Política interna de protección de datos personales

DOCUMENTO INTERNO: Este documento está destinado a personal autorizado y contiene lineamientos operativos. No debe compartirse públicamente sin aprobación de la Dirección.

Política Interna

Especialista en SISTEMAS

Versión 1.0 - Diciembre 2025

1. OBJETIVO

Establecer los lineamientos internos para el tratamiento seguro y conforme a la LFPDPPP de los datos personales de clientes, prospectos, proveedores, usuarios, empleados y cualquier titular cuyos datos sean tratados por Especialista en SISTEMAS (en adelante, la “Empresa”).

2. ALCANCE

Esta política aplica a:

  • Todo el personal (empleados, contratistas y proveedores con acceso a información).
  • Cualquier sistema, equipo o servicio que almacene, procese o transmita datos personales.
  • Datos recabados por web, WhatsApp, correo, teléfono, formularios, tickets, CRM, facturación y atención a clientes.

3. DEFINICIONES BÁSICAS

  • Dato personal: Cualquier información que identifique o haga identificable a una persona.
  • Datos sensibles: Datos que afecten la esfera más íntima del titular (p.ej., biométricos), cuyo tratamiento requiere mayores cuidados y, en su caso, consentimiento expreso.
  • Tratamiento: Obtención, uso, acceso, almacenamiento, transferencia o eliminación de datos personales.
  • Encargado: Proveedor que trata datos por cuenta de la Empresa (p.ej., hosting, mensajería, nube).

4. ROLES Y RESPONSABILIDADES

  • Dirección: Aprueba esta política, define prioridades y recursos.
  • Responsable de Protección de Datos (RPD): Administra solicitudes ARCO, incidentes, inventario de tratamientos y proveedores. (Designar nombre y correo interno).
  • TI/Soporte: Mantiene controles de acceso, respaldos, actualizaciones y medidas de seguridad razonables.
  • Personal usuario: Usa datos solo para fines autorizados, protege credenciales y reporta incidentes.

5. PRINCIPIOS Y REGLAS DE TRATAMIENTO

  • Finalidad: Tratar datos únicamente para finalidades autorizadas (ver Aviso de Privacidad vigente).
  • Minimización: Recabar solo los datos estrictamente necesarios.
  • Calidad: Mantener datos actualizados cuando el proceso lo requiera.
  • Confidencialidad: No divulgar datos sin autorización.

6. CONTROLES DE SEGURIDAD (MÍNIMOS)

6.1 Accesos

  • Usuarios individuales (prohibido compartir cuentas).
  • Contraseñas robustas y cambio cuando exista sospecha de compromiso.
  • Acceso por privilegios mínimos (solo lo necesario para el puesto).

6.2 Dispositivos y almacenamiento

  • Evitar almacenar bases de clientes en dispositivos personales.
  • Respaldos cuando aplique y verificación periódica de recuperación.
  • Bloqueo de pantalla y protección básica de endpoints.

6.3 Envíos y comunicación

  • Verificar destinatarios antes de enviar datos por correo o mensajería.
  • No enviar datos sensibles por canales no autorizados.

7. PROVEEDORES / ENCARGADOS

Todo proveedor que trate datos personales por cuenta de la Empresa deberá contar con acuerdos de confidencialidad y condiciones de tratamiento alineadas a esta política.

  • Evaluación previa (mínima): finalidad, acceso, ubicación del servicio, y medidas razonables.
  • Control de accesos y baja de cuentas al terminar la relación.

8. CONSERVACIÓN Y ELIMINACIÓN

Los datos personales deben conservarse únicamente por el tiempo necesario para cumplir finalidades y obligaciones legales/contractuales. Al concluir, deberán eliminarse o anonimizarse de forma segura, conforme a procedimientos internos.

  • Regla práctica: no conservar conversaciones/documentos innecesarios en dispositivos o chats.
  • Depuración periódica de bases, correos y respaldos según aplique.

9. INCIDENTES DE SEGURIDAD

Cualquier pérdida, acceso no autorizado, envío erróneo o exposición de datos debe reportarse de inmediato al Responsable de Protección de Datos y a TI.

  1. Contener: cambiar credenciales / revocar accesos / retirar el contenido si es posible.
  2. Evaluar: qué datos, cuántos titulares y el impacto.
  3. Documentar: fecha, causa, acciones y medidas preventivas.

10. ATENCIÓN DE DERECHOS ARCO (OPERACIÓN INTERNA)

Las solicitudes ARCO se canalizan al correo informes@esistemas.com.mx (o al canal definido por la Empresa). El personal no debe responder por su cuenta con datos, sin validar identidad y sin seguir el procedimiento.

  • Validar identidad y alcance de la solicitud.
  • Buscar datos en sistemas autorizados y registrar evidencias.
  • Responder dentro de plazos legales aplicables.

11. CAPACITACIÓN Y SANCIONES

El personal deberá recibir inducción básica en protección de datos y seguridad. El incumplimiento de esta política puede derivar en medidas disciplinarias internas y/o responsabilidades conforme a la ley y contratos aplicables.

12. VIGENCIA Y ACTUALIZACIONES

Esta política entra en vigor a partir de su publicación interna. Se revisará al menos una vez al año o cuando cambien procesos, proveedores o normatividad.

Contacto interno: Miguel G contabilidad@esistemas.com.mx

Contacto general: informes@esistemas.com.mx | 222 308 88 39