1. OBJETIVO

DNA Internationtal Group es una marca de Grupo Desarrollador de Líderes, ADN, S.A.P.I. de C.V., y en consecuencia, el presente documento establece los lineamientos por los cuales se deberán atender las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales; así como las acciones que deberá llevar a cabo Grupo Desarrollador de Líderes ADN, S.A.P.I de C.V. en adelante (DNA) como responsable de datos personales para la protección de los datos personales que recabe por cualquier medio.

2. ALCANCE

La presente Política es de aplicación general y obligatoria para todo el personal, en especial al que ejecuta las actividades en los procesos asociados a la gestión de DNA, así como proveedores, funcionarios y cualquier parte interesada.

Al contratar a terceros como proveedores y socios, el área dentro de DNA que efectúe las negociaciones y contratación, deberá asegurar el correcto tratamiento de la información relativa al cumplimiento de la Legislación de protección de datos personales aplicable.

3. DEFINICIONES

No.	Concepto	Descripción
1.	Análisis de brecha	Herramienta de análisis para comparar el estado y desempeño de las medidas de seguridad existentes de los sistemas de datos personales respecto de las faltantes
2.	Análisis de riesgo	Estudio de las posibles amenazas, vulnerabilidades y eventos no deseados que puedan producir afectaciones a los derechos del titular de los datos personales.
3.	Área Jurídica	El área encargada de dar continuidad, soporte y seguimiento a los temas legales.
4.	Colaborador	Todo el personal que presta servicios subordinados a DNA.
5.	Comité de Datos Personales	El comité de autorregulación vinculante en materia de protección de datos personales, es el órgano encargado del manejo, mantenimiento, seguridad y protección de los datos personales en posesión del responsable. Entre otras facultades, el comité decidirá respecto de las solicitudes de derechos ARCO, y brindará asesoría a todo el personal de DNA para el cumplimiento de las obligaciones en materia de datos personales de conformidad con la legislación vigente en la materia.
6.	Datos Personales	Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
7.	Datos Personales Sensibles	Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o implique un riesgo grave para su titular. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas, afiliación sindical y preferencia sexual
8.	Derecho ARCO	Los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales.
9.	Legislación vigente en materia de Protección de Datos Personales	De manera enunciativa y no limitativa, la legislación aplicable en la materia es la Ley de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) así como la Ley General de Transparencia y Acceso a la Información Pública y la Ley Federal de Transparencia y Acceso a la Información Pública.

4. DESCRIPCIÓN DE LA POLÍTICA

DNA International está comprometida con los más altos estándares éticos en los negocios en que participan y en la prestación de sus servicios; es por ello que cumple con la legislación vigente y aplicable en materia de protección de datos personales en México, incluyendo, pero no limitándose a los artículos 6o y 16 de la Constitución Política de los Estados Unidos Mexicanos y la Ley Federal de Protección de Datos Personales en Posesión de los particulares, publicada en el Diario Oficial de la Federación el 5 de julio de 2010.

5. LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES

En el tratamiento de datos personales, las áreas deberán observar los principios de calidad, consentimiento, finalidad, información, lealtad, licitud, proporcionalidad y responsabilidad.

a)  Principio de licitud. El principio de licitud obliga al responsable a que el tratamiento sea con apego y cumplimiento a lo dispuesto por la legislación mexicana y el derecho internacional. DNA garantiza el presente principio de licitud mediante el cabal cumplimiento por parte de DNA o los encargados que este mismo designe, de cada una de las políticas, procedimientos, formatos, declaratorias o regulaciones aplicables.

b) Principio de consentimiento. El responsable deberá obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible con arreglo a lo previsto en el artículo 10 de la LFPDPPP. La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad. DNA garantiza el presente principio de consentimiento mediante la firma de cada uno de los titulares de datos personales en el aviso de privacidad aplicable.

c)  Principio de información. El responsable deberá dar a conocer al titular la información relativa a la existencia y características principales del tratamiento a que serán sometidos sus datos personales a través del aviso de privacidad, de conformidad con lo previsto en la LFPDPPP y el presente Reglamento. DNA garantiza el presente principio de información mediante el contenido puntual, claro y exacto dentro del aviso de privacidad aplicable, respecto al tratamiento que se les darán a sus datos personales.

d) Principio de calidad. Se cumple con el principio de calidad cuando los datos personales tratados sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados. DNA garantiza el presente principio de calidad mediante la actualización periódica y constante de las bases de datos para procurar que los datos personales contenidos en dichas bases, sean pertinentes, correctos y actualizados según los fines para los cuales fueron recabados.

e)  Principio de finalidad. Los datos personales sólo podrán ser tratados para el cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad, en términos del artículo 12 de la LFPDPPP. DNA garantiza el presente principio de finalidad mediante revisiones periódicas con intervención del Comité de Datos Personales, supervisando que el tratamiento de datos personales se limite al cumplimiento de las finalidades previstas en el aviso de privacidad.

f)  Principio de lealtad. El principio de lealtad establece la obligación de tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad, en los términos establecidos en el artículo 7 de la LFPDPPP. DNA garantiza el presente principio de lealtad obligándose a no obtener y tratar datos personales, a través de medios engañosos o fraudulentos. DNA tendrá que privilegiar la protección de los intereses del titular de los datos personales y la expectativa razonable de privacidad, y velará por el cumplimiento de los principios de protección de datos personales, establecidos en la legislación, debiendo adoptar medidas necesarias para su aplicación.

g) Principio de proporcionalidad. Sólo podrán ser objeto de tratamiento los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido. DNA garantiza el presente principio de proporcionalidad garantizando que el tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. DNA sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.

h) Principio de responsabilidad. En términos de los artículos 6 y 14 de la LFPDPPP, el responsable tiene la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquéllos que haya comunicado a un encargado, ya sea que este último se encuentre o no en territorio mexicano. DNA garantiza el presente principio de responsabilidad tomando las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular sea respetado en todo momento por él, o por terceros con los que guarde alguna relación jurídica.

DNA y todos sus colaboradores adoptarán las medidas necesarias para mantener exactos, completos, pertinentes, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos, para lo cual deberán atender lo siguiente:

1. Los datos personales son exactos cuando reflejan la realidad de la situación de su titular, es decir, son verdaderos o fieles;
2. Los datos personales están completos cuando no falta ninguno de los que se requiera para las finalidades para las cuales se obtuvieron y son tratados;
3. Los datos personales son pertinentes cuando corresponden efectivamente al titular y no a una homonimia;
4. Los datos personales están actualizados cuando corresponden a la situación presente de su titular;
5. Los datos personales son correctos cuando cumplen con todas las características anteriores, es decir, son exactos, completos, pertinentes y

Cada director de unidad de negocio o área de soporte, será encargado de apoyar al Comité de Datos Personales para el tratamiento responsable de los datos personales ejerciendo las funciones siguientes:

1. Adoptar las medidas de seguridad para el resguardo del o los Sistemas de Datos Personales bajo su responsabilidad, en soporte físico, de manera que se evite su alteración, pérdida o acceso no autorizado;
2. Autorizar expresamente, en los casos en que no esté previsto por un instrumento jurídico o disposición normativa, a los usuarios, y llevar una relación actualizada de las personas que tengan acceso al o los Sistemas de Datos Personales que se encuentran en soporte físico, y
3. Aplicar y vigilar el cumplimiento de las medidas y estándares de seguridad para la conservación y resguardo de Sistemas de Datos Personales de la organización, que para tal efecto determine el Comité de Datos Personales, a través de las disposiciones normativas específicas de observancia general para el área de
4. Mantener actualizado el inventario de datos personales que son tratados por su área a cargo y asegurar el envío a intervalos planificados al Comité de Datos Personales. Adicional a lo anterior, deberán tener actualizado el nivel de riesgo de cada uno de los datos personales dentro de dicho inventario, debiendo informar cuando lo solicite el Comité de Datos Personales las acciones que están realizando para mitigar y controlar dicho riesgo.

Las áreas deberán tratar los datos personales que resulten estrictamente necesarios para el ejercicio de sus atribuciones y funciones, observando las disposiciones aplicables en materia de datos personales. El Comité de Datos Personales deberá asegurarse de tener un inventario de datos personales actualizado al menos en una ocasión por año calendario, solicitando a cada director de unidad de negocio o área de soporte, la actualización del mismo derivado a su responsabilidad estipulada dentro del numeral romano IV anterior.

Se presume que se cumple con la calidad en los datos personales cuando son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.

6. DATOS PERSONALES SENSIBLES

Los Datos Personales Sensibles, son aquellos que posee la organización, concernientes a una persona física identificada o identificable, que permiten conocer datos relativos a la vida privada y a la intimidad de las personas y que se describen a continuación de manera enunciativa y no limitativa:

1. Origen racial o étnico;
2. Estado de salud presente o futuro
3. Información genética
4. Creencias religiosas
5. Creencias filosóficas y morales
6. Opiniones políticas
7. Preferencia sexual; y
8. Afiliación sindical.

Tratándose de datos personales sensibles, se deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.

No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.

Se le informa a todo el personal de DNA que, en caso de cualquier duda o aclaración respecto al tratamiento de datos personales sensibles, pueden contactar al Comité de Datos Personales.

El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable.

En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.

7. CANCELACIÓN DE DATOS PERSONALES

Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos.

Los plazos de conservación de los datos personales no deberán exceder aquellos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales.

DNA, a través del Comité de Datos Personales establecerá controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar su relación con el mismo.

Las unidades de negocio / áreas staff deberá poner a disposición el Aviso de Privacidad correspondiente de acuerdo a lo establecido por los parámetros de aviso de privacidad.

8. TRANSFERENCIAS DE DATOS PERSONALES

Toda transferencia de datos personales estará se encontrará sujeta al consentimiento de su titular y, una vez obtenido el consentimiento, deberá ser autorizada por el Comité de Datos Personales lo anterior, única y exclusivamente cuando no se encuentre contemplada previamente dentro del aviso de privacidad firmado por el respectivo titular de los datos personales.

El instrumento que, en caso de ser necesario, formalice la transferencia en términos de este artículo deberá contener al menos, lo siguiente:

1. Identificación del Sistema de Datos Personales, del transmisor y del destinatario de los mismos;
2. Finalidad de la transferencia, así como el tipo de datos que son objeto de la misma;
3. Las medidas de seguridad y custodia que fueron adoptadas por la organización y el destinatario;
4. Plazo por el que conservará el destinatario los datos que le hayan sido transmitidos, el cual podrá ser ampliado mediante aviso a DNA,
5. Señalar si una vez concluidos los propósitos de la transmisión, los datos personales deberán ser destruidos o devueltos a DNA, al igual que cualquier soporte o documento en que conste algún Dato Personal objeto de la transmisión.

9. DERECHOS ARCO

El ejercicio de los derechos ARCO será gratuito y DNA sólo podrá realizar cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable.

Los plazos y procedimientos para dar trámite a las solicitudes del ejercicio de los derechos ARCO en la organización, deberán desahogarse dentro del plazo máximo establecido en la LFPDPPP, atendiendo a lo dispuesto dentro de dicho plazo. El titular será notificado a través del Comité de Datos Personales o, en su caso, por el área jurídica.

DNA cuenta con un procedimiento establecido de ejercicio de derechos ARCO denominado “PR-GAL-01 Reclamación de Derechos ARCO”, mismo que establece paso a paso los lineamientos a seguir para dar respuesta a cualquier ejercicio de derechos ARCO que realicen los titulares de los mismos.

10. CAPACITACIÓN

El área de Capacitación debe programar cursos para el personal, y partes interesadas que considere pertinentes de DNA en relación con el cumplimiento de la presente Política, así como información general importante referente a protección de datos personales; para ello tomará en consideración las recomendaciones del Comité de Datos Personales.

En el transcurso de un año por lo menos todo el personal y partes interesadas habrán de participar en por lo menos un curso de capacitación.

Adicional a lo anterior, el área de capacitación deberá contemplar dar capacitaciones cuando existan reformas a la legislación aplicable, estas capacitaciones deberán incluir también a los integrantes del Comité de Datos Personales.

11. PUERTAS ABIERTAS.

DNA pone a disposición de todo el personal, proveedores y terceros, el siguiente formulario para el ejercicio de los derechos ARCO, así como para formular cualquier consulta al Comité de Datos Personales. El formulario podrá remitirse al siguiente correo electrónico compliance_arco@dnainternationalgroup.com

Asimismo, cualquier persona interesada podrá establecer contacto para realizar cualquier consulta o solicitud en relación con la aplicación y cumplimiento de esta política a través del formulario de contacto que se encuentra en el presente sitio de internet.

12. DENUNCIA ANTE EL COMITÉ DE DATOS PERSONALES.

El personal, funcionarios, proveedores, terceros y partes interesadas, asumen la responsabilidad de denunciar ante el Comité de Datos Personales cualquier actividad que viole o pudiera violar esta política o la legislación aplicable. La denuncia podrá ser realizada por cualquier persona que se identifique con documento oficial y que describa, lo más detalladamente posible el hecho, junto con los medios de prueba y convencimiento que estime convenientes.

Para ello, DNA ha implementado un sistema de denuncia mediante la habilitación del correo electrónico compliance_arco@dnainternationalgroup.com en donde cualquier persona puede denunciar cualquier actividad que viole o pudiera violar esta política o la legislación aplicable.

En su caso, DNA contratará abogados externos para asesorarse en la determinación de la existencia de una potencial violación a esta política si fuera necesario. En caso de no poder hacer una determinación con la información disponible o de que se determine la existencia de una potencial violación, se llevarán a cabo las medidas correctivas aplicables de acuerdo al mecanismo para prevenir, atender y sancionar actos ilícitos aplicables de corrupción y soborno.

13. SANCIÓN

Como medida preventiva DNA hace del conocimiento de los funcionarios, proveedores, terceros y partes interesadas que, en caso de que se viole la presente Política, DNA aplicará las medidas disciplinarias que estime convenientes y que pueden incluir la terminación de la relación laboral, profesional o comercial y, según sea apropiado, la denuncia del asunto ante las autoridades competentes y todas aquellas que contemple la Legislación aplicable.

14. MEDIDAS CORRECTIVAS,

DNA, a través del Comité de Datos Personales con apoyo de las áreas que puedan intervenir en ello, procurará ejercer las Medidas Correctivas que tienen como finalidad, identificar las actividades que potencialmente puedan constituir una violación a esta Política o a la legislación aplicable, investigarlas hasta sus últimas consecuencias y aplicar las sanciones correspondientes, así como dejar una base de conocimiento para la mejora continua de la seguridad de datos personales.

15. AUDITORÍA INTERNA

De resultar necesario DNA planificará las evaluaciones que ayuden a realizar un análisis de brecha en las medidas de seguridad de la información, contando con la obligación de realizar revisiones al menos cada 6 (seis) meses, de los avisos de privacidad de DNA, actualizándolos en caso de ser necesarios.

16. DENUNCIA ANTE AUTORIDADES

El reporte y documentación de soporte sobre las actividades sometidas a la investigación del Comité de Datos Personales por posibles irregularidades en el cumplimiento de la presente política, será analizado por el área legal, quienes en conjunto con los abogados externos y, dependiendo de cada caso en particular, elaborarán una estrategia de denuncia de los hechos investigados ante las autoridades competentes cuando ello fuere aplicable.

17. COLABORACIÓN EN SANCIONES

En caso de que alguna autoridad comience el procedimiento administrativo de investigación en contra de DNA, este último en conjunto con el Comité de Datos Personales se comprometen a colaborar con la obtención e identificación de la información que sea requerida.