POLITICA DE RETENCIÓN DE DATOS Y BORRADO SEGURO
(1) DECLARACIONES DE LA LICENCIA
Delete Technology Group (en lo sucesivo, "DELETE TECHNOLOGY ") reconoce que la gestión eficiente de sus datos y registros es necesaria para apoyar sus funciones comerciales principales, para cumplir con sus obligaciones legales, y reglamentarias, para garantizar la protección de la información personal y para permitir la gestión efectiva de la organización.
Esta política y los documentos relacionados cumplen con los estándares y expectativas establecidos por los requisitos contractuales y legales y se ha desarrollado para cumplir con las mejores prácticas de gestión de registros empresariales, con el objetivo de garantizar un enfoque estructurado para el control de documentos.
Es necesario realizar registros y gestión de datos eficaces y adecuados para:
- Asegurar que el negocio se lleve a cabo de manera estructurada, eficiente y responsable.
- Asegurar que la empresa obtenga el mejor valor a través de mejoras en la calidad y el flujo de información y una mayor coordinación de registros y sistemas de almacenamiento.
- Apoyar las funciones principales del negocio y proporcionar evidencia de conducta y el mantenimiento adecuado de sistemas, herramientas, recursos y procesos.
- Cumplir con los requisitos legislativos, legales y reglamentarios.
- Ofrecer servicios a los empleados, clientes y partes interesadas y proteger los intereses de los empleados, clientes y partes interesadas de manera coherente y equitativa.
- Ayudar en la formación de políticas de documentos y la toma de decisiones gerenciales.
- Proporcionar continuidad en caso de un desastre o violación de la seguridad.
- Protección de la información personal y los derechos del interesado
- Evitar datos inexactos o engañosos y minimizar los riesgos para la información personal.
- Borrar datos de acuerdo con los requisitos legislativos y reglamentarios
- La información mantenida durante más tiempo del necesario conlleva un riesgo y un costo adicionales y puede infringir las normas y principios de protección de datos.
DELETE TECHNOLOGY solo conserva registros e información por razones comerciales legítimas o legales y siempre cumple plenamente con las leyes de protección de datos, orientación y mejores prácticas.
(2) FINALIDAD
El propósito de este documento es proporcionar la declaración de intención de DELETE TECHNOLOGY sobre cómo proporciona un sistema de gestión de datos y registros estructurado y conforme. Definimos 'registros' como todos los documentos, independientemente del formato; que facilitan las actividades comerciales, y a partir de entonces se retienen para proporcionar pruebas de transacciones y funciones.
Dichos registros podrán crearse, recibirse o mantenerse en papel o en formato electrónico, siendo la definición general de gestión de registros un campo de gestión responsable del control eficiente y sistemático de la creación, recepción, mantenimiento, uso, distribución, almacenamiento y eliminación de registros.
(3) ALCANCE
Esta política se aplica a todo el personal de DELETE TECHNOLOGY (es decir, personal permanente, de duración fija y temporal, cualquier representante o subcontratista de terceros, trabajadores de agencias, voluntarios, pasantes y agentes contratados con DELETE TECHNOLOGY en el México o en el extranjero). La adhesión a esta política es obligatoria y el incumplimiento podría dar lugar a medidas disciplinarias.
(4) INFORMACIÓN PERSONAL Y PROTECCIÓN DE DATOS
DELETE TECHNOLOGY necesita recopilar información personal sobre las personas con las que empleamos, trabajar con una relación comercial, llevar a cabo de manera efectiva y conforme nuestras funciones y actividades comerciales diarias, y proporcionar los productos y servicios definidos por nuestro tipo de negocio. Esta información puede incluir (pero no se limita a), nombre, dirección, dirección de correo electrónico, datos de nacimiento, dirección IP, número de identificación, información privada y confidencial, información confidencial y datos bancarios.
Además, ocasionalmente podemos estar obligados a recopilar y utilizar ciertos tipos de información personal para cumplir con los requisitos de la ley y/o regulaciones; sin embargo, estamos comprometidos a recopilar, procesar, almacenar y destruir toda la información de acuerdo con el Reglamento General de Protección de Datos, la ley de protección de datos de México y cualquier otra regla o código de conducta del organismo legal o regulador asociado que se aplique a nuestro negocio y/o la información que procesamos y almacenamos.
Nuestra Política y procesos de retención de datos cumplen plenamente con el quinto principio del RGPD en el quinto artículo 5:
Los datos personales se conservarán en una forma que permita la identificación de los interesados durante no más tiempo del necesario para los fines para los que se procesan los datos personales. Los datos personales podrán almacenarse durante períodos más largos en la medida en que los datos personales se tratarán únicamente con fines de archivo de interés público, de investigación científica o histórica o de fines estadísticos de conformidad con el artículo 89, apartado 1, con sujeción a la aplicación de las medidas técnicas y organizativas adecuadas exigidas por la presente Política de Retención de Datos, con el fin de salvaguardar los derechos y libertades del interesado («limitación de almacenamiento»).
(5) OBJETIVOS
Un registro es información, independientemente de los medios de comunicación, creada, recibida y mantenida que evidencia el desarrollo y cumplimiento de los requisitos reglamentarios, las prácticas comerciales, las políticas legales, las transacciones financieras, las actividades administrativas, las decisiones comerciales o las acciones acordadas.
El objetivo de DELETE TECHNOLOGY es implementar los procedimientos y sistemas de gestión de registros necesarios que evalúen y gestionen los siguientes procesos:
- La creación y captura de registros.
- Cumplimiento de los requisitos legales, reglamentarios y contractuales.
- El almacenamiento de registros.
- La protección de la integridad y autenticidad de los registros.
- El uso de los registros y la información contenida en los mismos.
- La seguridad de los registros.
- Acceso y eliminación de registros.
Los registros contienen información que es un recurso único e invaluable para DELETE TECHNOLOGY y es un activo operativo importante. Un enfoque sistemático de la gestión de nuestros registros es esencial para proteger y preservar la información contenida en ellos, así como las personas a las que se refiere dicha información. Los registros también son fundamentales en la documentación y la evidencia de todas las funciones y actividades comerciales.
Los objetivos y principios de DELETE TECHNOLOGY en relación con la retención de datos son:
- Hay que asegurar que DELETE TECHNOLOGY lleve a cabo de manera ordenada, eficiente y responsable sus procesos de retención de datos.
- Apoyar las funciones principales del negocio y proporcionar evidencia de retención, borrado y destrucción.
- Desarrollar y mantener un programa de gestión de registros eficaz y adecuado para garantizar el archivo, la revisión y la destrucción eficaces de la información.
- Conservar únicamente la información personal durante el tiempo que sea necesario.
- Cumplir con el reglamento de protección de datos pertinente, la legislación y cualquier obligación contractual.
- Garantizar la eliminación segura de datos confidenciales y activos de información.
- Asegurar que los registros y documentos se conserven para el período legal, contractual y reglamentario establecido de acuerdo con las normas o términos de cada organismo.
- Asegúrese de que ningún documento se retiene por más tiempo del que está legal o contractualmente permitido.
- Mitigar contra riesgos o violaciones en relación con la información confidencial.
(6) ORIENTACIONES Y PROCEDIMIENTOS
DELETE TECHNOLOGY gestiona los registros de manera eficiente y sistemática, de manera coherente con los requisitos del RGPD, ISO15489 y los Códigos de Práctica regulatorios sobre Gestión de Registros. La formación en gestión de registros es obligatoria para todo el personal como parte del programa de capacitación legal y de cumplimiento de DELETE TECHNOLOGY y esta política se difunde ampliamente para garantizar un enfoque estandarizado para la retención de datos y la gestión de registros.
Se crearán, mantendrán y conservarán registros para proporcionar información y evidencia de las transacciones, clientes, empleo y actividades de DELETE TECHNOLOGY. Las programaciones de retención regirán el período en que se conservarán los registros. Nuestra intención es garantizar que todos los registros y la información contenida en los mismos sean:
Preciso: Los registros siempre se revisan para asegurarse de que son una representación completa y precisa de las transacciones, actividades o prácticas que documentan.
Accesible: Los registros siempre están disponibles y accesibles cuando es necesario (con permisos de seguridad adicionales para el personal seleccionado cuando sea aplicable al contenido del documento).
Completo: Los registros tienen el contenido, el contexto y la estructura necesarios para permitir la reconstrucción de las actividades, prácticas y transacciones que documentan.
Cumple con los requisitos: Los registros siempre cumplen con los requisitos legales y reglamentarios de mantenimiento de registros.
Supervisado: El personal, la empresa y el sistema de cumplimiento de esta Política de Retención de Datos se supervisan regularmente para garantizar que los objetivos y principios se cumplen en todo momento y que se cumplen todos los requisitos legales y reglamentarios.
(6.1) PROTOCOLOS DE PERÍODO DE RETENCIÓN
Todos los registros retenidos durante sus períodos especificados son rastreables y recuperables. Cualquier movimiento, uso o acceso a archivos se realiza un seguimiento y se registra, incluidos los cambios interdepartamentales. Toda la información de la empresa y de los empleados se conserva, almacena y destruye de acuerdo con las directrices legislativas y reglamentarias.
Para todos los datos y registros obtenidos, utilizados y almacenados en DELETE TECHNOLOGY, se:
1.Realizan revisiones periódicas de los datos retenidos, se comprueba el propósito, la validez continua, la exactitud y el requisito de información.
2.Se establecen revisiones periódicas de los datos retenidos.
3.Se establecen y verifican los períodos de retención de los datos, con especial consideración dada en las siguientes áreas:
- Los requisitos de DELETE TECHNOLOGY
- El tipo de datos personales
- El propósito del procesamiento
- Base legal para el tratamiento
- Las categorías de interesados
- Información estándar y avisos de privacidad.
- Cuando no sea posible definir un período de retención legal, según el requisito del RGPD, DELETE TECHNOLOGY identificará los criterios por los cuales se puede determinar el período y/o proporcionará al interesado a petición y como parte de nuestras divulgaciones de información estándar y avisos de privacidad.
- Tener procesos en marcha para asegurar que los registros pendientes de auditoría, litigio o investigación no sean destruidos o alterados.
- Transferir registros y datos basados en papel a un formato de medios alternativo en casos de largos períodos de retención (con la vida útil de los medios y la capacidad de migrar datos cuando sea necesario siempre teniendo en cuenta).
(6.2) PROPIETARIOS DESIGNADOS
Todos los sistemas y registros tienen propietarios designados (IAO) a lo largo de su ciclo de vida para garantizar la rendición de cuentas y un enfoque estratificada para la retención y destrucción de datos. Los propietarios se asignan en función del rol, el área de negocio y el nivel de acceso a los datos necesarios. El propietario designado está registrado en el Registro de Retención y es totalmente accesible para todos los empleados. Los datos y registros nunca se revisan, eliminan, acceden o destruyen con la autorización previa y el conocimiento del propietario designado.
(6.3) CLASIFICACIÓN DE DOCUMENTOS
DELETE TECHNOLOGY ha detallado los protocolos de gestión de activos para identificar, clasificar, gestionar, registrar y coordinar los activos de DELETE TECHNOLOGY (incluida la información) para garantizar su seguridad y la protección continua de cualquier dato confidencial que almacenen o a los que den acceso.
Utilizamos un Registro de Activos de Información (IAR) para documentar y clasificar los activos bajo nuestra competencia y llevar a cabo auditorías de información periódicas para identificar, revisar y documentar todos los flujos de datos dentro de DELETE TECHNOLOGY. También llevamos a cabo auditorías periódicas de información que nos permiten identificar, clasificar y registrar toda la información personal obtenida, procesada y compartida por nuestra empresa en nuestra calidad de controlador y procesador y ha sido compilada en un registro central que incluye:
- ¿Qué datos personales tenemos?
- ¿De dónde vino?
- ¿Con quién lo compartimos?
- Base legal para procesarlo
- ¿En qué formato(s) se encuentra?
- ¿Quién es responsable de ello?
- Períodos de retención
- Nivel de acceso (es decir, total, parcial, restringido, etc.)
- Nuestras auditorías y registros de información nos permiten asignar clasificaciones a todos los registros y datos, asegurando así que somos conscientes de la finalidad, riesgos, regulaciones y requisitos para todos los tipos de datos. Utilizamos 5 tipos de clasificación principales:
- Sin clasificar - información no de valor y/o retenida durante un período limitado donde la clasificación no es necesaria o necesaria.
- Público - información que se obtiene libremente del público y como tal, no se clasifica como personal o confidencial.
- Interno - información que es únicamente para uso interno y no procesa información externa ni permite el acceso externo.
- Personal - información o un sistema que procesa información que pertenece a un individuo y se clasifica como personal bajo las leyes de protección de datos
- Confidencial - información privada o sistemas que deben protegerse al más alto nivel y se les otorgan restricciones de acceso y alta autenticación de usuario
La clasificación se utiliza para decidir qué restricción de acceso debe aplicarse y el nivel de protección concedido al registro o a los datos.
La clasificación junto con el tipo de activo, el contenido y la descripción se utilizan para evaluar el nivel de riesgo asociado con la información y, a continuación, se puede aplicar la acción de mitigación.
(6.4) SUSPENSIÓN DE LA ELIMINACIÓN DE REGISTROS PARA LITIGIOS O RECLAMACIONES
Si DELETE TECHNOLOGY es atendido con cualquier solicitud legal de registros o información, cualquier empleado se convierte en objeto de una auditoría o investigación o se nos notifica el inicio de cualquier litigio contra nuestra firma, suspenderemos la eliminación de cualquier registro programado hasta que podamos determinar el requisito para dichos registros como parte de un requisito legal.
(6.5) ALMACENAMIENTO Y ACCESO DE REGISTROS Y DATOS
Los documentos se agrupan por categoría y, a continuación, en orden de fecha claro cuando se almacenan y/o archivan. Los documentos siempre se conservan en un lugar seguro, siendo el personal autorizado el único en tener acceso. Una vez transcurrido el período de retención, los documentos se revisan, archivan o destruyen confidencialmente, dependiendo de su propósito, clasificación y tipo de acción.
(7) EXPIRACIÓN DEL PERÍODO DE RETENCIÓN
Una vez que un registro o datos han alcanzado la fecha de período de retención designado, el propietario designado debe consultar el registro de retención de la acción que se debe realizar. No se espera que todos los datos o registros se eliminen al expirar; a veces es suficiente anonimizar los datos de acuerdo con los requisitos del RGPD o archivar registros durante un período adicional.
(7.1) DESTRUCCION Y DISPOSICION DE LOS REGISTROS Y DATOS
Toda la información de carácter confidencial o sensible en papel, tarjeta, microficha o soporte electrónico debe ser destruida de forma segura cuando ya no sea necesaria. Esto garantiza el cumplimiento de las leyes de protección de datos y el deber de confidencialidad que debemos a nuestros empleados, clientes y proveedores.
DELETE TECHNOLOGY se compromete a la eliminación segura y segura de cualquier residuo confidencial y activos de información de acuerdo con nuestras obligaciones contractuales y legales y que lo hacemos de manera ética y conforme.
Confirmamos que nuestro enfoque y procedimientos cumplen con las leyes y disposiciones establecidas en el Reglamento General de Protección de Datos (RGPD) y que el personal está capacitado y asesorado en consecuencia sobre los procedimientos y controles vigentes.
(7.1.1) REGISTROS DE PAPEL
Debido a la naturaleza de nuestro negocio, DELETE TECHNOLOGY conserva la información personal basada en papel y, como tal, tiene el deber de garantizar que se elimine de una manera segura, confidencial y conforme. DELETE TECHNOLOGY utiliza un proveedor de servicios de trituración local para eliminar todos los materiales de papel.
Las máquinas trituradoras de empleados y los sacos de desecho confidenciales están disponibles en todo el edificio y cuando utilizamos un proveedor de servicios para grandes desechos, se llevan a cabo colecciones periódicas para garantizar que los datos confidenciales se eliminen adecuadamente.
(7.1.2) REGISTROS Y SISTEMAS ELECTRÓNICOS E INFORMATICOS
DELETE TECHNOLOGY utiliza numerosos sistemas, computadoras y equipos tecnológicos en el funcionamiento de nuestro negocio. De vez en cuando, dichos activos deben ser eliminados y debido a la información que se mantiene sobre ellos mientras están activos, esta eliminación se maneja de manera ética y segura.
La supresión de los registros electrónicos debe organizarse conjuntamente con el Departamento de TI, que garantizará la eliminación de todos los datos del medio para que no puedan ser reconstruidos. Cuando se identifican registros o archivos de datos para su eliminación, sus datos deben ser proporcionados al propietario designado para mantener un registro de registros destruidos efectivo y actualizado.
Sólo el Departamento de TI puede autorizar la eliminación de cualquier equipo informático y debe aceptar y autorizar dichos activos del departamento personalmente. Siempre que sea posible, la información se borra del equipo mediante el uso de software y formato; sin embargo, esto todavía puede dejar huellas o información personal que es accesible y por lo tanto también cumplimos con la disposición segura de todos los activos.
En todos los casos de eliminación, el Departamento de TI debe completar un formulario de eliminación y confirmar la eliminación y destrucción exitosas de cada activo.
Esto también debe incluir un certificado válido de eliminación del proveedor de servicios que elimine el activo con formato o triturado. Una vez que se ha producido la eliminación, el Departamento de TI es responsable de establecer contacto con la información del Propietario del Activo y actualizar el Registro de Activos de Información para el activo que se ha eliminado.
Es responsabilidad explícita del propietario del activo y del Departamento de TI asegurarse de que todos los datos relevantes se han eliminado lo suficiente del dispositivo de TI y se han realizado copias de seguridad antes de solicitar la eliminación y/o antes de la recogida programada.
(7.1.2) COMUNICACIÓN INTERNA Y MEMORANDUMS GENERALES
A menos que se indique lo contrario en esta política o en el registro de períodos de retención, la correspondencia y los memorandos internos deben conservarse durante el mismo período en el que pertenecen o apoyan (es decir, cuando una nota pertenezca a un contrato o archivo personal, se debe observar el período de retención y la presentación pertinentes).
Cuando la correspondencia o los memorándums que no pertenezcan a ningún documento que ya haya sido asignado un período de retención, deberán suprimirse o triturarse una vez que cesa la finalidad y utilidad del contenido o a un máximo de 2 años.
Ejemplos de correspondencia y memorandos de rutina incluyen (pero no se limitan a):
- Correos electrónicos internos
- Notas y agendas de la reunión
- Consultas y respuestas generales
- Carta, notas o correos electrónicos de temas intrascendentes
(8) BORRADO SEGURO
En circunstancias específicas, los interesados tienen derecho a solicitar que se borren sus datos personales, sin embargo, DELETE TECHNOLOGY reconoce que no se trata de un «derecho al olvido» absoluto. Los interesados sólo tienen derecho a que se borren los datos personales y a impedir el tratamiento si se aplica una de las siguientes condiciones:
- Cuando los datos personales ya no sean necesarios en relación con la finalidad para la que fueron originalmente recogidos/procesados.
- Cuando el individuo retira el consentimiento.
- Cuando el individuo se opone al tratamiento y no hay un interés legítimo superior para continuar el tratamiento.
- Los datos personales fueron tratados ilegalmente.
- Los datos personales deben ser borrados para cumplir con una obligación legal.
- Los datos personales se tratan en relación con la oferta de servicios de la sociedad de la información a un niño.
- Cuando se aplica una de las condiciones anteriores y DELETE TECHNOLOGY recibió una solicitud para borrar datos, primero nos aseguramos de que no se aplique ninguna otra obligación legal o interés legítimo. Si estamos seguros de que el interesado tiene derecho a que se borren sus datos, el Delegado de Protección de Datos lo lleva a cabo en colaboración con cualquier director de departamento y el equipo de TI para garantizar que se hayan borrado todos los datos relacionados con esa persona.
- Estas medidas nos permiten cumplir con un derecho de supresión de los interesados, mediante el cual una persona puede solicitar la eliminación o eliminación de datos personales cuando no hay ninguna razón convincente para su procesamiento continuo. Aunque nuestros procedimientos estándar ya eliminan los datos que ya no son necesarios, seguimos un proceso específico para las solicitudes de borrado para garantizar que se cumplen todos los derechos y que no se han conservado datos durante más tiempo del necesario.
- Cuando recibimos una solicitud para borrar y/o eliminar información personal de un interesado, se sigue el siguiente proceso:
- La solicitud se asigna al Delegado de Protección de Datos y se registra en el Registro de Solicitud de Eliminación.
- El DPO localiza toda la información personal relacionada con el interesado y la revisa para ver si todavía se está procesando y sigue siendo necesaria para la base legal y el propósito que originalmente estaba destinado.
- La solicitud se revisa para asegurarse de que cumple con uno o más de los motivos de supresión.
- Los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
- El interesado ha retirado el consentimiento en el que se basa el tratamiento y cuando no hay ningún otro fundamento jurídico para el tratamiento.
- El interesado se opone al tratamiento y no existen motivos legítimos imperiosos para el tratamiento.
- Los datos personales han sido tratados ilegalmente.
- Los datos personales deben ser borrados para el cumplimiento de una obligación legal.
- Los datos personales se han recopilado en relación con la oferta de servicios de la sociedad de la información a un niño.
- Si la solicitud de supresión cumple con uno de los motivos anteriores, se borra dentro de los 30 días posteriores a la recepción de la solicitud.
- El DPO escribe al interesado y les notifica por escrito que se ha concedido el derecho de supresión y proporciona detalles de la información borrada y la fecha de supresión.
- Cuando DELETE TECHNOLOGY haya hecho público alguno de los datos personales y se conceda la supresión, daremos todas las medidas razonables para eliminar referencias públicas, enlaces y copias de datos y para contactar a controladores y/o procesadores relacionados e informarles de la solicitud de datos para borrar dichos datos personales.
Si por alguna razón, no podemos actuar en respuesta a una solicitud de borrado, siempre proporcionamos una explicación por escrito a la persona y le informamos de su derecho a presentar una queja ante la Autoridad de Supervisión y a un recurso judicial. Tales negativas a borrar datos incluyen:
- Ejercer el derecho a la libertad de expresión e información.
- Cumplimiento de una obligación legal para el desempeño de una tarea realizada en interés público.
- Por razones de interés público en el ámbito de la salud pública.
- A efectos de archivo de interés público, fines de investigación científica o histórica o con fines estadísticos, en la medida en que el derecho de supresión pueda hacer imposible o perjudicar gravemente el logro de los objetivos de ese tratamiento.
- Para el establecimiento, ejercicio o defensa de reclamaciones legales.
(8.1) DATOS DE CATEGORÍAS ESPECIALES
De acuerdo con los requisitos del RGPD y la Lista 1 Parte 4 del Proyecto de Ley de Protección de Datos, las organizaciones están obligadas a tener y mantener documentos de política adecuados y medidas de salvaguardia para la retención y eliminación de categorías especiales de datos personales y condenas penales, etc.
Nuestros métodos y medidas para destruir y borrar datos se describen en esta política y se aplican a todas las formas de registros y datos personales, como se indica en nuestro calendario de registro de retención.
(9) CUMPLIMIENTO Y MONITOREO
DELETE TECHNOLOGY se compromete a garantizar el cumplimiento continuo de esta política y cualquier legislación asociada y llevar a cabo auditorías periódicas y monitoreo de nuestros registros, su gestión, archivo y retención. Los propietarios de activos de información tienen la tarea de garantizar el cumplimiento y la revisión continuos de los registros y datos dentro de su mandato.
(10) RESPONSABILIDADES
Los jefes de departamento y propietarios de activos de información tienen la responsabilidad general de la gestión de registros y datos generados por las actividades de sus departamentos, a saber, garantizar que los registros creados, recibidos y controlados dentro del ámbito de su departamento, y los sistemas (electrónicos o de otro tipo) y los procedimientos que adopten, se gestionen de manera que cumpla los objetivos de esta política.
Cuando se ha designado un DPO, deben participar en cualquier proceso y registro de retención de datos o se deben conservar todos los archivos y destrucciones. Los empleados individuales deben asegurarse de que los registros de los que son responsables sean registros completos y precisos de sus actividades, y que se mantengan y eliminen de acuerdo con los protocolos de DELETE TECHNOLOGY.