Protección de datos

1. INTRODUCCIÓN

Debido a su estrecha relación con los derechos y libertades de los titulares, los datos personales tienen una protección legal especial y más fuerte en comparación con la información en general. Además, desde una perspectiva complementaria, los datos personales son un recurso valioso para las empresas, al igual que otros activos, y, por lo tanto, deben ser protegidos adecuadamente.

La organización es consciente de que el tratamiento de datos personales conlleva riesgos tanto para los derechos y libertades de los titulares como para la consecución de sus objetivos. Por lo tanto, se compromete a gestionar adecuadamente estos riesgos adoptando una responsabilidad proactiva en el cumplimiento de los requisitos de la normativa ecuatoriana de protección de datos personales. Es importante tener en cuenta que la protección de los datos personales no se limita a garantizar su confidencialidad, integridad y disponibilidad (seguridad de los datos personales).

Para lograr esto, es esencial que la protección de datos personales esté integrada en todos los comportamientos operativos y en la cultura organizacional de la empresa. Esto implica que todos los miembros de la organización deben comprometerse a tratar los datos personales siguiendo las instrucciones proporcionadas por la empresa y cumpliendo con los requisitos normativos del régimen ecuatoriano, así como las necesidades y expectativas de las partes interesadas.

Como parte de la cultura organizacional, esta política debe ser aplicada por todo el personal que tenga una relación directa o indirecta con los datos personales de la empresa, incluyendo terceros o compañías que traten los datos personales de la empresa o tengan acceso a ellos. 

2. TÉRMINOS Y DEFINICIONES 

Los términos y definiciones aplicables para esta política serán los que constan a continuación:

• CRE: Constitución de la República del Ecuador
• Dato(s) personal(es):  Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
• Datos personales o actividades de tratamiento de responsabilidad de la Organización: se refiere a los datos personales cuya finalidad y tratamiento es determinado por la Organización ya sea sola o conjuntamente con uno o varios responsables del tratamiento.
• Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
• Encargado del tratamiento: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros, trata datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
• LOPDP: Ley Orgánica de Protección de Datos Personales.
• R-LOPDP: Reglamento Ley Orgánica de Protección de Datos Personales.
• Medidas (o controles) adecuadas y necesarias: Se entiende por tales aquellas aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole.
• Normativa ecuatoriana de protección de datos personales: Esta referencia hace alusión al conjunto de normas jurídicas que rigen la protección de datos personales en Ecuador. En lo principal: Constitución de la República; Ley Orgánica de Protección de Datos Personales; Reglamento a dicha Ley; Directrices, Lineamientos y Regulaciones emitidas por la Autoridad Ecuatoriana de Protección de Datos Personales; y normativa sectorial aplicable.
• Partes interesadas (de la protección de datos personales): persona u organización que puede afectar, estar afectada o percibir que está afectada por una decisión o actividad vinculada a la protección de datos personales. Se trata particularmente de aquellas que generan un riesgo significativo a los objetivos de la organización si sus necesidades y expectativas no se cumplen.
• Responsable del tratamiento: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
• Seguridad de datos personales: seguridad de la información en el ámbito específico de información clasificada como datos personales.
• Titular de los datos (o interesado): Persona natural cuyos datos son objeto de tratamiento.
• Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

 

3. POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES 

3.1 Compromiso de la organización con la protección de datos personales 

La organización asume el firme compromiso de garantizar la protección adecuada de los datos personales bajo su responsabilidad, en cumplimiento de la normativa aplicable y la satisfacción de los requisitos y expectativas de las partes interesadas pertinentes. 

Reconociendo la importancia y la sensibilidad de los datos personales, la organización declara su compromiso con los elementos contenidos en la presente política general, mismos que serán desarrollados y operativizados en el programa de cumplimiento de la organización.  

3.2 Alcance: 

3.2.1. Esta política incluye en su alcance todas las actividades de tratamiento de datos personales que sean de responsabilidad de la Organización, sean estas ejecutadas directamente por colaboradores de la Organización, por encargados del tratamiento o cualquier tercero que tengan acceso a datos personales de responsabilidad de la Organización.   

3.2.2. Esta política se aplica a todo el personal, incluido el personal temporal, y los contratistas, proveedores o terceros que traten datos personales de responsabilidad de la Organización o tengan acceso a ellos. 

3.3 Objetivo: 

Establecer lineamientos generales para garantizar la protección y el tratamiento adecuado de los datos personales conforme los requisitos de la normativa ecuatoriana y las expectativas y necesidades de las partes interesadas. 

3.4 Marco Normativo Interno de la Protección de Datos Personales 

El marco normativo de seguridad de la Información está comprendido por políticas, directivas, estándares y procedimientos derivadas de la Política General de Protección de Datos Personales. 

3.5 Sanciones Previstas por Incumplimiento:  

El incumplimiento de las disposiciones establecidas en esta política será sancionado de acuerdo al reglamento interno. 


4. PRINCIPIOS RECTORES DE LA PROTECCIÓN DE DATOS PERSONALES 

Los siguientes principios regirán la implementación de la protección de datos personales y toda actividad de tratamiento de datos personales de responsabilidad de la Organización:

• Juridicidad, lealtad y transparencia: La Organización empleará todas las medidas y controles adecuados y necesarios para asegurar que los datos personales de su responsabilidad sean tratados a través de medios y para fines legítimos y con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la normativa ecuatoriana de protección de datos personales y la normativa de la Organización.  

• Igualmente, la Organización implementará todos las medidas y controles adecuados y necesarios para que toda información o comunicación relativa a este tratamiento sea fácilmente accesible y fácil de entender para los titulares de datos personales. Para ello se utilizará en todo momento un lenguaje sencillo y claro. 

• Limitación de la finalidad: La Organización determinará, explicitará y comunicará al titular de los datos las finalidades del tratamiento. Estas finalidades siempre serán legítimas y ajustadas a la normativa ecuatoriana de protección de datos personales.  

• Minimización de datos personales y su tratamiento y conservación: La Organización recogerá y tratará solamente los datos personales que sean estrictamente necesarios para la consecución de la finalidad perseguida en cada actividad de tratamiento. El tratamiento de datos igualmente se diseñará para recoger y usar la menor cantidad de datos y la menor cantidad de categoría de datos. El tratamiento de datos y acceso a los mismos se efectuará solo por los usuarios que sean estrictamente necesarios para la consecución de la finalidad del tratamiento. Los datos personales deberán conservarse solo por el tiempo que sea estrictamente necesario.  

• Calidad de los datos: Los datos personales serán exactos y, si fuera necesario, actualizados. 

• Responsabilidad proactiva y demostrada: La Organización se ajustará en todo momento a los requerimientos normativos de la normativa ecuatoriana de protección de datos personales y, además, la organización se esforzará en la medida de lo posible por adoptar buenas prácticas y estándares internacionales en la gestión y tratamiento de datos personales para asegurar un nivel mayor de protección respecto del mínimo exigido por la normativa aplicable.

Igualmente, la Organización adoptará las medidas necesarias para poder demostrar el cumplimiento de la normativa ecuatoriana de protección de datos personales.

La mejora continua será un elemento fundamental en el cumplimiento de las obligaciones de la normativa ecuatoriana de protección de datos personales por parte de la Organización.

• Seguridad de datos personales: La Organización implementará todas las medidas de seguridad adecuadas y necesarias para asegurar la confidencialidad, disponibilidad, integridad y resiliencia de los datos personales de su responsabilidad.

• Protección basada en riesgos: Las medidas y controles adecuados y necesarios para la protección y seguridad de datos personales se implementarán con base en un análisis del riesgo para derechos y libertades de los titulares que acarrean las actividades de tratamiento de datos personales de responsabilidad de la Organización. Para dicho efecto la organización tendrá identificados los datos personales que trata, qué actividades de tratamiento ejecuta y los sistemas y personas que intervienen en dicho tratamiento.

En los casos en los que el riesgo para derechos y libertades sea considerado alto respecto de una o varias actividades de tratamiento, se llevará a cabo una Evaluación de Impacto del Tratamiento de Datos Personales conforme el artículo 42 de la LOPDP. En todo momento el proceso de gestión del riesgo de derechos y libertades se integrará y complementará con las prácticas internas de la Organización. 

5. PROTECCIÓN DE DATOS PERSONALES POR DEFECTO Y DESDE EL DISEÑO

La Organización observará en todo momento su obligación de adoptar la protección de datos personales desde el diseño y por defecto. Para ello la Organización:

• Considerará las implicaciones de protección de datos personales y los riesgos para derechos y libertades en las primeras fases de concepción y diseño de todos sus proyectos y durante las fases de planificación e implementación. Esta obligación abarca también a todos los nuevos sistemas utilizados para el tratamiento de datos (“protección de datos desde el diseño”). 

• Implementará todas las medidas adecuadas y necesarias para asegurar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines del tratamiento (“protección de datos por defecto”). 

6. ESTRUCTURA ORGANIZACIONAL DE LA PROTECCIÓN DE DATOS PERSONALES

La implementación satisfactoria de la Política General de Protección de Datos Personales, y de las medidas que de ella se desprendan para el cumplimiento de las obligaciones de la normativa ecuatoriana de protección de datos, requiere la plena cooperación y la asistencia de todos los colaboradores. Es imperativo, por lo tanto, que todo el personal sea consciente de los requisitos de protección de datos personales y opere de acuerdo a ellos.

A los efectos de definir e implementar adecuados niveles de protección de datos personales, se ha establecido una estructura organizacional de la protección de datos dentro de un marco de gobernanza con los siguientes roles y responsabilidades:

 

• Jefe de TI y Protección de Datos Personales. - La Jefatura de TI es el responsable principal de la gestión de la protección de datos personales de Laarcourier Express y de garantizar el cumplimiento de la normativa de protección de datos aplicable. Sus funciones son: 

  • Definir la estrategia de protección de datos y supervisar su implementación.  

  • Definir el plan operativo anual de la protección de datos en coordinación con el coordinador de la protección de datos.

  • Definir la metodología de gestión del riesgo de derechos y libertades.

  • Definir políticas, procedimientos y medidas de protección de datos en coordinación con el coordinador de la protección de datos.

  • Definir los acuerdos, avisos informativos, cláusulas de consentimiento e informativas y demás documentación requerida para el cumplimiento de la normativa aplicable, en coordinación con las áreas respectivas

  • Identificar y evaluar riesgos asociados al tratamiento de datos personales y definir las medidas apropiadas para mitigarlos.

  • Desarrollar protocolos para detectar, contener y resolver incidentes de seguridad que involucren datos personales.

  • Establecer guías claras sobre el manejo, almacenamiento y procesamiento de datos personales.

  • Coordinar con el área competente el desarrollo y ejecución de programas de formación a los empleados sobre la LOPDP y buenas prácticas en seguridad de la información y protección de datos personales.

  • Identificar áreas de mejora y desarrollar planes de acción para abordar las brechas de cumplimiento.

  • Resolver consultas o inquietudes en materia de protección de datos que les sean elevadas.

  • Coordinar la gestión, junto con las áreas respectivas y el coordinador de la protección de datos respectivo, la respuesta a solicitudes de ejercicio de derechos y los reclamos y consultas planteados por los titulares de datos personales. 

• Delegado de Protección de Datos. - El delegado de Protección de Datos brindará soporte a la organización ejerciendo las siguientes funciones:

• Funciones legales previstas en el artículo 49 de la LOPDP o Informar y asesorar a la organización sobre sus obligaciones legales en materia de protección de datos. 

• Supervisar el cumplimiento de la normativa de protección de datos personales.

• Asesorar en el análisis de riesgo, evaluación de impacto, evaluación de medidas de seguridad, y supervisar su aplicación.

• Cooperar con la Autoridad de Protección de Datos y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales

• Actuar como punto de contacto con el titular de datos personales con relación al tratamiento de sus datos personales. 

• Se podrá designar funciones al delegado siempre que ello no implique un conflicto de interés en el ejercicio de sus funciones legales y se cumplan los requisitos normativos aplicables. 

El delegado podrá ser interno (bajo relación de dependencia) o externo (prestación de servicios) siempre que se cumplan los requisitos legales aplicables. La organización, asume la responsabilidad de cumplir con las obligaciones relacionadas al rol del delegado, particularmente las descritas en el artículo 50 de la LOPDP y 51 del Reglamento a la LOPDP.

• Coordinador de la Protección de Datos. - Es el responsable de:
• Coordinar la implementación de las directrices emitidas por la Jefatura de ti en la organización.
• Asistir al Jefe de TI y Protección de Datos en la identificación y evaluación de riesgos asociados al tratamiento de datos personales y coordinar la ejecución de las medidas definidas por la Jefatura de TI para mitigarlos.
• Asistir al Jefe de TI y Protección de Datos en la identificación de áreas de mejora y desarrollar planes de acción para abordar las brechas de cumplimiento.
• Notificar a la Jefatura de TI respecto de los incidentes de seguridad y las solicitudes de ejercicio de derechos, solicitudes o reclamos que llegaren a su conocimiento; y coordinar las acciones respectivas para su gestión.Ser el punto de contacto interno para cualquier consulta relacionada con la privacidad y la protección de datos en la empresa.
• Auditoría interna. - Garantizar el aseguramiento independiente y objetivo en la organización asegurándose de gestionar cualquier falta de control o fallas en la conducción del negocio.

El organigrama relacionado a la estructura de la protección de datos personales, con base en los roles antes indicados:  

 

7. DIRECTRICES GENERALES PARA LA PROTECCIÓN DE DATOS PERSONALES

 

Las siguientes directrices regirán a la implementación de la Protección de Datos Personales:

• Estructura organizacional: la Organización designará formalmente un responsable interno de la protección de datos personales y comunicará internamente en la organización tal nombramiento. De igual manera, la Organización designará roles y responsabilidades de todo el personal que trate datos personales o tenga acceso a ellos. El rol de autoridad interna ejercido por el responsable organizacional no obstará el compromiso y las responsabilidades que deben tener todos los miembros de la organización.
• Tratamiento legítimo de datos personales: La Organización se asegurará de conocer y cumplir con todas las leyes y regulaciones de protección de datos personales aplicables, así como las leyes y regulaciones internacionales cuando corresponda. El incumplimiento de estas disposiciones puede resultar en sanciones civil, penal y administrativa, lo cual incluyen multas, indemnizaciones y daños a la reputación de la organización. La organización adoptará medidas para controlar y garantizar el cumplimiento de la normativa aplicable por parte de colaboradores y encargados del tratamiento; sin obstar las acciones legales que pudieran caber en contra de aquello por una inobservancia de las medidas indicadas por la Organización.
• Determinación previa de bases de legitimidad: La Organización observará en todo momento su obligación de identificar de manera previa las bases legales de legitimidad para cada actividad de tratamiento de datos personales en particular. Esta base de legitimidad se determinará en función de la normativa aplicable teniendo en cuenta las distinciones que dicha normativa efectúe en lo que respecta a las categorías de datos sensibles.
• Cuando sea necesario, la Organización deberá asegurarse de obtener el consentimiento libre, específico, informado e inequívoco del titular de los datos antes de procesar sus datos personales y con las formalidades previstas en la ley. Deberá conservarse la evidencia necesaria de dicho consentimiento, en particular, de cuándo, cómo y de quién fue recolectado
• Tratamiento de datos para finalidades distintas a las de la recogida inicial: finalidad La Organización sólo tratará datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente cuando estas finalidades nuevas sean compatibles con los fines de su recogida inicial. Para ello, la Organización considerará el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con la Organización en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias que tiene el tratamiento posterior previsto para los titulares y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento posterior prevista.
• Implementación de los principios de protección de datos: Seguir los principios fundamentales de protección de datos personales tal como están determinados en la normativa aplicable y en la presente política.
• Gestión del deber de informar: La organización implementará medidas para cumplir con su obligación de informar y garantizar el referido derecho a los titulares de datos personales cuyos datos trate directamente o sean tratados por cuenta suya mediante un encargado del tratamiento.

La Organización se asegurará que las comunicaciones efectuadas para cumplir con tal deber cumplan con los principios de transparencia y lealtad y se efectúen en la forma y momentos determinados por la normativa aplicable.  

• Limitación del plazo de conservación de los datos personales: La organización definirá plazos de conservación para los datos personales de modo que estos solo se conserven por el tiempo que sea estrictamente necesario. La definición de estos plazos se realizará en función del contexto específico del dato personal. Debe documentarse debidamente la justificación del plazo en cuestión atendiendo a las bases de legitimidad de tratamiento de datos definidas en la normativa aplicable.  

• Garantía de derechos de los titulares y atención reclamos: La Organización implementará medidas, procesos y asignará roles y responsabilidades para atender oportunamente las solicitudes de ejercicio de derechos y los reclamos planteados por los titulares de datos personales. La Organización observará los procedimientos, plazos y directrices establecidas en la normativa aplicable y por la autoridad de protección de datos personales para la atención a los derechos reconocidos en la LOPDP

 

1. Información (art. 12)

2. Acceso (art. 13)

3. Rectificación y actualización (art. 14)

4. Eliminación (art. 15)

5. Oposición (art. 16)

6. Portabilidad (art. 17)

7. Suspensión del tratamiento (art. 19)

8. Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas (art. 20)

9. Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas respecto de categorías especiales de datos (art. 21) 10. Derecho a la anulación (CRE art. 92).
   

 

La organización implementará medidas de concientización al personal para la adecuada gestión de estas solicitudes o reclamos y también se asegurará que existan medidas efectivas de concientización y capacitación por parte del personal de los encargados del tratamiento que trata datos de responsabilidad de la Organización.  

• Administración de Riesgos para Derechos y Libertades: Para cubrir los ámbitos de protección de datos personales se empleará el enfoque que exige la normativa ecuatoriana de protección de datos personales: riesgo para los derechos y libertades. Es decir, se considerará la probabilidad de que en el contexto del tratamiento de datos personales suceda un evento que pueda tener un impacto en derechos y libertades de los titulares de los datos y/o un impacto social; y, con base en ello se implementarán las medidas adecuadas y necesarias.

• Competencia del personal en materia de protección de datos personales: El personal, ya sea permanente, temporal, o perteneciente a Organización proveedoras, deberá ser informado desde el momento de su ingreso de las responsabilidades y derechos en materia las obligaciones normativas para la protección de datos personales. Se capacitará con y para el fin de crear conciencia acerca de la importancia que adquiere este aspecto para la Organización. 

• Gestión de incidentes de seguridad de datos personales: La Organización establecerá y socializará con el personal un plan de respuesta a incidentes de seguridad de datos personales que permita detectar, contener y resolver de manera eficiente cualquier incidente que involucre datos personales. La organización procurará tener un enfoque integral a la protección de los datos personales mediante la implementación de prácticas efectivas de planificación, gestión, notificación y resolución de los incidentes.  

• Esto implica, en general, la creación de estrategias sólidas y planes detallados para prevenir y abordar cualquier amenaza o vulnerabilidad potencial en los sistemas de información, además, será fundamental gestionar de manera eficiente los recursos, procesos y personal para garantizar la continuidad de la seguridad. La organización deberá contar con protocolos de notificación claros y oportunos para informar a las partes interesadas y garantizar la transparencia en la gestión de los eventos de seguridad y ser proactivo para resolver los problemas identificados y aprender de ellos, permitiendo así la mejora continua de la seguridad de la información y la protección de los datos personales.  

• Conformidad con Leyes, Regulaciones y Normas Internas: Se deberá garantizar que las actividades de tratamiento de datos personales de responsabilidad de la Organización o en las que intervenga la Organización no provoquen infracciones o violaciones de leyes, regulaciones, ni de las obligaciones establecidas por estatutos, normas, reglamentos o contratos vigentes en cada ámbito de actuación.

• Verificación, evaluación del cumplimiento y mejora continua:  La Organización deberá implementar procesos de Verificación, evaluación del cumplimiento y mejora continua para lo cual efectuará controles y auditorías periódicas a fin de examinar las medidas implementadas para protección de datos personales.

8. REVISIÓN Y ACTUALIZACIÓN DE LA POLÍTICA   

La organización revisará y actualizará periódicamente la presente política para mantener su adecuación y efectividad frente a los cambios normativos y tecnológicos en el ámbito de la protección de datos personales.