Política de Tratamiento y Privacidad de Datos para México
¡Gracias por utilizar Truora!
Su confianza es lo más importante para nosotros y estamos comprometidos en proteger la privacidad y la seguridad de sus datos personales, y aquellos de terceros respecto a los que seamos consultados. Contamos con un equipo de privacidad dedicado que se compromete a proteger todos los datos personales que recopilamos y a garantizar que los mismos se manejan correctamente en todos los países en los que prestamos servicios. Por favor, lea atentamente nuestro Aviso de privacidad de Datos (en adelante el “Aviso de Privacidad”). Para poder usar nuestro sitio y recibir los servicios que prestamos es necesario que lea y acepte el presente Aviso de Privacidad, así como nuestros Términos y Condiciones disponibles en www.truora.com
1. Introducción y Objetivos
Este Aviso de Privacidad es el documento que regula el manejo de todas las Bases de Datos y/o archivos de Truora, que contengan Datos Personales, de clientes, contratistas, proveedores y en general terceros, que sean objeto de Tratamiento por parte de Truora, en los eventos en los cuales se le considere como “Responsable” y/o “Encargado" del Tratamiento de dichos Datos Personales, conforme a las disposiciones de Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante “LFPD"), su Reglamento y los Lineamientos de Aviso de Privacidad que tienen como finalidad la protección de la privacidad de los datos de las personas. Asimismo, tiene como objetivo el establecer las políticas y procedimientos de la gestión y protección de información para Truora alineadas con la Política de Seguridad de la Información implementada por la compañía, con la finalidad de preservar la seguridad en el intercambio, transferencia o destrucción de información.
2. Definiciones
Autorización: Se refiere al consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
Aviso de privacidad: Se refiere al presente documento el cual está dirigido a los Titulares de los Datos Personales que están siendo tratados por Truora, en la cual se le informa acerca de la existencia de las políticas de tratamiento de Datos Personales que le serán aplicadas, la forma de acceder a la mismas, y las finalidades para las cuales serán usados sus Datos Personales.
Base de Datos: Se refiere al conjunto organizado de Datos Personales que sea objeto de Tratamiento.
Consentimiento: Manifestación de la voluntad del Titular de los datos mediante el cual se efectúa el tratamiento de los mismos.
Consulta: Significa el mecanismo mediante el cual un Titular puede ejercer sus derechos ARCO así como solicitar la revocación de la Autorización conforme al procedimiento establecido en la sección 12.
Dato Biométrico: Se refiere a los siguientes datos: huellas dactilares, reconocimiento facial, reconocimiento de iris, reconocimiento de firma autógrafa, reconocimiento de voz.
Datos Eliminados: Se refiere a los datos de los cuales no se pudo obtener la autorización expresa del Titular para llevar a cabo su tratamiento o que, por solicitud del Titular, se requiera su eliminación o aquellos que Truora decida eliminar de sus Bases de Datos.
Datos Personales: Se refiere a cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Datos Personales Sensibles: Se entiende como datos sensibles aquellos que afecten la intimidad del Titular o cuyo uso indebido pueda afectar la intimidad del Titular o la potencialidad de generar su discriminación o conlleve un riesgo grave para éste, tales como aquellos que revelen aspectos como el origen racial o étnico, estado de salud presente y futuro, información genética, opiniones políticas, las convicciones religiosas, filosóficas y morales, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la preferencia y vida sexual y los datos biométricos.
Datos Públicos: Se refiere al dato calificado como tal en virtud de la ley y aquel que no sea semiprivados, privados o sensibles. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales.
Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
Dispositivo: al equipo que permite acceder a la red mundial denominada Internet, el cual puede ser utilizado para acceder a los servicios de Truora.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
Fuente de acceso público: Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación.
Geolocalización: Corrrepsonde a las coordenadas geográficas de latitud y longitud en que se encuentre el Dispositivo.
Remisión: La comunicación de Datos Personales entre el Responsable y el Encargado, dentro o fuera del territorio mexicano.
Responsable del Tratamiento: Persona natural o jurídica de carácter privado, que decide sobre la Base de Datos y/o el Tratamiento de los Datos Personales.
Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la obtención, la recolección, almacenamiento, uso, divulgación, almacenamiento, circulación o supresión de Datos Personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de Datos Personales.
Titular: La persona física a quien corresponden los Datos Personales.
Transferencia de Datos: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.
Truora: Significa el Responsable o Encargado del tratamiento de los Datos Personales recabados de los titulares de los mismos, es decir: Truora Fraud Prevention identificada con el RFC: TFP 191219TG0 y domiciliada en Av. Ejército Nacional No. 351, P3, Col. Granada, Alcaldía. Miguel Hidalgo, C.P. 11520, Ciudad de México.
Vinculadas y/o Relacionadas: Corresponde a nuestra casa matriz, filiales, vinculadas, subsidiarias, aliadas y subordinadas.
3. Tratamiento y Alcance de los Datos Personales
Truora, en el desarrollo de su objeto social y actividad económica, actúa como Responsable y/o Encargado del Tratamiento de Datos Personales suministrados por los Titulares de los mismos, ya sean clientes, los empleados, contratistas y/o proveedores, los cuales se almacenarán en sus bases de datos y en las de aquellos que en virtud de esta política puedan acceder a los mismos.
En consecuencia, Truora, recolecta, almacena, utiliza, transmite, transfiere, suprime y en general le da Tratamientos a los Datos Personales proporcionados por personas naturales con las cuales tiene o ha tenido algún tipo de relación, cualquiera sea su naturaleza (civil, comercial y/o laboral); entre las cuales se incluye, pero sin limitarse, a sus clientes, usuarios del software en la nube, aliados, proveedores, contratistas, trabajadores, acreedores, deudores y accionistas.
Este documento abarca el tratamiento de la información gestionada en Truora. Cubre a todas las entregas, transferencias o traspaso de información y/o datos de confidencialidad media o alta tanto en el interior de la organización como con el entorno de clientes, proveedores, bases de datos externas, redes sociales y público general.
Los intercambios de información pueden ocurrir a través del uso de diversos tipos de comunicación, sea verbal, conversaciones presenciales o telefónicas, visual, en videos, o escrita, en papel o medios digitales. Implica la obtención, transferencia, procesamiento, almacenamiento y borrado de la información suministrada por los clientes.
4. Principios Rectores
Estamos comprometidos en que cualquier Tratamiento de Datos Personales que realizamos, respete siempre los derechos consagrados en nuestra Constitución y las leyes. Por lo tanto, los siguientes son los principios que guían nuestro comportamiento:
- Principio de calidad: Truora busca que los Datos Personales de Tratamiento sean exactos, completos, pertinentes, correctos y actualizados para dar cumplimiento a las finalidades necesarias que se indican en el aviso integral de privacidad.
- Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende dicho tratamiento.
- Principio de consentimiento: Truora obtiene el consentimiento para el Tratamiento de los Datos Personales de manera libre, específica e informada, excepto cuando no es exigible conforme al artículo 10 de la LFPD.
- Principio de información: Truora proporciona información completa respecto a los Datos Personales que trata y demás requisitos establecidos por la LFPD con el objeto de que pueda ejercer sus derechos de autodeterminación informativa, privacidad y protección de Datos Personales.
- Principio de finalidad: El Tratamiento de Datos Personales debe obedecer a una finalidad legítima que se informará al Titular.
- Principio de libertad: El Tratamiento de Datos Personales solo puede ejercerse con el consentimiento previo, expreso e informado del Titular.
- Principio de licitud: Truora obtiene los datos con apego a la legislación aplicable tanto en México como a nivel internacional.
- Principio de lealtad: Truora no utiliza medios engañosos o fraudulentos para recabar Datos Personales, y los trata en todo momento de buena fe y con la mayor diligencia respecto a la información que proporcionan los clientes y usuarios, manteniendo las expectativas razonables de respeto a la privacidad de los Titulares de los datos en el entendido que realizaremos el tratamiento de sus datos conforme a lo acordado.
- Principio de proporcionalidad: Truora solo realiza el Tratamiento de los Datos Personales que resultan necesarios, adecuados y que son relevantes para las finalidades necesarias indicadas en nuestro aviso integral de privacidad.
- Principio de responsabilidad: Truora ha establecido políticas y procedimientos de manejo de Datos Personales al interior de su organización que son de carácter obligatorio y acordes con las mejores prácticas internacionales que permiten realizar el Tratamiento de los Datos Personales con responsabilidad. Asimismo, realiza la capacitación, actualización y concientización del personal respecto a las disposiciones aplicables y obligaciones en materia de protección de Datos Personales y han establecido sistemas de supervisión y vigilancia interna para verificar el cumplimiento de las políticas que son revisadas de manera periódica para determinar si es necesario realizar alguna modificación.
- Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas comercialmente razonables, que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Principio de veracidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de Datos Personales parciales, incompletos, fraccionados o que induzcan a error.
5. Uso del Aviso de Privacidad y Protección de la información
Todo Tratamiento de Datos Personales se sujetarán al presente Aviso de Privacidad, por lo tanto, si un Titular no se encuentra de acuerdo con el presente Aviso de Privacidad, no podrá suministrar información alguna que deba registrarse en una de las Bases de Datos de Truora.
Truora, se compromete con la seguridad de los Datos que le sean suministrados y, en consecuencia, se obliga a darle a estos el uso adecuado, así como a mantener la confidencialidad requerida frente a los mismos de acuerdo con lo establecido en este Aviso de Privacidad y en los términos de lo establecido por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante “LFPD"), su Reglamento y los Lineamientos de Aviso de Privacidad. Conforme a lo establecido en el presente documento, en el momento en el cual los Titulares entregan para recolectar sus Datos Personales en las Bases de Datos de Truora, se entiende que dichos Titulares aceptan y conocen que el Tratamiento de dichos Datos Personales se sujetará a la presente Aviso de Privacidad.
Los Datos Personales, podrán ser transferidos a sus accionistas, Vinculadas y/o Relacionadas, así como a terceros y a autoridades judiciales o administrativas, sean personas naturales o jurídicas, mexicanas o extranjeras, en aquellos eventos en los cuales la transferencia o transmisión de los datos sea necesaria para llevar a cabo los usos y actividades autorizadas por los Titulares conforme al objeto social de Truora. En todos los eventos, el intercambio de dicha información deberá sujetarse a los requerimientos establecidos en la sección 16 de la presente Política. Así mismo, la información deberá ser conservada bajo estricta confidencialidad y será sometida a un Tratamiento riguroso, respetando los derechos y las garantías de sus Titulares.
Truora podrá utilizar proveedores de servicios y procesadores de datos que trabajen en nombre de la misma. Dichos servicios podrán incluir servicios de alojamiento de sistemas y de mantenimiento, encriptación, servicios de análisis, servicios de mensajería por email, servicios de call-centers, servicios de entrega, gestión de transacciones de pago, y controles de solvencia y de dirección, entre otros. En consecuencia, los Titulares entienden que al suministrarle información a Truora, automáticamente le estarán concediendo a estos terceros autorización para acceder a sus Datos Personales.
Por lo tanto, Truora se compromete a realizar todas las acciones necesarias para garantizar que tanto los proveedores de servicios como los procesadores que trabajan en nombre de la sociedad y demás terceros autorizados conforme al presente Aviso de Privacidad, protejan, en todos los eventos, la confidencialidad de la Información Personal a su cargo.
Truora podrá recolectar información que se encuentre en el dominio público para complementar las Bases De Datos. A dicha información se le dará el mismo tratamiento señalado en al presente Aviso de Privacidad.
6. Efectos de la Autorización
En el evento de una venta, fusión, consolidación, cambio en el control societario, transferencia de activos, reorganización o liquidación de Truora y/o sus entidades Vinculadas y/o Relacionadas, Truora podrá transferir los Datos Personales de los Titulares a las partes involucradas, para lo cual por medio de la aceptación del presente documento Truora se entiende que queda facultada para realizarlo.
7. Datos Personales sujetos al Tratamiento
Truora recopila o le es trasmitida información y Datos:
Datos personales que pertenecen a las siguientes categorías generales.
-
- Nombre y apellidos;
- Dirección de correo electrónico;
- Número de teléfono
- Clave única de registro de población o país de residencia y/o de procedencia;
- Registro Federal de Contribuyentes
- Fecha y lugar de nacimiento;
- Nacionalidad y datos migratorios
- Identificación Oficial;
- Sexo;
- Estado Civil
- Ocupación
- Domicilio
- Datos del contacto
- Ubicación y localización de dispositivos (Geolocalización)
Datos Personales Sensibles:
-
- Biométricos
- Huellas digitales
- Rasgos faciales y de iris
- Patrón de voz.
- Datos patrimoniales y/o financieros
Datos de Menores:
Los sitios web y aplicaciones de Truora no están dirigidos a menores de edad ni menores de 18 años. Truora no recopila deliberadamente ninguna información personal directamente de menores de 18 años. Si usted cree que procesamos la información personal relacionada con un menor de manera inapropiada, le instamos que se comunique con Truora utilizando la información proporcionada en la sección "Contáctenos" que se encuentra más adelante.
Datos en fuentes de acceso público:
Truora obtiene datos a través de medios remotos o locales de comunicación electrónica, óptica y de otras tecnologías en fuentes de acceso público, es decir en fuentes a las que cualquier persona puede tener acceso y que incluyen directorios telefónicos, diarios, gacetas, boletines oficiales y medios de comunicación social, todo ello con apego a la normatividad aplicable. Por lo tanto, Truora no requiere de tu consentimiento para obtener datos personales en fuentes de acceso público.
Consiento y autorizo que los datos mencionados en el presente numeral, ya sean datos personales, datos personales sensibles o datos de geolocalización, sean tratados conforme a lo previsto en el presente Aviso de Privacidad.
8. Finalidades principales del uso de la información
A los datos personales que le sean suministrados a Truora se les dará un Tratamiento conforme a las finalidades establecidas en esta sección.
Las finalidades principales del Tratamiento obedecen a:
-
-
La correcta ejecución del contrato formalizado entre el Titular y Truora.
-
Creación de cuenta para el acceso a la Plataforma de Truora
-
Verificación de identidad ya sea con cualquier documento oficial vigente que sirva para acreditar la identidad.
-
Facilitación del contacto entre Truora y el Titular.
-
Envío de información o mensajes de texto al teléfono celular suministrado, correo electrónico, sobre nuevos servicios, cambio en el servicio y tarifas, recordatorios de pago, promociones, eventos e información de interés para los Titulares en general.
-
Facturación y demás efectos tributarios, en cuyo caso será compartida con las entidades del Estado encargadas de desarrollar dicha labor.
-
Completar la información del perfil en la Plataforma de Truora.
-
Procesamiento de pago de los servicios adquiridos.
-
Validación de identidad.
-
Obtener información de otras fuentes y combinarla con la que Truora recopila a través de la Plataforma de Truora.
-
Revisión del historial de antecedentes policiales, penales o de la inclusión en listados de delincuentes sexuales.
-
Revisión de detección de fraude y cuestiones de seguridad.
-
Recepción de resultados de comprobaciones de antecedentes penales o advertencias sobre fraude de parte de servicios de verificación de la identidad a efectos de las labores de Truora de prevención de prácticas fraudulentas y evaluación de riesgos.
- Verificación de los datos contenidos en la Credencial para votar y de la biometría facial del Titular ante el Instituto Nacional Electoral con la finalidad de corroborar que la Credencial para Votar que se presenta para trámites o servicios sea auténtica y corresponda con la que se encuentra en la base de datos del Instituto Nacional.
- Electoral, a fin de proteger su identidad y evitar usurpación o robo de dicha identidad y con ello, la posible comisión de un ilícito por parte de terceros.
Geolocalización: Los datos de geolocalización del dispositivo del Titular serán tratados para cumplir con la legislación aplicable cuando el Titular celebre un contrato o realice una operación a través de un dispositivo en forma no presencial. De igual forma, serán tratados como medida para prevenir y detectar el lavado de dinero, el financiamiento al terrorismo u otros ilícitos. Utilizar la información recabada como medida para prevenir y detectar el lavado de dinero, el financiamiento al terrorismo u otros ilícitos.
-
9. Finalidades secundarias y usos de la información
A los datos personales que le sean suministrados a Truora se les dará un Tratamiento conforme a las siguientes finalidades para el uso de la información, según le aplique a cada Titular:
- Mejora de las iniciativas comerciales y promocionales de Truora, así como análisis de las páginas visitadas y las búsquedas realizadas, para mejora de la oferta de contenidos y artículos, de Truora y personalización de dichos contenidos, su presentación y servicios.
- Desarrollo estudios de medición respecto a la participación de diferentes sectores de la población en Truora.
- Análisis de la Información Personal por parte de Truora, sus accionistas, Vinculadas y/o Relacionadas y terceros contratados para el desarrollo y promoción de la venta de sus servicios.
- Recopilación de los servicios que los Titulares utilizan y la manera en la que hacen uso de los mismos.
- Recepción de información acerca del Titular, de sus actividades dentro y fuera de la Plataforma de Truora a través de los socios de esta o información acerca de las experiencias y las interacciones que el Titular haya tenido a través de nuestra red por parte de anunciantes asociados.
- Tratamiento con fines de mercadotecnia, publicidad o prospección comercial de Truora.
- Demás comunicaciones y actividades relacionadas con el objeto social de Truora.
En caso en el que usted, como Titular de los Datos Personales no esté de acuerdo con alguna de las finalidades secundarias establecidas en el presente Aviso, por favor, escriba en el ChatBot disponible en la esquina inferior derecha las finalidades sobre las cuales no aprueba su Tratamiento.
10. Derechos y deberes de los Titulares
Los Titulares de los Datos Personales suministrados a Truora tendrán los siguientes derechos:
- El derecho a Acceder, Rectificar, Cancelar, y Oponerse al Tratamiento de sus Datos Personales gratuitamente;
- El derecho a solicitar prueba de la existencia de la autorización otorgada a Truora, salvo cuando expresamente se exceptúe en la ley como requisito para el Tratamiento.
- El derecho a ser informado, previa solicitud, respecto al uso que se le ha dado a su Información Personal;
- El derecho a presentar ante la Superintendencia de Industria y Comercio o la autoridad competente, quejas por infracciones a lo dispuesto en la Ley vigente y las demás normas que la modifiquen, adicionen o complementen;
- La facultad de revocar la autorización y solicitar la supresión del dato cuando no se haga un uso conforme a los usos y finalidades autorizados. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio o la autoridad competente haya determinado que en el Tratamiento Truora ha incurrido en conductas contrarias a la ley.
- El derecho a presentar consultas y reclamos referentes a los Datos Personales.
Los titulares de la información personal suministrada a Truora tendrán los siguientes deberes:
- El deber de suministrar información veraz, la cual puede ser verificada por Truora para efectos de control y validación. Truora tendrá la facultad de negar solicitudes cuando se verifique que la información suministrada por el titular es falsa o presenta inconsistencias.
- El deber de mantener actualizada la información de contacto, esto con el objetivo de asegurar una prestación del servicio más eficaz y oportuna, además de permitir un canal de comunicación e información directa entre Truora y el titular de la información.
11. Procedimiento para ejercer sus derechos ARCO y oposición a las finalidades no necesarias
Truora dispone de las herramientas y medios de comunicación para que los Titulares o sus representantes legales puedan ejercer sus derechos de Acceso, Rectificación, Cancelación u Oposición siendo procedentes los últimos dos casos, solo cuando la regulación vigente lo permita (en lo sucesivo “Derechos ARCO”) , así como para que los mismos puedan oponerse al tratamiento de sus Datos Personales para las finalidades no necesarias, revocar la Autorización al Tratamiento limitación del uso o divulgación de sus Datos personales.Truora ha creado un área exclusivamente designada para el manejo de los Datos Personales llamada Privacy Truora como responsable de la protección de sus datos, en el evento de alguna duda o inquietud sobre el presente Aviso de Privacidad o el Tratamiento y uso de la Información Personal favor dirigir sus consultas, peticiones quejas o reclamos a:
- Correo Electrónico: privacy@Truora.com
- Dirección: Av. Ejército Nacional No. 351, P3, Col. Granada, Del. Miguel Hidalgo, cp 11520, Ciudad de México
El Titular o su representante legal podrá solicitar Truora el ejercicio de sus derechos ARCO así como solicitar la revocatoria del consentimiento sobre el Tratamiento de los Datos Personales del Titular que son objeto de Tratamientos, por medio de presentación de una Consulta siguiendo el procedimiento descrito en la presente sección.
11.1. El Titular deberá realizar la consulta mediante solicitud escrita dirigida a cualquiera de los siguientes canales:
-
- Dirección física: 1Av. Ejército Nacional No. 351, P3, Col. Granada, Del. Miguel Hidalgo, cp 11520, Ciudad de México
- Correo: privacy@truora.com
- Persona encargada: Director de cumplimiento de Privacidad
11.2. Las Consultas serán atendidas en un término máximo de veinte (20) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
11.3. Toda Consulta deberá contener la información correspondiente a la identificación oficial vigente del Titular, es decir: nombre completo, número de identificación (así como la copia de dicho documento), correo electrónico y firma. En caso de que la Consulta haya sido solicitada por el Representante Legal del Titular, se deberá acompañar a la misma el documento mediante el cual se acredite la personalidad del Representante Legal, así como la identificación oficial del mismo.
11.4. Las respuestas a la Consulta elevada por el Titular se realizarán por el mismo medio que hubiese sido seleccionado por el Titular para realizar la Consulta.
11.5. En caso de que se desee limitar el uso o divulgación de sus Datos Personales, se podrá realizar a través de los siguientes medios:
-
- Carta formal a la dirección: Av. Ejército Nacional No. 351, P3, Col. Granada, Alcaldía. Miguel Hidalgo, C.P. 11520, Ciudad de México
12. Confidencialidad de los Datos Personales
Los Datos Personales suministrados por los Titulares serán utilizados únicamente por Truora, sus accionistas, Vinculadas y/o Relacionadas y los terceros autorizados para tales fines, conforme a lo establecido en el presente Aviso de Privacidad. Los Datos no serán destinados, en evento alguno, a propósitos distintos de aquellos para los cuales fueron suministrados, razón por la cual Truora protegerá la privacidad de la Información Personal y hará sus mejores esfuerzos para conservarla bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como el respeto de los derechos de los Titulares de la misma.
Si por cualquier circunstancia una autoridad competente solicita sea revelada la Información Personal, que se encuentre en poder de Truora, y, en consecuencia, sea su obligación legal suministrar la misma, Truora procederá a entregar dicha Información, situación que los Titulares aceptan y autorizan a Truora para este efecto, en todo caso el Titular de dicha información será informado.
13. Seguridad de la Información
En cumplimiento con las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (para el caso de México), la Ley Estatutaria 1581 de 2012 (para el caso de Colombia), la Lei Geral de Proteção de Dados Pessoais (para el caso de Brasil), la Ley 19.628 (para el caso de Chile) el “General Data Protection Regulation ó GDPR, y demás legislaciones, tratados internacionales, decretos, circulares, manuales, recomendaciones y/o reglamentos relativos y aplicables en Protección y Privacidad de Datos Personales, Truora ha implementado medidas de seguridad administrativas para establecer a nivel organizacional la gestión, soporte y revisión de la seguridad de los Datos Personales, la identificación y clasificación de la información, así como la concientización, formación y capacitación de su personal en materia de protección de datos personales. Asimismo, Truora ha establecido medidas de seguridad física empleando tecnología de punta para prevenir el acceso no autorizado, daño o interferencia a sus instalaciones físicas, áreas críticas, equipo e información, para proteger los equipos de cómputo móviles de cualquier acceso no autorizado y también ha implementado medidas de seguridad técnicas para que el acceso a nuestras bases de datos sólo sea realizado por usuarios autorizados. Por lo anterior, en caso de ocurrir una vulneración a sus datos personales, analizaremos las causas por las cuales se presentó dicha vulneración e implementaremos las acciones correctivas, preventivas y de mejora necesarias para realizar los ajustes necesarios de seguridad para reducir el riesgo de una nueva vulneración.
Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.
Sin perjuicio de lo anterior, y, teniendo en cuenta que los servicios prestados por Truora se desarrollan a través de internet y que del mismo modo la información personal es recolectada, pueden existir interceptaciones ilegales o violación a los sistemas y bases de datos por parte de personas inescrupulosas o no autorizadas. En este evento Truora no se responsabiliza por la indebida utilización de la información obtenida por esos medios. Los Titulares declaran entender el riesgo que contiene divulgar, compartir o permitir el acceso a la información por medios electrónicos y por ello exoneran a Truora de toda responsabilidad cuando situaciones no previstas vulneren los derechos de los Titulares de la información.
12.1. Los archivos que se encuentren bajo la responsabilidad de Truora debe cumplir con los protocolos y procedimientos establecidos por la política de seguridad de la información en materia gestión de activos y clasificación de la información, además de cumplir con las siguientes especificaciones:
-
- Los datos del propietario de la información serán almacenados en instancias separadas, con controles de acceso para la lectura.
- Se debe evitar la consulta de la información por parte de personal no autorizado.
- Todos los archivos son cifrados al momento de ser almacenados en el repositorio destinado para ello.
- Las transferencias de los archivos sensibles o restringidos deben realizarse a través de sistemas de mensajería confiables en lo posible con cifrado de información.
- Los datos del propietario de la información serán almacenados en instancias separadas, con controles de acceso para la lectura.
14. Manejo de medios
Truora implantará procedimientos para la gestión de medios extraíbles de acuerdo con el esquema de clasificación adoptado por Truora. En cualquier caso, dichos procedimientos corresponderán a los deberes establecidos a continuación:
- Truora destruirá los medios en los cuales almacena información confidencial cuando ya no sea necesario guardarlos por motivos comerciales, de tal manera que la información sea irrecuperable.
- Se definirá e implementarán controles para proteger los medios con información que debe ser transportada.
- Se llevará un control estricto de la distribución interna o externa de todos los tipos de medios en los cuales se almacene la información confidencial.
- Se realizará una clasificación de los medios para poder determinar la confidencialidad de los Datos.
- Asegurará de que se aprueben todos los traslados de los medios antes de movilizarse desde un área segura (incluso cuando se distribuyen los medios a personas).
- Llevará un registro detallado del inventario de todos los medios.
- El uso de dispositivos móviles debe estar explícitamente autorizado y éstos deben cumplir con todas las políticas, normas y estándares de seguridad definidos en Truora, a fin de no introducir riesgos dentro de la red corporativa.
15. Transferencias y remisiones
Truora realiza remisiones y transferencias nacionales e internacionales de sus Datos Personales en los términos del aviso de privacidad integral y en cumplimiento a las disposiciones legales aplicables. Las comunicaciones de Datos Personales que se realicen entre Truora y los encargados del tratamiento de los datos no requieren del consentimiento (artículo 2, fracción IX y 53 del Reglamento de la LFPD) y las transferencias que se realizan dentro de lo dispuesto por el artículo 37 de la LFPD tampoco lo requieren.
Conforme a lo previsto en la LFPD, Truora le informa que con la aceptación del presente Aviso de Privacidad se entiende que el Titular otorga su consentimiento para que Truora transfiera sus Datos Personales a terceros, ya sean mexicanos o extranjeros, a sus accionistas, Vinculadas y/o Relacionadas, así como a terceros y a autoridades judiciales o administrativas, sean personas naturales o jurídicas, mexicanas o extranjeras, en aquellos eventos en los cuales la transferencia o transmisión de los datos sea necesaria para llevar a cabo los usos y actividades autorizadas por los Titulares conforme al objeto social de Truora. Así mismo, la información deberá ser conservada bajo estricta confidencialidad y será sometida a un Tratamiento riguroso, respetando los derechos y las garantías de sus Titulares.
Truora podrá utilizar proveedores de servicios y procesadores de datos que trabajen en nombre de la misma. Dichos servicios podrán incluir servicios de alojamiento de sistemas y de mantenimiento, encriptación, servicios de análisis, servicios de mensajería por email, servicios de call-centers, servicios de entrega, gestión de transacciones de pago, y controles de solvencia y de dirección, entre otros. En consecuencia, los Titulares entienden que al suministrarle información a Truora, automáticamente le estarán concediendo a estos terceros autorización para acceder a sus Datos Personales.
Por lo tanto, Truora se compromete a realizar todas las acciones necesarias para garantizar que tanto los proveedores de servicios como los procesadores que trabajan en nombre de la sociedad y demás terceros autorizados conforme al presente Aviso de Privacidad, protejan, en todos los eventos, la confidencialidad de la Información Personal a su cargo.
15.1. Intercambio de los Datos Personales.
Cuando se suscriban acuerdos formales de intercambio de información con terceros, se deberán establecer procedimientos y/o protocolos de transferencia de Datos Personales que incluya como requisito mínimo las siguientes condiciones de seguridad:
-
- Establecer responsabilidades para el control, despacho y recepción.
- Mecanismos para asegurar el rastreo y no repudio.
- Establecer responsabilidades y obligaciones en el evento de incidentes de seguridad de la información, como la pérdida de datos.
- Establecer resguardos contractuales sobre la propiedad de la información, el cuidado de datos personales, el respeto de derechos de autor, licencias de software y consideraciones legales similares.
- Establecer acuerdos formales de confidencialidad con receptores de información.
15.2. Recolección de la información en intercambios.
Toda la información a ser gestionada o tratada por Truora y que sea considerada de confidencialidad alta y media, o su equivalente, será recibida en un formato previamente establecido para dicha transmisión entre Truora y sus clientes y/o proveedores, a través de medios seguros y cifrados, teniendo las siguientes consideraciones:
-
- El medio de intercambio debe estar cifrado y contar con un sistema de autenticación, además de un log de acceso al medio.
- La transmisión de la información debe hacerse a través de un protocolo que garantice la encriptación de los datos al momento de efectuar la transmisión de la información.
- El medio de intercambio debe contar con un control de acceso limitado por dirección IP, y solamente deben estar habilitadas las direcciones IP previamente informadas por comunicación escrita desde el dueño de la información al dueño de la información.
- La información depositada debe estar almacenada en dicho medio de intercambio por un máximo de 24 horas. Es necesario la eliminación al menos una vez al día de toda la información contenida en los medios de intercambio.
- En caso que el dueño de la información se vea en la incapacidad de proveer un medio de intercambio de información con las características antes descritas, Grupo Truora podrá disponer dicho medio, cumpliendo todos los parámetros descritos.
- Se podrá valorar el uso del protocolo del cliente o proveedor que respete el mayor nivel de seguridad.
- Cuando se establezcan mecanismos de recepción de información, Truora establecerá controles que permitan prevenir el ingreso de virus o de malware hacia su red de datos.
- El intercambio de información vía correo o mensajería instantánea, debe realizarse de acuerdo a pautas y parámetros establecidos en esta política.
- En caso que se compartan datos y/o información confidencial a través de llamadas telefónicas o reuniones con video, se exige a los colaboradores que tengan especial resguardo cuándo, dónde y cómo se comparte o comenta la información para evitar que puedan ser escuchados por personas no autorizadas o por público general. En caso que sea necesario, se buscarán lugares privados que permitan prevenir la divulgación de dicha información. Si por algún motivo fuera necesario transportar y/o almacenar información física, el empaque o el archivo debe ser lo suficientemente fuerte para proteger los contenidos de cualquier daño que pueda surgir, en concordancia con las especificaciones ambientales que correspondan, por ejemplo, para evitar daños por calor o humedad y priorizando la seguridad de los medios físicos mediante llaves y el uso de buenas prácticas.
16.3. Carga de la información
La información recibida por medio de intercambios es procesada mediante procesos de extracción, transformación y carga, tomando en cuenta las siguientes especificaciones:
-
- Los Datos Sensibles son previamente cifrados antes de realizar la carga de la información a las bases de datos de Grupo Truora.
- Los datos de los clientes deben ser almacenados en diferentes bases de datos.
- Todas las bases de datos están cifradas en reposo.
- Los procesos de extracción, transformación y carga debieran ser ejecutados en instancias diferentes.
- Se realizan validaciones de la integridad de los datos cargados, tomando en cuenta la base original.
16. Cookies y otras herramientas tecnológicas.
Truora hace uso de cookies y tecnologías similares para personalizar y mejorar la experiencia de los clientes, así como para mostrarle publicidad online relevante. Las cookies son pequeños archivos de texto que contienen un identificador único que se almacena en el computador o aparato móvil a través del cual usted accede a la página web y/o aplicativos móviles, de manera que aquellos pueden ser reconocidos cada vez que usted utilice la página web y/o aplicativos móviles. El Titular de los Datos Personales puede elegir deshabilitar en cualquier momento algunas o todas las cookies que utilizamos. Sin embargo, esto podría restringir su uso de los sitios y limitar su experiencia en el mismo. El uso de cookies no contiene ni afecta Datos Personales y no representa peligro de virus.
17. Eliminación de la Información
Cualquier dispositivo de almacenamiento de información, que por definición del Titular de dicha información, haya perdido vigencia o dado de baja, debe ser eliminado en forma segura en los términos que se establecen en el Manual de Procedimientos para Recolección, Almacenamiento, Uso, y Supresión de la Información y los siguientes aspectos:
17.1. Procedimiento de eliminación
-
- Los archivos serán almacenados por el tiempo que el Titular de la información lo solicite, siendo comunicado previamente mediante comunicación escrita dirigida al comité de seguridad de la información.
- De forma extraordinaria se podrá solicitar la eliminación parcial o total de la información del Titular de la información, la cual afectará tanto los archivos recibidos, como todos los datos posteriormente generados producto de la gestión y Tratamiento realizado por Truora. Para eso es necesario que se remita una solicitud al área de Privacy Truora, la cual analizará si existe alguna legislación que no permita su eliminación o conservación por un periodo de tiempo. En caso de proceder, el área de Privacy Truora solicitará al OSI la eliminación de la información de las bases de datos de Truora.
- Cuando se proceda a la eliminación o destrucción de la información personal, se debe levantar el acta de eliminación, con la firma de las áreas presentes e involucradas en el proceso y detallar los campos que se procedieron para su destrucción, en todo caso, Truora conservará los Datos Personales de carácter público, para efectos de trazabilidad de la información.
- Los medios magnéticos (electrónicos), deben ser destruidos antes de desecharlos, asegurándose que no puedan ser leídos por terceras personas.
- En el caso de los computadores dados de baja, su disco duro deberá ser formateado o destruido, de manera que la información almacenada y el software instalado se eliminen lógica y físicamente del equipo.
- Los documentos por eliminar deben ser destruidos por medio de equipos trituradores de papel, los que deben estar habilitados en ubicaciones adecuadas al interior de las oficinas de Truora.
17.2. Destrucción de los medios de resguardo.
Medios Físicos:
Este tipo de medios son representaciones físicas de datos, por lo general asociados con copias en papel (ya sea escrito a mano o impreso), plásticos de tarjetas de pago, FAX, fotos, cintas, tambores, platos y planchas de impresión, así como cualquier otro dispositivo físico que sirva como soporte para el almacenamiento de datos lógicos, dentro de los que se encuentran:
-
-
- Medios magnéticos: diskettes, discos duros, cintas magnéticas, etcétera.
- Medios ópticos: CD, DVD, etcétera.
- Medios magneto-ópticos: discos Zip, discos Jaz, SuperDisk, etcétera.
- Medios electrónicos: Memorias flash, memorias ROM y RAM, unidades solid-state drive (SSD), etcétera.
Medios lógicos:
En este tipo de medios se almacenan las representaciones lógicas de los datos en forma de bits y bytes y sus correspondientes estructuras (archivos, filesystems, unidades, etcétera).
-
17.3. Eliminación de datos lógicos
-
- Redactar: Esta técnica es empleada para eliminar determinadas partes de un documento digital para evitar la visualización de datos confidenciales durante un proceso de desclasificación, incluyendo el borrado de metadatos y eliminación/truncamiento de imágenes y texto.
- Borrar: Esta técnica simplemente realiza un borrado sencillo en el cual se elimina la referencia a archivos a nivel de sistema operativo (des-indexación) pero sus datos continúan remanentes en el medio de almacenamiento y pueden ser obtenidos nuevamente empleando técnicas de cómputo forense.
- Limpiar: Este método utiliza procedimientos lógicos (basados en software) para borrar de forma segura los datos en ubicaciones de almacenamiento para evitar que dichos datos puedan ser recuperados empleando técnicas de cómputo forense. Por lo general dichos procedimientos de borrado seguro son aplicados a través de comandos estándar de lectura/escritura sobre el dispositivo de almacenamiento usando sobrescritura de datos con un nuevo valor en varias pasadas o aplicando los valores por defecto de fábrica (donde la sobrescritura no está soportada). Emplear una herramienta de borrado seguro que implemente por lo menos una pasada de sobrescritura.
- Purgar: Este método utiliza técnicas físicas o lógicas para evitar que los datos en el dispositivo de almacenamiento sean recuperados empleando técnicas de laboratorio (por ejemplo recuperación a través de remanencia magnética), sobre todo cuando dicho dispositivo será reutilizado, reciclado o desechado.
Se recomienda emplear como mínimo uno de los equipos de desmagnetización o purgado.
17.4. Eliminación de datos físicos
-
- Redactar: Esta acción aplica a medios físicos escritos y consiste en la sanitización/truncamiento de determinadas partes de un documento con el fin de prevenir potenciales revelaciones de información confidencial (desclasificación).
- Destruir: Este último método elimina los datos mediante una destrucción física del medio que los almacena, dejando este soporte inutilizable empleando técnicas como la desintegración, incineración, pulverización, trituración o fundición. La NSA publica un listado de productos aprobados para la destrucción física aquí. Se recomienda emplear como mínimo un dispositivo de destrucción con un nivel de seguridad 3 (DIN).
18. Modificaciones del Aviso de Privacidad.
Truora se encuentra plenamente facultada para modificar el presente Aviso de Privacidad. Cualquier cambio será publicado en nuestro sitio web y/o aplicativos móviles. El otorgamiento de la Autorización, cualquiera sea su medio, será entendido como manifestación expresa de la aceptación del presente Aviso de Privacidad. Es responsabilidad del Titular revisar con frecuencia estas Políticas de Privacidad y Protección de Datos Personales.
20. Vigencia
El presente Aviso de Privacidad se encuentra vigente a partir de octubre de 2022 y se revisará de manera periódica en la segunda semana del mes de marzo de cada año.
21. Autoridad de emisión, revisión y publicación.
El presente Aviso de Privacidad ha sido desarrollada por nuestra área de Privacy Truora liderada por Gabriela Cala - Legal Counsel, esta área está encargada exclusivamente de la protección de los Datos Personales y de velar por el ejercicio de los derechos de los Titulares. El Aviso de Privacidad fue aprobada por David Alejandro Cuadrado Cabrera - CTO/OSI.