contractualmente a notificar inmediatamente a MAAT sobre cualquier vulneración y cooperar con nosotros durante todo el proceso de revisión y remediación correspondiente.
2. Evaluar si se actualiza la obligación de MAAT de notificar a sus usuarios sobre la vulneración. Las vulneraciones de seguridad de datos personales deben ser notificadas a los titulares cuando éstas afecten de manera significativa los derechos patrimoniales o morales de los titulares.
En caso de que la notificación a los titulares sea procedente, se deberá informar, por lo menos, lo siguiente:
- La naturaleza del incidente.
- Los datos personales comprometidos.
- Las recomendaciones a los usuarios acerca de las medidas que éstos pueden adoptar para proteger sus intereses.
- Las acciones correctivas realizadas de forma inmediata.
- Los medios donde pueden obtener más información.
3. Analizar las causas por las cuales se presentó la vulneración en cuestión, e implementar un plan de remediación que incluya las acciones correctivas, preventivas y de mejora para actualizar las medidas de seguridad a efecto de evitar nuevas vulneraciones.
4. Evaluar potenciales acciones penales y/o laborales.