Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Con base a un breve analisis de la situación actual de la compañía invex infraestructura respecto a las regulaciones publicadas en la LPDPPP y su reglamento,
presentamos las siguientes observaciones:
La autoridad ha publicado una recomiendación en su pagina oficial de internet, en la cual se menciona lo siguiente:
3) Dentro del actual aviso de privacidad unico observamos que se menciona lo siguiente:
“El mismo tratamiento a que se refiere la presente fracción, tendrán los datos personales que sean recabados en lo futuro.” PAG.5
Recomendamos adecuar el parrafo con el fin de lograr detallar los datos a recabar en el futuro. Así mismo, estos datos deben estar alineados con las
categorias de datos a tratar, las finalidades primarias y secundarias asi como presentarse en el inventario de bases de datos.
Lo anterior contribuye al cumplimiento del principio de responsabilidad para el tratamiento de datos personales.
Base de legitimación
Invex grupo infraestructura da tratamiento a sus datos personales con base en la relación jurídica (XXXXX).
En aquellos casos en los que el tratamiento de sus datos personales no se pudiera amparar en la relación jurídica sostenida con invex grupo infraestructura,
recabaremos su consentimiento.
5) Recomendamos no publicar el párrafo hasta dar cumplimiento y documentar lo mencionado en el siguiente párrafo:
Sin perjuicio de lo anterior, el responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por las
disposiciones, adoptando las medidas necesarias para su aplicación, así como a exigir su cumplimiento a las personas físicas o morales a los que se
llegue a transferir los datos personales.
Al publicar y asegurar lo anterior, estamos expuestos a los siguientes cuestionamientos en caso de una revisión de la autoridad:
• Multiples inconsistencias entre el manual, el aviso de privacidad y las entrevistas a los responsables que tratan y salvaguardan datos personales
• La falta de conocimiento o carencia de documentación respecto a los manuales, politicas, protocolos o precedimientos.
• Declarar y publicar Manuales, Politicas, Procedimientos, Protocolos y Aviso de Privacidad con inconsistencias e inexistentes o falsos
procedimientos.
La autoridad podría determinar y aplicar en sanciones economicas relevantes y/o procedimientos penales en contra del la compañía y el responsable
de privacidad de datos, al considerar que se esta actuando con pleno conocimiento y dolo en contra del titular de los datos.
6) Se recomienda eliminar este parrafo al considerarse redundante y posiblemente provechoso en contra del titular de los datos debido a que no es
completamente claro para el mismo:
“Una vez que se ponga a disposición el presente aviso de privacidad al titular, contratista; prestador de servicio o proveedor de que se trate y éstos no
manifiestes oposición alguna por escrito, se entenderá que otorga al responsable su consentimiento tácito para llevar a cabo el tratamiento de datos
personales.
7) Eliminar parrafo debido a que es obligación del responsable de privacidad de datos el otorgar todas las posibilidades para que los titulares dueños de los
datos personales conozcan los avisos de privacidad pertinentes:
“En caso de que el aviso de privacidad no sea dado a conocer al titular al contratista; prestador de servicio o proveedor de manera directa o personal,
éste tendrá un plazo de cinco días hábiles conforme a lo que establece la ley, para manifestar su oposición en el tratamiento de sus datos personales
para finalidades que no son necesarias, ni dieron origen a la relación jurídica o contractual entre la responsable y el titular, contratista; prestador de
servicio o proveedor conforme al procedimiento previsto en la fracción viii del presente aviso de privacidad.
8) Publicar en la pagina de internet el aviso de privacidad aplicable, cuidando en todo momento que este se encuentre a la vista del titular.
9) Implementar en la pagina de internet el mostrar las actualizaciones al aviso de privacidad.
10) No publicar que el responsable de la privacidad de datos en invex mantiene medidas de seguridad de carácter administrativo, físico y técnico.
Actualmente no existe evidencia documental que ampare lo mencionado y se desconocen los protocolos, politicas, manuales y procedimientos existentes
y no existentes referentes al tema.
11) Recomendamos limitar como primer canal de atención unicamente al responsable de cumplimiento para que este actue en favor del titular de los datos en
caso de ejercer sus derechos ARCO. Asi mismo, como segundo canal direccionar al titular de los datos para que solicite la ayuda de la autoridad federal
exponiendonos con esto a una posible revisión, lo anterior resultado de este parrafo:
XI. LAS OPCIONES Y MEDIOS PARA LIMITAR EL USO Y DIVULGACIÓN DE DATOS PERSONALES.
Para limitar el uso o divulgación de sus datos personales, el Responsable ha instrumentado medidas de seguridad de carácter administrativo, físico y técnico
con el objeto de evitar mal uso y la divulgación de los Datos Personales. En cualquier momento el Titular, el Contratista; Prestador de Servicio o Proveedor
de que se trate podrá iniciar el procedimiento para limitar el uso y/o divulgación de Datos Personales, debiendo seguir el procedimiento previsto en la
fracción IV del presente Aviso de Privacidad.
Adicionalmente y para asegurar que los Datos Personales del Titular, del Contratista; Prestador de Servicio o Proveedor de que se trate, no sean usados y
sin su consentimiento, el Responsable lo exhorta a considerar las siguientes medidas:
Inscribirse al Registro Público Para Evitar Publicidad (REPEP), el cual es un instrumento que permite registrar números telefónicos de aquellos
consumidores que no desean recibir publicidad o que su información sea utilizada con fines mercadotécnicos o publicitarios. Para mayor detalle sobre esta
inscripción, consultar https://repep.profeco.gob.mx/index.jsp
12) Consultar si eliminar o no este parrafo: “Uso de cookies, web beacons u otras tecnologías similares” debido a que invex infraestructuras y subsidiarias no
son los responsables de la adminisración del portal web.
13) Actualizar la pagina de invex infraestructura medios por los cuales el responsable comunicará al titular de los cambios en el aviso de privacidad.
2) Redactar, publicar e implementar las politicas y procedimientos apegados a las actividades reales que actualmente se ejecutan.
3) Redactar, publicar e implementar avisos de privacidad simplificados, cortos e integrales de acuerdo al punto 1 “Del aviso de privacidad unificado
(Preliminar)” y acorde al punto 1.3.1 del manual de operación.
4) Adecuar la unidad ARCO en acorde a la dirección juridica punto 8 mencionado en “Del aviso de privacidad unificado (Preliminar)”
5) Redactar, publicar e implementar un protocolo notificación a los titulares de los datos (empleados, clientes, proveedores, etc). en caso de un posible robo
interno o externo de datos personales y datos sensibles derivado de una vulneración a nuestra seguridad de TI o seguridad en el almacenamiento fisico.
6) Cambiar correo del ejercicio de derechos arco por el de invex infra estructura en el manual de operación.