Comentarios y Recomendaciones Preliminares Auditoría LPDPPP

Con base a un breve analisis de la situación actual de la compañía invex infraestructura respecto a las regulaciones publicadas en la LPDPPP y su reglamento,
presentamos las siguientes observaciones:

Del aviso de privacidad unificado (Preliminar):

1) INVEX Infraestructura y subsidiarias, no cuentan con los avisos de privacidad de datos.
2) Si bien la autoridad no menciona alguna prohibición respecto a unificar los avisos de privacidad posibles:

1. Aviso de privacidad para prospectos a empleados

2. Aviso de privacidad para empleados
3. Aviso de privacidad para colaboradores
4. Aviso de privacidad para clientes (sitio web)
5. Aviso de privacidad para clientes (plantas de operación si aplica)
6. Aviso de privacidad para videovigilancia en instalaciones oficinas o plantas (corto)
7. Aviso de privacidad para visitantes en instalaciones y videovigilancia oficinas y planta (integral)

La autoridad ha publicado una recomiendación en su pagina oficial de internet, en la cual se menciona lo siguiente:

3) Dentro del actual aviso de privacidad unico observamos que se menciona lo siguiente:
“El mismo tratamiento a que se refiere la presente fracción, tendrán los datos personales que sean recabados en lo futuro.” PAG.5

Recomendamos adecuar el parrafo con el fin de lograr detallar los datos a recabar en el futuro. Así mismo, estos datos deben estar alineados con las
categorias de datos a tratar, las finalidades primarias y secundarias asi como presentarse en el inventario de bases de datos.

Lo anterior contribuye al cumplimiento del principio de responsabilidad para el tratamiento de datos personales.

4) Incluir el párrafo de acuerdo a cada aviso de privacidad.

Base de legitimación

Invex grupo infraestructura da tratamiento a sus datos personales con base en la relación jurídica (XXXXX).
En aquellos casos en los que el tratamiento de sus datos personales no se pudiera amparar en la relación jurídica sostenida con invex grupo infraestructura,
recabaremos su consentimiento.

5) Recomendamos no publicar el párrafo hasta dar cumplimiento y documentar lo mencionado en el siguiente párrafo:

Sin perjuicio de lo anterior, el responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por las
disposiciones, adoptando las medidas necesarias para su aplicación, así como a exigir su cumplimiento a las personas físicas o morales a los que se
llegue a transferir los datos personales.

Al publicar y asegurar lo anterior, estamos expuestos a los siguientes cuestionamientos en caso de una revisión de la autoridad:

• Quien es el Asignado Responsable de Privacidad de Datos

 • Cuales son sus procedimientos y actividades para velar por el cumplimiento de los principios de protección de datos personales establecidos en
las disposiciones.
• Entrevistaran a los responsables de privacidad de datos con el fin de asegurar que cuentan con pleno conocimiento del Manual de operación para
la PDPPP y sus debidos protocolos de actuación ante la atención de un derecho ARCO.
• La autoridad y sus especialistas solicitaraán información soporte para evidenciar todo lo mencionado en el manual y los protocoos de actuación
(papeles de trabajo, consultorias, entregables, etc).
• Cuestionaran y solicitaran evidencia documental al responsable de privacidad para sobre como logra cumplir con lo siguiente que el publico en el
aviso; “exige su cumplimiento a las personas físicas o morales a los que se llegue a transferir los datos personales”

Posibles observaciones derivadas de auditar lo anterior:

• Multiples inconsistencias entre el manual, el aviso de privacidad y las entrevistas a los responsables que tratan y salvaguardan datos personales
• La falta de conocimiento o carencia de documentación respecto a los manuales, politicas, protocolos o precedimientos.
• Declarar y publicar Manuales, Politicas, Procedimientos, Protocolos y Aviso de Privacidad con inconsistencias e inexistentes o falsos
procedimientos.

La autoridad podría determinar y aplicar en sanciones economicas relevantes y/o procedimientos penales en contra del la compañía y el responsable
de privacidad de datos, al considerar que se esta actuando con pleno conocimiento y dolo en contra del titular de los datos.

6) Se recomienda eliminar este parrafo al considerarse redundante y posiblemente provechoso en contra del titular de los datos debido a que no es
completamente claro para el mismo:

“Una vez que se ponga a disposición el presente aviso de privacidad al titular, contratista; prestador de servicio o proveedor de que se trate y éstos no
manifiestes oposición alguna por escrito, se entenderá que otorga al responsable su consentimiento tácito para llevar a cabo el tratamiento de datos
personales.

7) Eliminar parrafo debido a que es obligación del responsable de privacidad de datos el otorgar todas las posibilidades para que los titulares dueños de los
datos personales conozcan los avisos de privacidad pertinentes:

“En caso de que el aviso de privacidad no sea dado a conocer al titular al contratista; prestador de servicio o proveedor de manera directa o personal,
éste tendrá un plazo de cinco días hábiles conforme a lo que establece la ley, para manifestar su oposición en el tratamiento de sus datos personales
para finalidades que no son necesarias, ni dieron origen a la relación jurídica o contractual entre la responsable y el titular, contratista; prestador de
servicio o proveedor conforme al procedimiento previsto en la fracción viii del presente aviso de privacidad.

8) Publicar en la pagina de internet el aviso de privacidad aplicable, cuidando en todo momento que este se encuentre a la vista del titular.
9) Implementar en la pagina de internet el mostrar las actualizaciones al aviso de privacidad.

10) No publicar que el responsable de la privacidad de datos en invex mantiene medidas de seguridad de carácter administrativo, físico y técnico.
Actualmente no existe evidencia documental que ampare lo mencionado y se desconocen los protocolos, politicas, manuales y procedimientos existentes
y no existentes referentes al tema.

11) Recomendamos limitar como primer canal de atención unicamente al responsable de cumplimiento para que este actue en favor del titular de los datos en
caso de ejercer sus derechos ARCO. Asi mismo, como segundo canal direccionar al titular de los datos para que solicite la ayuda de la autoridad federal
exponiendonos con esto a una posible revisión, lo anterior resultado de este parrafo:
 XI. LAS OPCIONES Y MEDIOS PARA LIMITAR EL USO Y DIVULGACIÓN DE DATOS PERSONALES.

Para limitar el uso o divulgación de sus datos personales, el Responsable ha instrumentado medidas de seguridad de carácter administrativo, físico y técnico
con el objeto de evitar mal uso y la divulgación de los Datos Personales. En cualquier momento el Titular, el Contratista; Prestador de Servicio o Proveedor
de que se trate podrá iniciar el procedimiento para limitar el uso y/o divulgación de Datos Personales, debiendo seguir el procedimiento previsto en la
fracción IV del presente Aviso de Privacidad.

Adicionalmente y para asegurar que los Datos Personales del Titular, del Contratista; Prestador de Servicio o Proveedor de que se trate, no sean usados y
sin su consentimiento, el Responsable lo exhorta a considerar las siguientes medidas:

Inscribirse al Registro Público Para Evitar Publicidad (REPEP), el cual es un instrumento que permite registrar números telefónicos de aquellos
consumidores que no desean recibir publicidad o que su información sea utilizada con fines mercadotécnicos o publicitarios. Para mayor detalle sobre esta
inscripción, consultar https://repep.profeco.gob.mx/index.jsp

12) Consultar si eliminar o no este parrafo: “Uso de cookies, web beacons u otras tecnologías similares” debido a que invex infraestructuras y subsidiarias no
son los responsables de la adminisración del portal web.

13) Actualizar la pagina de invex infraestructura medios por los cuales el responsable comunicará al titular de los cambios en el aviso de privacidad.

Del Manual de Operaciones referente a Privacidad de Datos

1) Recomendamos se incluyan detalladamente las actividades de control y responsabilidades del oficial de cumplimiento en el manual, refiriendo al punto
2.4.1 del mismo manual.

2) Redactar, publicar e implementar las politicas y procedimientos apegados a las actividades reales que actualmente se ejecutan.

3) Redactar, publicar e implementar avisos de privacidad simplificados, cortos e integrales de acuerdo al punto 1 “Del aviso de privacidad unificado
(Preliminar)” y acorde al punto 1.3.1 del manual de operación.

4) Adecuar la unidad ARCO en acorde a la dirección juridica punto 8 mencionado en “Del aviso de privacidad unificado (Preliminar)”

5) Redactar, publicar e implementar un protocolo notificación a los titulares de los datos (empleados, clientes, proveedores, etc). en caso de un posible robo
interno o externo de datos personales y datos sensibles derivado de una vulneración a nuestra seguridad de TI o seguridad en el almacenamiento fisico.

6) Cambiar correo del ejercicio de derechos arco por el de invex infra estructura en el manual de operación.