Políticas de Seguridad en materia de protección de datos de
The Cocktail México (THE COCKTAIL AMÉRICA, S.A DE C.V.)
1. Introducción y ámbito de aplicación
En la presente política de seguridad se abordan todos aquellos aspectos específicos del ámbito territorial mexicano, en virtud de la legislación local de dicho Estado, que deban ser regulados e identificados de manera independiente a las políticas globales del grupo.
A los efectos de las políticas de seguridad de la empresa, aplicarán las presentes políticas de seguridad locales y las políticas globales en todo aquellas materias que no estén específicamente indicadas que aplican sólo a la empresa matriz en España.
2. Definiciones
Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos.
Afectado, interesado, titular de los datos: persona física identificada o identificable titular de los datos que sean objeto del tratamiento.
Autenticación: proceso de comprobación de la identidad de un usuario.
Autoridad de control: autoridad pública independiente establecida por un Estado para garantizar el cumplimiento de la normativa en materia de protección de datos.
Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales.
Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.
Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso.
Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.
Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Copia de respaldo o de seguridad: copia de los datos de un fichero en un soporte que posibilite su posterior recuperación.
Datos personales: toda información sobre una persona física identificada o identificable.
Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.
Derechos ARCO: derecho de acceso, rectificación, cancelación u oposición a los cuales tiene derecho el titular de los datos personales respecto de los datos personales compartidos o proporcionados.
Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero.
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Exactitud de los datos: los datos tienen que ser exactos y, si fuera necesario, deben ser actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
Incidencia: cualquier anomalía que afecte o pueda afectar a la seguridad de los datos.
Identificación: procedimiento de reconocimiento de la identidad del usuario.
Licitud, lealtad y transparencia: principio relativo al tratamiento de datos que implica que sean tratados de manera lícita, leal y transparente en relación con el interesado.
Limitación de la finalidad: los datos deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
Limitación del plazo de conservación: los datos serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales
Minimización de datos: los datos tratados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Persona física identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Recursos: cualquier parte o componente del sistema.
Responsable del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Responsable de protección de datos: persona o personas a las que el responsable del tratamiento asigna formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Dicho responsable es el Delegado de Protección de Datos de The Cocktail Experience, cuya designación ha sido otorgada a la empresa Cohaerentis S.L. que también es responsable de protección de datos del resto de empresas del Grupo The Cocktail.
Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
Tratamiento de datos: cualquier operación o conjunto de operaciones realizadas sobre los datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados.
Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.
Usuario: sujeto o proceso autorizado para acceder a los datos o recursos del sistema. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.
Violación de la seguridad de los datos personales: toda violación de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
3. Principios rectores de las políticas de seguridad de la organización a nivel local
Sin perjuicio de los principios rectores de las políticas de seguridad a nivel global, en el presente apartado se incluyen aquellos principios que son específicos y locales para las políticas en México.
- Principio de licitud, lealtad y transparencia: la información que se facilite a los titulares de los datos de carácter personal en relación a los tratamientos de sus datos personales, deberá facilitarse de manera transparente, ser fácilmente accesible y fácil de entender. Los titulares de los datos personales deberán saber en todo momento quién es el responsable del tratamiento de sus datos de carácter personal para garantizar que se hace un tratamiento lícito, leal y transparente. Cualquier información que se facilite a los titulares de los datos personales se regirá por estos requisitos y THE COCKTAIL se asegurará contractualmente de que sus clientes, cuando sean Responsables del Tratamiento, han recabado los datos de los titulares basándose en dicho principio. La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos.
- Principio de consentimiento: Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente Ley, ya sea expresamente o de forma tácita, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición. El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos, para lo cual el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello. Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
- Principio de limitación de la finalidad: los datos personales que se recaben del titular se tratarán, exclusivamente, para fines determinados, explícitos y legítimos, y. Y nunca podrán ser tratados con otra finalidad distinta de la indicada al titular de los datos mediante el aviso de privacidad. Cuando las empresas del Grupo actúen en calidad de Encargadas del Tratamiento, dichos fines serán los previstos en los contratos de acceso a datos suscritos con los clientes Responsables del Tratamiento de dichos datos, cumplimiendo los requisitos previstos en las presentes políticas.
- Principio de minimización de los datos: se tratarán siempre los datos personales adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Principio de exactitud: los datos se mantendrán siempre exactos y actualizados. THE COCKTAIL deberá adoptar todas las medidas razonables para que se supriman o rectifiquen cuanto antes, los datos personales que sean inexactos con respecto a los fines para los que se tratan. Cuando las empresas del Grupo actúen en calidad de Encargadas del Tratamiento, las medidas se acordarán con el cliente como Responsable del Tratamiento. El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.
- Principio de limitación del plazo de conservación: los datos personales serán conservados sólo durante el tiempo que sea necesario para los fines del tratamiento. THE COCKTAIL tendrá siempre en cuenta los plazos de conservación y la aplicación de los procesos de cancelación previstos en las presentes políticas cuando terminan dichos plazos, así como los plazos de cancelación y procesos pactados con los clientes en los contratos.
- Principio de integridad y confidencialidad: los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas previstas en las políticas de seguridad de THE COCKTAIL.
- Principio de responsabilidad proactiva: todas las empresas del Grupo serán responsables del cumplimiento de los presentes principios y de mantener un sistema de cumplimiento de privacidad que permita evidenciar el cumplimiento de los mismos.
4. Transferencias de datos dentro y fuera de México
La transferencia es la comunicación de datos personales, dentro o fuera del territorio nacional, a persona distinta del titular, del responsable o del encargado. Es decir, la comunicación de datos entre el responsable y el encargado, en el marco de la relación jurídica de la que se habló en el apartado anterior, NO se consideran transferencia. A ese tipo de comunicaciones el Reglamento de la LFPDPPP les llama remisiones.
Los responsables no están obligados a solicitar el consentimiento de los titulares para la realización de remisiones, ni informarlas en el aviso de privacidad, contrario a lo que ocurre con las transferencias.
Para que un responsable pueda transferir los datos personales, dentro o fuera de México, es necesario
que:
- Se informe al titular en el aviso de privacidad correspondiente lo siguiente: que la transferencia se podrá realizar, a quién se transferirán los datos y para qué fines. Asimismo, en caso de requerirse, el aviso de privacidad deberá contener una cláusula para que el titular consienta o no la transferencia.
- El titular haya otorgado su consentimiento para que la transferencia se realice, salvo los casos de excepción previstos en el artículo 37 de la LFPDPPP.
- El objeto de la transferencia se deberá limitar a la finalidad y condiciones informadas en el aviso de privacidad, y que hayan sido consentidas por el titular, en su caso.
No se requerirá el consentimiento de los titulares para realizar transferencias, en los siguientes casos
(artículo 37 de la LFPDPPP):
- Cuando la transferencia esté prevista en una ley o tratado en los que México sea parte.
- Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.
- Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas.
- Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular
4.1. Requisitos para las transferencias nacionales de datos
Condición específica
Cumplir con las condiciones generales para transferencias: ser informada en el aviso de privacidad; solicitar el consentimiento del titular cuando se requiera y limitarse a las finalidades consentidas e informadas.
Receptor de los datos
El receptor de los datos personales adquirirá el carácter de responsable en términos de la LFPDPPP, con las obligaciones respectivas.
Este responsable deberá tratar los datos conforme a lo convenido en el aviso de privacidad que le comunique el responsable transferente.
Formalización
La transferencia deberá formalizarse mediante algún mecanismo que permita demostrar que el responsable transferente comunicó al
responsable receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales.
4.2. Requisitos para las transferencias internacionale de datos
Condición específica
Las transferencias internacionales serán posibles cuando el receptor de los datos asuma las mismas
obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales.
Asimismo, para que éstas ocurran será necesario cumplir con las condiciones generales para transferencias:
- ser informada en el aviso de privacidad;
- solicitar el consentimiento del titular cuando se requiera y limitarse a las finalidades consentidas e informadas.
Receptor de los datos
El receptor de los datos personales NO podrá considerarse un responsable en términos de la LFPDPPP, pues al no estar establecido en territorio nacional, no le aplica la norma mexicana.
No obstante, mediante el instrumento jurídico de carácter privado en el que se establezca la relación con el responsable que transfiere los datos personales, deberá asumir las mismas obligaciones que éste tiene con relación al tratamiento de los datos personales.
Si el tercero receptor de los datos no acepta estas condiciones, el responsable, a quien sí le aplica la ley mexicana, NO podrá transferirle los datos personales, pues de otra forma, él será quien incumpla con sus obligaciones legales.
Formalización
El responsable transferente puede valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones para el tercero receptor, a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.
Cumplimiento de las obligaciones relacionadas con las transferencias
Obligación
Obtener el consentimiento del titular para las transferencias, salvo en el caso de que aplique algunas de las excepciones previstas en el artículo 37 de la Ley.
Informar las transferencias en el aviso de privacidad y, en su caso, incluir la cláusula correspondiente.
Limitar las transferencias a las finalidades y condiciones establecidas en el aviso de privacidad y que, en su caso, hayan sido consentidas por el titular.
Comunicar a los terceros receptores de los datos el aviso de privacidad, con las finalidades a las que el titular sujetó su tratamiento.
Demostrar que la transferencia se hizo conforme a la normativa en materia de protección de datos personales.
Cuando la transferencia sea nacional, formalizarla mediante instrumento jurídico que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales.
Cuando el responsable recibe los datos personales, tratarlo exclusivamente para las finalidades y bajo las condiciones informadas en el aviso de privacidad y, en su caso, consentidas por el titular.
Cuando se trate de transferencias internacionales, transferir los datos exclusivamente cuando el tercero receptor asuma las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales
Cuando se trate de transferencias internacionales, formalizar la transferencia mediante instrumento jurídico que prevea al menos las mismas obligaciones para el tercero receptor, a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.
Acciones recomendadas para el cumplimiento |
Identificar las transferencias que se realizan en la organización del responsable.
Verificar e identificar para cuáles de las transferencias se requiere el consentimiento, a partir de los supuestos de excepción del artículo 37 de la Ley.
Implementar un mecanismo para solicitar el consentimiento del titular, en los casos que se requiera
Verificar que en el aviso de privacidad se informen todas las transferencias que se realizan, y para aquéllas que así lo requieran, se incluya la cláusula para que el titular las consienta.
Considerar que en caso de no requerir el consentimiento por encontrarse en alguno de los supuestos de excepción del artículo 37 de la Ley, ello no lo exime de la obligación de informar las transferencias en el aviso de privacidad.
Verificar los términos y condiciones planteados en el aviso de privacidad y establecer mecanismos para que las transferencias que se realicen sólo sean aquéllas previstas en el aviso.
Establecer mecanismos para que en todos los casos en que ocurran transferencias, se comunique al tercero receptor el aviso de privacidad correspondiente.
Conservar en soporte físico, electrónico o en cualquier otro formato, las comunicaciones que tenga con los terceros receptores, en los que conste que les hizo del conocimiento el aviso de privacidad.
Documentar los instrumentos jurídicos mediante los cuales se formalicen las transferencias
Se sugiere utilizar un instrumento jurídico por escrito.
Exigir al responsable que transfiere los datos personales el aviso de privacidad correspondiente.
Implementar los mecanismos necesarios para que los datos personales se traten exclusivamente bajo las condiciones establecidas en el aviso de privacidad.
En caso de que el responsable receptor requiera tratar los datos personales para nuevas finalidades, informarlo al titular mediante el aviso de privacidad y, en su caso, solicitar su consentimiento.
En caso de que el tercero receptor no acepte esta condición, no realizar la transferencia.
Incluir en el instrumento jurídico en el que se formalice la transferencia o se establezca la relación jurídica entre el responsable y el tercero receptor de los datos personales, la obligación de éste último de asumir las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales.
Lista de comprobación de transferencias
Si en alguna de las preguntas la respuesta fue NO, será necesario realizar las acciones que correspondan, pues de lo contrario es probable que no se estén cumpliendo cabalmente las obligaciones en torno a las transferencias.
Cuando no se actualiza alguna de las causales del artículo 37 de la LFPDPPP ¿solicita el consentimiento de los titulares para la transferencia?
¿Informa en el aviso de privacidad que realiza transferencias, a quién y para qué finalidades?
Cuando se requiere ¿incluye en el aviso de privacidad la cláusula para solicitar el consentimiento del titular?
¿Realiza transferencias exclusivamente para las finalidades que establece el aviso de privacidad y a los terceros ahí señalados?
¿Se asegura de comunicar a los terceros receptores el aviso de privacidad y las condiciones en las que el titular sujetó el tratamiento de sus datos personales?
¿Cuenta con evidencia de que las transferencias se realizaron de acuerdo con lo que señala la norma?
Cuando la transferencia es nacional ¿la formaliza mediante instrumento jurídico que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales?
Cuando usted es el responsable receptor de datos personales ¿utiliza los datos recibidos exclusivamente para los fines que se establecieron en el aviso de privacidad y que, en su caso, consintió el titular? O bien, si desea tratar los datos para nuevas finalidades ¿solicita el consentimiento y pone a disposición del titular el aviso de privacidad?
Cuando se trata de transferencias internacionales ¿transfiere los datos exclusivamente cuando el tercero receptor asume las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales?
Cuando se trata de transferencias internacionales ¿las formaliza mediante instrumento jurídico que prevea al menos las mismas obligaciones para el tercero receptor, a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales?
5. Protocolo de ejercicio de derechos de los interesados
5.1. Derechos de los titulares de los datos
THE COCKTAIL permitirá en todo momento el ejercicio de los derechos establecidos en la normativa vigente en materia de protección de datos, incluyendo sin limitar, los derechos ARCO.
Estos derechos son los siguientes:
Derecho a la transparencia
Permite al interesado recibir toda información en el momento de la obtención de sus datos personales, así como cualquier comunicación relativa al tratamiento de sus datos personales, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. También tendrá derecho a que la información le sea facilitada, por escrito o por otros medios, si procede incluso electrónicos.
Derecho de información y acceso
Permite al ciudadano conocer y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento.
El afectado tiene derecho a solicitar información sobre sus datos personales que estén en manos de la organización, la confirmación de si esos datos están siendo o no tratados, y la siguiente información:
- Fines del tratamiento
- Categorías de datos personales de que se trate
- Destinatarios o categorías de destinatarios a los que se comunican o serán comunicados sus datos personales
- Plazo de conservación de los datos personales o criterios para su determinación
- Existencia del derecho a ejercer el resto de derechos del interesado
- Derecho a presentar una reclamación ante la autoridad de control
- Origen de los datos personales
- Existencia de decisiones automatizadas, si proceden
- La identidad y domicilio del responsable que los recaba
Derecho de rectificación
Garantiza al interesado el derecho a obtener, sin dilación indebida del Responsable del Tratamiento, la rectificación de los datos personales inexactos que le conciernan. De este modo, este derecho se caracteriza porque permite corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
Derecho de cancelación
Garantiza al interesado el derecho a obtener, sin dilación indebida del Responsable del tratamiento, la supresión o cancelación de los datos personales que le conciernan.
El ejercicio del derecho de supresión o cancelación dará lugar a que se supriman los datos personales que le conciernan, sin perjuicio del deber de bloqueo, cuando concurran las circunstancias:
- Cuando los datos personales ya no sean necesarios para los fines para los que fueron recogidos o tratados de otro modo.
- Cuando el interesado haya retirado su consentimiento, si éste era la base legitimadora del tratamiento.
- Cuando el interesado haya ejercido su derecho de oposición.
- Cuando los datos personales hayan sido tratados ilícitamente.
- Cuando los datos personales deban suprimirse para el cumplimiento de una obligación legal.
- Cuando los datos personales hayan sido obtenidos en relación con la oferta de servicios de la sociedad de la información basados en el consentimiento de los interesados.
Derecho de oposición al tratamiento
Es derecho del afectado a que no se lleve a cabo el tratamiento de datos personales que le conciernen, cuando esos datos sean objeto de un tratamiento relacionado con la elaboración de perfiles, con la satisfacción de intereses legítimos, o con el cumplimiento de una misión realizada en interés público.
El derecho de oposición es el derecho del titular a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo, en el caso de que el tratamiento de sus datos personales pudiera conllevar a un daño para el titular, o que éstos estén siendo utilizados para fines distintos a los señalados en el aviso de privacidad, salvo que se trate de los siguientes supuestos:
- Por su situación particular, cuando el tratamiento de sus datos sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al Responsable del Tratamiento.
- Por su situación particular, cuando el tratamiento de sus datos sea necesario para la satisfacción de intereses legítimos perseguidos por el Responsable del Tratamiento o por un tercero.
- Cuando el tratamiento se lleve a cabo en el contexto de la utilización de servicios de la sociedad de la información por medios automatizados que apliquen especificaciones técnicas.
- Cuando los datos se traten con fines de investigación científica o histórica o fines estadísticos.
La normativa de protección de datos recoge el derecho de las personas físicas afectadas a que se les facilite de forma sencilla y gratuita la transparencia, el acceso, rectificación y supresión, portabilidad de los datos personales que estén en nuestras bases de datos, y a la limitación del tratamiento (sin perjuicio de la imposición de cánones razonables basados en los costes administrativos). A pesar de ser derechos personalísimos, también los afectados podrán optar por ejercer sus derechos a través de un representante, el cual deberá identificarse y acreditar la representación que ostenta.
Los derechos de los titulares son derechos independientes, es decir, que para el ejercicio de ninguno de ellos es requisito previo el ejercicio de otro.
Siempre se deberá contestar a la solicitud ejercida por el afectado, aunque no haya utilizado el procedimiento establecido o no se tengan datos del interesado.
El ejercicio de los derechos deberá ser solicitado mediante comunicación dirigida a THE COCKTAIL como responsable del tratamiento, mediante correo electrónico a la dirección habilitada para ello lopd@the-cocktail.com o por correo ordinario. La comunicación debe incluir los requisitos exigidos por el organismo regulador en cada momento.
Habrá que llevar un registro de las personas que han ejercitado sus derechos.
5.2. Protocolo de ejercicio de derechos
5.2.1. En relación al derecho de acceso
Se deberá responder a la solicitud en el plazo máximo de 20 días a contar desde la recepción de la solicitud. En el caso de que no se disponga de datos de carácter personal del solicitante se deberá comunicárselo igualmente en el mismo plazo. En la respuesta se deberá comunicar y justificar al afectado si se estima o deniega su solicitud de acceso.
Si se estima la solicitud, se deberá proporcionar la información de forma legible e inteligible al afectado de la forma que éste indique: Visualización en pantalla; Escrito, copia o fotocopia remitida por correo ordinario o correo electrónico.
Se podrá denegar el acceso a los datos de carácter personal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto. En todo caso, se deberá informar al afectado de su derecho a recabar la tutela del órgano competente en México (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales).
5.2.2. En relación al derecho de rectificación
Para dar satisfacción al derecho de rectificación de los interesados, se seguirá el siguiente protocolo:
THE COCKTAIL como responsable del tratamiento debe responder a la solicitud en el plazo máximo de 20 días a contar desde la recepción de la solicitud, comunicando si se estima o desestima el derecho. En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente comunicárselo en el mismo plazo.
En el caso de que se deniegue el derecho de rectificación, se informará al afectado de su derecho a recabar la tutela del órgano competente en México (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales).
THE COCKTAIL dispone de un plazo máximo de un mes a contar desde la recepción de la solicitud para efectuar la rectificación solicitada por el afectado, en caso de aplicar, por lo que lo ideal es efectuar la rectificación y en la misma respuesta en la que se comunica la estimación comunicar también que ésta se ha efectuado.
IMPORTANTE: Si los datos rectificados hubieran sido comunicaciones a terceros previamente o hubiesen sido transmitidos con anterioridad a un tercero, se deberá comunicar la rectificación efectuada al cesionario (receptor de dichos datos), para que éste proceda, asimismo, a rectificar los datos. Dicha comunicación, para no sobrepasar el plazo de un mes legal, deberá realizarse en el plazo máximo de diez días contados desde la recepción de dicha comunicación.
5.2.3. En relación al derecho cancelación
THE COCKTAIL como responsable del tratamiento debe responder a la solicitud en el plazo máximo de 20 días a contar desde la recepción de la solicitud, comunicando si se estima o desestima el derecho. En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente comunicárselo en el mismo plazo.
En el caso de que se deniegue el derecho de supresión, se informará al afectado de su derecho a recabar la tutela del órgano competente en México (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales).
La supresión no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.
THE COCKTAIL dispone el plazo máximo de un mes a contar desde la recepción de la solicitud para efectuar la supresión solicitada por el afectado, por lo que lo ideal es efectuar la cancelación y en la misma respuesta en la que se comunica la estimación comunicar también que ésta se ha efectuado.
La supresión implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.
IMPORTANTE: Si los datos suprimidos hubieran sido comunicaciones a terceros previamente o hubiesen sido transmitidos con anterioridad a un tercero, se deberá comunicar la supresión efectuada al cesionario (receptor de dichos datos) para que éste proceda, asimismo, a suprimir los datos. Dicha comunicación, para no sobrepasar el plazo de un mes legal, deberá realizarse en el plazo máximo de diez días contados desde la recepción.
5.2.4 En relación al derecho de oposición
Se deberá responder a la solicitud en el plazo máximo de 20 días a contar desde la recepción de la solicitud. En el caso de que no se disponga de datos de carácter personal del solicitante se deberá comunicárselo igualmente en el mismo plazo. En la respuesta se deberá comunicar y justificar al afectado si se estima o deniega su solicitud de oposición.
Se deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el mismo plazo de un mes del que se dispone para responder.
5.2.6 Control de las personas que han ejercido sus derechos o han revocado su consentimiento en el tratamiento de datos
THE COCKTAIL debe llevar un control de las personas que han ejercido ante el grupo cualquiera de sus derechos. Dicho control estará volcado en un registro que a los efectos de este documento es referido como Registro de interesados que han ejercitado derechos.
Asimismo, aquellas personas que hayan revocado su consentimiento para la recepción de comunicaciones comerciales, deberán ser incluidas en una lista de exclusión que, a efectos de este documento es el Registro de interesados que han revocado consentimiento para comunicaciones comerciales.