POLÍTICA DE PRIVACIDAD
SIKA MEXICANA, S.A. DE CV
1. DEFINICIONES Y TÉRMINOS
Los términos que se mencionan en esta política se definirán como sigue:
| Aviso de Privacidad | Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales. |
| Bases de Datos | El conjunto ordenado de datos personales referentes a una persona identificada o identificable. |
| Bloqueo | La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde. |
| Consentimiento | Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos. |
| Datos Personales | Cualquier información concerniente a una persona física identificada o identificable. |
| Datos Personales Sensibles | Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. |
| Derechos ARCO | Son los derechos de acceso, rectificación, cancelación y oposición. |
| Días |
Días hábiles. |
| Encargado | La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. |
| Fuente de acceso público | Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación. |
| Instituto | Instituto Nacional de Acceso a la Información y Protección de Datos (INAI). |
| Ley | Ley Federal de Protección de Datos Personales en Posesión de los Particulares. |
| Reglamento | El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares |
| Responsable | Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. |
| Tercero | La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos. |
| Titular | La persona física a quien corresponden los datos personales |
| Tratamiento | La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. |
| Transferencia | Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. |
2. ÁMBITO DE APLICACIÓN
A fin de velar por el cumplimiento de los principios de protección de datos personales establecidos en la Ley y su Reglamento y establecer las medidas para garantizar el debido tratamiento, Sika Mexicana, S.A. de C.V. ha elaborado la presente Política de Privacidad, la cual será obligatoria y exigible al interior de la organización.
3. FINALIDAD DE ESTA POLÍTICA
A fin de velar por el cumplimiento de los principios de protección de datos personales establecidos en la Ley y su Reglamento y establecer las medidas para garantizar el debido tratamiento, Sika Mexicana, S.A. de C.V. ha elaborado la presente Política de Privacidad, la cual será obligatoria y exigible al interior de la organización.
4. DATOS PERSONALES
Datos Personales se refieren a cualquier información concerniente a una persona física identificada o identificable. Los datos pueden incluir de manera enunciativa más no limitativa los siguientes:
Datos personales del empleado, que incluyen datos básicos (por ejemplo, nombre, dirección, número de teléfono, dirección de correo electrónico, nacionalidad, estado civil), datos organizacionales (por ejemplo, unidad de la organización a la que pertenece, centro de costo, número de registro de personal como empleado, superior jerárquico del empleado), datos contractuales (por ejemplo, situación laboral, tipo de contrato, promedio de horas de trabajo), información sobre incentivos y compensaciones, datos de asistencia del empleado (por ejemplo, registros horarios, permisos), información sobre rendimiento y talento (por ejemplo, CV, formación, evaluaciones de rendimiento, disciplina), información relativa a los activos de la Empresa asignados al empleado y utilizados por éste (computadora, laptop, teléfono móvil, dispositivos electrónicos y de almacenamiento, datos de uso de la informática), información incluida en correos electrónicos y otra información comercial; entre otros.
Datos Personales de Terceros, por ejemplo, información de contacto, información contenida en correos electrónicos y otras comunicaciones comerciales, información sobre cuentas bancarias; entre otros.
Datos del Candidato, por ejemplo, información de contacto, información sobre el CV, historial laboral, referencias laborales e información de formación, conocimientos; entre otros.
Datos personales de usuarios de páginas web/aplicaciones, por ejemplo, direcciones IP, datos de localización, datos de archivos de registro, información de contacto.
5. DATOS PERSONALES SENSIBLES1. DATOS PERSONALES SENSIBLES
En particular, se consideran sensibles:
Los Datos Personales Sensibles se refieren a aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.
Aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
Tratándose de datos personales sensibles, la Empresa como Responsable de los datos, obtendrá el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
Asimismo, la Empresa se abstendrá de crear bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
6. PRINCIPIOS RECTORES DE LA PROTECCIÓN DE DATOS PERSONALES
La Empresa en todo momento cumplirá con los principios rectores de la protección de datos personales:
I. Licitud. La Empresa llevará a cabo el tratamiento de datos personales con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional.
II. Consentimiento. La Empresa obtendrá el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible por la Ley.
La solicitud del consentimiento irá referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.
Cuando los datos personales se obtengan personalmente o de manera directa de su titular, el consentimiento será previo al tratamiento.
La Empresa obtendrá el consentimiento expreso del titular cuando: I. Lo exija una ley o reglamento; II. Se trate de datos financieros o patrimoniales; III. Se trate de datos sensibles; IV. Lo solicite la Empresa para acreditar el mismo, o V. Lo acuerden así el titular y la Empresa.
III. Información. La Empresa dará a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la Ley y el Reglamento.
IV. Calidad. La Empresa adoptará las medidas necesarias para que los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados.
Se presumirá que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular, y hasta que éste no manifieste y acredite lo contrario, o bien, la Empresa cuente con evidencia objetiva que los contradiga.
Cuando los datos personales no sean obtenidos directamente del titular, la Empresa adoptará medidas razonables para que éstos respondan al principio de calidad, de acuerdo con el tipo de datos personales y las condiciones del tratamiento.
Asimismo, la Empresa adoptará los mecanismos que considere necesarios para procurar que los datos personales que trate sean exactos, completos, pertinentes, correctos y actualizados, a fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el titular se vea afectado por dicha situación.
V. Finalidad. Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad.
Para efectos del párrafo anterior, la finalidad o las finalidades establecidas en el aviso de privacidad deberán ser determinadas, lo cual se logra cuando con claridad, sin lugar a confusión y de manera objetiva se especifica para qué objeto serán tratados los datos personales.
VI. Lealtad. La Empresa tratará los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.
La obtención de datos personales nunca se hará a través de medios engañosos o fraudulentos. En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por la Ley.
VII. Proporcionalidad. Sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido.
La Empresa realizará esfuerzos razonables para que los datos personales tratados sean los mínimos necesarios de acuerdo con la finalidad del tratamiento que tenga lugar.
VIII. Responsabilidad. La Empresa velará y responderá por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano.
Para cumplir con esta obligación, la Empresa podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines.
De acuerdo con ello, la Empresa adoptará medidas para garantizar el debido tratamiento, privilegiando los intereses del titular y la expectativa razonable de privacidad.
Entre las medidas que podrá adoptar la Empresa se encuentran las siguientes: I. Elaborar políticas y programas de privacidad obligatorios y exigibles al interior de la organización; II. Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales; III. Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad; IV. Destinar recursos para la instrumentación de los programas y políticas de privacidad; V. Instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos; VI. Revisar periódicamente las políticas y programas de seguridad para determinar las modificaciones que se requieran; VII. Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales; VIII. Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento; IX. Establecer medidas para el aseguramiento de los datos personales, es decir, un conjunto de acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento de los principios y obligaciones que establece la Ley y el presente Reglamento, o X. Establecer medidas para la trazabilidad de los datos personales, es decir, acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento.
Asimismo, la Empresa observará los deberes de seguridad y confidencialidad en el tratamiento de datos personales:
Establecerá y mantendrá medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, que en ningún momento serán menores a aquellas que se mantengan para el manejo de su información.
Asimismo, se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.
La Empresa o terceros que intervengan en cualquier fase del tratamiento de datos personales guardarán confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con la Empresa.
Plazos de conservación de datos personales
Los datos personales serán conservados por la Empresa en la medida necesaria para el cumplimiento de nuestras obligaciones patronales, y estrictamente durante el tiempo necesario para la consecución de los fines para los que se recopila la información.
De acuerdo a ello, los plazos de conservación de los datos personales recabados por la Empresa no excederán aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, en atención a las disposiciones aplicables a la materia de que se trate, conforme a las regulaciones administrativas, contables, fiscales, jurídicas e históricas de la información.
Una vez cumplida la o las finalidades del tratamiento de datos, y siempre y cuando no exista disposición legal o reglamentaria que establezca lo contrario, la Empresa procederá a la cancelación de los datos en su posesión previo bloqueo de los mismos, para su posterior supresión.
Transferencias de Datos Personales
La transferencia implica la comunicación de datos personales dentro o fuera del erritorio nacional, realizada a persona distinta del titular, del responsable o del encargado.
Toda transferencia de datos personales, sea ésta nacional o internacional, estará
sujeta al consentimiento de su titular, salvo las excepciones previstas en la Ley; para lo cual será informada a este último mediante el aviso de privacidad y limitarse a la finalidad que la justifique.
Para efectos de demostrar que la transferencia, sea ésta nacional o internacional, se realizó conforme a lo que establece la Ley y el Reglamento, la Empresa y el receptor de los datos personales, conservarán prueba de dicho cumplimiento.
En el caso de transferencias de datos personales entre sociedades controladoras, subsidiarias o afiliadas bajo el control común del mismo grupo al que pertenece la Empresa, o a una sociedad matriz o a cualquier sociedad del mismo grupo al que pertenece la Empresa, el mecanismo para garantizar que el receptor de los datos personales cumplirá con las disposiciones previstas en la Ley, el Reglamento y demás normativa aplicable, podrá ser la existencia de normas internas de protección de datos personales cuya observancia sea vinculante, siempre y cuando éstas cumplan con lo establecido en la Ley, el presente Reglamento y demás normativa aplicable.
7. RESPONSABILIDAD DE TODOS LOS EMPLEADOS
Todos los Empleados de la Empresa serán responsables del cumplimiento de esta Política de Privacidad, y cualquier política, instrucciones y directrices que la
complementen.
Concretamente, todos los empleados: (i) cumplirán sus obligaciones de confidencialidad en relación con los Datos Personales; (ii) accederán a los datos personales, y realizarán su tratamiento, tan sólo en la medida necesaria para servir a una finalidad legítima, y cumplirán adecuadamente sus responsabilidades; (iii) cumplirán con el programa de capacitación, actualización y concientización del personal que sobre las obligaciones en
materia de protección de datos personales establezca la Empresa; (iv) comunicarán inmediatamente cualquier incumplimiento de la Política de Privacidad, poniéndose en contacto con su superior directo o con el Responsable del Departamento de Datos Personales; (v) se asegurarán de que cualquier dato personal que faciliten a la Empresa sea verdadero y correcto, confirmando la exactitud de dichos datos.
El incumplimiento de estas responsabilidades puede tener como consecuencia la pérdida de privilegios de acceso y/o medidas disciplinarias, que pueden incluir la terminación de la relación laboral sin responsabilidad para la Empresa, en la medida permitida por la legislación aplicable.
8. CONSULTAS
Cualquier consulta relativa a esta Política de Privacidad debería dirigirse a: departamento de protección de datos.
POLÍTICA ACTUALIZADA JUNIO 2023