Política de Protección de Datos Personales Tecnogreen Consulting Cia. Ltda
CONTEXTO
En Ecuador, conforme a lo dispuesto en los artículos 137 de la Constitución de la República y 63 de la Ley Orgánica de la Función Legislativa y mediante el Quinto suplemento N° 459 – Registro Oficial, el miércoles 26 de mayo de 2021, se publicó la Ley Orgánica de Protección de Datos Personales, entrando en vigor las medidas correctivas y régimen sancionatorio el 26 de mayo de 2023.
La Ley Orgánica de Protección de Datos Personales y su Reglamento aplica para las organizaciones que llevan a cabo el procesamiento de datos personales que se realiza en territorio ecuatoriano, así como el procesamiento de estos cuyos titulares residan en Ecuador.
Tecnogreen Consulting Cia. Ltda. al ser una organización socialmente responsable, se apega al cumplimiento de la Ley Orgánica de Protección de Datos Personales y se aliena al cumplimiento respectivo.
1. OBJETIVO
Regular la legitimidad del tratamiento de los datos personales de los titulares al interior de Tecnogreen Consulting Cia. Ltda., a efecto de proteger la privacidad, llevando a cabo un tratamiento adecuado, legítimo, controlado e informado de los datos personales, garantizando con ello el derecho a la autodeterminación informativa de los titulares de los datos personales de los cuales Tecnogreen Consulting Cia. Ltda. es responsable o encargado en los casos que corresponda; asimismo establece el compromiso de cumplir con la legislación en materia de protección de datos personales por parte del personal autorizado por Tecnogreen Consulting Cia. Ltda., ya sean colaboradores, encargados y/o terceros autorizados (en lo sucesivo, en su conjunto “Autorizados”).
2. ALCANCE
La presente política es aplicable a todos los colaboradores de Tecnogreen Consulting Cia. Ltda., así como al resto de los “Autorizados”, con motivo del tratamiento de datos personales de clientes, candidatos o colaboradores, asimismo de sus familiares en los casos que aplique, excolaboradores o jubilados, proveedores, todos ellos mencionados de manera enunciativa más no limitativa; así como los de cualquier otro titular de datos personales que entregue su información personal.
3. POLÍTICAS
3.1. Generalidades
En Tecnogreen Consulting Cia. Ltda. se tratan los datos personales de sus diferentes grupos de titulares de manera legitima, al:
I. Obtener previamente el consentimiento de los titulares, para una o varias finalidades, dicha manifestación de la voluntad (consentimiento) se obtiene de forma: libre, especifica, informada e inequívoca,
II. Tratar, en su rol de responsable, los datos personales para el cumplimiento de una obligación legal,
III. Informar al titular las actividades de tratamiento que se realizarán con sus datos personales,
IV. Mantener transparencia en el uso, tratamiento y protección de los datos personales con sus titulares y las autoridades correspondiente,
V. Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales.
3.2. Principios Rectores
Los lineamientos a los que están sujetos todos los colaboradores de Tecnogreen Consulting Cia. Ltda. como responsables o encargados del tratamiento de los datos personales, se apegan a los siguientes principios:
a) Juridicidad
Tecnogreen Consulting Cia. Ltda. trata los datos personales de sus titulares con estricto apego y en cumplimiento a los principios, derechos y obligaciones establecidos en la Constitución, instrumentos internacionales, así como la Ley Orgánica de Protección de Datos Personales, su Reglamento y demás normativa aplicable.
b) Lealtad
Respetar en todo momento, la confianza que el titular deposita en Tecnogreen Consulting Cia. Ltda. , respecto del tratamiento de los datos personales proporcionados y que éstos serán tratados conforme a lo acordado por las partes con apego a lo establecido por la legislación, utilizándolos de manera adecuada y obligándose a tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.
c) Transparencia
Tecnogreen Consulting Cia. Ltda. garantiza la transparencia en el tratamiento y uso de los datos personales de los titulares, utilizando en todo momento un lenguaje sencillo, claro y fácil de entender durante todo el tratamiento de los datos, comenzando desde su recolección inicial, las transferencias o comunicaciones realizadas y hasta su disposición final.
d) Finalidad
Tecnogreen Consulting Cia. Ltda. limita el tratamiento de los datos personales al cumplimiento de las finalidades previstas en el Aviso de Privacidad que resulte aplicable, las cuales serán expresas, legitimas y determinadas.
Tecnogreen Consulting Cia. Ltda. no realiza tratamiento de datos personales de los titulares para finalidades distintas a las que dieron origen su recolección, y en caso de realizarlas deberán obtener previamente el consentimiento por parte del titular.
e) Pertinencia y minimización de datos personales
Tecnogreen Consulting Cia. Ltda. trata los datos personales estrictamente necesarios, indispensables, adecuados y relevantes en relación con las finalidades de cada área que justifica su tratamiento descrito en el Aviso de Privacidad correspondiente.
f) Proporcionalidad del tratamiento
El tratamiento de los datos personales realizado por Tecnogreen Consulting Cia. Ltda. debe ser adecuado, necesario, oportuno, relevante y no excesivo a las finalidades para las que hayan sido recolectados.
g) Confidencialidad
Los colaboradores y aquellos “Autorizados” por Tecnogreen Consulting Cia. Ltda. deben guardar la confidencialidad de los datos personales de acuerdo a lo siguiente:
I. Toda información que contenga datos personales generales o de identificación y contacto deberá ser tratada de manera confidencial.
II. Toda información que contenga datos personales de categorías especiales (Datos sensibles, Datos de niñas, niños y adolescentes, Datos de salud; y, Datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad) deberá ser tratada como confidencial.
III. Todos los “Autorizados” deben mantener la confidencialidad de la información que contenga datos personales y únicamente deberán emplear esta información para las finalidades para las cuales fue autorizado el tratamiento de los datos, excepto cuando la comunicación u otro tipo de tratamiento es autorizado por mandato legal.
IV. Por ningún motivo podrá enviarse información confidencial (datos personales de los titulares) de los que Tecnogreen Consulting Cia. Ltda. es responsable o encargado al exterior a través de cualquier medio de comunicación, incluyendo la simple visualización o acceso, salvo que dicha comunicación se encuentre respaldada en algún instrumento jurídico celebrado con el encargado y/o tercero autorizado, a través de los medios autorizados y bajo las medidas de seguridad adecuadas.
h) Calidad y Exactitud
Todo colaborador de Tecnogreen Consulting Cia. Ltda. , está obligado a procurar que los datos personales de los titulares contenidos en las bases de datos y/o sistemas de tratamiento, sean correctos, exactos, completos y actualizados para los fines que fueron recabados.
En todo momento, los colaboradores que tengan contacto directo con el titular se encuentran obligados a realizar todas las actividades tendientes a una diligente y adecuada acreditación/validación de la identidad de los titulares. La información personal sólo podrá ser dada a conocer al Titular o, en su caso, a su representante legal cuando éste ha acreditado fehacientemente su identidad ante el personal de Tecnogreen Consulting Cia. Ltda. .
i) Conservación
Tecnogreen Consulting Cia. Ltda. solo deben conservar los datos personales de los titulares sin exceder más allá de lo necesario conforme a los fines que justificaron su tratamiento y/o a las leyes que nos regulan, por ejemplo: el resguardo para fines fiscales o contables.
Tecnogreen Consulting Cia. Ltda. a través de la identificación del ciclo de vida de los datos personales establece los periodos de conservación de estos.
j) Seguridad de Datos Personales
Tecnogreen Consulting Cia. Ltda. , consiente de la seguridad y protección de los datos personales deben de adoptar todas las medidas de seguridad (físicas, técnicas, administrativas y legales) con base a los análisis de riesgos e impactos que se ejecuta Tecnogreen Consulting Cia. Ltda. .
k) Responsabilidad Proactiva y Demostrada
Como parte de la responsabilidad proactiva y demostrada de Tecnogreen Consulting Cia. Ltda. hacia el cumplimiento de la Ley Orgánica de Protección de Datos Personales, estás han adoptado marcos normativos reconocidos a nivel internacional para la protección y salvaguarda de los datos personales.
l) Aplicación Favorable al Titular e Independencia del Control
Si bien, estos principios son aplicables a las autoridades de protección de datos Tecnogreen Consulting Cia. Ltda. mantiene total apertura con la autoridad correspondiente, así como con los titulares para la atención, aclaración y demás acciones que sean necesarias y requeridas para la protección de los datos personales.
3.3. Registro de Actividades de Tratamiento
Tecnogreen Consulting Cia. Ltda. debe llevar un registro de todas las actividades de tratamiento de datos personales que sean de su competencia, dicho registro deberá tener la siguiente información:
I. El nombre y los datos de contacto del responsable del tratamiento y, en su caso, del responsable que actúa conjuntamente con el responsable del tratamiento de datos personales, así como el nombre y los datos de contacto del Delegado de Protección de Datos Personales,
II. Los fines del tratamiento,
III. Las categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales,
IV. Identificar a los titulares y las categorías de datos personales de los titulares,
V. En su caso, el uso de perfiles,
VI. En su caso, definir las transferencias de datos personales a organismos de un tercer país o a una organización internacional,
VII. Descripción de las bases legitimadoras que facultan el tratamiento,
VIII. Los plazos de retención previstos para la supresión o la revisión de la necesidad de conservar las diferentes categorías de datos personales, y
IX. Una descripción general de las medidas técnicas, jurídicas y administrativas y organizativas.
Tecnogreen Consulting Cia. Ltda. como responsable del tratamiento de datos personales deberá reportar y mantener actualizada la información ante la Autoridad de Protección de Datos Personales, a través del “Registro Nacional de protección de datos personales”, en los siguientes términos:
I. Identificación de la base de datos o del tratamiento;
II. El nombre domicilio legal y datos de contacto del responsable y encargado del tratamiento de datos personales;
III. Características y finalidad del tratamiento de datos personales;
IV. Naturaleza de los datos personales tratados;
V. Identificación, nombre, domicilio legal y datos de contacto de los destinatarios de los datos personales, incluyendo encargados y terceros;
VI. Modo de interrelacionar la información registrada;
VII. Medios utilizados para implementar los principios, derechos y obligaciones contenidas en la LOPDP y normativa especializada;
VIII. Requisitos y herramientas administrativas técnicas y físicas, organizativas y jurídicas implementadas para garantizar la seguridad y protección de datos personales;
IX. Tiempo de conservación de los datos.
3.4. Atención de los Derechos de los Titulares
Los derechos sólo pueden ser ejercidos por el Titular o su Representante Legal previa acreditación de su identidad, Tecnogreen Consulting Cia. Ltda. cuenta con un Delegado de Protección de Datos Personales para asegurarse que los derechos en materia de datos personales de los titulares sean efectivamente atendidos; cuyas facultades y funciones se detallan en la “Carta de Designación de Delegado de Protección de Datos Personales”; asimismo el ejercicio de los derechos de los titulares de Tecnogreen Consulting Cia. Ltda. se llevará a cabo de acuerdo a lo establecido en el proceso de “Atención de Solicitudes de Derechos de Protección de Datos” y en el “Aviso de Privacidad” correspondiente.
A fin de facilitar el ejercicio de derechos por parte de los Titulares, el Delegado de Protección de Datos Personales de Tecnogreen Consulting Cia. Ltda. establecerá un formato de “Solicitud de derechos”, mismo que estará a disposición de los titulares.
Los colaboradores de Tecnogreen Consulting Cia. Ltda. deben remitir cualquier solicitud de derechos de protección de datos, de manera inmediata, al Delegado de Protección de Datos Personales a través del correo ronald.contreras@cyvolaw.com para que sea éste quien de trámite y dé respuesta a la misma en términos de la legislación aplicable. Los colaboradores de Tecnogreen Consulting Cia. Ltda. que tengan conocimiento de alguna solicitud de derechos realizada a los encargados y/o terceros autorizados, deberán informarles que deben notificar al Delegado de Protección de Datos Personales a través del mismo medio, de acuerdo con lo que establece la ley para cada una de estas figuras.
La solicitud para el ejercicio de los derechos deberá contar con:
I. Los nombres y apellidos completos del titular, número de cédula de identidad o pasaporte y dirección domiciliaria o electrónica para notificaciones. Cuando se actúa en calidad de representante legal, se hará constar también los datos de la o del representado,
II. De ser posible, la descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados y cualquier otro elemento o documento que facilite la localización de los datos personales,
III. Relación de lo que solicita expuesto de manera clara y precisa,
IV. Derecho o derechos que desea ejercer, y
V. A la solicitud se acompañarán los documentos que acrediten la identidad o, en su caso, la representación legal o convencional del titular.
Los adolescentes, así como las niñas y niños, para el ejercicio de sus derechos necesitarán de su representante legal.
En caso de que la información constante en la solicitud requiera ser aclaradas o ampliada, el Responsable a través del Delegado de Protección de Datos Personales podrá requerir al Titular, por una sola vez, y dentro del término de cinco (5) días de recibida la solicitud, que la aclare o complete.
En caso de no contar con la información clara y completa por parte Titular, y conforme a los tiempos establecidos en la LOPDP en un periodo de diez (10) días, se procederá a descartar la solicitud.
El titular podrá en cualquier momento, de forma gratuita, por medios físicos o digitales puestos a su disposición por parte de Tecnogreen Consulting Cia. Ltda. presentar requerimientos, peticiones, quejas o reclamaciones directamente a Tecnogreen Consulting Cia. Ltda. , relacionadas con el ejercicio de sus derechos, la aplicación de principios y el cumplimiento de obligaciones por parte del responsable del tratamiento, que tengan relación con él.
Una vez presentada la solicitud de derechos por parte del Titular, el Delegado de Protección de Datos Personales contará con un periodo de diez (10) días para contestar afirmativa o negativamente, así como ejecutar y dar atención de derechos, según corresponda.
El Delegado de Protección de Datos Personales debe mantener un registro de todas las solicitudes de derechos que se presenten, independientemente de su procedencia, así como de controlar y mantener evidencia sobre la atención de solicitudes.
3.5. Establecimiento y mantenimiento de medidas de seguridad para los “Autorizados”
Todos los “Autorizados” que traten datos personales, deben mantener las medidas de seguridad administrativas, técnicas y físicas que sean necesarias e indicadas por la legislación, que permitan proteger los mencionados datos personales contra cualquier daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizados.
4. RESPONSABILIDADES
4.1. De los colaboradores con personal a su cargo
Implementar la presente política, así como supervisar que el personal a su cargo identifique las actividades y procedimientos en los que se tratan datos personales.
Es su obligación comunicar oportunamente al Delegado de Protección de Datos Personales cualquier controversia o duda en el adecuado tratamiento de los datos personales a través de la dirección de correo legal.ec@bata.com o de manera persona, siempre dejando un registro o constancia de cualquier consulta realizada y atendida.
Es su obligación cuidar que la información que implique datos personales de los que Tecnogreen Consulting Cia. Ltda. es responsable o encargado, aplicando todas las medidas de seguridad para la protección de los datos personales.
Cuando se manejen bases de datos de información que impliquen datos personales, atendiendo a las cuatro fuentes de las que se obtienen datos: «clientes, proveedores, aspirantes y colaboradores», deben identificar cada una de las actividades y/o procedimientos en los que se realiza el tratamiento de datos personales.
Se deben diferenciar claramente las bases de datos que contengan información de carácter general de aquellas que además contengan categorías especiales (Datos sensibles, datos de niñas, niños y adolescentes, datos de salud; y datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad).
Notificar al responsable de Recursos Humanos las bajas del personal a su cargo, con la finalidad de que ésta a su vez gestione lo necesario para que sean eliminados todos los accesos que el usuario o colaborador tenía asignados.
Que los documentos físicos con información confidencial y/o datos personales sean resguardados bajo llave o en archiveros con llave.
Asegurar que la información que contenga datos personales que manejen sus colaboradores y que así lo requiera, cuente con los respaldos necesarios.
4.2. De los colaboradores que tratan datos personales
Cumplir e implementar, según corresponda, todas las medidas de seguridad (físicas, técnicas y administrativas) para la protección de los datos personales de lo que Tecnogreen Consulting Cia. Ltda. es responsable o encargado.
Proteger los equipos cuando no estén en uso, es decir, con la sesión bloqueada o cerrada y en su caso, el equipo móvil deberá estar anclado a su lugar de trabajo mediante candados físicos o resguardados bajo llave y que los documentos físicos con información confidencial y restringida sean resguardados bajo llave o en archiveros con llave.
Filtrado y autenticación: únicamente se permite el acceso a los datos personales de los titulares a los colaboradores autorizados que cuenten con un perfil determinado para cada una de las áreas, de conformidad con los procesos internos y la necesidad de sus funciones. Los “Autorizados” están obligados a garantizar la confidencialidad y la integridad de la información a la que tienen acceso.
Para realizar tratamiento de datos personales de menores de 15 años de edad se requiere obtener el consentimiento expreso de su representante legal.
4.3. Del Delegado de Protección de Datos Personales
El Delegado de Protección de Datos Personales tendrá, entre otras, las siguientes funciones y atribuciones:
a) Asesorar al Responsable, al personal del Responsable y al Encargado del tratamiento de datos personales, sobre las disposiciones contenidas la Ley Orgánica de Protección de Datos Personales, el Reglamento General de la Ley Orgánica de Protección de Datos Personales, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
b) Supervisar el cumplimiento de las disposiciones contenidas en la Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
c) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;
d) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,
e) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.
4.4. Función del Responsable con el Delegado de Protección de Datos Personales
Para la ejecución de las funciones del Delegado de Protección de Datos Personales, Tecnogreen Consulting Cia. Ltda. en su calidad de Responsable, deberá observar lo siguiente:
a) Garantizar que la participación del Delegado de Protección de Datos Personales, en todas las cuestiones relativas a la protección de datos personales, sea apropiada y oportuna;
b) Facilitar el acceso a los datos personales de las operaciones de tratamiento, así como todos los recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones;
c) Capacitar y actualizar en la materia al Delegado de Protección de Datos Personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales;
d) No podrán destituir o sancionar al Delegado de Protección de Datos Personales por el correcto desempeño de sus funciones;
e) El Delegado de Protección de Datos Personales mantendrá relación directa con el más alto nivel ejecutivo y de decisión del Responsable;
f) El titular de los datos personales podrá contactar al Delegado de Protección de Datos Personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos.
4.5. Del Responsable (Tecnogreen Consulting Cia. Ltda. )
a) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la LOPDP, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
b) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la LOPDP, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de
Protección de Datos Personales, o normativa sobre la materia;
c) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, Técnicas, físicas, organizativas y jurídicas implementadas;
d) Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;
e) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;
f) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;
g) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;
h) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;
i) Implementar la protección de datos personales desde el diseño y por defecto;
j) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;
k) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar el derecho a la protección de datos personales conforme a lo establecido en la LOPDP, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel nacional o internacional;
l) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a lo dispuesto en la LOPDP, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales;
m)Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;
n) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales y;
o) Los demás establecidos en la LOPDP y en su Reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.
El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de dicho tratamiento, en lo que sea aplicable.
5. Ciclo de Vida de los Datos Personales.
Todos los colaboradores de Tecnogreen Consulting Cia. Ltda. son responsables de:
a) Durante la obtención de los Datos Personales, son las siguientes:
Recabar datos personales de forma lícita, legítima y legal. No utilizar medios engañosos o fraudulentos para recabar los datos personales.
Se deben recabar proporcionalmente sólo los datos mínimos necesarios que se van a tratar e informar al titular de los datos la finalidad para la cual son recabados, a través de cuestionarios y en general los formatos establecidos en los procesos de Tecnogreen Consulting Cia. Ltda. en donde solicitamos datos personales.
Se deben tratar los datos personales con responsabilidad y utilizarlos únicamente para las finalidades que se solicitaron de acuerdo a lo establecido en el Aviso de Privacidad correspondiente.
Asegurarse de que se cuenta con el consentimiento para el tratamiento de los datos personales, en caso de que éste se requiera según lo establecido por la legislación.
Asegurarse de que los formatos en los que se van a recabar los datos personales cuentan con los campos correspondientes a Datos Personales, incluyendo el consentimiento o bien, las leyendas de datos personales.
Generar o actualizar el inventario de datos personales identificando: el área o proceso, el detalle de los datos involucrados en la actividad, las finalidades de su recolección, software relacionado, listado de personal interno y terceros relacionados en el tratamiento, así como otros formatos utilizados.
b) Durante el uso de los Datos Personales, son las siguientes:
Mantener únicamente en su poder los documentos que estén en uso y posteriormente resguardarlos en los sitios destinados para ello, en caso de contener datos de categorías especiales (Datos sensibles, Datos de niñas, niños y adolescentes, Datos de salud; y, Datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad) deberán ser resguardados bajo llave.
Tratar los datos personales con responsabilidad y utilizarlos únicamente para la finalidad que se solicitaron de acuerdo a lo establecido en el Aviso de Privacidad correspondiente.
Asegurarse de que se cuenta con el consentimiento para el tratamiento de los datos personales, en caso de que éstos se vayan a utilizar para una finalidad distinta para la cual fueron proporcionados.
La creación de nuevas bases de datos debe realizarse en los casos que resulte estrictamente necesario para cumplir con la finalidad consentida por el Titular y la correspondiente de cada área.
c) Para comunicar o transferir los datos personales, los colaboradores deben atender lo siguiente:
Toda comunicación que se realice a encargados del tratamiento, a otros responsables o terceros autorizados, debe ser o estar regulada a través del instrumento jurídico idóneo (contrato) que incluya una cláusula de datos personales autorizada por el Delegado de Protección de Datos Personales y en la que se identifican las obligaciones de las partes en materia de protección de datos personales, que permitan acreditar su existencia, alcance y contenido; así como las sanciones por incumplimiento.
Solo se podrán comunicar datos personales a terceros cuando se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del destinatario.
Las comunicaciones de datos personales deberán ser necesarias y requeridas en función de las finalidades del tratamiento y lo informado en el Aviso de Privacidad correspondiente.
Cuando el encargado o tercero a quien se comuniquen los datos personales realice actividades de tratamiento en representación de Tecnogreen Consulting Cia. Ltda. , se debe contemplar dentro del contrato o el instrumento que haya sido definido para regular la relación entre partes, los siguientes elementos:
a) Identificación de las partes del contrato o instrumento jurídico, definiendo al:
- Responsable y al Encargado,
- La duración,
- La naturaleza,
- La finalidad del tratamiento de los datos personales,
- La categoría de los datos personales,
- Identificar a los titulares de los datos personales tratados, y,
- Las obligaciones y responsabilidades del encargado.
b) Determinar de manera clara el mandato del responsable al encargado en cuanto al objeto de la prestación de servicios que se llevará a cabo; específicamente en lo que concierne al tema de datos personales;
c) Base(s) de datos objeto de la prestación;
d) Las medidas se seguridad que deben ser aplicadas;
e) La autorización o el permiso expreso por parte del responsable en caso de que hubiere una subcontratación;
f) Las condiciones precisas para el caso de terminación anticipada o conclusión natural de la relación contractual sobre la prestación de servicios encomendada al encargado, respecto de la devolución y/o destrucción los datos que tenga en su posesión, por instrucción de Tecnogreen Consulting Cia. Ltda. ;
g) Comunicar al encargado en un anexo, como parte integral del instrumento jurídico, el Aviso de Privacidad al cual los titulares sujetaron el tratamiento de sus datos personales;
h) Evaluar la necesidad de solicitar a los encargados una póliza con cobertura de incidentes en Seguridad de la Información y Datos Personales, debiendo contemplar las siguientes coberturas como mínimas necesarias:
- Responsabilidad del asegurado por la seguridad y
- privacidad de datos;
- Defensas y sanciones;
- Extorsión cibernética;
- Daños propios relacionados con protección de datos.
Para llevar a cabo la comunicación de información a terceros de Tecnogreen Consulting Cia. Ltda. se deberá apegarse a lo establecido el proceso de “Transferencia, comunicación y acceso de datos personales por terceros”.
d) Para el caso de comunicación o transferencia internacional de datos personales, se debe:
Validar que el país donde se ubiquen el receptor de los datos personal cuente con un nivel adecuado de protección. Por principio general se podrán transferir o comunicar datos personales a países, organizaciones y personas jurídicas en general que brinden niveles adecuados de protección, y que se ajusten a la obligación de cumplimiento y garantía de estándares reconocidos internacionalmente conforme a los criterios establecidos en el Reglamento de la Ley Orgánica de Protección de Datos Personales.
En caso de realizar una transferencia internacional de datos a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección, se podrá realizar la referida transferencia internacional siempre que el responsable o encargado del tratamiento de datos personales ofrezca garantías adecuadas para el titular, para lo cual se deberá observar lo siguiente:
- Garantizar el cumplimiento de principios, derechos y obligaciones en el tratamiento de datos personales en un estándar igual o mayor a la normativa Ecuatoriana vigente.
- Efectiva tutela del derecho a la protección de datos personales, a través de la disponibilidad permanente de acciones administrativas o judiciales; y,
- El derecho a solicitar la reparación integral, de ser el caso.
En los archivos en donde se encuentran los datos personales asociados, usar métodos que garanticen su privacidad, por ejemplo, mediante archivos cifrados y protegidos con contraseña para su apertura y enviárselos al representante legal del encargado o receptor de los datos o a la persona que éste designe.
Todo archivo que contenga datos personales asociados y que cumpla con el punto anterior, deberá ser enviado protegido con contraseña de apertura. El archivo y la contraseña de apertura deben ser entregados por medios diferentes, por ejemplo, el archivo protegido por email y la contraseña por teléfono; o bien, compartir el documento en el servicio de almacenamiento en nube con permisos limitados a los mínimos necesarios. Esta regla sólo podrá ser exceptuada cuando una autoridad o regulador en el ámbito de su competencia, demande que la información se envíe a través de algún otro medio o proceso diferente.
En la medida de lo posible, se buscará que las comunicaciones o transferencias de información se realicen mediante procesos automáticos para evitar errores humanos o de operación. De la misma forma, los envíos automáticos deben usar métodos que garanticen su privacidad, por ejemplo, mediante cifrado de la información y de los canales de intercambio, e implementando esquemas de autenticación, por ejemplo, certificados digitales.
Asegurarse de no enviar información o archivos con datos personales a dominios públicos como Yahoo!, Hotmail, Gmail, etc.
El Delegado de Protección de Datos Personales debe de realizar el Registro Nacional de Protección de Datos, la siguiente información:
I. El país donde se ubica el destinatario de los datos,
II. Las categorías de datos objeto de transferencia,
III. Las finalidades de la transferencia,
IV. El nombre, denominación, razón social o nombre comercial con el que se identifique al destinatario,
V. El mecanismo o esquema autorizado, conforme a la Ley y el Reglamento de la LOPDP, para realizar la transferencia, y,
VI. El criterio de excepción utilizado de los previstos en la Ley, cuando sea el caso.
e) Para realizar el almacenamiento de los datos personales, se debe:
Asegurar que éstos se encuentran resguardados en los Sistemas Administradores, únicamente durante su tratamiento.
Asegurar que los archivos físicos, una vez cumplido el periodo necesario, sean enviados al archivo general para su resguardo, conservación, bloqueo y supresión, observando las políticas asociadas para tales efectos.
Asegurar sólo el resguardado de los archivos necesarios para el cumplimiento de las finalidades para las cuales se obtuvieron.
Verificar que únicamente se resguardan en el archivo general aquellos que cumplan con el tiempo que nuestra legislación exige.
Realizar una copia de los sistemas o información para que, en caso de falla técnica o de desastre (hecho natural o por el ser humano que afecte negativamente las bases dentro de Tecnogreen Consulting Cia. Ltda. poder continuar con la prestación de sus servicios y desarrollo de sus actividades comerciales.
f) Para bloquear los datos personales, se debe:
Asegurar que, una vez terminada la relación jurídica con algún Titular, sus datos sean bloqueados por un periodo de hasta diez (10) años posteriores, en cumplimiento a la legislación aplicable a la información generada o procesada en Tecnogreen Consulting Cia. Ltda. .
g) Para la supresión o eliminación de los datos personales, se debe:
Asegurar que los datos a suprimir pasaron por un periodo de bloqueo, conservación y/o resguardo de acuerdo a lo que nuestra legislación exige. No procederá la supresión de los datos personales cuando exista una previsión legal que exija su conservación.
Asegurar que los datos personales ya no están siendo tratados al llegar a su término el periodo de tratamiento y no existen obligaciones pendientes de cumplir.
En caso de que los datos hayan sido tratados por encargados autorizados, será necesario garantizar la obtención de una constancia o evidencia de la destrucción, para lo cual serán admisibles los certificados, actas, fotografías, manifiesto de destrucción segura y/o bitácoras de la destrucción.
Tratándose de una cancelación o supresión lógica (eliminación de registros específicos dentro de un aplicativo, base de datos o repositorio), garantizar que se efectúa de acuerdo a los procesos operativos definidos para tal efecto.
En caso de una cancelación o supresión (destrucción) de la información contenida en un medio de almacenamiento, se debe garantizar que la supresión se efectúa a través de un proceso de borrado seguro, dicho proceso debe de incluir los métodos y herramientas para la destrucción física y lógica de la información de datos personales.
Destruir de forma segura toda la información física en las estaciones de trabajo, (P. Ej.: depositando la información interna con carácter confidencial en los depósitos designados para su destrucción, o bien, destruyendo en trituradora de corte milimétrico).
6. PROHIBICIONES
Tecnogreen Consulting Cia. Ltda. declara que está estrictamente prohibido:
I. Proporcionar información relativa a datos personales de nuestros clientes, colaboradores, proveedores y en general de cualquier titular de datos personales, a personal no autorizado o personas ajenas a Tecnogreen Consulting Cia. Ltda. y que no se encuentren contemplados en el presente documento.
II. Transferir fuera de la organización archivos que contengan información de datos personales de nuestros clientes, colaboradores, proveedores y en general de cualquier titular de datos personales, a través de correo electrónico distinto al institucional, telefonía celular, mensajería instantánea, etc.
Asimismo, evitar el uso del correo institucional para todos aquellos asuntos que sean ajenos o no deriven del cumplimiento o desarrollo de las obligaciones estrictamente laborales.
III. Realizar copia de la información que esté relacionada con datos personales de nuestros clientes, colaboradores, proveedores y en general cualquier titular de datos personales, a menos que esta actividad sea explícitamente autorizada por políticas o procedimientos internos propios de la operación y/o el Delegado de Protección de Datos Personales. Lo anterior incluye impresión, fotocopiado, escaneo y copia electrónica de los datos en cualquier dispositivo de almacenamiento.
7. SANCIONES
La infracción a las políticas contenidas en el presente documento traerá como consecuencia, según la gravedad del caso, la imposición de las sanciones previstas en el Código de Ética y Conducta para Colaboradores, Reglamento Interior de Trabajo y, de ser necesario, las establecidas en las leyes que sean aplicables en su caso.
8. TÉRMINOS Y DEFINICIONES
Para la correcta interpretación de los términos utilizados en el presente documento, se deberán entender los siguientes términos:
a) Consentimiento:
Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.
b) Dato Personal:
Dato que identifica o hace identificable a una persona natural, directa o indirectamente. (Identificación, crediticios, salud, sensibles).
c) Datos sensibles:
Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
d) Delegado de Protección de Datos Personales:
Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
e) Encargado del tratamiento de datos personales:
Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
f) Responsable:
Persona natural o jurídica, pública o privada, que solo o juntamente con otros decide sobre la finalidad y tratamiento de datos personales. Para efectos del presente documento se deben entender a Tecnogreen Consulting Cia. Ltda. como Responsable.
g) Titular:
Persona natural cuyos datos son objeto de tratamiento.
h) Transferencia o comunicación:
Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.
i) Tratamiento:
Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
9. CONTROL DE CAMBIOS
- No. De versión: 001
- Fecha (DD/MM/AAAA): 5/03/2026
- Origen y ubicación del cambio: Documento de nueva creación.
