Apartado II. Obtención, Procesamiento, Almacenamiento y Custodia de la Información

2.1 Obtención y procesamiento de la información confidencial proporcionada

Con el fin de brindar una atención eficiente y personalizada a cada uno de nuestros clientes, así como de analizar su situación en particular y solucionar sus necesidades de la mejor manera posible, nos limitamos a recabar la siguiente información:

• Nombre

• Estatus (Representante de compañía o Freelance)

• Datos de contacto: correo electrónico, teléfono, redes sociales.

• Domicilio de negocio (si aplica) / Domicilio personal (solo en caso de comprar artículos directamente con nuestra compañía)

• Giro de negocio e información profesional estrictamente relacionada a la prestación de nuestros servicios (p.e. datos que nuestros asesores consideren relevantes, como matriz FODA, modelo canvas, situación corporativa, fotografías de los establecimientos comerciales, políticas publicitarias, estrategias de comunicación, etc.)

• Conversaciones e interacciones con la compañía, sean individuales o grupales, así como archivos adjuntos y datos secundarios estrictamente relacionados a este rubro (como la frecuencia de las conversaciones, plataforma mediante la cual se hizo contacto y hora)

• Productos y servicios contratados

• Historial de experiencias y características que contribuyan a la mejora continua

• Métodos de pago y archivos relacionados (como fotografías de comprobantes de pago, capturas de pantalla de transferencias bancarias, etc.)

Para estos efectos, solo la persona física podrá hacerlo para sí misma, o en su caso, el representante legal de la compañía.

Todas las conversaciones que sean a través de mecanismos no encriptados (p.e. M.D. en Twitter y conversaciones no secretas en Telegram) no serán tomadas en consideración para la recepción y tratamiento de datos confidenciales (los arriba mencionados), ni se enviarán los archivos digitales entregables por la contratación de nuestros servicios. Tomando esto en consideración, nuestros asesores siempre recomendarán al cliente continuar a través de mecanismos seguros de transferencia de información.

No nos hacemos responsables si el cliente por voluntad propia entrega información confidencial por medios no encriptados, ni tampoco por fugas de información a través de hackeos durante conversaciones privadas.

Por lo anterior, siempre borramos al instante los datos confidenciales de nuestros clientes al recibirlos durante las conversaciones una vez que han sido registrados en nuestras bases de datos. Al cliente se le sugerirá que los borre de igual manera.

2.2 Almacenamiento y custodia de la información confidencial proporcionada

Todos los datos previamente mencionados en el Apartado 2.1 se integran en un expediente único, conforme a cada cliente en particular, y son custodiados a través de Microsoft OneDrive. Por otra parte, un respaldo diario de todos estos datos es realizado a través de discos duros de nuestra compañía.

En el caso del nombre y datos de contacto de la persona o del representante de la compañía, estos también serán almacenados a través de los servidores de Apple o Google (dentro de la cuenta de nuestra compañía) con el único motivo de que sea posible conversar con nuestros clientes a través de plataformas en las cuales se deben sincronizar los contactos (como WhatsApp o Telegram).

Todos los datos de nuestros clientes serán almacenados de manera indefinida dentro de tales plataformas de almacenamiento en la nube, a menos que el cliente opte por la eliminación de ellos conforme al Apartado III. Derechos Arco.

2.3 Datos no personales e información no confidencial

Al interactuar con nuestro sitio web, la siguiente información se almacena y procesa en nuestros servidores únicamente con fines de análisis estadístico y comercial para la mejora de nuestros servicios y productos, así como de detección, prevención y respuesta frente a fraudes, abusos, riesgos de ciberseguridad y problemas técnicos que puedan dañar a nuestra compañía, activos virtuales o a los datos de nuestros clientes:

• Tipo de navegador y su configuración

• Número de versión de la aplicación

• Tipo de dispositivo y su configuración

• Sistema operativo del dispositivo

• Dirección IP

• Fecha y hora del dispositivo

• URL de referencia

No almacenamos datos personales de individuos que no sean nuestros clientes con el objetivo de limitarnos a la información estrictamente necesaria para nuestra operación comercial y respetar al máximo la privacidad de todas las personas.

Toda la información resultante de las conversaciones llevadas a cabo con nosotros (independientemente del medio por el cual se hizo contacto) y en las cuales no se consolide una transacción comercial, será eliminada en un plazo máximo de tres días hábiles (siempre y cuando la persona con la cual se hizo contacto no sea un cliente).

Apartado III. Derechos ARCO

En todo momento, todos nuestros clientes tienen el derecho al Acceso, Rectificación, Cancelación y Oposición de sus datos conforme a los siguientes criterios:

3.1 Acceso

Para conocer el expediente completo que se tiene del cliente, bastará con que nos lo manifieste por escrito a través de un mecanismo encriptado, y en un plazo de máximo tres días hábiles se le contestará a través del mismo medio con una carpeta .zip que contenga toda su información hasta la fecha en que nos solicitó la solicitud de acceso a su información.

3.2 Rectificación

El cliente puede solicitarnos en todo momento la rectificación de datos de contacto o personales, tales como domicilio, correo, teléfono y redes sociales. Los demás datos (que son los que se mencionan en el Apartado 2.1) no pueden ser rectificados al ser papeles de trabajo de nuestra compañía como tal.

3.3 Cancelación

El cliente en todo momento podrá optar por eliminar su información siempre y cuando:

• No tenga alguna obligación financiera con nuestra compañía al momento de solicitarlo

• No tenga algún conflicto u obligación administrativa o penal con nuestra compañía al momento de solicitarlo, o viceversa, ni si se prevea que haya alguno en el futuro

• Nuestra compañía aún tenga alguna obligación contractual con el cliente

Para tales efectos, el mecanismo será solicitarlo a contacto@smartaudio.ai

Una vez eliminados los datos, en nuestro expediente sólo quedará el nombre del cliente y la leyenda: Datos borrados por solicitud del cliente en la fecha (fecha en la que se realizó la solicitud), y la comprobación de que así lo solicitó en tal ocasión. Asimismo, se le enviará una confirmación de eliminación al cliente y una captura de pantalla de que así ha ocurrido dentro de nuestra plataforma de almacenamiento en la nube.

3.4 Oposición

El cliente también tiene derecho a oponerse al uso de datos personales para fines específicos (solo los propuestos en el Apartado 2.1, que son para lo cual le damos uso a sus datos). Para ello debe manifestar por escrito su inquietud y se le dará seguimiento en la misma plataforma.

3.5 Requisitos generales para ejercer los derechos ARCO

En todos los anteriores casos se deberá identificar plenamente que es la persona física quien solicita sus derechos ARCO o, en su caso, el representante legal de la compañía. De igual modo, se deberá contar con una descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados. Todo con el motivo de no incurrir en afectaciones a la información por engaños o perjuicios provocados de otras partes.

Apartado IV. Políticas de privacidad de terceros relacionados

Con el motivo de minimizar costos de logística y envíos, utilizamos la plataforma de Amazon para hacerle llegar a nuestros clientes los productos que ofrece nuestra compañía. Al hacer uso de esta plataforma, el cliente se sujeta a su respectiva política de privacidad. Sin embargo, para los países en los que no es factible pedir a través de esta plataforma o resulta inconveniente por el factor de costo de envío, sugerimos al cliente revisar nuestra página web para corrobar si existe inventario en una tienda física dentro de su país, y visitar tal local o solicitar un envío particular a su domicilio directamente con nosotros.

En el caso de estos envíos particulares, el cliente acepta las políticas de privacidad de las empresas de paquetería que se contraten para tales efectos (mismas que el cliente podrá decidir antes de ejercer su pedido).

Con respecto a las compras de libros de Smart Audio Publishing realizadas a través de Google Play o Apple Books, el cliente acepta su respectiva política de privacidad al realizar una transacción.

Las interacciones que se realicen a través de redes sociales son reguladas por sus respectivas políticas de privacidad.

Apartado V. Transmisión de información a otras personas o compañías

En ningún momento compartimos la información confidencial de nuestros clientes con otras personas, empresas o instituciones ajenas nuestra compañía. No obstante, en caso de una disputa legal con algún cliente, compartiremos únicamente la información confidencial que sea necesaria para el caso conforme lo requiera la autoridad, y siempre se le avisará al cliente el motivo por el cual se inicia un proceso y la situación jurídica conforme transcurre el tiempo a través del medio de contacto que haya elegido.

Los artículos 63 a 69 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares indican las sanciones concernientes al mal uso de la presente información:

Art. 63 Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable:

I. No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley;

II. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales;

III. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;

IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;

V. Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley;

VI. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares;

VII. No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64;

VIII. Incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley;

IX. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12;

X. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos;

XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;

XII. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;

XIII. Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible;

XIV. Obstruirlosactosdeverificacióndelaautoridad;

XV. Recabar datos en forma engañosa y fraudulenta;

XVI. Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares;

XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos;

XVIII.Crear bases de datos en contravención a lo dispuesto por el artículo 9, segundo párrafo de esta Ley, y

XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.

Artículo 64.- Las infracciones a la presente Ley serán sancionadas por el Instituto con:

• El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en la fracción I del artículo anterior;

• Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones II a VII del artículo anterior;

• Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y

• En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.

Artículo 65.- El Instituto fundará y motivará sus resoluciones, considerando:

• La naturaleza del dato;

• La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley;

• El carácter intencional o no, de la acción u omisión constitutiva de la infracción;

• La capacidad económica del responsable, y

• La reincidencia.

Artículo 66.- Las sanciones que se señalan en este Capítulo se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

Artículo 67.- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.

Artículo 68.- Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.

Artículo 69.- Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.

No nos hacemos responsables económicamente de filtraciones de datos, hackeos, y demás inconvenientes que sean responsabilidad directa de Microsoft OneDrive. No obstante, en caso de presentarse estos siniestros, se le notificará individualmente a todos los clientes afectados y se dará seguimiento a cada caso en particular para que se minimice el impacto generado por tales.

Tampoco nos hacemos responsables de la información relacionada a los servicios de terceros que el cliente utilice para establecer contacto con nuestra compañía (como el proveedor de internet, el proveedor de telefonía móvil, las redes sociales, la plataforma de correo electrónico que utilice el cliente, etc.) y sus respectivas políticas de privacidad.

En todo caso se le avisará al cliente que sus datos fueron vulnerados al instante en que se conozca tal perjuicio a través del medio de contacto que haya seleccionado.

Apartado VII. Fusión, escisión o extinción de la compañía

Si Smart Audio IL, SAS., participa en una fusión o escisión mercantil, o en su caso inicia un proceso de quiebra o extinción de la compañía, notificaremos a todos nuestros clientes (con una antelación mínima de un mes) antes de que sus datos se sujeten a una política de privacidad distinta por todos los medios de contacto posibles, o en su caso, se eliminen. Mientras tanto, seguiremos garantizando la confidencialidad de la información recabada de todos nuestros clientes hasta el momento de tal circunstancia.