Políticas de cumplimiento

POLÍTICA DE CUMPLIMIENTO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
I. OBJETIVO, ALCANCE Y COMPROMISO INSTITUCIONAL
El objetivo de esta política de cumplimiento en materia de protección de datos personales (en adelante, la “Política”) es promover la observancia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley de Datos Personales”), su Reglamento y demás regulación en la materia (en adelante, la “Normatividad en Materia de Protección de Datos Personales”) en la operación diaria de MAAT Inteligencia Avanzada, S.A.P.I. de C.V. (en adelante, “MAAT”).

Esta Política aplica a todos los empleados de MAAT, así como a cualquier tercero o externo autorizado para actuar en nuestro nombre y representación, y especialmente a aquellos que accesan y tratan datos personales de los usuarios de nuestra plataforma como parte de sus funciones para MAAT.

MAAT ha decidido fijar como una prioridad la privacidad y la autodeterminación informativa de nuestros usuarios. MAAT trata los datos personales de sus usuarios y/o personal en carácter de “responsable” y/o “encargado” de dicha información, y reconocemos que es de suma importancia apegarse a los principios y deberes contenidos en la Ley de Datos Personales.

MAAT trata datos personales de titulares personas físicas en su carácter de “responsable” cuando tiene poder de decisión sobre el alcance, contenido, medios, fines y demás cuestiones relacionadas con el tratamiento de los datos personales.

Por otro lado, cuando MAAT le presta servicios a otro “responsable” y solamente trata los datos personales en nombre y por instrucciones de ese tercero sin tener poder de decisión sobre los mismos, entonces asume el rol de “encargado”.

Más adelante en esta Política se explica con más detalles las obligaciones que la Normatividad en Materia de Protección de Datos Personales le impone a los “responsables” y a los “encargados”. Es muy importante tener claridad respecto a cuándo MAAT se encuentra en posición de “responsable” y cuando de “encargado”, ya que sus deberes y obligaciones cambian dependiendo de cada caso.

Esta política ha sido aprobada por los socios fundadores de la empresa y todos nuestros empleados y representantes deben estar familiarizados con la misma a efecto de que contemos con la mejor información disponible y con las herramientas necesarias para cumplir con las disposiciones legales en materia de protección de datos personales.
II. CON QUÉ FINALIDADES TRATAMOS DATOS PERSONALES EN MAAT Y LISTADO DE LEGISLACIÓN APLICABLE
En MAAT tratamos los datos personales de nuestros usuarios para estar en posibilidades de prestarles los siguientes servicios a través de nuestra página de internet https://www.maat.ai/ y nuestra aplicación denominada “MAAT”:
  1. Almacenamiento seguro de información.

    En MAAT nos gusta describirnos como un “bóveda virtual” o “wallet” de documentos personales. Esto quiere decir que una vez que nuestros usuarios han abierto una cuenta con MAAT (la “Bóveda MAAT”), podrán mantener en un solo lugar, de forma ordenada, concentrada, y accesible - solo para el usuario titular de la Bóveda MAAT-, sus documentos personales y estarán en posibilidades de compartirlos con terceros en el momento que así lo decidan. La Bóveda MAAT funciona como un expediente electrónico que se encuentra alojado de forma segura en nuestra plataforma electrónica (la “Plataforma MAAT”). La Bóveda MAAT de nuestros usuarios se conforma por: (i) los documentos e información que nos es proporcionada directamente por los usuarios a través de nuestra página de internet https://www.maat.ai/, nuestra aplicación MAAT, de forma presencial si llevamos a cabo una entrevista, o bien (ii) cuando MAAT obtiene la información de otras bases de datos, tal como se explica a continuación.
  2. Extracción de información de otras bases de datos.

    En la medida en que nuestros usuarios nos lo autoricen, MAAT puede extraer cierta información personal de plataformas y bases de datos gubernamentales, para almacenarla con el resto de la información del usuario dentro de su Bóveda MAAT. Por ejemplo, previa autorización y haciendo uso de ciertos datos previamente proporcionados por nuestros usuarios, MAAT puede obtener directamente su Clave Única del Registro de Población (CURP) para después almacenarla en la Bóveda MAAT del usuario correspondiente.
  3. Verificación de información con otras bases de datos.

    También en la medida en que nuestros usuarios nos lo autoricen, podemos verificar la autenticidad de la información personal que nos entreguen, contra la contenida en bases de datos gubernamentales. Por ejemplo, podemos verificar la autenticidad de una credencial para votar contra la base de datos del Instituto Nacional Electoral, con quien MAAT está en proceso de celebrar un convenio para tales efectos.
  4. Facilitar que nuestros usuarios compartan su información con los terceros que ellos decidan.

    A través de la Bóveda MAAT y haciendo uso de nuestra tecnología, nuestros usuarios pueden compartir con terceros su información personal. MAAT identifica y conserva constancia en un registro conocido como blockchain, por medios automáticos donde por regla general no hay intervención humana, de todo movimiento de los datos almacenados por nuestros usuarios, incluyendo: transmisión a terceros de la misma, los permisos que el usuario otorgue a dichos terceros (por ejemplo, para revisar o imprimir la información personal) y sus revocaciones y denegaciones, momento en que esto sucede, destinatario de los documentos compartidos, etcétera.
  5. Celebrar y mantener relaciones laborales con nuestros colaboradores.

    En MAAT también tratamos datos personales de nuestros colaboradores (empleados) con la finalidad de celebrar y mantener relaciones de trabajo con dichas personas. Es importante siempre tener en mente que los principios y deberes de la protección de datos personales descritos en esta Política aplican igualmente al tratamiento de datos personales de nuestros colaboradores, quienes también gozan de los derechos más adelante señalados, y que es el compromiso de MAAT cuidar dicha información personal de manera debida y en cumplimiento de la Normatividad en Materia de Protección de Datos Personales.
Actualmente MAAT no utiliza datos personales para finalidades de mercadotecnia, publicidad, prospección comercial o para otras finalidades no relacionadas con la prestación de nuestros servicios.
En el tratamiento de datos personales y en general en la prestación de nuestros servicios debemos observar en todo momento la legislación y regulaciones que nos son aplicables, las cuales se deben estar monitoreando para identificar si las mismas son reformadas y si dichos cambios impactan a MAAT de alguna manera y si nos generan responsabilidades adicionales o riesgos que se deban tomar en cuenta. Entre esta legislación y regulaciones es importante identificar la siguiente:
  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares
  • Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares
  • Lineamientos del Aviso de Privacidad
  • Parámetros de Autorregulación en Materia de Protección de Datos Personales
  • Otro material expedido por el INAI, como pueden ser lineamientos, recomendaciones, guías, parámetros, etc. que sirvan a MAAT como herramientas de facilitación para el cumplimiento de la Ley en sus diversos temas y los cuales están disponibles en la pagina de internet del INAI http://inicio.ifai.org.mx/
    SitePages/Documentos-de-Interes.aspx?a=m3
  • Código Civil para el Distrito Federal
  • Ley Federal de Protección al Consumidor, su Reglamento y las normas oficiales mexicanas relacionadas con los servicios que prestamos
Usted puede manifestar, a través del Procedimiento de atención a solicitudes de Derechos ARCO que se describe más adelante, su negativa para el tratamiento de sus datos personales para estas finalidades secundarias.
III. QUÉ DATOS PERSONALES TRATAMOS
Para la apertura y mantenimiento de una Bóveda MAAT recabamos los siguientes datos personales que nos proporcionan nuestros usuarios a través de nuestra página web, de nuestra aplicación móvil MAAT o bien de forma presencial si llevamos a cabo una entrevista:
  • Nombre completo*
  • Correo electrónico*
  • Número de teléfono celular*
  • Datos contenidos en la Credencial para votar expedida por el Instituto Nacional Electoral*, incluyendo la Clave Única de Registro de Población (CURP)
  • Fotografía*
  • Estado civil
  • Registro Federal de Contribuyente
  • Ultimo grado de estudios
  • Información de su empleo
*La información marcada con asteriscos es indispensable para identificar a nuestros usuarios y abrir una Bóveda MAAT, el resto de la información es optativa, pero sirve también para completar el wallet del usuario.
Una vez que un usuario ha abierto una Bóveda MAAT, MAAT trata los datos personales que cada usuario decida proporcionarnos para poder prestar nuestros servicios a los usuarios. Entre los datos personales se pueden incluir:
  • Clave Única del Registro de Población (CURP)
  • Registro Federal de Contribuyentes (RFC)
  • Acta de Nacimiento
  • Cédula Profesional
  • Cédula del Seguro Social
  • Información de redes sociales
  • Información financiera
  • Información patrimonial
  • Información contenida en comprobantes de domicilio
  • Información académica
  • Información laboral
  • Información de salud*
  • Datos biométricos*
*La información marcada con asteriscos es considerada como datos personales sensibles que conforme a la Ley y, por su naturaleza, merece un tratamiento todavía más cuidadoso. Por ejemplo, en términos del Reglamento de la Ley de Datos Personales, solamente se pueden crear bases de datos que contengan datos personales en la medida en que se requieran para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigan. En nuestro caso, el almacenamiento en la Bóveda MAAT. Por otro lado, para el caso de una sanción por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), éste toma en cuenta la naturaleza de los datos para la imposición de sanciones.
Como se señala en el apartado que antecede en MAAT también tratamos los datos personales de nuestros colaboradores que son necesarios para celebrar y mantener relaciones laborales con dichas personas.
V. PRINCIPIOS Y DEBERES EN EL TRATAMIENTO DE DATOS PERSONALES
MAAT, como responsable de datos personales de sus usuarios, debe observar en todo momento los principios y deberes previstos en la Ley de Datos Personales a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de nuestros usuarios y colaboradores:
  1. Principio de licitud.
  2. Principio de consentimiento.
  3. Principio de información.
  4. Principio de calidad.
  5. Principio de finalidad.
  6. Principio de lealtad.
  7. Principio de proporcionalidad.
  8. Principio de responsabilidad.
  9. .Deber de confidencialidad.
  10. Deber de cuidado o seguridad.
A continuación, se explican la forma en la que MAAT da cumplimiento a los principios y deberes antes listados en su operación diaria.
A. PRINCIPIO DE LICITUD
Todo tratamiento de datos personales debe ser hecho en apego a la Normatividad Aplicable en Materia de Protección de Datos Personales. Para efectos de lo anterior, MAAT ha diseñado e implementado esta Política, la cual es obligatoria para todos los que trabajamos en MAAT y cuyo cumplimiento es supervisado por el Departamento de Cumplimiento de la empresa.
Todos debemos capacitarnos sobre esta Política, la cual, al seguirla nos pone en una posición de cumplimiento con la Normatividad en Materia de Protección de Datos Personales. El Departamento de Cumplimiento está disponible para resolver cualquier duda sobre la misma. Es muy importante que en caso de dudar respecto a la licitud de cualquier práctica o para el desarrollo de un nuevo servicio, se consulte inmediatamente al Departamento de Cumplimiento, el cual, en caso de ser necesario, acudirá a un especialista en la materia para determinar la legalidad de la práctica.
B. PRINCIPIO DE CONSENTIMIENTO
Para el tratamiento de datos personales debemos, por regla general, obtener su consentimiento. Al poner a disposición de nuestros usuarios y colaboradores, el aviso de privacidad de MAAT y al no manifestar éstos su negativa, nos otorgan su consentimiento tácito. Tratándose de datos patrimoniales o financieros, el consentimiento deberá ser expreso. Para el caso de datos sensible se deberá obtener el consentimiento expreso y por escrito de su titular. En el entorno digital, como el nuestro, se considera que el consentimiento se obtuvo por escrito cuando se utiliza firma electrónica o cualquier otro mecanismo o procedimiento que permita identificar claramente a nuestro usuario y recabar su consentimiento, como puede ser el marcado de casillas electrónicas.
En este contexto, MAAT ha diseñado el marcado de casillas electrónicas para obtener el consentimiento de nuestros usuarios. Por otro lado, para estar en posibilidades de extraer y verificar información de nuestros usuarios (como es la credencial para votar, el CURP, acta de nacimiento y/o cédula profesional) en plataformas y bases de datos gubernamentales, o de otra naturaleza, también obtenemos la autorización de nuestros usuarios mediante el marcado de las casillas correspondientes durante el proceso de registro y apertura de la Bóveda MAAT. Este mecanismo nos permite identificar claramente al usuario y recabar su consentimiento para estos efectos. En caso de que nuestros usuarios no estén de acuerdo con que les prestemos este servicio deberán abstenerse de marcar tales casillas.
Ahora, MAAT no requerirá del consentimiento de los usuarios cuando el tratamiento de los datos personales tenga el propósito de cumplir obligaciones derivadas directamente de los servicios que les prestamos, las cuales son conocidas como finalidades primarias. Tampoco se requiere el consentimiento cuando tal situación esté prevista en una ley, los datos personales se sometan a un procedimiento previo de disociación, y otros supuestos previstos en la Ley de Datos Personales. Lo anterior, no exime a MAAT de su obligación de informar a sus usuarios, a través de su aviso de privacidad, sobre las finalidades para las cuales serán tratados sus datos personales.
Para finalidades secundarias, como son fines de mercadotecnia, publicidad y prospección comercial, nuestros usuarios deben tener la opción de manifestar su negativa para el tratamiento de sus datos personales para estos propósitos previo al tratamiento de su información personal. También podrán revocar su consentimiento posteriormente mediante el procedimiento de ejercicio de derechos ARCO que se explica más adelante.
MAAT actualmente no utiliza datos personales para finalidades de mercadotecnia, publicidad, prospección comercial o para otras finalidades no relacionadas con la prestación de nuestros servicios. En caso de que esto cambiará se deberá obtener el consentimiento para el tratamiento de los datos para estas finalidades secundarias e indicar en el propio aviso de privacidad el mecanismo que se pone a disposición de los titulares para que éstos puedan manifestar su negativa al tratamiento de su información para estas finalidades secundarias.
C. PRINCIPIO DE INFORMACIÓN (AVISO DE PRIVACIDAD)
El principio de información se cumple mediante la puesta a disposición de nuestros empleados, y usuarios de los servicios de MAAT, nuestro aviso de privacidad y nuestro aviso de privacidad para empleados, según resulte aplicable, en el cual se les informa sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales.
El aviso de privacidad debe publicarse en la página de internet http://www.maat.ai/ y en la aplicación MAAT. Cuando se lleva a cabo el registro electrónico y la apertura de la Bóveda MAAT, el aviso de privacidad debe ser informado y aceptado por nuestros usuarios a través del marcado de casillas electrónicas.
En caso de llevarse a cabo una entrevista presencial, al inicio de la misma se debe recordar al usuario que el aviso de privacidad ya ha sido puesto a su disposición como parte del registro electrónico y proporcionarle de nuevo una copia impresa del mismo como cortesía y como una medida para asegurar el cumplimiento a este principio. También será recomendable tenerlo publicado en un lugar visible en el espacio en el que se lleven a cabo las entrevistas. El aviso de privacidad actual de MAAT se adjunta a la presente como Anexo 1. Es muy importante que todos los conozcamos y estemos familiarizados con el mismo.
En caso de hacer modificaciones, cambios y/o actualizaciones a nuestro aviso de privacidad para atender disposiciones legales aplicables, nuestras prácticas de privacidad, o por otras causas, el nuevo aviso se hará conocimiento de nuestros usuarios mediante su publicación en nuestra página de Internet y en nuestro APP. En el aviso se debe incluir la fecha de la última versión del mismo.
En los siguientes casos se entenderá que es un nuevo aviso que se debe poner de nueva cuenta a disposición de los titulares:
  • MAAT cambie su identidad.
  • Recabemos datos personales sensibles, patrimoniales o financieros adicionales a los informados en el aviso, siempre que no se obtengan de manera personal o directa de nuestros usuarios y se requiera su consentimiento.
  • Cambien las finalidades del tratamiento de los datos personales o se incorporen nueva.
  • Se modifiquen las condiciones de las transferencias de datos o se vayan a realizar transferencias no previstas inicialmente y el consentimiento de los titulares sea necesario.
Nuestra página de internet y nuestro APP también deben informar a nuestros usuarios sobre el uso de cookies, web beacons, u otra tecnología que nos permita recabar datos personales de manera automática y simultánea al tiempo que el usuario hace contacto con los mismos, y la forma en que los mismos se pueden deshabilitar.
D. PRINCIPIO DE CALIDAD
Se cumple el principio de calidad cuando los datos tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para las finalidades para las cuales se obtienen. Se presume que se cumple con este principio cuando los datos sean proporcionados directamente por el titular. En caso de ser necesario o conveniente, MAAT implementará campañas de actualización de datos para asegurar cumplimiento con este principio.
Por otro lado, MAAT deberá asegurarse de conservar la información únicamente durante los plazos de conservación señalados en la Normatividad en Materia de Protección de Datos Personales, para después proceder a bloquearlos y eliminarlos de forma segura.
  1. Plazos de Conservación

    MAAT deberá conservar los datos personales de sus usuarios durante los siguientes plazos:

    • En tanto los datos personales se deban mantener para estar en posibilidades de cumplir con las finalidades que justifiquen su tratamiento; esto es, mientras el usuario mantenga su Bóveda MAAT;

    +

    • Los términos necesarios para cumplir con cuestiones administrativas, contables, fiscales, jurídicas e históricas de los datos;

    =

    • Los datos personales se pueden mantener mientras existan razones internas o existan disposiciones legales que requieran que los datos personales sean conservados;

    +

    El periodo de bloqueo;

    =

    El periodo de bloqueo es equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la legislación aplicable. Durante el periodo de bloqueo los datos personales no pueden ser tratados de forma alguna y se deben resguardar bajo medidas de seguridad apropiadas.
  2. Eliminación segura de datos personales – “derecho al olvido”

    Una vez vencidos los plazos antes señalados, MATT debe proceder al borrado seguro de los datos personales.

    En caso del incumplimiento de obligaciones contractuales entre MAAT y sus usuarios, MAAT eliminará la información relativa al incumplimiento una vez transcurrido un plazo de 72 meses contados a partir de la fecha calendario en que se presente el mencionado incumplimiento.

    En caso de que un usuario ejerza su derecho de cancelación de datos personales en términos del proceso que se explica en esta política y en el aviso de privacidad de MAAT, y éste resulte procedente, se deberá hacer efectivo dentro de los 15 días hábiles siguientes a que se comunique la respuesta al titular.

    Para el borrado seguro de los datos, MAAT implementará las medidas recomendadas en la Guía para el Borrado Seguro de Datos Personales publicada por el INAI, la cual se encuentra disponible en http://inicio.ifai.org.mx/
    DocumentosdeInteres/
    Guia_Borrado_Seguro
    _DP.pdf
E. PRINCIPIO DE FINALIDAD
Los datos personales solamente podrán ser tratados para el cumplimiento de las finalidades establecidas en el aviso de privacidad y descritas en el Apartado II de esta Política denominado “CON QUÉ FINALIDADES TRATAMOS DATOS PERSONALES EN MAAT”. Como se explica en dicha sección, se debe diferenciar entre las finalidades que dan origen a la relación entre MAAT y el usuario, de aquellas que no lo son, pudiendo el usuario oponerse o revocar su consentimiento para el tratamiento de las finalidades secundarias.
En caso de tratarse los datos para finalidades distintas para las que fueron recabados originalmente los datos personales, se deberá obtener el consentimiento del titular para la nueva finalidad mediante la puesta a disposición de un nuevo aviso de privacidad.
F. LEALTAD
MAAT siempre privilegiará la protección de los intereses de sus usuarios y su expectativa razonable de privacidad.
En ningún caso MAAT podrá utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. Se entiende que existe una actuación fraudulenta o engañosa cuando:
  • Exista dolo, mala fe o negligencia en la información que proporcionemos a nuestros usuarios sobre el tratamiento que se le dará a su información personal.
  • Se vulnere la expectativa razonable de privacidad de nuestros usuarios.
  • La información personal de nuestros usuarios se utilice para finalidades distintas a las informadas en nuestro aviso de privacidad.
G. PROPORCIONALIDAD
Solo serán objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes para las finalidades para las que fueron obtenidos.
MAAT debe seguir un criterio de minimización, en términos del cual utilizamos esfuerzos razonables para que los datos personales que tratamos sean los mínimos indispensables para la prestación de nuestros servicios. Esto es, no pedimos a nuestros usuarios más datos personales que aquellos que resultan necesarios para abrir la Bóveda MAAT y para prestarles nuestros servicios. Como se explica anteriormente, los usuarios son libres de almacenar en su Bóveda MAAT tantos documentos e información como ellos deseen y en todos los casos tal información se cuidará y procesará en términos de este documento.
H. RESPONSABILIDAD
MAAT debe seguir un criterio de minimización, en términos del cual utilizamos esfuerzos razonables para que los datos personales que tratamos sean los mínimos indispensables para la prestación de nuestros servicios. Esto es, no pedimos a nuestros usuarios más datos personales que aquellos que resultan necesarios para abrir la Bóveda MAAT y para prestarles nuestros servicios. Como se explica anteriormente, los usuarios son libres de almacenar en su Bóveda MAAT tantos documentos e información como ellos deseen y en todos los casos tal información se cuidará y procesará en términos de este documento.
1. Medidas para el cumplimiento del principio de responsabilidad
MAAT en todo momento velará por el tratamiento responsable de los datos personales que se encuentran bajo nuestra custodia, o de terceros encargados, y adoptará las siguientes medidas para garantizar el debido tratamiento de los mismos:
  • Implementación de esta Política.
  • Definición de los roles y de las responsabilidades específicas de los involucrados internos y externos de MAAT en el procesamiento de los datospersonales. El Departamento de Recursos Humanos de MAAT, el Departamento de Cumplimiento y/o quien gestione funciones de manejo de personal, deberá mantener manuales donde se definan con claridad quienes y con qué roles y responsabilidades están involucrados en el procesamiento de datos personales.
  • Implementación de programas de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales. Para estos efectos, el Departamento de Cumplimiento de MAAT ha diseñado un Programa de Capacitación Calendarizado para asegurar la debida gestión de los datos personales y el cual está contenido en el Manual de Operaciones.
En términos del Programa de Capacitación Calendarizado:
  • todo nuevo empleado o representante de la empresa deberá revisar y conocer esta Política, y
  • aquellos que se encuentren expuestos en el tema de protección de datos personales deberán acudir a las capacitaciones cuatrimestrales previstas dentro del Programa de Capacitación Calendarizado.
  • Sistema de Revisiones Administrativas, y Auditorías Internas y Auditorías Externas, conforme al Programa de Revisiones y Auditorías que diseña e implementa la organización y el cual está contenido en el Manual de Operaciones
  • Destinar recursos para la implementación de esta Política.
  • En el caso de que se diseñen e implementen nuevos servicios, tecnologías o modelos de negocios, el riesgo en el tratamiento de datos personales se debe de atender de antemano; es decir, se operará bajo un modelo de Privacy by Design.
  • Implementación de programas de seguridad.
  • Implementación de los procedimientos establecidos en esta Política para atender solicitudes de derechos de los titulares y atender quejas y sugerencias.
  • Mecanismos para el cumplimiento de esta Política e implementar sanciones para el caso de incumplimiento, conforme a lo que se describe en el apartado VII de la presente Política.
  • Medidas de trazabilidad, es decir contar con acciones y procedimientos que permitan rastrear los datos personales durante su tratamiento.
2. Figura del Encargado
Es común que las empresas que tratan datos personales, como MAAT, contraten prestadores de servicios que dentro de su encargo procesan datos personales que se encuentran bajo el control del responsable. Estos terceros son denominados en la Normatividad en Materia de Protección de Datos Personales como “encargados”. Para el caso de que MAAT sea contratado por un tercero para prestarle servicios de procesamiento de datos sin que MAAT tenga poder de decisión alguno sobre los datos personales en cuestión, entonces MAAT será quien asuma el rol de encargado en términos de la Normatividad en Materia de Protección de Datos Personales, debiendo cumplir con las obligaciones que como encargado se le imponen en dicha normatividad
El Reglamento de la Ley de Datos Personales explica la figura del encargado como sigue: “encargado es la persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”.
Toda relación entre MAAT y cualquier encargado debe quedar establecida mediante un contrato de procesamiento de datos personales, o bien como cláusulas contractuales contenidas dentro de los contratos de prestación de servicios, los cuales permitan acreditar la existencia, alcance y contenido de la relación con el encargado en cuestión.
Los acuerdos con los encargados deberán establecer, por lo menos, las siguientes obligaciones a cargo de los mismos:
  • Tratar los datos personales únicamente conforme a las instrucciones de MAAT.
  • Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por MAAT.
  • Implementar medidas de seguridad en términos de la Normatividad en Materia de Protección de Datos Personales.
  • Guardar confidencialidad respecto de los datos personales tratados.
  • Suprimir los datos personales objeto de la prestación de servicios una vez terminada la relación con MAAT o por instrucciones nuestras, siempre y cuando no exista una disposición legal que les exija conservar los mismos.
  • Abstenerse de transferir los datos, salvo que MAAT se los autorice o para una subcontratación consentida por MAAT. En caso de que una autoridad competente les solicite los datos personales deberán dar aviso inmediatamente a MAAT de tal solicitud.
  • Informar inmediatamente a MAAT en caso de que ocurra una vulneración en sus sistemas, en la cual se vean afectados datos personales controlados por MAAT y cooperar con MAAT durante todo el proceso de revisión y remediación del incidente.
  • Obligación de indemnizar y sacar en paz y a salvo a MAAT de todo daño y perjuicio que sufra MAAT como consecuencia del incumplimiento de los encargados a sus obligaciones en materia de protección de datos personales contenidas en los contratos respectivos y en la Normatividad en Materia de Protección de Datos Personales, incluyendo aquellos daños y perjuicios que le sean causados a MAAT derivados de vulneraciones en la seguridad de los datos que sean tratados por los encargados y por la imposición de sanciones por parte de autoridades competentes (INAI) a MAAT.
Para el caso de contratar servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, MAAT deberá asegurarse que el proveedor en cuestión cumple con los requisitos del Artículo 52 del Reglamento de la Ley de Datos Personales (tratamiento de datos personales en el denominado cómputo en la nube).
MAAT debe asegurarse de adjuntar a todo acuerdo de procesamiento de datos con encargados su aviso de privacidad a efecto de que el encargado trate los datos personales en línea con el mismo. Es decir, el encargo debe cuidar que los acuerdos entre MAAT y sus usuarios contenidos en el aviso no se vean transgredidos de forma alguna.
Toda subcontratación por parte de los encargados debe ser autorizada previamente y por escrito por parte de MAAT.
I. DEBER DE CONFIDENCIALIDAD
MAAT, y todo tercero encargado, deben guardar estricta confidencialidad respecto de los datos personales que nos proporcionan nuestros usuarios. Esta obligación subsiste aun después de finalizada la relación entre MAAT y sus usuarios. Conforme a lo anterior, MAAT solamente podrá compartir los datos personales de sus usuarios con aquellos encargados con los que haya formalizado su relación jurídica en términos del apartado que antecede.
Respecto a transferencias de datos personales, solo nuestros usuarios, haciendo uso de su Bóveda MAAT, pueden compartir su información personal con terceros, ya que nuestra tecnología les permite:
  • Otorgar al tercero receptor de la información los permisos especiales que cada usuario decida, incluyendo: temporalidad del acceso a la información (por tiempo o acto específico), permiso para imprimir, visualización total o parcial del documento, etc.
  • Identificar, por medios automáticos donde por regla general no hay intervención humana, todos los datos de la transmisión de su información a los terceros, incluyendo la fecha y hora en que se autorizó, destinatario, temporalidad y, en su caso, los permisos especiales otorgados.
MAAT no se hace responsable del tratamiento que le den a la información personal los terceros receptores de la misma, por lo que se debe recomendar a nuestros usuarios que revisen los avisos de privacidad y términos y condiciones emitidos por todo tercero al que le entreguen sus datos personales. Esta recomendación queda incluida en el aviso de privacidad de MAAT.
Es muy importante destacar que como parte de la prestación de nuestros servicios MAAT no transfiere datos personales de nuestros usuarios a tercero alguno, ya que toda divulgación de datos personales a terceros la llevan a cabo los propios usuarios haciendo uso de nuestra plataforma y NUNCA MAAT.
MAAT solamente transferirá los datos personales que se mantienen en la Plataforma MAAT de forma excepcional en los supuestos en que la Ley de Datos Personales disponga que la transferencia se deba llevar a cabo, pero no como parte de la prestación de nuestros servicios a los usuarios. Los supuestos que marca la Ley de Datos Personales donde se debe llevar a cabo la transferencia de datos personales son:
  • Que exista una disposición legal que nos obligue a hacerlo.
  • Que la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.
  • Que la transferencia sea realizada a sociedades controladoras, subsidiarias o afiliadas de MAAT, bajo control común con nosotros o a cualquier otra sociedad de nuestro grupo corporativo que opera bajo los mismos procesos o políticas internas.
  • Que la transferencia sea realizada a sociedades controladoras, subsidiarias o afiliadas de MAAT, bajo control común con nosotros o a cualquier otra sociedad de nuestro grupo corporativo que opera bajo los mismos procesos o políticas internas.
  • Que la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés de nuestros usuarios, entre MAAT y un tercero.
  • Que la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.
  • Que la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Que la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre MAAT y sus usuarios.
J. DEBER DE SEGURIDAD
1) Medidas de Seguridad
MAAT debe establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales de sus usuarios contra daño, pérdida, alteración, destrucción y contra el uso, acceso, o tratamiento no autorizado. Por medidas de seguridad se entiende el control o grupo de controles de seguridad para proteger los datos personales.
MAAT no adoptará medidas de seguridad menores a las que utiliza para el manejo de nuestra información y en la implementación de las medidas de seguridad tomamos en cuenta el riesgo existente, las posibles consecuencias para nuestros usuarios, la sensibilidad de los datos personales y el desarrollo tecnológico al que tenemos acceso.
En esta Política se describen de forma general las medidas de seguridad implementadas por MAAT y en nuestro Manual de Operaciones (apartado 11) se describen a más detalle las mismas.
  • Las medidas de seguridad administrativas son: el conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel de nuestra organización. La identificación y clasificación de los datos personales, así como la concienciación, formación y capacitación del personal de MAAT en esta materia son medidas de seguridad administrativas.
MAAT ha implementado y mantiene las siguientes medidas de seguridad administrativa:
  1. Inventario de datos personales y de los sistemas de tratamiento.
  2. Registro de los medios de almacenamiento de los datos personales.
  3. Determinación de funciones y obligaciones de los cargos dentro de nuestra empresa que tratan datos personales.
  4. Programa de revisiones y auditorias, para evaluar y medir el cumplimiento de esta Política.
  5. Implementación de análisis de riesgos periódicos para identificar peligros y maneras de reducir tales riesgos.
  6. Anualmente llevar a cabo un ejercicio para identificar medidas de seguridad que han sido implementadas de manera efectiva, e identificación de medidas de seguridad faltantes.
  7. Plan de trabajo para implementación de medidas de seguridad faltantes en términos del análisis antes señalado.
  8. Capacitación del personal de MAAT que efectúe el tratamiento de datos personales, conforme a lo señalado en esta Política.
  • Las medidas de seguridad físicas son el conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinadas para: (i) prevenir el acceso no autorizado, el daño o la interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información, (ii) proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones, (iii) proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y (iv) garantizar la eliminación segura de datos personales.
Las siguientes medidas de seguridad físicas son implementadas y mantenidas en los centros de datos de Google donde se almacenan los datos:
  1. Modelo de seguridad por capas que incluye medidas como tarjetas de acceso electrónicas con un diseño personalizado, alarmas, barreras en los accesos para vehículos, vallas circundantes, detectoras de metales y autenticación biométrica. El suelo de los centros de datos está protegido por un sistema de detección de intrusos con rayos láser.
  2. Los centros de datos están vigilados las 24 horas con cámaras interiores y exteriores de alta resolución que detectan y siguen a los posibles intrusos. Si se produce un incidente, es posible consultar los registros de acceso, los informes de actividad y las imágenes de las cámaras. Además, los centros de datos disponen de guardias de seguridad experimentados que han superado rigurosas comprobaciones de antecedentes y han recibido la formación adecuada para patrullar las instalaciones de forma regular.
  3. Cumple estos estándares de la parte física: https://cloud.google
    .com/security/
    compliance

  • Las medidas de seguridad tecnológicas son el conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la seguridad para asegurar que: (i) el acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados, (ii) que los usuarios que accesen la información lo hagan al llevar a cabo actividades que lo requieran con motivo de sus funciones, (iii) se implementen acciones para la adquisición, operación, desarrollo y mantenimiento de sistemas seguros, y (iv) se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.
MAAT implementa y mantiene las siguientes medidas de seguridad tecnológicas:
  1. Los datos el contenido de los clientes que se almacena en reposo se encuentran cifrados. Para ello, se utilizan uno o varios mecanismos de cifrado, con algunas excepciones poco significativas.
  2. Los datos se almacenan en discos persistentes se cifran según el estándar de encriptado avanzado de 256 bits, y cada clave de cifrado se cifra a su vez con un conjunto de claves maestras que va rotando de forma periódica.
  3. Nuestra aplicación utiliza “blockchain” o cadena de bloques para las transacciones lo cual minimiza la probabilidad de un error al requerir que cualquier cambio en la cadena se replique en los demás servidores.
En la implementación de las medidas de seguridad, MAAT puede tomar en cuenta el siguiente material desarrollado y publicado por el INAI:
2) Actualización de las medidas de seguridad.
MAAT deberá actualizar sus medidas de seguridad antes descritas cuando ocurran cualquier de los siguientes eventos:
  • Derivado de revisiones a las medidas de seguridad se identifique que los procesos y medidas correspondientes deban ser modificadas.
  • Se produzcan modificaciones sustanciales en el tratamiento de los datos personales derivadas de cambios en los niveles de riesgo.
  • Tenga lugar una vulneración de los sistemas de tratamientos de datos personales de MAAT, conforme a lo que se describe en la siguiente sección.
  • Exista una afectación a los datos personales, distinta a las antes señaladas.
MAAT procurará revisar y, en su caso actualizar, sus medidas de seguridad una vez al año.
3) Vulneraciones de seguridad.
Existe una vulneración a la seguridad de las bases de datos personales mantenidas por MAAT, cuando en cualquier fase de tratamiento tiene lugar alguno de los siguientes acontecimientos:
  • Pérdida o destrucción no autorizada de datos personales.
  • Robo, extravío o copia no autorizada.
  • Uso, acceso o tratamiento no autorizado.
  • Daño, alteración o modificación no autorizada.
El Departamento de Cumplimiento de MAAT, así como el personal de seguridad de la información y otros involucrados en la seguridad de la información, deben revisar y conocer las “Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales” emitidas por el INAI y que se encuentran disponibles en http://inicio.inai.org.mx/
DocumentosdeInteres/
Recomen
daciones_Manejo_IS
_DP.pdf
. En estas Recomendaciones se describen los procesos y controles sugeridos por el INAI para que responsable como MAAT respondan y mitiguen vulneraciones a la seguridad de la información personal que mantienen.
En caso de que ocurra una vulneración de seguridad, se deberá consultar inmediatamente las Recomendaciones del INAI antes señalados y, en cualquier caso, seguir los siguientes pasos:
1. Detonar un proceso de revisión exhaustivo de la magnitud de la afectación, incluyendo: (i) causas, (ii) sistemas y datos afectados, (iii) tipo de vulneración, (iv) medidas de seguridad que fueron comprometidas, (v) nivel de afectación (identificar si se afectaron, o no, derechos morales o patrimoniales de los usuarios y de qué forma), (vi) actores involucrados en la vulneración determinando si éstos podrían ser parte de la organización o terceros ajenos a la misma, y (vii) otros factores.

Este proceso de revisión se describe paso a paso en el apartado 5 del Manual de Operaciones el cual debe ser revisado para la debida atención de vulnerabilidades.

En caso de que la vulneración ocurra en sistemas administrado por un tercero encargado, el prestador de servicios deberá estar obligado contractualmente a notificar inmediatamente a MAAT sobre cualquier vulneración y cooperar con nosotros durante todo el proceso de revisión y remediación correspondiente.
2. Evaluar si se actualiza la obligación de MAAT de notificar a sus usuarios sobre la vulneración. Las vulneraciones de seguridad de datos personales deben ser notificadas a los titulares cuando éstas afecten de manera significativa los derechos patrimoniales o morales de los titulares.

En caso de que la notificación a los titulares sea procedente, se deberá informar, por lo menos, lo siguiente:
  • La naturaleza del incidente.
  • Los datos personales comprometidos.
  • Las recomendaciones a los usuarios acerca de las medidas que éstos pueden adoptar para proteger sus intereses.
  • Las acciones correctivas realizadas de forma inmediata.
  • Los medios donde pueden obtener más información.
3. Analizar las causas por las cuales se presentó la vulneración en cuestión, e implementar un plan de remediación que incluya las acciones correctivas, preventivas y de mejora para actualizar las medidas de seguridad a efecto de evitar nuevas vulneraciones.
4. Evaluar potenciales acciones penales y/o laborales.
VI. PROCEDIMIENTO PARA LA ATENCIÓN DE SOLICITUDES DE DERECHOS DE LOS TITULARES
1) Solicitudes de ejercicio de Derechos ARCOs de seguridad.
El Departamento de Cumplimiento de MAAT es el responsable de atender las solicitudes de Derecho ARCO que realicen nuestros usuarios, colaboradores o clientes.
Las solicitudes se presentan por correo electrónica a la dirección [email protected] , y deben ir acompañadas de la siguiente documentación e información:
  • Datos de identificación del titular de los datos personales y, en su caso, de su representante legal. En el caso de que la solicitud se presente a través de representante legal se deberá acompañar copia del documento con el que se acredite ese carácter. Los documentos podrán ser escaneados y adjuntados al correo electrónico para verificar su veracidad.
  • La descripción de manera clara y precisa de los datos personales respecto de los cuales se busca ejercer Derechos ARCO, así como el derecho o derechos que se desea ejercer, lo cual podrá hacerse en el texto del correo electrónico o en un documento adjunto escaneado y debidamente firmado al final del mismo y rubricado al calce de cada una de las hojas.
  • Indicación respecto a que la contestación de MAAT se dará también por correo electrónico, indicando la dirección de correo electrónico que corresponda.
  • Copia de la identificación oficial vigente del titular de los datos personales y, en su caso, de su representante legal. Los documentos podrán recibirse escaneados y adjuntados al correo electrónico para verificar su veracidad.
Una vez que la solicitud para ejercer Derechos ARCO se encuentre a nuestra disposición:
  1. Al momento de recibir una solicitud de ejercicio de Derechos ARCO se debe identificar si la misma efectivamente debe ser atendida por MAAT por ser responsable de los datos personales. En caso de identificar que MAAT no es el responsable de los datos personales en cuestión, se debe:(i) informar al titular de los datos personales que MAAT es solamente el encargado de su información y que la solicitud debe ser dirigida directamente ante el responsable, y/o (ii) canalizar la solicitud al responsable correspondiente e informar al titular que la misma ha sido remitida a la entidad correcta recomendándole contactar directamente al responsable.
  2. En caso de que sí sea MAAT quien deba atender la solicitud correspondiente, el Departamento de Cumplimiento deberá seguir el procedimiento establecido en este apartado y revisar que se cumplan con los requisitos aquí señalados.
  3. MAAT deberá emitir la contestación al titular en un plazo no mayor a 20 (veinte) días hábiles a partir de su recepción original, o de que reciba la información o documentación señalada en el párrafo siguiente. Este plazo puede ser ampliado una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso.
  4. En caso de que la información proporcionada sea insuficiente o errónea o no se acompañen los documentos antes señalados, MAAT deberá requerir al usuario, colaborador o cliente, por una vez y dentro de los 5 días hábiles siguientes a la recepción de la solicitud, que aporte la información y documentación faltante. El usuario, colaborador o cliente contará con un plazo de 10 días hábiles para atender el requerimiento, contados a partir del día siguiente en que lo haya recibido. De no dar respuesta, se tendrá por no presentada la solicitud.
  5. MAAT contará con 15 días hábiles posteriores a que dé respuesta al usuario para hacer efectiva la solicitud. Este plazo puede ser ampliado una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso. En todo caso se debe dar respuesta, con independencia de que se cuenten con datos personales o no del solicitante.

    Las respuestas a los titulares deben referirse exclusivamente a los datos personales indicados por el usuario en su solicitud y presentarse en un formato legible, comprensible y de fácil acceso.
  6. Los plazos antes señalados se pueden ampliar por una sola vez, por un periodo igual, siempre y cuando lo justifiquen las circunstancias del caso y lo deberá de informar al titular.
  7. Nuestros usuarios pueden contactarnos en cualquier momento.
  8. MAAT podrá negar el ejercicio de Derechos ARCO en los supuestos que lo permita la Ley de Datos Personales y su Reglamento, en cuyo caso debe informar las razones de dicha negativa al solicitante. La negativa podrá ser parcial, en cuyo caso el acceso, rectificación, cancelación u oposición se debe efectuar en la parte procedente. Los supuestos en los cuales MAAT podrá negar el ejercicio de Derechos ARCO son: (i) cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello, (ii) cuando en su base de datos, no se encuentren los datos personales del solicitante, (iii) cuando se lesionen los derechos de un tercero, (iv) cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y (v) cuando la rectificación, cancelación u oposición haya sido previamente realizada.

    Para el caso de solicitudes de cancelación de datos personales, MAAT no estará obligado a llevarlas a cabo en los siguientes casos: (i) se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento, (ii) los datos personales deban ser tratados por disposición legal, (iii) se obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas, (iv) los datos personales sean necesarios para proteger los intereses jurídicamente tutelados del titular, (v) los datos personales sean necesarios para realizar una acción en función del interés público, (vi) los datos personales sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y (vii) los datos personales sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.
  9. Nuestros usuarios en cualquier momento pueden optar por dar de baja su información de su Bóveda MAAT y cancelar su cuenta. Es decir, pueden pedirnos que cancelemos su información mediante el procedimiento antes descrito o bien dar de baja su información de nuestra plataforma en cualquier momento, en cuyo caso: (i) MAAT no se debe quedar con copia de la misma, y (ii) los terceros con los que los usuarios hayan previamente compartido información mantendrán acceso a la misma durante los plazos autorizados.

    En relación con el punto (i) del párrafo que antecede y como parte del funcionamiento del “blockchain” una vez que un usuario cancele su Bóveda MAAT (cuenta), MAAT únicamente conservaría constancia en un registro con tecnología Blockchain, en la cual por regla general no hay intervención humana, de los movimientos de los datos almacenados por nuestros usuarios, incluyendo: transmisión a terceros de la misma, los permisos que el usuario otorgue a dichos terceros (por ejemplo, para revisar o imprimir la información personal) y sus revocaciones y denegaciones, momento en que esto sucede, destinatario de los documentos compartidos, etcétera., pero SIN que se pueda identificar individualmente al usuario correspondiente, por lo que NO se estarían conservando datos personales. Solamente se conservan las constancias de los movimientos realizados desde una cuenta.
  10. En todo caso, el ejercicio de los Derechos ARCO debe ser gratuito y sencillo. El titular solamente debe cubrir los gastos de envío, reproducción y, en su caso certificación. Si la misma persona reitera su solicitud dentro de los siguientes doce meses se podrá hacer un cobro en términos de la Ley de Datos Personales.

    Para efectos de control y cumplimiento, el Departamento de Cumplimiento de MAAT mantendrá una bitácora de todas las solicitudes de Derechos ARCO y de revocación de consentimiento y limitación de uso y divulgación de datos personales.
1)Solicitudes de revocación del consentimiento al tratamiento de datos personales
Todo tratamiento que esté sujeto a la obtención de consentimiento puede ser revocado. Esto es, los usuarios que desean mantener su Bóveda MAAT no pueden revocar su consentimiento para que MAAT trate sus datos personales en la medida en que deseen que le prestemos ese servicio. Sin embargo, en todos aquellos casos en que el consentimiento es requerido, por ejemplo, para que se utilice la información para enviar material publicitario a nuestros usuarios, lo cual no está directamente relacionado con nuestros servicios, entonces podrán en cualquier momento revocar su consentimiento.
El procedimiento para ejercer el derecho de revocación es el mismo que para los Derechos ARCO, en el entendido que una vez que la solicitud de revocación se encuentre a nuestra disposición debemos emitir nuestra contestación en un plazo máximo de 5 (cinco) días hábiles.
3)Solicitudes de limitación en el uso o divulgación de sus datos personales
Nuestros usuarios pueden limitar el uso o divulgación de sus datos personales, para lo cual deben seguir el mismo procedimiento que para el ejercicio de sus Derechos ARCO, en el entendido que una vez recibida la solicitud correspondiente, MAAT debe emitir su contestación en un plazo no mayor a 5 (cinco) días hábiles. MAAT deberá mantener listas de aquellos usuarios que han solicitado la limitación en el uso o divulgación de sus datos personales a efecto de asegurarse que los datos de tales usuarios no son utilizados para finalidades distintas a aquellas que son necesarias para prestarles nuestros servicios.
En nuestro Aviso de Privacidad también le hacemos notar a nuestros usuarios que para limitar el uso y la divulgación de sus datos personales se pueden inscribir en el Registro Público para Evitar Publicidad (REPEP) que administra la Procuraduría Federal del Consumidor.
VII. MEDIDAS DISCIPLINARIAS A LOS COLABORADORES DE MAAT POR CONTRAVENIR A LO SEÑALADO EN LA PRESENTE POLÍTICA.
En caso de que se sospeche que en contravención a lo dispuesto en esta Política algún colaborador de MAAT, por cualquier motivo, ha procesado de forma indebida datos personales (incluyendo su acceso, utilización, publicación, transferencia o cualquier otro acto no autorizado ni justificada) de uno o más de nuestros usuarios o empleados, será acreedor a una medida disciplinaria corporativa que imponga la alta dirección una vez analizado el caso en cuestión, y escuchado al colaborador correspondiente. La sanción podría consistir en un apercibimiento y/o suspensión en el trabajo lo cual no podrá exceder de ocho días.
Para el caso de que la contravención a esta Política por parte de alguno de nuestros colaboradores pueda ser catalogada como una vulneración de las bases de datos de nuestros usuarios y empleados se deberá seguir el proceso descrito en el apartado J. 3) de este documento.
Lo anterior sin perjuicio de las acciones de remediación que MAAT deberá implementar de manera inmediata para subsanar el incumplimiento a esta Política que dio origen a la sanción correspondiente.