Manual de Políticas de Protección de Datos Personales

De conformidad con lo dispuesto en la Ley Orgánica de Protección de Datos Personales (LOPDP) vigente en la República del Ecuador, se emite la presente Política de Protección de Datos Personales en función de los siguientes términos.

Ámbito de Aplicación de la Política

ALDEAS INFANTILES SOS ECUADOR es una organización de desarrollo social que trabaja para que niños, niñas y adolescentes ejerzan sus derechos, especialmente su derecho a vivir en familia. Trabaja en Ecuador desde 1963, en seis provincias: Esmeraldas, Imbabura, Pichincha, Guayas, Manabí y Azuay, donde impulsa modelos de intervención integral con acciones a nivel comunitario, familiar e individual; expresados en la prevención del cuidado parental de los hijos, el desarrollo de entornos protectores en los territorios de intervención, la protección y restitución del derecho a vivir en familia a través de distintas modalidades o alternativas de cuidado según las Directrices de las Naciones Unidas y bajo los principios de necesidad e idoneidad; y autonomía juvenil para lograr la vida independiente de las personas jóvenes mediante escuelas de liderazgo juvenil, empleabilidad, viviendas asistidas, entre otros.

ALDEAS INFANTILES SOS ECUADOR actuará como responsable del tratamiento de datos personales (incluyendo nombres, dirección, número de cédula, fecha de nacimiento, datos de contacto como teléfono del domicilio, teléfono celular, correo electrónico, datos sensibles) que los titulares o sus representantes entreguen de forma legítima y lícita.

El tratamiento de datos personales se realizará siempre en respeto de las garantías a la información específica sobre cualquier decisión adoptada; así también, ninguna decisión se basará únicamente en valoraciones automatizadas.

El tratamiento que se efectuará comprende, entre otras, las actividades de recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, elaboración, adaptación, modificación, eliminación, indexación, extracción, consulta, utilización, posesión, aprovechamiento, distribución, comunicación; o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales dentro del contexto de la finalidad.

Esta Política se aplica a todos los Datos Personales recolectados por cualquier medio, tratados y transferidos por el responsable, de manera digital o física.

Alcance

En cumplimiento del artículo 47, numeral 4 de la LOPDP, referente a la obligación de implementar políticas de protección de datos personales, el responsable emite esta Política aplicable a todas las bases de datos y/o documentación, sea esta física o digital, que contengan datos personales y sean objeto de tratamiento para determinar el modo de obtención, tratamiento, finalidades y posibles transferencias en relación a los datos personales de menores de edad, padres, tutores, benefactores, clientes, trabajadores, proveedores, visitantes y demás con quienes el responsable tenga una relación que requiera un legítimo tratamiento de sus datos personales.

Definiciones

Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la ley, reglamento y resoluciones que dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales en cuanto al tratamiento de sus datos personales.

Anonimización: Proceso mediante el cual se hace imposible identificar al titular de los datos personales mediante la eliminación o alteración de información personal que permita su identificación.

Base de datos: Conjunto organizado de datos cualquiera sea su forma, soporte, tratamiento, procesamiento, localización o acceso, almacenamiento o forma de creación.

Canales: Medio de comunicación, sea este electrónico o presencial, propios o de redes asociadas.

Consentimiento: Manifestación de voluntad inequívoca, libre, informada y específica del titular de los datos por medio de la cual se autoriza al responsable el tratamiento de sus datos personales.

Derecho ARCO: Conjunto de derechos que tiene el titular, tales como acceso, rectificación, cancelación y oposición al tratamiento de sus datos personales.

Datos personales: Cualquier información que haga a una persona natural identificada o identificable, incluyendo, entre otros, nombre, dirección, número de teléfono, correo electrónico, número de tarjeta de crédito, datos biométricos, genéticos, crediticios y de salud.

Datos sensibles: Datos personales que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales, tales como etnia, identidad de género, orientación sexual, afiliación política, religión, salud, datos biométricos y genéticos.

Delegado de Protección de Datos Personales: Persona natural encargada de informar al responsable y encargado(s) del tratamiento de sus obligaciones; velar o supervisar el cumplimiento de la normativa relacionada con la protección de datos personales y cooperar con la Autoridad de Protección de Datos Personales.

Destinatario: Persona natural o jurídica a la que se le han comunicado datos personales.

Encargado del tratamiento: Persona natural o jurídica que, sola o conjuntamente con otros, realiza el tratamiento de datos personales en nombre del responsable del tratamiento.

Incidente que afecte la seguridad de los datos personales o filtración de datos personales: Evento o situación que comprometa la integridad, disponibilidad, confidencialidad o los derechos del titular de los datos personales.

Portabilidad de datos: Derecho del titular a recibir sus datos personales en un formato estructurado, de uso y lectura común.

Recolección: Proceso mediante el cual se obtienen los datos personales de una persona.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que sola o conjuntamente con otros decide sobre los fines y medios del tratamiento de datos personales.

Seudonimización: Proceso mediante el cual se sustituye la información personal del titular por un identificador o alias para proteger su privacidad.

Seguridad de los datos personales: Medidas adoptadas para proteger los datos personales contra pérdida, robo, uso indebido, acceso no autorizado, modificación o destrucción.

Titular: Persona natural cuyos datos personales son objeto de tratamiento.

Transferencia o comunicación: Proceso mediante el cual se comparten los datos personales con una tercera parte, distinta del titular, responsable o encargado.

Tratamiento de datos: Operación o conjunto de operaciones realizadas sobre los datos personales como recolección, almacenamiento, uso, divulgación, transferencia y eliminación.

Principios del tratamiento

La presente política se basa en los principios de protección de datos personales en el Ecuador conforme la Constitución, la LOPDP y demás normas conexas. El responsable aplicará los siguientes principios.

Juridicidad: Los datos personales serán tratados con estricto apego a la Constitución, instrumentos internacionales, LOPDP, su reglamento cuando se emita, la presente Política y normativa aplicable.

Lealtad: El tratamiento se realizará de modo leal y nunca para fines ilícitos o desleales.

Transparencia: El tratamiento será transparente; toda información o comunicación relativa será accesible, fácil de entender, en lenguaje sencillo y claro.

Finalidad: Las finalidades del tratamiento serán determinadas, explícitas, legítimas y comunicadas al titular.

Pertinencia y minimización: Los datos deberán ser pertinentes y limitados a lo estrictamente necesario para el cumplimiento de la finalidad.

Proporcionalidad: El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo en relación con las finalidades.

Confidencialidad: El tratamiento se realizará de modo confidencial.

Calidad y exactitud: Los datos serán exactos, íntegros, precisos, completos, comprobables, claros y actualizados cuando corresponda.

Conservación: Los datos se conservarán por no más del tiempo necesario para cumplir la finalidad o por mandato legal.

Seguridad: Se implementarán medidas de seguridad organizativas, técnicas o de otra índole para proteger los datos personales, atendiendo su naturaleza, ámbito y contexto.

Responsabilidad proactiva y demostrada: Se implementarán mecanismos para el cumplimiento de la LOPDP y mejores prácticas.

Obtención de datos

El responsable recolecta datos de prospectos de menores de edad, padres, tutores, benefactores, donantes, padrinos o madrinas, cooperantes, voluntarios, trabajadores, proveedores y visitantes, por medios digitales o físicos, buscando el libre consentimiento del titular, con finalidades informadas, específicas y comunicadas de modo transparente, o por obligación legal o contractual. Los datos pueden incluir nombres, tipo y número de identificación, fecha de nacimiento, sexo, género, etnia, teléfonos, direcciones, correos electrónicos, condiciones médicas, información crediticia, fotos, formación académica, entre otros, en el marco de relaciones de prestación de servicios de asistencia social a menores de edad y conexas.

Datos de categoría especial, de menores y de salud

Por la naturaleza de sus servicios, el responsable tratará datos sensibles de menores de edad conforme al artículo 26 de la LOPDP y 19 del RLOPDP, velando por el interés superior del niño y asegurando sus derechos fundamentales.

El responsable solo realizará el tratamiento de datos de niños, niñas y adolescentes cuando respete el interés superior y asegure el respeto de sus derechos fundamentales.

No se obtendrá, usará, divulgará o almacenará información de menores sin consentimiento previo de sus padres o tutores.

Se verificará que las instituciones a cargo de menores cuenten con el consentimiento inequívoco, libre, específico e informado de los representantes legales.

Se conocerán datos relativos a la salud de modo estrictamente confidencial para atender necesidades especiales, seguimiento adecuado, precauciones y cumplimiento de normativa laboral.

Estos datos serán previamente anonimizados o seudonimizados, evitando la identificación de los titulares.

Nota Especial

Varios sitios del dominio del responsable se centran en niños y niñas, incluyendo zonas interactivas como grupos de debate que pueden requerir información específica mínima. Estas zonas están dirigidas solamente a niños y niñas; adultos no autorizados no participan. Los niños y niñas deben asegurarse de que sus progenitores o adultos a cargo conocen su participación y la entrega de información limitada.

Datos Recopilados de Fuentes de Terceros

Se pueden recopilar datos de bancos, casas de valores, UAFE, Superintendencia de Compañías, Autoridad de Protección de Datos Personales, organismos internacionales, empresas que realizan perfiles financieros y plataformas públicas y/o privadas para validación de información. Si no son información pública, se tratarán como confidenciales. El responsable puede recibir listados con perfiles financieros para análisis.

Información judicial

Antecedentes penales, impedimento de trabajar en el sector público, afiliación de seguro de salud, consulta de cumplimiento del pago del Impuesto a la Renta (si aplica), estado tributario, deudas firmes, consulta de RUC (si aplica), declaración patrimonial en la Contraloría (si aplica) y consulta de delitos en la Fiscalía.

Almacenamiento de datos

Archivos físicos protegidos con acceso restringido.

Servidores en la nube debidamente protegidos.

Sistemas informáticos seguros de la organización.

Tratamiento

El tratamiento incluye, entre otras, las actividades de recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, habilitación de acceso, cotejo, interconexión, limitación, supresión y destrucción. Las actividades se harán conforme a los fines específicos informados y no podrán ser utilizadas para otros de manera unilateral.

Transferencia

Las transferencias de datos personales se realizarán únicamente para cumplir las finalidades específicas consentidas o necesarias para la relación contractual, y las requeridas por mandato legal. Con consentimiento del titular, se transferirá a terceros únicamente la información necesaria, garantizando un nivel de protección adecuado e incorporando cláusulas en instrumentos legales para asegurar dicho nivel.

Finalidades del tratamiento

Los fines del tratamiento se establecerán en cada contrato o documento de entrega de datos, informándose debidamente a los titulares. Las finalidades pueden incluir la gestión de transacciones y operaciones a través de los canales; mejora de la navegación y uso de los canales; desarrollo de prototipos, versiones o actualizaciones de canales o plataformas; levantamiento de expedientes, análisis y reportes para cumplir el ordenamiento jurídico o políticas internas; preparación de propuestas de productos o servicios propios, de subsidiarias, afiliadas o aliados ajustadas a intereses y necesidades del titular; campañas informativas con enfoque de responsabilidad social; comunicaciones comerciales y de verificación; registro y verificación de identidad; instrumentación de actuaciones conducentes a las finalidades; y otros fines previstos en autorizaciones del titular.

Gestión de inscripciones y participación en programas y actividades ofrecidas por el responsable, incluyendo logística, coordinación, asignación de recursos y comunicaciones relacionadas.

Envío de información sobre programas y actividades planificadas, incluyendo fechas, temas, horarios, materiales promocionales, invitaciones y beneficios relacionados.

Invitaciones específicas a eventos, charlas, conferencias o actividades relacionadas con el objeto de la ONG, a través de diversos medios de comunicación.

Análisis, estadísticas y perfilación internas para mejorar servicios y programas, incluyendo evaluación de participación y preferencias, procurando tratamiento disociado o anonimizado.

Evaluación de satisfacción y mejora de servicios mediante encuestas y retroalimentación para identificar áreas de mejora y garantizar calidad.

Comunicación institucional mediante comunicados, boletines, actualizaciones de eventos y cursos.

Gestión de pagos y facturación para donaciones, programas o servicios, incluyendo procesamiento de información financiera y de contacto en forma directa o a través de proveedores encargados autorizados.

Investigación y desarrollo de mercado para mejorar programas, métodos de enseñanza, innovación educativa y desarrollo de materiales didácticos.

Uso de la información para fines inherentes a la ejecución de contratos y productos y servicios ofrecidos, y para usos afines a los canales utilizados por el titular, incluyendo programas de mejora de experiencia de usuario.

Tiempo de conservación

Los datos personales serán conservados durante el tiempo necesario para la gestión de las finalidades especificadas de conformidad con la norma ecuatoriana vigente.

Materia: Civil – Cobro de deudas (Acción ordinaria). Años obligados: 11.

Materia: Comercio – Libros de contabilidad y sus soportes. Años obligados: 7.

Materia: Tributaria – Facturas, notas de venta, declaraciones, etc. Años obligados: 8.

Materia: Referencias académicas y certificaciones de estudio. Años obligados: 11.

Materia: Proyectos o programas llevados a cabo por el responsable. Años obligados: Periodo de tiempo establecido en el respectivo consentimiento informado firmado por el titular de los datos personales.

Nota: Se ha incorporado un año más al período de conservación determinado por la norma por ser el espacio en el cual se puede demorar la autoridad en efectuar citaciones o notificaciones de orden legal.

Derechos de los Titulares de Datos Personales

El responsable garantiza el cumplimiento de los derechos de los titulares según la LOPDP, manteniendo procedimientos para la recepción, análisis y resolución de requerimientos en relación con los derechos de acceso, rectificación y actualización, eliminación, oposición y portabilidad. Las solicitudes se atenderán dentro del plazo de quince días desde su recepción.

Derecho de Acceso: Conocer y obtener gratuitamente todos sus datos y detalles del tratamiento sin necesidad de justificación, con respuesta en quince días.

Derecho de Rectificación y Actualización: Rectificar y actualizar datos inexactos o incompletos, con respuesta en quince días.

Derecho de Eliminación: Solicitar supresión en los casos establecidos en la LOPDP, con respuesta en quince días.

Derecho de Oposición: Oponerse al tratamiento en los casos establecidos en la LOPDP, con respuesta en quince días.

Derecho de Portabilidad: Recibir datos en formato compatible, estructurado, común, interoperable y de lectura mecánica o transferirlos a otro responsable cuando sea técnicamente posible, bajo las condiciones de la ley.

Procedimientos para el ejercicio de derechos de los titulares

Las solicitudes, peticiones o reclamos se presentarán al Delegado de Protección de Datos del responsable a través del correo proteccion.datos@aldeasinfantiles.org.ec y, bajo circunstancias justificadas, de manera física. Se dispone de un “Formulario para el ejercicio de derechos de titulares de datos personales”. El procedimiento inicia con la presentación de la solicitud y finaliza con la notificación de respuesta y cierre del expediente. El solicitante deberá demostrar la titularidad o representación legal.

Derecho a la información (13.1)

El titular podrá solicitar en cualquier momento y de manera gratuita información sobre fines del tratamiento, base legal, tipos de tratamiento, tiempo de conservación, existencia de bases de datos, origen de los datos, tratamientos ulteriores, identidad y datos de contacto del responsable y del delegado, transferencias o comunicaciones previstas y sus finalidades, consecuencias de la entrega o negativa, efectos de datos erróneos, posibilidad de revocar el consentimiento, existencia y forma de ejercer derechos, mecanismos de portabilidad, dónde y cómo realizar reclamos y la existencia de valoraciones y decisiones automatizadas. La respuesta se notificará por correo electrónico en un plazo máximo de quince días.

Derechos ARCO (13.2)

El titular podrá solicitar acceso, rectificación y actualización, supresión, oposición y revocatoria del consentimiento mediante el formulario y correo indicado. La supresión procederá cuando el tratamiento no cumpla principios legales, no sea necesario para la finalidad, haya cumplido su finalidad, venza el plazo de conservación, afecte derechos fundamentales, se revoque el consentimiento o exista obligación legal. La oposición procederá en los casos permitidos por la ley, incluyendo mercadotecnia directa o interés legítimo justificado. La respuesta se notificará en un plazo máximo de quince días.

Derecho a la portabilidad (13.3)

El titular podrá solicitar la entrega de sus datos personales en formato compatible, actualizado, estructurado, común, interoperable y de lectura mecánica, o su transmisión a otros responsables, cuando exista consentimiento, el tratamiento se efectúe por medios automatizados, se trate de un volumen relevante de datos o el tratamiento sea necesario para obligaciones y derechos en el ámbito laboral y de seguridad social. No procederá respecto de información inferida, derivada, creada o generada por el responsable a partir del análisis de los datos del titular.

Derecho a la suspensión del tratamiento (13.4)

El titular podrá solicitar la suspensión del tratamiento cuando impugne la exactitud de los datos, el tratamiento sea ilícito, el responsable ya no necesite los datos para los fines o se oponga al tratamiento de datos relativos a la salud según el artículo 31 de la LOPDP. De existir negativa y recurso ante la Autoridad, la suspensión se extenderá hasta su resolución. Mientras se verifica la exactitud, se señalará en la base de datos que la información está impugnada. El tratamiento podrá continuar únicamente para la formulación, ejercicio o defensa de reclamaciones, para proteger derechos de otra persona o por razones de interés público importante.

Derecho a no ser objeto de una decisión basada en valoraciones automatizadas (13.5)

El titular podrá solicitar una explicación motivada sobre una decisión, presentar observaciones, solicitar criterios de valoración del programa automatizado, información sobre los tipos y fuentes de datos utilizados e impugnar la decisión. No procede cuando la decisión sea necesaria para un contrato, esté autorizada por normativa, orden judicial o mandato de autoridad competente, se base en consentimiento explícito o no conlleve impactos graves o riesgos verificables. No se podrá exigir renuncia anticipada a este derecho. Este derecho será informado a más tardar en la primera comunicación sobre una decisión basada únicamente en valoraciones automatizadas.

Encargados

El responsable encargará el tratamiento a trabajadores y proveedores externos únicamente para los fines consentidos y conforme a la Ley. Todos los encargados suscribirán acuerdos de confidencialidad y garantizarán un nivel de protección adecuado considerando naturaleza, volumen, riesgos, amenazas y vulnerabilidades. Ante incumplimientos se informará a las autoridades y se aplicarán sanciones internas cuando corresponda. Finalizado el tratamiento, los encargados deberán eliminar los datos en su poder, físicos o digitales.

Identidad y datos de contacto del responsable del tratamiento de datos personales

Dependencia o área encargada: ALDEAS INFANTILES SOS ECUADOR.

Dirección física: Av. Veracruz N34-102 y Av. América.

Dirección de correo electrónico: proteccion.datos@aldeasinfantiles.org.ec.

Teléfono: (02) 331-6850.

Cargo de la persona de contacto: Representante Legal.

Consentimiento

Padres de menores, tutores, clientes, benefactores, voluntarios, donantes, padrinos o madrinas, cooperantes, trabajadores, proveedores y visitantes, en calidad de titulares, otorgarán su consentimiento libre, específico, informado e inequívoco para que el responsable gestione el tratamiento de los datos proporcionados conforme a la LOPDP, esta política y los contratos específicos. La autorización se realizará a través de una casilla desmarcada de verificación al final del formulario de registro. El responsable conservará pruebas de las autorizaciones conforme a políticas de confidencialidad.

El responsable no divulgará ni compartirá datos personales sin consentimiento del titular, salvo requerimientos de autoridades administrativas o judiciales en ejercicio de sus funciones, requerimientos para fines estadísticos, históricos o científicos con datos debidamente disociados o anonimizados, y otros requerimientos fundamentados en disposiciones legales. El consentimiento informará que el responsable podrá facilitar datos a terceros encargados con fines específicos descritos en los formularios, quienes se regirán por la LOPDP.

Revocatoria del Consentimiento

El titular podrá revocar en cualquier momento su consentimiento a través de los canales del responsable o por correo electrónico. La revocatoria establecerá que no se volverán a entregar ni actualizar datos a otras instituciones, pero tanto el responsable como los encargados podrán mantener información para cumplir normas de respaldo por el tiempo exigido por la ley o normativa de entes reguladores. La negativa o revocatoria podría implicar la imposibilidad de acceso a programas y actividades cuando sea necesario contar con los datos personales del titular.

Seguridad de la Información

En cumplimiento del principio de seguridad de datos personales y de los artículos 37, 39, 40 y 41 de la LOPDP, se implementan medidas técnicas, organizativas y de TI para proteger los datos personales según análisis de riesgos, amenazas y vulnerabilidades. Se realizarán evaluaciones de impacto, medidas de seguridad desde el diseño y por defecto, y se exigirá a proveedores encargados un nivel óptimo de seguridad. Ante vulneraciones que conlleven riesgo a derechos y libertades, se notificará a titulares y autoridades conforme al artículo 46 de la LOPDP.

Conocimiento de los términos

La presente política es de carácter informativo. Adicionalmente, el titular deberá aceptar el tratamiento mediante casilla desmarcada, constituyendo un acto afirmativo de voluntad. El responsable podrá almacenar el consentimiento en un archivo auditable para justificarlo ante autoridad competente o terceros.

Modificaciones a la Política

En virtud del artículo 76 de la LOPDP, esta política se actualizará una vez que la Autoridad de Protección de Datos emita directrices para el diseño y contenido de la política de tratamiento de datos personales. La política y sus modificaciones serán publicadas en la página del responsable.

Legislación Aplicable

Esta Política se rige por la legislación vigente sobre protección de datos personales, incluyendo el artículo 66 de la Constitución de la República del Ecuador y normas correspondientes.

Vigencia

Esta Política de Protección de Datos Personales está vigente desde el 01 de agosto de 2024.

Anexos

Enlace 1: CLICK PARA DESCARGAR (Formulario para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO) sobre el tratamiento de datos personales.)

Enlace 2: CLICK PARA DESCARGAR (Formulario de solicitud de derecho a la portabilidad.)

Enlace 3: CLICK PARA DESCARGAR (Manual de protección de datos))