POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES
Nombre de la Empresa: FILTROCORP
S.A.
RUC: 0991466177001
Dirección: Cdla.
El Mirador del Norte Mz. 32 Solar 5,
Guayaquil / Guayas, República del Ecuador
Teléfono: +(593)
4 3731310
Correo Electrónico: privacidaddatos@filtrocorp.com
FILTROCORP S.A. es
consciente que los Datos Personales son de propiedad de las personas a las que
se refieren y solamente ellas pueden decidir sobre los mismos. Por lo cual la
empresa hará uso de los Datos Personales recolectados únicamente para las
finalidades para las que se encuentra debidamente facultada y respetando, en
todo caso, la legislación vigente sobre la Protección de Datos Personales.
El presente instrumento establece las Políticas de
Privacidad y Tratamiento de Datos Personales que se aplicará a todas las Bases
de Datos y/o Ficheros que contengan Datos Personales que sean objeto de
Tratamiento por parte de FILTROCORP S.A. como responsable del tratamiento de
Datos Personales, quien para efectos del presente instrumento en adelante se
podrá denominar la EMPRESA o simplemente FILTROCORP S.A.
En sus operaciones comerciales diarias, FILTROCORP
S.A. hace uso de una variedad de datos
sobre personas identificables, incluidos datos sobre:
•
Empleados activos,
cesantes, y candidatos
•
Clientes
•
Usuarios de sus sitios
web
•
Suscriptores
•
Proveedores
•
Otras partes
interesadas
Al recopilar y utilizar estos datos, la organización está
sujeta a la normativa en materia de protección de datos, la Ley Orgánica de
Protección de Datos Personales (LOPDP)
vigente en Ecuador desde el 26 de mayo de 2021, publicada en el Registro
Oficial No. 459, su Reglamento General (RGPDP) expedido el 6 de noviembre de
2023 mediante Decreto Ejecutivo No. 904, y reformas posteriores; que controla
cómo se pueden llevar a cabo dichas actividades y las salvaguardas que deben
implementarse para protegerlas.
El objetivo de esta política es establecer la legislación
pertinente y describir las medidas que FILTROCORP S.A. ha adoptado para garantizar su cumplimiento.
Este control se aplica a todos los sistemas, personas y
procesos que constituyen los sistemas de información de la organización,
incluidos los miembros de la Junta de Accionistas, la administración, los directores, los empleados, los proveedores y otros
terceros que tienen acceso a los sistemas de FILTROCORP S.A.
Las siguientes políticas y procedimientos son relevantes
para este documento:
•
Proceso de evaluación
de impacto del tratamiento de datos personales
•
Procedimiento de
análisis de datos personales
•
Procedimiento de
evaluación del interés legítimo
•
Procedimiento de
respuesta a incidentes de seguridad de la información
•
Funciones y
responsabilidades del RGPDP
•
Política de retención
y protección de registros
•
Política de protección
de datos
La LOPDP es una de las leyes más importantes que afectan a
la forma en que FILTROCORP S.A. lleva a
cabo sus actividades de tratamiento de la información. Se aplican multas
significativas si se considera que se ha producido una infracción en virtud del
LOPDP y el RGPDP, que está diseñada para proteger los datos personales de los
ciudadanos de Ecuador. Es política de FILTROCORP S.A. garantizar que nuestro
cumplimiento con la LOPDP y el RGPDP y otras normativas relacionadas, sea claro
y demostrable en todo momento.
A continuación,
las definiciones que se encuentran en la LOPDP y el
RGPDP y se utilizan a en la redacción del presente documento:
•
Autoridad
de Protección de Datos Personales: Autoridad pública independiente
encargada de supervisar la aplicación de la presente ley, reglamento y
resoluciones que ella dicte, con el fin de proteger los derechos y libertades
fundamentales de las personas naturales, en cuanto al tratamiento de sus datos
personales.
•
Anonimización:
La aplicación de medidas dirigidas a impedir la identificación o re-identificación
de una persona natural, sin esfuerzos desproporcionados.
•
Base de
datos o fichero: Conjunto estructurado de datos cualquiera que fuera la
forma, modalidad de creación, almacenamiento, organización, tipo de soporte,
tratamiento, procesamiento, localización o acceso, centralizado,
descentralizado o repartido de forma funcional o geográfica.
•
Consentimiento:
Manifestación de la voluntad libre, específica, informada e inequívoca, por
el que el titular de los datos personales autoriza al responsable del
tratamiento de los datos personales a tratar los mismos.
•
Dato
biométrico: Dato personal único, relativo a las características físicas o
fisiológicas, o conductas de una persona natural que permita o confirme la
identificación única de dicha persona, como imágenes faciales o datos
dactiloscópicos, entre otros.
•
Dato
genético: Dato personal único relacionado a características genéticas
heredadas o adquiridas de una persona natural que proporcionan información
única sobre la fisiología o salud de un individuo.
•
Dato
personal: Dato que identifica o hace identificable a una persona natural,
directa o indirectamente.
•
Datos personales crediticios: Datos que integran
el comportamiento económico de personas naturales, para analizar su capacidad
financiera.
•
Datos
relativos a: etnia, identidad de género, identidad cultural, religión,
ideología, filiación política, pasado judicial, condición migratoria,
orientación sexual, salud, datos biométricos, datos genéticos, datos relativos
a las personas apátridas y refugiados que requieren protección internacional, y
aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o
puedan atentar contra los derechos y libertades fundamentales.
•
Datos
relativos a la salud: datos personales relativos a la salud física o mental
de una persona, incluida la prestación de servicios de atención sanitaria, que
revelen información sobre su estado de salud.
•
Datos
sensibles: Datos relativos a: etnia, identidad de género, identidad
cultural, religión, ideología, filiación política, pasado judicial, condición
migratoria, orientación sexual, salud, datos biométricos, datos genéticos y
aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o
puedan atentar contra los derechos y libertades fundamentales.
•
Delegado
de protección de datos: Persona natural encargada de informar al
responsable o al encargado del tratamiento sobre sus obligaciones legales en
materia de protección de datos, así como de velar o supervisar el cumplimiento
normativo al respecto, y de cooperar con la Autoridad de Protección de Datos
Personales, sirviendo como punto de contacto entre esta y la entidad
responsable del tratamiento de datos.
•
Destinatario:
Persona natural o jurídica que ha sido comunicada con datos personales.
•
Elaboración
de perfiles: Todo tratamiento de datos personales que permite evaluar,
analizar o predecir aspectos de una persona natural para determinar
comportamientos o estándares relativos a: rendimiento profesional, situación
económica, salud, preferencias personales, intereses, habilidad, ubicación,
movimiento físico de una persona, entre otros.
•
Encargado
del tratamiento de datos personales: Persona natural o jurídica, pública o
privada, autoridad pública, u otro organismo que solo o conjuntamente con otros
trate datos personales a nombre y por cuenta de un responsable de tratamiento
de datos personales.
•
Entidad
Certificadora: Entidad reconocida por la Autoridad de Protección de Datos
Personales, que podrá, de manera no exclusiva, proporcionar certificaciones en
materia de protección de datos personales.
•
Fuente
accesible al público: Bases de datos que pueden ser consultadas por
cualquier persona, cuyo acceso es público, incondicional y generalizado.
•
Responsable
de tratamiento de datos personales: persona natural o jurídica, pública o
privada, autoridad pública, u otro organismo, que solo o conjuntamente con
otros decide sobre la finalidad y el tratamiento de datos personales.
•
Sellos de
protección de datos personales: Acreditación que otorga la entidad
certificadora al responsable o al encargado del tratamiento de datos
personales, de haber implementado mejores prácticas en sus procesos, con el
objetivo de promover la confianza del titular, de conformidad con la normativa
técnica emitida por la Autoridad de Protección de Datos Personales.
•
Seudonimización:
Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un
titular sin utilizar información adicional, siempre que dicha información
adicional, figure por separado y esté sujeta a medidas técnicas y organizativas
destinadas a garantizar que los datos personales no se atribuyen a una persona
física identificada o identificable.
•
Titular: Persona
natural cuyos datos son objeto de tratamiento.
•
Transferencia
o comunicación: Manifestación, declaración, entrega, consulta,
interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de
revelación de datos personales realizada a una persona distinta al titular,
responsable o encargado del tratamiento de datos personales. Los datos
personales que comunique deben ser exactos, completos y actualizados.
•
Tratamiento:
Cualquier operación o conjunto de operaciones realizadas sobre datos
personales, ya sea por procedimientos técnicos de carácter automatizado,
parcialmente automatizado o no automatizado, tales como: la recogida,
recopilación, obtención, registro, organización, estructuración, conservación,
custodia, adaptación, modificación, eliminación, indexación, extracción,
consulta, elaboración, utilización, posesión, aprovechamiento, distribución,
cesión, comunicación o transferencia, o cualquier otra forma de habilitación de
acceso, cotejo, interconexión, limitación, supresión, destrucción y, en
general, cualquier uso de datos personales.
•
Vulneración
de la seguridad de los datos personales: Incidente de seguridad que afecta
la confidencialidad, disponibilidad o integridad de los datos personales.
Hay una serie de principios fundamentales en los que se
basa la LOPDP. Estos son los siguientes:
•
Juridicidad.- Los
datos personales deben tratarse con estricto apego y cumplimiento a los
principios, derechos y obligaciones establecidas en la Constitución de la
República del Ecuador, los instrumentos internacionales, y en la Ley de
Protección de Datos del Ecuador.
•
Lealtad.- El
tratamiento de datos personales deberá ser leal, por lo que para los titulares
debe quedar claro que se están recogiendo, utilizando, consultando o tratando
de otra manera, datos son o serán tratados.
•
Transparencia.- El
tratamiento de datos personales deberá ser transparente, por lo que toda
información o comunicación relativa a este tratamiento deberá ser fácilmente
accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y
claro.
•
Finalidad.- Las
finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y
comunicadas al titular: no podrán tratarse datos personales con fines distintos
para los cuales fueron recopilados, a menos que concurra una de las causales
que habiliten un nuevo tratamiento conforme los supuestos de tratamiento
legítimo señalados en la Ley de Protección de Datos del Ecuador.
•
Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar
limitados a lo estrictamente necesario para el cumplimiento de la finalidad del
tratamiento.
•
Proporcionalidad del tratamiento.-El tratamiento debe ser adecuado, necesario, oportuno,
relevante y no excesivo con relación a las finalidades para las cuales hayan
sido recogidos o a la naturaleza misma, de las categorías especiales de datos.
•
Confidencialidad.-El
tratamiento de datos personales debe concebirse sobre la base del debido sigilo
y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para
el cual fueron recogidos, a menos que concurra una de las causales que
habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo
señalados en la Ley de Protección de Datos del Ecuador.
•
Calidad y exactitud.-Los
datos personales que sean objeto de tratamiento deben ser exactos, íntegros,
precisos, completos, comprobables, claros; y, de ser el caso, debidamente
actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas
las medidas razonables para que se supriman o rectifiquen sin dilación los
datos personales que sean inexactos con respecto a los fines para los que se
tratan.
•
Conservación.-Los
datos personales serán conservados durante un tiempo n mayor al necesario para
cumplir con la finalidad de su tratamiento.
•
Seguridad de datos personales.-Los responsables y encargados de tratamiento de los datos
personales deberán implementar todas las medidas de seguridad adecuadas y
necesarias, entendiéndose por tales las aceptadas por el estado de la técnica,
sean estas organizativas, técnicas o de cualquier otra índole, para proteger
los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad,
atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el
contexto.
•
Responsabilidad proactiva y demostrada.-El responsable del tratamiento de datos personales deberá
acreditar el haber implementado mecanismos para la protección de datos
personales; es decir, el cumplimiento de los principios, derechos y
obligaciones establecidos en la Ley de Protección de Datos del Ecuador, para lo
cual, además de lo establecido en la normativa aplicable, podrá valerse de
estándares, mejores prácticas, esquemas de auto y co regulación, códigos de protección, sistemas de certificación, sellos
de protección de datos personales o cualquier otro mecanismo que se determine
adecuado a los fines, la naturaleza del dato personal o el riesgo del
tratamiento.
•
Aplicación favorable al titular.-En caso de duda sobre el alcance de las disposiciones del
ordenamiento jurídico o contractuales, aplicables a la protección de datos
personales, los funcionarios judiciales y administrativos las interpretarán y
aplicarán en el sentido más favorable al titular de dichos datos.
•
Independencia del control.-Para el efectivo ejercicio del derecho a la protección de
datos personales, y en cumplimiento de las obligaciones de protección de los
derechos que tiene el Estado, la Autoridad de Protección de Datos deberá
ejercer un control independiente, imparcial y autónomo, así como llevar a cabo
las respectivas acciones de prevención, investigación y sanción.
El interesado también tiene derechos en virtud de la LOPDP
y el RGPDP. Estos consisten en:
•
Derecho de acceso
•
Derecho de
rectificación
•
Derecho de supresión
•
Derecho a la eliminación / limitación del tratamiento
•
Derecho a la
portabilidad de los datos
•
Derecho de oposición
•
Derechos en relación
con la toma de decisiones automatizada y la elaboración de perfiles
Cada uno de estos derechos está respaldado por
procedimientos apropiados dentro de FILTROCORP S.A. que permiten que se tomen las medidas
requeridas dentro de los plazos establecidos en la LOPDP y el RGPDP. Para mayor
información dirija su solicitud a nuestro correo electrónico o dirección física
de contacto que se encuentra al final del documento.
Existen seis formas alternativas en las que se puede
establecer la legalidad de un caso específico de tratamiento de datos
personales en virtud de la LOPDP y el
RGPDP. Es política de FILTROCORP S.A. identificar la base adecuada para
el tratamiento y documentar, de conformidad
con el Reglamento General. Las opciones se describen brevemente en las
siguientes secciones.
A menos que sea necesario por un motivo permitido en la
normativa en materia de protección de datos personales, FILTROCORP S.A. siempre
obtendrá el consentimiento explícito de un interesado para recopilar y procesar
sus datos. En el caso de niños menores de 16 años, se obtendrá el
consentimiento de los padres. En el momento en que se obtenga el
consentimiento, se proporcionará información transparente sobre el uso que
hacemos de sus datos personales a los interesados y se explicarán sus derechos
con respecto a sus datos, como el derecho a retirar el consentimiento. Esta información
se proporcionará de forma accesible, redactada en un lenguaje claro y de forma
gratuita.
Si los datos personales no se obtienen directamente del
interesado, esta información se proporcionará al interesado en un plazo
razonable después de la obtención de los datos y, definitivamente, conforme a
los establecido en el RGPDP.
Cuando los datos personales recopilados y procesados sean
necesarios para cumplir un contrato con el interesado. Los contratos incluyen
cláusula de privacidad de datos y de confidencialidad- Este será a menudo el
caso cuando el contrato no pueda completarse sin los datos personales en
cuestión, por ejemplo, no se pueda realizar una entrega sin una dirección a la
que entregar.
Si se requiere que los datos personales se recopilen y procesen para cumplir
con la ley en distintos ámbitos: fiscal, societaria, comercial, trabajo,
seguridad social, salud, entre otros. Este puede ser el caso, por ejemplo, de
algunos datos relacionados con el empleo y la fiscalidad, y de muchos ámbitos
abordados por el sector público.
En el caso de que los datos personales sean necesarios para
proteger los intereses vitales del interesado o de otra persona física, esto
puede utilizarse como base legal del tratamiento. FILTROCORP S.A. conservará pruebas razonables y documentadas
de que este es el caso, siempre que este motivo se utilice como base legal para
el tratamiento de datos personales. A modo de ejemplo, esto puede utilizarse en
aspectos de la asistencia social, especialmente en el sector público.
Cuando FILTROCORP S.A.
necesite realizar una tarea que considere de interés público o como
parte de un deber oficial. La evaluación del interés público o del deber
oficial se documentará y se pondrá a disposición como prueba cuando sea
necesario.
Si el tratamiento de datos personales específicos responde
a los intereses legítimos de FILTROCORP S.A.
y se considera que no afecta de forma significativa a los derechos y
libertades del interesado, puede definirse como el motivo legítimo del
tratamiento. Una vez más, se documentará el razonamiento detrás de este punto
de vista.
FILTROCORP S.A. ha
adoptado el principio de privacidad desde el diseño y se asegurará de que la
definición y planificación de todos los sistemas nuevos o modificados
significativamente que recopilen o procesen datos personales estén sujetas a la
debida consideración de las cuestiones de privacidad, incluida la realización
de una o más evaluaciones de impacto de la protección de datos.
•
La evaluación de
impacto de la protección de datos incluirá:
•
Consideración de cómo
se procesarán los datos personales y con qué fines
•
Evaluación de si el
tratamiento de datos personales propuesto es necesario y proporcionado a los
fines
•
Evaluación de los
riesgos para las personas naturales en el tratamiento de los datos personales
•
Establecimiento de los
controles son necesarios para hacer frente a los riesgos identificados y
demostrar el cumplimiento de la legislación
•
Uso de técnicas como
la minimización de datos y la seudonimización cuando proceda y sea apropiado.
FILTROCORP S.A. se asegurará de que todas las relaciones
que establezca y que impliquen el tratamiento de datos personales estén sujetas
a un contrato documentado que incluya la información y los términos específicos
requeridos por la LOPDP y el RGPDP. Para obtener más información, consulte la
Política a nuestro correo electrónico o dirección física de contacto que se
encuentra al final del documento.
Las transferencias de datos personales fuera del territorio
ecuatoriano se revisarán cuidadosamente antes de que se produzca la
transferencia para garantizar que se encuentran dentro de los límites impuestos
por la LOPDP y el RGPDP. Esto depende en
parte del juicio de la Autoridad de Protección de Datos o criterios
establecidos si es el caso por la Institución rectora, en cuanto a la idoneidad
de las salvaguardias para los datos personales aplicables en el país receptor,
y esto puede cambiar con el tiempo.
Las transferencias internacionales de datos dentro del
grupo estarán sujetas a acuerdos legalmente vinculantes denominados Normas
Corporativas Vinculantes (BCR) que otorgan derechos exigibles a los
interesados.
La LOPDP y el RGPDP exige una función definida del delegado
de protección de datos (DPD) si una organización es una organización privada o
autoridad pública, si realiza una supervisión a gran escala o si procesa tipos
de datos especialmente sensibles a gran escala. Se requiere que el DPD tenga un
perfil profesional específico, nivel adecuado de conocimiento y puede ser un
recurso interno o subcontratado a un proveedor de servicios apropiado.
Sobre la base de estos criterios, FILTROCORP S.A. no
requiere el nombramiento de un Delegado de Protección de Datos Oficial (DPDo),
sin embargo se ha realizado la designación de un DPD sobre la fase de su diseño
del sistema de gestión de la protección de datos personales con responsabilidad
proactiva y diseño por defecto.
Es política de FILTROCORP S.A. ser justo y proporcionado a
la hora de considerar las medidas que deben adoptarse para informar a las
partes afectadas sobre las violaciones de los datos personales. De conformidad
con la LOPDP y el RGPDP, cuando se tenga conocimiento de que se ha producido un
incidente y/o infracción que pueda suponer un riesgo para los derechos y
libertades de las personas, se informará a la autoridad de control pertinente
en un plazo de 72 horas. Esto se gestionará de acuerdo con nuestro Procedimiento
de Respuesta a Incidentes de Seguridad de la Información, que establece el
proceso general de gestión de brechas de seguridad de la información.
En virtud de la LOPDP y el RGPDP, la Autoridad de Protección de Datos (APD)
pertinente tiene la potestad para imponer una serie de multas de hasta el 1%
por ciento de la facturación total anual del
período fiscal anterior.
Para garantizar que FILTROCORP S.A. cumpla en todo momento con el principio de
responsabilidad del RGPD, se llevan a cabo las siguientes acciones:
•
La base jurídica para
el tratamiento de datos personales es clara e inequívoca
•
Se nombra un Delegado
de Protección de Datos con responsabilidad específica en materia de protección
de datos en la organización
•
Todo el personal
involucrado en el manejo de datos personales comprende sus responsabilidades de
seguir las buenas prácticas de protección de datos
•
Se ha impartido
formación en materia de protección de datos a todo el personal
•
Se siguen las reglas
relativas al consentimiento
•
Las rutas están a
disposición de los interesados que deseen ejercer sus derechos en relación con
los datos personales y dichas consultas se gestionan de forma eficaz
•
Se llevan a cabo
revisiones periódicas de los procedimientos relacionados con los datos
personales
•
La privacidad desde el
diseño se adopta para todos los sistemas y procesos nuevos o modificados
•
Se registra la
siguiente documentación de las actividades de tratamiento:
o Nombre de la organización y detalles relevantes
o Finalidades del tratamiento de datos personales
o Categorías de personas y datos personales tratados
o Categorías de destinatarios de los datos personales
o Acuerdos y mecanismos para la transferencia de datos
personales a terceros y transferencias internacionales
o Período de conservación de datos personales
o Establecimiento de los controles técnicos y organizativos
pertinentes
Estas acciones se revisan periódicamente como parte del
proceso de gestión relacionado con la protección de datos.
FILTROCORP
S.A., se reserva el derecho de modificar la presente política en cualquier
momento. Cualquier cambio sustancial en las políticas de tratamiento de datos
personales, se comunicará de forma oportuna a los titulares de los datos a
través de los medios habituales de contacto. Las bases de datos en las que se
registrarán los datos personales tendrán una vigencia igual al tiempo en que se
mantenga y utilice la información para las finalidades descritas en esta
política. Una vez que se cumplan esa(s) finalidad(es) y siempre que no exista
un deber legal o contractual de conservar su información, sus datos serán
eliminados de nuestras bases de datos.
El titular
manifiesta haber leído la Política para el tratamiento de sus datos personales.
En consecuencia, reconoce haber sido informado acerca de las finalidades
específicas del tratamiento y otorga su autorización expresa para el
tratamiento de sus datos personales, incluida la autorización expresa de
transferencia de sus datos.
Última
actualización: 15 de enero de 2024