Circular 001/2020 aplicable al tratamiento de datos personales de los Clientes de Eiya, S. de R.L. de C.V., (en adelante, la Sociedad) expedida por el órgano de administración.
Ámbito de aplicación. La presente circular aplica a todo el personal de la Sociedad, cuando se realice el tratamiento de datos personales de clientes que utilicen cualquiera de los servicios de Dashboard, API, o Integraciones de tiendas de comercio electrónico (e.g Shopify). El Departamento de Datos Personales se asegurará que esta circular se aplique adecuadamente.
- Datos Recabados como Responsable. A continuación se establecen las reglas para recabar datos en calidad de responsable.
- Datos. Los datos personales del cliente que deben recabarse son:
- Nombre completo;
- Dirección de correo electrónico;
- Número telefónico (fijo y celular);
- Giro comercial;
- Domicilio comercial;
- Domicilio fiscal;
- Clave del Registro Federal de Contribuyentes;
- Número y tipo de productos que vende y envíos que realiza;
- Dirección de sitio web comercial;
- Nombre de usuario para autenticarse en nuestros sistemas;
- Servicios que nos ha contratado y la cantidad que nos paga por los mismos.
- Datos Sensibles. No se podrán recabar datos personales sensibles, salvo que se cuente con autorización expresa del Departamento de Datos Personales.
- Fuente. Estos datos deberán de ser obtenidos directamente del Titular o su representante legal, a través de el proceso de registro en https://eiya.mx/, por medio del cual, el titular llenará un formulario que se almacenará directamente en bases de datos bajo el control y administración de la Sociedad.
- Aviso de Privacidad. Estos datos se deberán de tratar con fundamento en el Aviso de Privacidad Integral aprobado por el órgano de administración de la Sociedad, que se encuentre publicado en el Centro de Ayuda (ayuda.eiya.mx).
- Aceptación del Aviso de Privacidad. Antes de poder acceder por primera vez a su cuenta de usuario, la plataforma operada por la Sociedad deberá desplegar el Aviso de Privacidad Integral, y proporcionar una casilla con la leyenda “he leído y consiento el tratamiento de mis datos personales al amparo de este Aviso de Privacidad”, para que el Titular pueda manifestar su consentimiento. La Sociedad deberá de diseñar un proceso para acreditar que el Titular dio “clic” manifestando su consentimiento, almacenando cualquier dato de identificación que considera adecuado y el sello de tiempo en que se manifestó el consentimiento.
- Archivo. Se deberá de llevar un archivo o base de datos que identifique el Aviso de Privacidad Integral que ha aceptado el Titular, al igual que la fecha y hora en que dicha persona manifestó su consentimiento.
- Finalidades del tratamiento. Los datos personales mencionados en el punto 2.1 anterior, únicamente podrán ser tratados para los siguientes fines:
- Cumplimiento de Obligaciones celebradas con el Titular;
- Resolver consultas de atención al cliente;
- Permitir el acceso del Titular a la Plataforma;
- Para mejora de los servicios de la Sociedad, siempre y cuando los datos se sometan a un procedimiento previo de disociación y;
- Para fines de mercadotecnia, publicidad y prospección comercial de los productos o servicios de la Sociedad y/o de los integrantes de su grupo comercial, siempre y cuando, se obtenga el consentimiento tácito o expreso del titular, en los términos del punto 2.4 anterior y el Titular no lo haya limitado o revocado.
- Almacenamiento. Los datos personales mencionados en el punto 2.1 se almacenarán a través de un servicio de cómputo en la nube provisto por Amazon Web Services, Inc y/o sus filiales, con estructura RDS y S3.
- Remisiones a Encargados. Los datos personales mencionados en el punto 2.1 se remitirán a los siguientes Encargados para los siguientes fines:
- A Amazon Web Services, Inc y/o sus filiales, para almacenar los datos personales. Ver Términos y Condiciones (https://d1.awsstatic.com/legal/awsserviceterms/AWS%20Service%20Terms%20-%20Spanish%20Translations.pdf)
- A los mensajeros contratados por la Sociedad para realizar recolectas y entrega de mercancías.
- A Grupo Empresarial Rimatch, S.A.S. de C.V. (SiConta), para realizar la contabilidad y declaraciones fiscales de la Sociedad.
- A Expresión en Software, S.A.P.I de C.V (Facturama), para expedir facturas electrónicas.
- A “Shiphero”, para para administrar inventario y gestionar cumplimiento de servicios. Ver Términos y Condiciones (https://fulfillment.shiphero.com/terms-and-conditions/)
- Transferencias a terceros. Los datos personales mencionados en el punto 2.1 se transferirán a los siguientes Terceros para los siguientes fines:
- Al Servicios de Administración Tributaria (SAT), para cumplir con leyes y obligaciones fiscales.
- Diversas empresas de logística como DHL o FedEx, para entregar paquetes fuera de la zona de cobertura de los servicios de la Sociedad.
- A empresas de procesamiento de pagos digitales como Stripe, Conekta, STP o Paypal, para la cobranza automática dentro de las aplicaciones, productos y servicios ofrecidos por Eiya.
- Remisiones Recibidas como Encargado. La Sociedad recibirá, en su carácter de Encargado, los datos siguientes datos personales de la persona a quien la Sociedad tenga que entregar un paquete:
- Datos.
- Nombre completo;
- Dirección comercial o convencional;
- Correo electrónico;
- Número de teléfono de contacto y;
- Las coordenadas de geo-posicionamiento global del domicilio en donde se entregará el paquete.
- Almacenamiento. Los datos mencionados en el punto 7.1 se almacenarán a través de un servicio de cómputo en la nube provisto por Amazon Web Services, Inc y/o sus filiales con estructura RDS y S3. Esto implica una subcontratación de Encargado.
- Datos.
- Medios para hacer transferencias y remisiones. Toda divulgación de datos, ya sea transferencia o remisión, deberá de hacerse a través de medios electrónicos y digitales, aprobados o recomendados con base en mejores prácticas internacionales en materia de seguridad de la información y que acrediten la entrega y recepción de los mismos.
- Accesos. Únicamente las siguientes personas podrán obtener acceso podrán tener acceso a los datos mencionados en el punto 2.1 y 7.1 para los siguientes fines:
- Acceso autorizados: Administradores de sistemas; Desarrolladores de productos o programas de cómputo autorizados; Analistas de información y; Personal dedicado a la extracción, limpieza y análisis de datos.
- Finalidades: Las personas mencionadas en el punto 9.1 únicamente podrán usar los datos a los que accedan para los fines que se les encomiende en los contratos que se celebren con dichas personas.
- Restricciones: La Sociedad vigilará que por lo menos, se cumpla con lo siguiente: i) que el Acceso a las bases de datos personales sea administrado mediante credenciales de acceso con distintos niveles de facultades y; ii) Que todas las personas que accedan a las bases de datos hayan firmado un contrato de prestación de servicios o similiar, en donde se restrinjan y delimiten sus funciones autorizadas.
- Confidencialidad. Todas las personas que accedan a los datos mencionados en el punto 2.1 y 7.1 del presente documento deberán de tener firmado un Convenio de Confidencialidad con la Sociedad.
- Vulnerabilidad. El tratamiento de datos personales dentro de la organización tiene un riesgo considerable, por lo que deberá de sujetarse al plan de seguridad informática que emita la Sociedad.
- Código de Prácticas Internas. En todo lo no previsto por este documento, se aplicará el Código de Prácticas Internas de Privacidad vigente de la Sociedad.
Comentarios
0 comentarios
El artículo está cerrado para comentarios.