TÉRMINOS Y CONDICIONES

1.  OBJETIVO   

El objeto de la presente política es definir los procedimientos relacionados con el tratamiento de los datos personales que BALLOON CONSULTING, LCC (En lo sucesivo “BALLOON CONSULTING”), obtiene por parte de los usuarios, clientes y proveedores, entre otros, en relación con los servicios y/o productos que ofrece.   

2. DEPARTAMENTO DE PROTECCIÓN DE DATOS PERSONALES   

Es el área dentro de la organización de BALLOON CONSULTING, en la cual se llevarán a cabo todas y cada una de las acciones encaminadas a dar cumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de Particulares, así como a su Reglamento, Circulares y/o Lineamientos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), en el cual se encontrará adscrito un Encargado, quien será el responsable de clasificar, recopilar, ordenar y resguardar los datos personales, y en su caso, realizar las modificaciones derivadas del ejercicio de los derechos ARCO.   

3. FUNCIONES Y OBLIGACIONES DEL ENCARGADO
Obligaciones
El Encargado del Departamento de Datos Personales, estará a cargo del tratamiento de la información personal que BALLOON CONSULTING obtenga de sus titulares o de las personas autorizadas para entregarlos, quien deberá clasificar dicha información con la finalidad de registrarla en el sistema de gestión de datos, delimitando su manejo en relacionado con el flujo de los datos personales de utilidad para el cumplimiento del objeto social de BALLOON CONSULTING, tomando en cuenta las siguientes consideraciones respecto a la información obtenida: 
1. De dónde se obtienen los datos personales (directamente del titular, a través de una transferencia o fuente de acceso público, entre otros);

2. Las unidades de negocio o, departamentos que tratan datos personales para los servicios que ofrecen o actividades que realizan;

3. Las finalidades del tratamiento;

4. Con quién se comparten los datos personales (encargados o transferencias) y para qué se comparten;

5. En dónde y cómo se almacenan los datos personales;

6. Los procedimientos, mecanismos y tecnología utilizados para el tratamiento;

7. Cuánto tiempo se conservan los datos personales; y

8. Los procedimientos para su depuración. 

Es obligación del encargado buscar el tratamiento legítimo, controlado e informado de los datos personales, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas, teniendo como principal objetivo reducir el número de vulneraciones a los datos personales.   

Funciones.  

El Encargado, deberá realizar todos los procedimientos físicos y supervisar los procesos automatizados, que permitan recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y cancelar datos personales; dentro de sus principales actividades están las de capturar, actualizar y supervisar el sistema de datos personales.   

El Encargado está obligado a guardar absoluta secrecía respecto de los datos personales, obligación que perdurará aún después de finalizada la relación por la cual se dio el tratamiento, quien junto con BALLOON CONSULTING serán los únicos que tendrán acceso a los Sistemas de Datos Personales, debiendo contar con las siguientes características:   

a) Compromiso total del cumplimiento de la política; 
b) Desarrollo y revisión de la política; 
c) Asegurar la implementación de la política; 
d) Revisiones de la gestión de la política; 
e) Concienciar y brindar el entrenamiento necesario de la política; 
f) Aprobación de procedimientos donde sean tratados los datos personales, como: 
• La administración de datos;

• El manejo de solicitudes de los titulares o sus representantes;

• La recolección y manipulación de datos personales;

• Manejo de quejas;

• La gestión de incidentes de seguridad;

g) Enlace con las personas o áreas que obtengan y manejen datos personales.   

A efecto de que el encargado lleve a cabo sus funciones, éste deberá implementar un sistema de seguridad físico que permita identificar de forma inequívoca y personalizada, a todo aquél que intente acceder al sistema de datos personales, manejando un registro o bitácora que verifique el evento. Así mismo dará atención al sistema de seguridad electrónico que se implemente para la administración y resguardo de la base de datos.   

Obtención de datos personales.   

Los datos personales deberán ser proporcionados por sus titulares o representantes legales de forma voluntaria e inequívoca ya sea de forma directa al personal de BALLOON CONSULTING, a través de los formatos proporcionados en el sitio web de BALLOON CONSULTING o por cualquier otro medio electrónico, para tal efecto el encargado deberá tener constante comunicación con el personal que por la propia naturaleza de su labor sea quien obtenga y recabe dicha información para que le sea proporcionada y puesta bajo resguardo en la base de datos propiedad de BALLOON CONSULTING.     

Inventario de datos personales. 
Una vez definidos los alcances y objetivos de los datos obtenidos, identificados y documentados, se dará seguimiento al proceso de organización, a través de un inventario de datos vinculado con la información básica que permita conocer la relación del flujo de la información, considerando la obtención, el almacenamiento, uso, procesamiento, divulgación, bloqueo, cancelación y depuración de la misma, a través de bases de datos que permitan identificarlos y tratarlos.     

Base de datos. 

La base de datos estará conformada por toda aquella información obtenida y utilizada por BALLOON CONSULTING, resguardada y organizada a través de archivos electrónicos que permitan identificar la información fácilmente para su procesamiento, con la finalidad de asegurar el mejor tratamiento y resguardo de los datos personales, tales como; nombre, teléfono y correo electrónico. 
Una vez identificados los datos personales a tratar, se tiene que definir su relación con el personal de BALLOON CONSULTING, para tal efecto con la finalidad de documentar el cruce de información entre los sistemas de tratamiento y el personal involucrado, se utilizará una matriz de responsabilidades, de conformidad con el acceso o uso que se tengan permitidos para cada área o departamento, determinando el tratamiento de la información a través de los siguientes parámetros: 
A: Almacenar 
B: Bloquear
M: Modificar 
O: Obtener 
U: Usar 
S: Suprimir

Tabla 1

Dichos datos deben ser actualizados, no obstante, cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad podrán ser cancelados.
El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de 5 (cinco) años, contados a partir de la fecha calendario en que se presente el mencionado incumplimiento.
A efecto de determinar el nivel de tratamiento de los datos señalados con anterioridad se debe considerar la siguiente clasificación:

a) Nivel estándar
Esta categoría considera información de identificación usada de forma habitual en los procesos de BALLOON CONSULTING, respecto a una persona física identificada o identificable, tal como: nombre, edad, lugar y fecha de nacimiento, domicilio, fotografía, nacionalidad, números de teléfono, RFC, CURP, identificación oficial, recomendaciones, incidencias, ingresos, cuentas bancarias y seguros, entre otros siendo éstos enunciativos mas no limitativos.
b) Nivel sensible
Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y/o futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, entre otros.
c) Nivel especial
Esta categoría corresponde a los datos cuya naturaleza única, o bien debido a un cambio excepcional en el contexto de las operaciones usuales de la organización, pueden causar daño directo a los titulares, por ejemplo la Información adicional de tarjeta bancaria que considera el número de la tarjeta de crédito y/o débito mencionado anteriormente en combinación con cualquier otro dato relacionado o contenido en la misma, por ejemplo fecha de vencimiento, códigos de seguridad, datos de banda magnética o número de identificación personal (PIN).

4. MEDIOS DE ALMACENAMIENTO Y ACTUALIZACIÓN DE LA BASE DE DATOS.

El encargado debe mantener actualizado el inventario de los datos activos, así como los medios de almacenamiento en que residen las bases de datos personales, con la finalidad de identificar posibles vulnerabilidades y posibles amenazas, por lo que el encargado deberá identificar dos tipos de activos:

Activos de información, los cuales corresponden a la esencia de BALLOON CONSULTING:
Información relativa a los datos personales
Información de procesos del negocio en los que interviene el flujo de datos personales y actividades involucradas en el tratamiento de los mismos.

En dicho supuesto, los documentos físicos se tienen que localizar en archiveros ordenados de acuerdo al funcionamiento de los mismos, en un espacio seguro garantizando su conservación y resguardo y limitando su acceso.

Activos de apoyo, en los cuales residen los activos de información, como son:
Hardware
Software
Redes y Telecomunicaciones

Tabla 2

5. RIESGOS DE LOS DATOS PERSONALES.
Identificación de riesgos

La seguridad de los datos personales se basa en el entendimiento de la naturaleza del riesgo al que están expuestos los datos personales, el riesgo no se puede erradicar completamente, pero sí se puede minimizar a través de la mejora continua, por lo que el encargado determinará las características del riesgo que mayor impacto puede tener sobre los datos personales que tratan, con el fin de priorizar y tomar la mejor decisión respecto a los controles más relevantes e inmediatos a implementar de conformidad con los siguientes criterios:

DE IMPACTO: Se definen en términos del posible nivel de daño y perjuicio al titular causado por un evento negativo a la seguridad de los datos personales, considerando:
El valor de los datos para BALLOON CONSULTING
El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular
Vulneraciones de seguridad
Daño a la integridad de los titulares de datos personales
Daño a la reputación de BALLOON CONSULTING

ACEPTACIÓN DEL RIESGO: El encargado podrá aceptar o no ciertos niveles de riesgo, siempre y cuando la naturaleza del riesgo, sus consecuencias o su probabilidad sean consideradas como muy poco significativas.
Se debe expresar el beneficio o el riesgo estimado para BALLOON CONSULTING, aplicando diferentes criterios de aceptación correspondientes al riesgo. Por ejemplo, riesgos que pueden resultar del incumplimiento a la Ley que no pueden ser aceptados.
Se deben incluir múltiples umbrales, correspondientes a diferentes niveles de aceptación, previendo aceptar riesgos sobre esos niveles en circunstancias específicas. Los criterios de aceptación del riesgo pueden incluir requerimientos para una gestión futura, por ejemplo, un riesgo puede ser aceptado si hay aprobación y el compromiso de la Alta Dirección para tomar acciones que permitan reducirlo a un nivel aceptable dentro de un periodo definido más adelante.
Para definir todo criterio de aceptación del riesgo es importante considerar:

Política(s) de la organización respecto al tratamiento de datos personales
Aspectos legales y regulatorios
Operaciones
Tecnología
Finanzas
Factores sociales y humanitarios

El nivel de riesgo en los sistemas de tratamiento de datos personales puede disminuirse con mecanismos como:

Disociación: Se aíslan los datos de manera que por sí mismos no aporten información con la que un titular pueda ser identificable. De esta manera el valor de la base de datos para una persona no autorizada se ve disminuido.

Separación: Se separan los activos de información grandes en otros más pequeños, por ejemplo, una base de datos de clientes en dos bases de datos: clientes corporativos y personas físicas. Entre mayor cantidad de información tiene un activo, éste resulta más atractivo para una persona no autorizada.

Valoración del riesgo

El encargado deberá observar y valorar el riesgo de forma cuantitativa, cualitativa o ambas, para atenderlo en la fase de implementación. La valoración del riesgo debe identificar los activos existentes, las amenazas aplicables, y los escenarios de vulneración, considerando las consecuencias potenciales para BALLOON CONSULTING, al efecto se deben tener las siguientes consideraciones:

Tabla 3

Un escenario de vulneración se determina considerando el grado de daño en los activos o los cambios en el nivel de objetivos definidos por BALLOON CONSULTING, que pueden afectar a más de un activo total o parcialmente. Las consecuencias pueden ser de naturaleza temporal, por ejemplo, la caída del servicio o de naturaleza permanente, por ejemplo, la destrucción de información escrita en documentos, para tal efecto se deberán considerar dos escenarios sobre activos:
Escenario 1. Expediente del cliente (papel)
Escenario 2. Expediente del cliente

Reducción del riesgo

El objetivo del encargado deberá seleccionar los controles apropiados y justificados para satisfacer los requerimientos especificados por la valoración del riesgo. Los controles pueden proporcionar uno o más de los siguientes tipos de protección:
Corrección
Eliminación
Prevención
Minimización del impacto
Disuasión
Recuperación
Monitoreo
Concienciar

Evasión del riesgo

Cuando el riesgo identificado es muy alto o los costos de tratamiento exceden a los beneficios, se debe tomar una decisión para evitar el riesgo, retirándose de las actividades actuales o cambiando las condiciones bajo las cuales operan dichas actividades.

6. MEDIDAS DE SEGURIDAD
Con la finalidad de reducir una potencial amenaza se realizará un registro de los medios de almacenamiento de los datos personales, con la finalidad de proteger la información de algún tipo de vulneración a la seguridad del almacenamiento de datos. Las amenazas pueden ser de origen natural o humano, y pueden ser accidentales o deliberadas y además provenir de adentro o desde afuera de BALLOON CONSULTING.

El encargado deberá identificar y considerar las amenazas recurrentes con la finalidad de localizar el tipo de ayuda tecnológica y de seguridad que determine para proteger la veracidad de la base de datos, por lo que, salvo los riesgos observados más adelante por el encargado, se deberá realizar una copia del respaldo a la base de datos semanalmente una vez implementado el sistema definitivo.

7. ATENCIÓN DE SOLICITUDES POR PARTE DE LOS TITULARES.

Una de las principales funciones del encargado, respecto al tratamiento de datos personales, es dar atención a las solicitudes de los titulares o sus representantes legales, que deseen ejercer cualquiera de los derechos ARCO, en relación con los datos personales proporcionados parte de los mismos o bien por personas autorizadas para entregarlos.

En caso de que el solicitante tenga contacto con el encargado de manera personal, por teléfono o por correo electrónico, éste en todo caso deberá indicar al titular o interesado que dicha solicitud la deberá realizar por escrito, el cual deberá contener los siguientes elementos:

El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud;
Los documentos que acrediten la identidad o, en su caso, la representación legal del titular;
La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y
Cualquier otro elemento o documento que facilite la localización de los datos personales.

Una vez que el interesado presente la solicitud con los elementos antes mencionados, BALLOON CONSULTING contará con un plazo máximo de 20 (veinte) días hábiles contados a partir de la recepción de la misma, en el cual determinará si dicha petición resulta procedente, y en caso de serlo, se hará efectiva la misma en un plazo de 15 (quince) días hábiles siguientes a la fecha en que se comunique la respuesta para dar cumplimiento.

Tratándose de solicitudes de acceso a datos personales, procederá la entrega previa acreditación de la identidad del solicitante o representante legal, según corresponda.

Los plazos antes referidos podrán ser ampliados una sola vez por un periodo igual, siempre y cuando así lo justifiquen las circunstancias del caso.

En el supuesto de que las solicitudes recaigan sobre la cancelación de datos, se dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato o datos, sin embargo, el responsable podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento y para efectos fiscales. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento de los datos personales, el cual una vez cancelado, se dará aviso al titular.

Cuando los datos personales hayan sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, BALLOON CONSULTING deberá hacer del conocimiento del tercero dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también.

No obstante, BALLOON CONSULTING no estará obligado a cancelar los datos cuando:

Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;
Deban ser tratados por disposición legal;
Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;
Sean necesarios para proteger los intereses jurídicamente tutelados del titular;
Sean necesarios para realizar una acción en función del interés público;
Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y
Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.

Se podrá negar el acceso a los datos personales, o a realizar la rectificación, cancelación o conceder la oposición al tratamiento de los mismos, en los siguientes supuestos:

Cuando el solicitante no sea el titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;
Cuando en su base de datos, no se encuentren los datos personales del solicitante;
Cuando se lesionen los derechos de un tercero;
Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, cancelación u oposición de los mismos, y
Cuando la rectificación, cancelación u oposición haya sido previamente realizada.

La negativa podrá ser parcial, en cuyo caso el responsable efectuará el acceso, rectificación, cancelación u oposición requerida por el titular.

En todos los casos, el responsable deberá informar el motivo de su decisión y comunicarla al titular, o en su caso, al representante legal, en un plazo máximo de 20 (veinte) días hábiles contados a partir de la recepción de la solicitud, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.

El derecho se ejercerá por el titular en forma gratuita, previa acreditación de su identidad. No obstante, si la misma persona reitera su solicitud en un periodo menor a doce meses, los costos no deberán ser mayores a tres días de Salario Mínimo General Vigente en la Ciudad de México, o la unidad de medida que en un futuro la pueda suplir, a menos que existan modificaciones en la Ley o claramente establecidas en el aviso de privacidad que motiven nuevas consultas.

8. REVISIÓN Como parte de las obligaciones para el tratamiento de datos personales, el encargado deberá dar cumplimiento a la presente política y a la legislación vigente, por lo que el encargado debe asegurar que los siguientes puntos estén continuamente monitoreados:

Nuevos activos que se incluyan en los alcances de la gestión de riesgo.
Modificaciones necesarias a los activos, por ejemplo, cambio o migración tecnológica.
Nuevas amenazas que podrían estar activas dentro y fuera de BALLOON CONSULTING y que no han sido valoradas.
La posibilidad de que vulnerabilidades nuevas o incrementadas sean explotadas por las amenazas correspondientes.
Vulnerabilidades identificadas para determinar aquéllas expuestas a amenazas nuevas o pasadas que vuelven a surgir.
Cambio en el impacto o consecuencias de amenazas valoradas, vulnerabilidades y riesgos en conjunto, que resulten en un nivel inaceptable de riesgo. Incidentes y vulneraciones de seguridad.

9. ACTUALIZACIÓN Y CAPACITACIÓN
BALLOON CONSULTING, deberá garantizar la constante capacitación del encargado a través de cursos, talleres, conferencias o cualquier otro medio que le permita una mejora continua al tratamiento de datos personales, adoptando medidas correctivas y preventivas, en función de los resultados obtenidos de la revisión por parte de la Alta Dirección o las auditorías que se realicen a BALLOON CONSULTING.

BALLOON CONSULTING, implementará un sistema de concienciación, a través de programas a corto plazo para la difusión en general de la protección de datos personales en BALLOON CONSULTING, así como la capacitación al personal de manera específica respecto a sus funciones y responsabilidad en el tratamiento y seguridad de los datos personales y fomentar la seguridad en el tratamiento de los datos personales dentro de la cultura de la organización.

La presente política fue expedida en fecha 01 de diciembre del 2023, con la finalidad de establecer los lineamientos generales, respecto al tratamiento de los datos obtenidos en cumplimiento del objeto social de BALLOON CONSULTING.