POLÍTICAS DE PROTECCIÓN DE DATOS PERSONALES
Las políticas son de observancia general y obligatoria para TRANSMONEY MÉXICO, S.A. DE C.V., y tienen por objeto velar por el cumplimiento de los principios de protección de Datos Personales adoptando las medidas necesarias para garantizar que el Aviso de Privacidad sea respetado en todo momento por él o por terceros con los que guarde una relación jurídica
.
Políticas de protección de datos personales en posesión de TRANSMONEY MÉXICO, S.A. DE C.V.
OBJETO DE LAS PRESENTES POLÍTICAS
Estas políticas se enmarcan dentro de las medidas de protección administrativas dispuestas por la Ley, son de observancia general y obligatoria para el responsable, sus empleados, prestadores de servicio, encargados y en general para todas aquellos personas que están relacionadas directa o indirectamente con el manejo de datos personales de las personas físicas (usuarios o empleados) de TRANSMONEY MÉXICO, S.A. DE C.V., con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
1.- CONCEPTOS IMPORTANTES
Para los efectos de estas políticas, se entenderá por:
I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por TRANSMONEY MÉXICO, S.A. DE C.V. que es puesto a disposición del titular, previo al tratamiento de sus datos personales.
II. Bases de datos: El conjunto ordenado de datos personales referentes a una persona o grupos de personas físicas que permite identificarlas o que sean identificables.
III. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas.
Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.
IV. Consentimiento: Manifestación positiva de la voluntad expresa o tácita del titular de la entrega de los datos mediante la cual se efectúa el tratamiento de los mismos.
V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable.
VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futura, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
VII. Encargado: La persona física que sola o conjuntamente con otras, trate datos personales por cuenta de TRANSMONEY MÉXICO, S.A. DE C.V.
VIII. Instituto: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (INAI).
IX. Ley: Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
X. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.
XI. Remisión: La comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano.
XII. Reglamento: El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
XIII. Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales, en este caso TRANSMONEY MÉXICO, S.A. DE C.V.
XIV. Secretaría: Secretaría de Economía.
XV. Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.
XVI. Supresión: Actividad consistente en eliminar, borrar o destruir el o los datos personales, una vez concluido el periodo de bloqueo, bajo las medidas de seguridad previamente establecidas por el responsable.
XVII. Titular: La persona física a quien corresponden los datos personales, en este caso, clientes o usuarios potenciales y reales, PERSONAS FÍSICAS sin actividad empresarial que deseen realizar compras de bienes o servicios del responsable, así como empleados activos del mismo.
XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
XIX. Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.
DOMICILIO DEL RESPONSABLE: El establecimiento se entenderá como el local en donde se encuentre la administración principal del negocio en este caso Avenida Río Mixcoac número 39, interior 401, Colonia Insurgentes Mixcoac, Alcaldía Benito Juárez, Ciudad de México, C.P. 03920.
2.- DEL CONSENTIMIENTO DE LOS TITULARES PARA TRATAR DATOS PERSONALES.
A.- Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas en la ley y estas políticas.
B.- El consentimiento será expreso cuando la voluntad de los titulares se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
C.- Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el Aviso de Privacidad, no manifieste su oposición.
D.- Cuando se deban conocer datos financieros o patrimoniales de los usuarios, o de los empleados, estos últimos por las actividades que deba realizar dentro de la organización de la responsable requerirán el consentimiento expreso de su titular.
E.- El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos.
F.- Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca, para efectos prácticos deberá recopilarse la firma autógrafa previamente a la captación de la información del titular.
G.- Por ningún motivo la responsable ordenará o permitirá al encargado crear bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue del titular.
H.- No será necesario el consentimiento para el tratamiento de los datos personales cuando:
I. Los datos figuren en fuentes de acceso público;
II. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;
III. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes por ejemplo en un accidente laboral;
IV. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente;
V. Cuando lo dicte una autoridad competente.
I. Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo que permita ser reproducido. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.
3.- DE LA CALIDAD DE LOS DATOS PERSONALES
A.- El responsable procurará que los datos personales contenidos en las bases de datos que éste cree ex profeso, sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados. Así las cosas, el responsable evitará que exista más de una base de datos conteniendo la misma información de los titulares; en ese sentido toda la información que se maneje para efectos del cumplimiento de estas políticas será concentrada por los encargados, quienes serán los responsables del cuidado, manejo, bloqueo, protección y supresión de los datos personales. Los encargados deberán establecer sus derechos y obligaciones a través de la suscripción de un contrato de confidencialidad y manejo de datos personales con el responsable.
B.- Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el Aviso de Privacidad y las disposiciones legales aplicables, deberán ser cancelados.
C.- El responsable por medio de los encargados de manejar la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento. Es decir, cuando sea avisado por el responsable sobre un incumplimiento del titular a las obligaciones contractuales entre él y éste.
D.- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el Aviso de Privacidad. Si el responsable pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos en el Aviso de Privacidad, se requerirá obtener nuevamente el consentimiento del titular.
E.- En particular para los datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.
F.-. El responsable velará y hará valer el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable, en este caso, quien funja bajo la figura de encargado y haya suscrito un contrato de administración de datos personales con el responsable.
4.- CONTENIDO Y CARÁCTERISTICAS DEL AVISO DE PRIVACIDAD
El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué objetivos, a través del Aviso de Privacidad creado ex profeso para dicho fin.
A.- El Aviso de Privacidad deberá contener, al menos, la siguiente información:
I. La identidad y domicilio del responsable que los recaba;
II. Las finalidades del tratamiento de datos;
III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley;
V. En su caso, las transferencias de datos que se efectúen;
VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al Aviso de Privacidad, de conformidad con lo previsto en esta Ley. En el caso de datos personales sensibles, el Aviso de Privacidad deberá señalar expresamente que se trata de este tipo de datos.
B.- El Aviso de Privacidad deberá ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología, de la siguiente manera:
I. Cuando los datos personales se recaben personalmente del titular, el Aviso de Privacidad deberá ser facilitado para su conocimiento en el momento en que se obtiene el dato de forma clara y fehaciente, a través de los formatos autorizados por el responsable, salvo que se hubiera facilitado el aviso con anterioridad,
II. Cuando los datos personales sean obtenidos directamente del titular por cualquier medio electrónico, óptico, sonoro, visual o a través de cualquier otra tecnología, el responsable deberá proporcionar al titular de manera inmediata, un Aviso de Privacidad simplificado que cuando contenga la información a que se refiere las fracciones I y II de la política IV inciso A, anterior, así como proveer los mecanismos para que el titular conozca el texto completo del Aviso de Privacidad integral. A petición del titular, el responsable deberá entregar una copia del Aviso de Privacidad suscrito gráfica o electrónicamente (escaneado) por el titular de acuerdo al medio en el que éste sea dado a conocer y obtenido el consentimiento de éste último.
III. Cuando resulte imposible dar a conocer el Aviso de Privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares, o a la antigüedad de los datos, el responsable podrá instrumentar medidas compensatorias como lo es el hecho de publicar en periódicos de circulación amplia, nacional o local de las entidades o localidades en donde se ubiquen los titulares para darles a conocer el contenido del Aviso de Privacidad.
IV. Toda modificación al Aviso de Privacidad dispuesto en la página electrónica del responsable o en los medios impresos diseñados por el responsable, deberá ser informado a los titulares vigentes, a los teléfonos o dirección electrónica o física señalada por los titulares para ello. El responsable tendrá en todo momento el derecho de modificar su Aviso de Privacidad con tal de que notifique a los titulares inmediatamente.
5.- DE LOS DERECHOS DE LOS TITULARES DE DATOS PERSONALES
Cualquier titular, o en su caso su representante legal, podrá ejercer los derechos de acceso, rectificación, cancelación y oposición previstos en las presente políticas a través del encargado. Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos.
A.- Los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad integral al que está sujeto el tratamiento. En este caso se designa el siguiente dominio para visualizar el Aviso de Privacidad integral. www.transmoneymexico.com
B.- El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos. Dicha actividad estará reservada al encargado quien es la persona que deberá posibilitar el ejercicio de los derechos ARCO a favor de los titulares mediante el llenado y envío de los formatos instaurados para dicha finalidad al encargado quien se encargará de dar respuesta a dichas solicitudes.
C.- El titular tendrá en todo momento el derecho a solicitar la cancelación de sus datos personales, previa su identificación como titular de los datos con base en los requisitos insertos en los formatos de derechos ARCO publicados en la página electrónica del responsable, al que deben constreñirse los titulares y/o sus representantes. Los encargados tomarán en cuenta que la cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El responsable, a través de los encargados podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento; es decir para comprobar el contenido de las relaciones contractuales entre el titular y el responsable.
D.- El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia. En tal sentido, solamente tendremos en cuenta los periodos a los que se constriñe la Ley Federal del Trabajo en relación con los empleados y su prescripción de acuerdo al Código de Comercio, cuando se trate de los titulares personas físicas usuarios o clientes del responsable, en atención a estas políticas.
E.- Una vez cancelado el dato se dará aviso a su titular, en el medio que éste haya dispuesto para tal acto. Cuando los datos personales hubiesen sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también.
F.- El responsable no estará obligado a cancelar los datos personales cuando:
I. Se refiera a las partes de un contrato privado o administrativo y sean necesarios para su desarrollo y cumplimiento; es decir, mientras estén vigentes los contratos entre el responsable y los titulares.
II. Deban ser tratados por disposición legal;
III. Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;
IV. Sean necesarios para proteger los intereses jurídicamente tutelados del titular;
V. Sean necesarios para realizar una acción en función del interés público;
VI. Sean necesarios para cumplir con una obligación legalmente adquirida por el titular con el responsable.
VII. Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.
G.-El titular podrá negar o revocar su consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas finalidades.
6.- EJERCICIO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
El titular o su representante legal podrán solicitar al responsable en cualquier momento el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.
A.- Para lo anterior el titular o su representante legal deberá llenar una solicitud de acceso, rectificación, cancelación u oposición y acompañar la siguiente información sin excepciones o plazos de gracia:
I. El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
II. Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
III. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados;
IV. En el caso de solicitudes de rectificación de datos personales, el titular deberá indicar, además de lo señalado, las modificaciones a realizarse y aportar la documentación que sustente su petición.
B.-El responsable a través de sus encargados, comunicará al titular, en un plazo máximo de veinte días, contados desde la fecha en que se recibió la solicitud de acceso, rectificación, cancelación u oposición, la determinación adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma dentro de los quince días siguientes a la fecha en que se comunica la respuesta. Tratándose de solicitudes de acceso a datos personales, procederá la entrega previa acreditación de la identidad del solicitante o representante legal, según corresponda. Los plazos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso.
C.- La obligación de acceso a la información se dará por cumplida cuando se pongan a disposición del titular los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier otro medio que determine el responsable en el Aviso de Privacidad.
D.- El responsable por medio del encargado, podrá negar el acceso a los datos personales, o a realizar la rectificación o cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos:
I. Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;
II. Cuando en su base de datos, no se encuentren los datos personales del solicitante;
III. Cuando se lesionen los derechos de un tercero;
IV. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos,
V. En todos los casos anteriores, el responsable deberá informar el motivo de su decisión y comunicarla al titular, o en su caso, al representante legal, en los plazos establecidos para tal efecto, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.
E.- Cualquier movimiento que efectúe el encargado respecto al ejercicio de los derechos ARCO, deberá informarlo al responsable mensualmente por escrito, con el estatus que tenga cada trámite aun cuando no esté cumplido o éste sea negado.
F.- La entrega de los datos personales será gratuita, debiendo cubrir el titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos.
G.- El responsable no podrá llevar a cabo tratamientos para finalidades distintas que no resulten compatibles o análogas con aquéllas para las que hubiese recabado de origen los datos personales y que hayan sido previstas en el Aviso de Privacidad, a menos que:
H.- El responsable haya obtenido el consentimiento para el nuevo tratamiento
I.- El responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado.
7. DEL DERECHO DE ACCESO Y SU EJERCICIO
A.- El titular, tiene derecho a obtener del responsable sus datos personales, así como información relativa a las condiciones y generalidades del tratamiento.
B. La obligación de acceso se dará por cumplida cuando el responsable ponga a disposición del titular los datos personales en sitio, respetando el periodo señalado en el artículo 99 del Reglamento, o bien, mediante la expedición de copias simples, medios magnéticos, ópticos, sonoros, visuales u holográficos, o utilizando otras tecnologías de la información que se hayan previsto en el Aviso de Privacidad. En todos los casos, el acceso deberá ser en formatos legibles o comprensibles para el titular.
8. DEL DERECHO DE RECTIFICACIÓN Y SU EJERCICIO
A.- El titular podrá solicitar en todo momento al responsable que rectifique sus datos personales que resulten ser inexactos o incompletos.
B.- La solicitud de rectificación deberá indicar a qué datos personales se refiere, así como la corrección que haya de realizarse y deberá ir acompañada de la documentación que ampare la procedencia de lo solicitado. El responsable podrá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.
9. DEL DERECHO DE CANCELACIÓN Y SU EJERCICIO
A. La cancelación implica el cese en el tratamiento por parte del responsable, a partir de un bloqueo de los mismos y su posterior supresión.
B. El titular podrá solicitar en todo momento al responsable la cancelación de los datos personales cuando considere que los mismos no están siendo tratados conforme a los principios y deberes que establece la Ley y el Reglamento de la misma.
La cancelación procederá respecto de la totalidad de los datos personales del titular, contenidos en una base de datos, o sólo parte de ellos, según lo haya solicitado.
10.- DE LA TRANSFERENCIA DE DATOS
Cuando el responsable pretenda transferir los datos personales a terceros, distintos de los encargados, deberá comunicar a éstos el Aviso de Privacidad y las finalidades a las que el titular sujetó su tratamiento.
A.- El tratamiento de los datos se hará conforme a lo convenido en el Aviso de Privacidad, el cual contiene una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.
B.- Las transferencias de datos a nacionales podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:
I. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
II. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;
III. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
IV. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
V. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
VI. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
11. FIGURA DEL ENCARGADO
El encargado es la persona física, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
12. OBLIGACIONES DEL ENCARGADO
A.- El encargado tendrá las siguientes obligaciones respecto del tratamiento que realice por cuenta del responsable:
I. Tratar únicamente los datos personales conforme a las instrucciones del responsable;
II. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;
III. Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables;
IV. Guardar confidencialidad respecto de los datos personales tratados;
V. Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales, y
VI. Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, la comunicación derive de una subcontratación, o cuando así lo requiera la autoridad competente.
B.- Los acuerdos entre el responsable y el encargado relacionados con el tratamiento deberán estar acordes con el Aviso de Privacidad correspondiente.
C.- La relación entre el responsable y el encargado deberá estar establecida mediante cláusulas contractuales u otro instrumento jurídico que decida el responsable, que permita acreditar su existencia, alcance y contenido.
13- DE LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
A.- El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativa, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley, con independencia del sistema de tratamiento. Se entenderá por medidas de seguridad para los efectos de las presentes políticas, el control o grupo de controles de seguridad para proteger los datos personales.
B.- El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores:
I. El riesgo inherente por tipo de dato personal;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnológico, y
IV. Las posibles consecuencias de una vulneración para los titulares.
V. El número de titulares;
VI. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
VII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión,
XV. Vulneraciones de seguridad
C.- Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son:
I. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El daño, la alteración o modificación no autorizada.
D.- Notificación de vulneraciones de seguridad
El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
E.- El responsable deberá informar al titular al menos lo siguiente:
I. La naturaleza del incidente
II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener más información al respecto.
F.- Aquella persona o personas que por su trabajo, comisión, puesto o encargo incumpla con la implementación de las presentes políticas, será acreedora a la responsabilidad administrativa, laboral, civil y/o penal que en su caso deriven en perjuicio del titular y en caso de ser un trabajador, dará como consecuencia el despido justificado sin responsabilidad para el patrón por tratarse de un acto de descuido o negligencia que puede parar perjuicio a TRANSMONEY MÉXICO, S.A. DE C.V.
14.- DE LA MODIFICACIÓN A LAS PRESENTES POLÍTICAS PARA LA ADMINISTRACIÓN DE INFORMACIÓN DE OPERACIONES VULNERABLES CONFORME LA LEY DE ANTILAVADO DE DINERO.
Las políticas anteriores serán modificadas solamente por autorización expresa y por escrito del representante legal u órgano de administración de la responsable, quien al aprobar las presentes políticas establecen su vigencia y aplicación, y de manera posterior cada vez que existan cambios a la legislación correspondiente o de manera libre decida modificar, anular, adicionar o convalidar algún criterio al respecto.
En la Ciudad de México el día 30 de marzo de 2019.
TRANSMONEY MÉXICO, S.A. DE C.V.