POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES
RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES. -
Nombre de la Empresa: FILTROCORP S.A.
RUC: 0991466177001
Dirección: Cdla. El Mirador del Norte Mz. 32 Solar 5,
Guayaquil / Guayas, República del Ecuador
Teléfono: +(593) 4 3731310
Correo Electrónico: privacidaddatos@filtrocorp.com
FILTROCORP S.A. es consciente que los Datos Personales son de propiedad de las personas a las que se refieren y solamente ellas pueden decidir sobre los mismos. Por lo cual la empresa hará uso de los Datos Personales recolectados únicamente para las finalidades para las que se encuentra debidamente facultada y respetando, en todo caso, la legislación vigente sobre la Protección de Datos Personales.
ALCANCE. –
El presente instrumento establece las Políticas de Privacidad y Tratamiento de Datos Personales que se aplicará a todas las Bases de Datos y/o Ficheros que contengan Datos Personales que sean objeto de Tratamiento por parte de FILTROCORP S.A. como responsable del tratamiento de Datos Personales, quien para efectos del presente instrumento en adelante se podrá denominar la EMPRESA o simplemente FILTROCORP S.A.
Introducción
En sus operaciones comerciales diarias, FILTROCORP S.A. hace uso de una variedad de datos sobre personas identificables, incluidos datos sobre:
• Empleados activos, cesantes, y candidatos
• Clientes
• Usuarios de sus sitios web
• Suscriptores
• Proveedores
• Otras partes interesadas
Al recopilar y utilizar estos datos, la organización está sujeta a la normativa en materia de protección de datos, la Ley Orgánica de Protección de Datos Personales (LOPDP) vigente en Ecuador desde el 26 de mayo de 2021, publicada en el Registro Oficial No. 459, su Reglamento General (RGPDP) expedido el 6 de noviembre de 2023 mediante Decreto Ejecutivo No. 904, y reformas posteriores; que controla cómo se pueden llevar a cabo dichas actividades y las salvaguardas que deben implementarse para protegerlas.
Política de Privacidad y Tratamiento de Datos Personales
El objetivo de esta política es establecer la legislación pertinente y describir las medidas que FILTROCORP S.A. ha adoptado para garantizar su cumplimiento.
Este control se aplica a todos los sistemas, personas y procesos que constituyen los sistemas de información de la organización, incluidos los miembros de la Junta de Accionistas, la administración, los directores, los empleados, los proveedores y otros terceros que tienen acceso a los sistemas de FILTROCORP S.A.
Las siguientes políticas y procedimientos son relevantes para este documento:
• Proceso de evaluación de impacto del tratamiento de datos personales
• Procedimiento de análisis de datos personales
• Procedimiento de evaluación del interés legítimo
• Procedimiento de respuesta a incidentes de seguridad de la información
• Funciones y responsabilidades del RGPDP
• Política de retención y protección de registros
• Política de protección de datos
La Ley Orgánica de Protección de Datos Personales (LOPDP)
La LOPDP es una de las leyes más importantes que afectan a la forma en que FILTROCORP S.A. lleva a cabo sus actividades de tratamiento de la información. Se aplican multas significativas si se considera que se ha producido una infracción en virtud del LOPDP y el RGPDP, que está diseñada para proteger los datos personales de los ciudadanos de Ecuador. Es política de FILTROCORP S.A. garantizar que nuestro cumplimiento con la LOPDP y el RGPDP y otras normativas relacionadas, sea claro y demostrable en todo momento.
Definiciones
A continuación, las definiciones que se encuentran en la LOPDP y el RGPDP y se utilizan a en la redacción del presente documento:
• Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la presente ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales.
• Anonimización: La aplicación de medidas dirigidas a impedir la identificación o re-identificación de una persona natural, sin esfuerzos desproporcionados.
• Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
• Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.
• Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.
• Dato genético: Dato personal único relacionado a características genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre la fisiología o salud de un individuo.
• Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
• Datos personales crediticios: Datos que integran el comportamiento económico de personas naturales, para analizar su capacidad financiera.
• Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos, datos relativos a las personas apátridas y refugiados que requieren protección internacional, y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
• Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
• Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
• Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
• Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.
• Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, habilidad, ubicación, movimiento físico de una persona, entre otros.
• Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
• Entidad Certificadora: Entidad reconocida por la Autoridad de Protección de Datos Personales, que podrá, de manera no exclusiva, proporcionar certificaciones en materia de protección de datos personales.
• Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo acceso es público, incondicional y generalizado.
• Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
• Sellos de protección de datos personales: Acreditación que otorga la entidad certificadora al responsable o al encargado del tratamiento de datos personales, de haber implementado mejores prácticas en sus procesos, con el objetivo de promover la confianza del titular, de conformidad con la normativa técnica emitida por la Autoridad de Protección de Datos Personales.
• Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyen a una persona física identificada o identificable.
• Titular: Persona natural cuyos datos son objeto de tratamiento.
• Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comunique deben ser exactos, completos y actualizados.
• Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
• Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.
Principios relativos al tratamiento de datos personales
Hay una serie de principios fundamentales en los que se basa la LOPDP. Estos son los siguientes:
• Juridicidad.- Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución de la República del Ecuador, los instrumentos internacionales, y en la Ley de Protección de Datos del Ecuador.
• Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos son o serán tratados.
• Transparencia.- El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.
• Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la Ley de Protección de Datos del Ecuador.
• Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
• Proporcionalidad del tratamiento.-El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos.
• Confidencialidad.-El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la Ley de Protección de Datos del Ecuador.
• Calidad y exactitud.-Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
• Conservación.-Los datos personales serán conservados durante un tiempo n mayor al necesario para cumplir con la finalidad de su tratamiento.
• Seguridad de datos personales.-Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.
• Responsabilidad proactiva y demostrada.-El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la Ley de Protección de Datos del Ecuador, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y co regulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.
• Aplicación favorable al titular.-En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.
• Independencia del control.-Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el Estado, la Autoridad de Protección de Datos deberá ejercer un control independiente, imparcial y autónomo, así como llevar a cabo las respectivas acciones de prevención, investigación y sanción.
Derechos de los titulares de los datos
El interesado también tiene derechos en virtud de la LOPDP y el RGPDP. Estos consisten en:
• Derecho de acceso
• Derecho de rectificación
• Derecho de supresión
• Derecho a la eliminación / limitación del tratamiento
• Derecho a la portabilidad de los datos
• Derecho de oposición
• Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles
Cada uno de estos derechos está respaldado por procedimientos apropiados dentro de FILTROCORP S.A. que permiten que se tomen las medidas requeridas dentro de los plazos establecidos en la LOPDP y el RGPDP. Para mayor información dirija su solicitud a nuestro correo electrónico o dirección física de contacto que se encuentra al final del documento.
Licitud del tratamiento
Existen seis formas alternativas en las que se puede establecer la legalidad de un caso específico de tratamiento de datos personales en virtud de la LOPDP y el RGPDP. Es política de FILTROCORP S.A. identificar la base adecuada para el tratamiento y documentar, de conformidad con el Reglamento General. Las opciones se describen brevemente en las siguientes secciones.
Consentimiento
A menos que sea necesario por un motivo permitido en la normativa en materia de protección de datos personales, FILTROCORP S.A. siempre obtendrá el consentimiento explícito de un interesado para recopilar y procesar sus datos. En el caso de niños menores de 16 años, se obtendrá el consentimiento de los padres. En el momento en que se obtenga el consentimiento, se proporcionará información transparente sobre el uso que hacemos de sus datos personales a los interesados y se explicarán sus derechos con respecto a sus datos, como el derecho a retirar el consentimiento. Esta información se proporcionará de forma accesible, redactada en un lenguaje claro y de forma gratuita.
Si los datos personales no se obtienen directamente del interesado, esta información se proporcionará al interesado en un plazo razonable después de la obtención de los datos y, definitivamente, conforme a los establecido en el RGPDP.
Ejecución de un contrato
Cuando los datos personales recopilados y procesados sean necesarios para cumplir un contrato con el interesado. Los contratos incluyen cláusula de privacidad de datos y de confidencialidad- Este será a menudo el caso cuando el contrato no pueda completarse sin los datos personales en cuestión, por ejemplo, no se pueda realizar una entrega sin una dirección a la que entregar.
Obligación legal
Si se requiere que los datos personales se recopilen y procesen para cumplir con la ley en distintos ámbitos: fiscal, societaria, comercial, trabajo, seguridad social, salud, entre otros. Este puede ser el caso, por ejemplo, de algunos datos relacionados con el empleo y la fiscalidad, y de muchos ámbitos abordados por el sector público.
Intereses vitales del interesado
En el caso de que los datos personales sean necesarios para proteger los intereses vitales del interesado o de otra persona física, esto puede utilizarse como base legal del tratamiento. FILTROCORP S.A. conservará pruebas razonables y documentadas de que este es el caso, siempre que este motivo se utilice como base legal para el tratamiento de datos personales. A modo de ejemplo, esto puede utilizarse en aspectos de la asistencia social, especialmente en el sector público.
Misión realizada en interés público
Cuando FILTROCORP S.A. necesite realizar una tarea que considere de interés público o como parte de un deber oficial. La evaluación del interés público o del deber oficial se documentará y se pondrá a disposición como prueba cuando sea necesario.
Intereses legítimos
Si el tratamiento de datos personales específicos responde a los intereses legítimos de FILTROCORP S.A. y se considera que no afecta de forma significativa a los derechos y libertades del interesado, puede definirse como el motivo legítimo del tratamiento. Una vez más, se documentará el razonamiento detrás de este punto de vista.
Privacidad desde el diseño
FILTROCORP S.A. ha adoptado el principio de privacidad desde el diseño y se asegurará de que la definición y planificación de todos los sistemas nuevos o modificados significativamente que recopilen o procesen datos personales estén sujetas a la debida consideración de las cuestiones de privacidad, incluida la realización de una o más evaluaciones de impacto de la protección de datos.
• La evaluación de impacto de la protección de datos incluirá:
• Consideración de cómo se procesarán los datos personales y con qué fines
• Evaluación de si el tratamiento de datos personales propuesto es necesario y proporcionado a los fines
• Evaluación de los riesgos para las personas naturales en el tratamiento de los datos personales
• Establecimiento de los controles son necesarios para hacer frente a los riesgos identificados y demostrar el cumplimiento de la legislación
• Uso de técnicas como la minimización de datos y la seudonimización cuando proceda y sea apropiado.
Contratos que impliquen el tratamiento de datos personales
FILTROCORP S.A. se asegurará de que todas las relaciones que establezca y que impliquen el tratamiento de datos personales estén sujetas a un contrato documentado que incluya la información y los términos específicos requeridos por la LOPDP y el RGPDP. Para obtener más información, consulte la Política a nuestro correo electrónico o dirección física de contacto que se encuentra al final del documento.
Las transferencias de datos personales fuera del territorio ecuatoriano se revisarán cuidadosamente antes de que se produzca la transferencia para garantizar que se encuentran dentro de los límites impuestos por la LOPDP y el RGPDP. Esto depende en parte del juicio de la Autoridad de Protección de Datos o criterios establecidos si es el caso por la Institución rectora, en cuanto a la idoneidad de las salvaguardias para los datos personales aplicables en el país receptor, y esto puede cambiar con el tiempo.
Las transferencias internacionales de datos dentro del grupo estarán sujetas a acuerdos legalmente vinculantes denominados Normas Corporativas Vinculantes (BCR) que otorgan derechos exigibles a los interesados.
Delegado de protección de datos
La LOPDP y el RGPDP exige una función definida del delegado de protección de datos (DPD) si una organización es una organización privada o autoridad pública, si realiza una supervisión a gran escala o si procesa tipos de datos especialmente sensibles a gran escala. Se requiere que el DPD tenga un perfil profesional específico, nivel adecuado de conocimiento y puede ser un recurso interno o subcontratado a un proveedor de servicios apropiado.
Sobre la base de estos criterios, FILTROCORP S.A. no requiere el nombramiento de un Delegado de Protección de Datos Oficial (DPDo), sin embargo se ha realizado la designación de un DPD sobre la fase de su diseño del sistema de gestión de la protección de datos personales con responsabilidad proactiva y diseño por defecto.
Notificación de incumplimiento
Es política de FILTROCORP S.A. ser justo y proporcionado a la hora de considerar las medidas que deben adoptarse para informar a las partes afectadas sobre las violaciones de los datos personales. De conformidad con la LOPDP y el RGPDP, cuando se tenga conocimiento de que se ha producido un incidente y/o infracción que pueda suponer un riesgo para los derechos y libertades de las personas, se informará a la autoridad de control pertinente en un plazo de 72 horas. Esto se gestionará de acuerdo con nuestro Procedimiento de Respuesta a Incidentes de Seguridad de la Información, que establece el proceso general de gestión de brechas de seguridad de la información.
En virtud de la LOPDP y el RGPDP, la Autoridad de Protección de Datos (APD) pertinente tiene la potestad para imponer una serie de multas de hasta el 1% por ciento de la facturación total anual del período fiscal anterior.
Abordar el cumplimiento de la LOPDP - RGPDP
Para garantizar que FILTROCORP S.A. cumpla en todo momento con el principio de responsabilidad del RGPD, se llevan a cabo las siguientes acciones:
• La base jurídica para el tratamiento de datos personales es clara e inequívoca
• Se nombra un Delegado de Protección de Datos con responsabilidad específica en materia de protección de datos en la organización
• Todo el personal involucrado en el manejo de datos personales comprende sus responsabilidades de seguir las buenas prácticas de protección de datos
• Se ha impartido formación en materia de protección de datos a todo el personal
• Se siguen las reglas relativas al consentimiento
• Las rutas están a disposición de los interesados que deseen ejercer sus derechos en relación con los datos personales y dichas consultas se gestionan de forma eficaz
• Se llevan a cabo revisiones periódicas de los procedimientos relacionados con los datos personales
• La privacidad desde el diseño se adopta para todos los sistemas y procesos nuevos o modificados
• Se registra la siguiente documentación de las actividades de tratamiento:
o Nombre de la organización y detalles relevantes
o Finalidades del tratamiento de datos personales
o Categorías de personas y datos personales tratados
o Categorías de destinatarios de los datos personales
o Acuerdos y mecanismos para la transferencia de datos personales a terceros y transferencias internacionales
o Período de conservación de datos personales
o Establecimiento de los controles técnicos y organizativos pertinentes
Estas acciones se revisan periódicamente como parte del proceso de gestión relacionado con la protección de datos.
Modificaciones y Vigencia a la Política de Privacidad y Tratamiento de Datos Personales
FILTROCORP S.A., se reserva el derecho de modificar la presente política en cualquier momento. Cualquier cambio sustancial en las políticas de tratamiento de datos personales, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto. Las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta política. Una vez que se cumplan esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar su información, sus datos serán eliminados de nuestras bases de datos.
Aceptación y autorización
El titular manifiesta haber leído la Política para el tratamiento de sus datos personales. En consecuencia, reconoce haber sido informado acerca de las finalidades específicas del tratamiento y otorga su autorización expresa para el tratamiento de sus datos personales, incluida la autorización expresa de transferencia de sus datos.
Última actualización: 15 de enero de 2024