POLÍTICA CORPORATIVA DE PROTECCIÓN DE DATOS PERSONALES DE COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA.

Razón Social del responsable: COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA.
Registro Único de Contribuyentes: 1790263061001
Domicilio Corporativo: República del Ecuador, Provincia de Pichincha, Cantón Quito, ciudad de Quito, en las calles Calle Guayas E3-257 y Cañar, vía a Pintag.
Delegado de Protección de Datos (DPO): Elda Lara
Números de Contacto: 2794003
Fecha: 6 de junio/2024

La presente política tiene como objetivo establecer las directrices y procedimientos para garantizar la seguridad de la información y el tratamiento de datos personales de responsabilidad de COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA. (en adelante “La Compañía”, o “CEDEPPA”).

Esta política interna es de obligatorio cumplimiento para todos los trabajadores de CEDEPPA.

Artículo 1.- Declaración de la Gerencia:

Los datos personales y la seguridad de la información representan un elemento importante para el cumplimiento legal y la buena reputación de CEDEPPA.

Estos activos nos brindan la capacidad de tomar decisiones fundamentadas, personalizar la atención a nuestros valiosos clientes y satisfacer las necesidades internas de nuestros colaboradores. Además, son la base para implementar acciones más efectivas que contribuyen al crecimiento y éxito de la compañía.

Esta Política establece definiciones de datos personales con la Ley Orgánica de Protección de Datos Personales (LOPDP). Asimismo, proporciona directrices de cumplimiento que son de obligatorio seguimiento para todos los empleados de COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA.

Artículo 2.- ¿Quién es el Responsable del Tratamiento de Datos Personales?

La LOPDP define al Responsable del Tratamiento de Datos Personales como la entidad o individuo encargado de tomar decisiones relativas al uso de datos personales.

Para fines de esta Política, el Responsable del Tratamiento es la COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA., identificada con el número de Registro de Contribuyentes No. 1790263061001.

De ahora en adelante, se considerará que CEDEPPA es Responsable del Tratamiento de Datos Personales en lo que respecta a clientes, empleados y terceros (proveedores). Esta responsabilidad es aplicable tanto ante la Autoridad de Protección de Datos Personales de Ecuador como ante los titulares de los datos.

Sin embargo, es importante destacar que los empleados de CEDEPPA que hagan un uso indebido de la información personal a la que acceden en el ejercicio de sus funciones podrán ser sujetos de responsabilidad civil y/o penal, dependiendo de las circunstancias.

Artículo 3.- Definiciones: Es importante que todos conozcan sobre las definiciones básicas que implica la protección de datos personales,

a continuación se establecen algunas definiciones extraídas de la Ley:

  1. Dato Personal: Un "Dato Personal" es cualquier información que se refiere a una persona específica, como su nombre, dirección, número de teléfono o cualquier detalle que pueda identificarla.

  2. Titular: Persona natural cuyos datos son objeto de tratamiento.

  3. Autoridad de Protección de Datos Personales: Autoridad Nacional que velará por los derechos de los titulares. Esta Autoridad podrá auditar a los Responsables para su cumplimiento de la Ley.

  4. Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuere la forma.

  5. Encargado del tratamiento de datos personales: persona natural o jurídica, pública o privada, que sola o conjuntamente trata o procesa datos personales a nombre del responsable.

  6. Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

  7. Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comunique deben ser exactos, completos y actualizados.

  8. Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

Otras definiciones relacionadas con la protección de datos personales:

  1. Propietarios de la Información: Son los trabajadores que lideran una gestión de un área, proceso o negocio de la cual se procesa o genera información y que tienen la potestad para disponer de su contenido o consumirlo.

  2. Activos de Información: algo que una organización valora y, por lo tanto, debe proteger. Algunos ejemplos: correo electrónico, plataformas digitales, computadoras (con disco duro), servidores, documentos impresos (Documentos de Procesos, Contratos, Actas del Directorio, etc.), archiveros, estaciones de trabajo, routers o nodos de red, firewalls, equipos de alarma, controles de acceso de personal, cajas de seguridad, colaboradores, proveedores externos, entre otros.

  3. Confidencialidad: Confidencialidad se refiere a mantener la información en secreto o protegida de modo que solo las personas autorizadas puedan acceder a ella.

  4. Integridad: se salvaguarda la exactitud y la totalidad de la información y los métodos de procesamiento.

  5. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.

  6. Información Reservada: Esta es información que, aunque no es pública, puede ser compartida con ciertos individuos o entidades de confianza de manera limitada. Suele tener un grado de acceso restringido, pero no es tan delicada como la información secreta o secretísima.

  7. Información Secreta: La información secreta es altamente confidencial y está restringida a un grupo muy selecto de personas. Su acceso está estrictamente controlado y su divulgación no autorizada puede tener graves consecuencias.

  8. Información Secretísima: Esta es la categoría más alta de confidencialidad. La información secretísima es extremadamente delicada y solo puede ser accesible para un grupo extremadamente limitado de personas. La filtración de información secretísima puede ser considerada como un grave riesgo legal para CEDEPPA.

Artículo 4. – Activos estratégicos: Los activos estratégicos de la información y los datos personales ocupan un rol esencial en la continuidad de CEDEPPA. Nuestra información estratégica incluye planes de desarrollo de nuestros productos, la propiedad intelectual de nuestras creaciones, estrategias de mercado, contacto con nuestros proveedores, contacto con nuestros distribuidores, contacto y relación con tenderos, ferreterías y pequeños negocios, la información personal de nuestros trabajadores y cualquier información no pública que sirva para la continuidad del negocio.

Cabe resaltar que los datos personales son un pilar en nuestra relación con los proveedores y empleados, su seguridad y privacidad son de máxima importancia. La gestión adecuada de estos activos no solo garantiza nuestro cumplimiento de la Ley, sino que también demuestra nuestro compromiso con la confianza y el cumplimiento de las normativas de privacidad.

Nuestros activos estratégicos se dividen en (1) datos personales [de cualquier titularidad de la que provengan], y (2) información reservada no personal.

Articulo 5.- Base Legal: Los datos personales serán siempre tratados de manera legítima para su uso. En el caso de los datos personales de responsabilidad de la compañía, se deberá contar con una de las siguientes bases legales para su procesamiento: consentimiento, cumplimiento de obligaciones legales, requerimiento judicial, ejecución de un contrato, protección de intereses vitales, acceso público o interés legítimo.

  • Consentimiento
    Ejemplo: Cuando una persona acepta los términos y condiciones de una aplicación móvil antes de descargarla.

  • Obligación legal
    Ejemplo: La obligación legal de un hospital de proteger la confidencialidad de la información médica de los pacientes según la ley HIPAA en los Estados Unidos.

  • Por orden judicial
    Ejemplo: Una orden judicial que obliga a un individuo a entregar documentos relacionados con un caso de litigio.

  • Obligación contractual
    Ejemplo: Un proveedor de servicios de entrega que comparte información de ubicación con un minorista como parte de un acuerdo contractual para rastrear entregas.

  • Intereses vitales
    Ejemplo: Un médico que accede al historial médico de un paciente inconsciente para tomar decisiones críticas durante una cirugía de emergencia.

  • Acceso público
    Ejemplo: Información en directorios de empresas o registros públicos, como información de contacto de empresas.

  • Interés legítimo
    Ejemplo: Un empleador que monitorea el uso de la computadora de un empleado en el trabajo para garantizar la seguridad de la red y la productividad de la empresa, en interés legítimo de la seguridad cibernética.

En todo momento los propietarios de la información deben asegurar que el uso/tratamiento de datos personales se encuadre en cualquiera de las bases legitimadoras antes referidas.

Artículo 6.- Principios que rigen está política:

Además de los principios establecidos en la Ley Orgánica de Protección de Datos Personales las actuaciones de todos quienes conforman CEDEPPA deben atender a los siguientes principios de protección de datos personales:

  1. Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.

  2. Calidad y exactitud.- Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados, de tal forma que no se altere su veracidad.

  3. Conservación.- Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento.

Artículo 7. - Obtención de Datos Personales: Los Datos Personales de Responsabilidad de CEDEPPA se obtendrán directamente desde el titular salvo en ocasiones que se traten datos personales de terceros entregados por personas autorizadas como, por ejemplo, los datos personales que han sido entregados por proveedores.

Los titulares identificados son:

  1. Proveedores: Obtendremos sus datos identificativos y fiscales.

  2. Trabajadores: Obtendremos de nuestros trabajadores su historial laboral, datos identificativos, datos de su domicilio, número de teléfono celular y otros datos e información personal mínima y pertinente para cumplir con el contrato de trabajo.

  3. Datos de clientes: Obtendremos sus datos identificativos y fiscales

Podemos solicitar a nuestros trabajadores los documentos de identificación de sus cargas familiares para acreditar y calcular sus beneficios laborales. Esta información se utilizará únicamente con la finalidad de cumplir con el Contrato de Trabajo y la normativa laboral vigente.

Es política de CEDEPPA no comprar bases de datos, aceptar o recibir datos personales de otras fuentes que no sea el titular, salvo en lo especificado en la sección anterior. Todo tratamiento de datos personales que realice CEDEPPA debe ser legítimo.

Sin perjuicio a lo arriba mencionado CEDEPPA podrá obtener datos personales que se encuentren accesibles al público mediante portales como: SRI, EXPEL (función judicial), ANT, AMT, Ministerio del Interior, Fiscalía General del Estado o cualquier otro que sea de dominio público.

Para verificar la certeza de los datos personales, los propietarios de la información podrán solicitar documentos oficiales como cédula, certificado de RUC o cualquier otro documento que acredite información y sea emitido por autoridad competente.

Artículo 8. - Tratamiento de Datos Personales sensibles:

Por disposición legal, los datos personales sensibles se definen como los siguientes:

“Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales”.

Cualquier dato personal de categoría sensible debe tratarse como información secretísima. Su comunicación solo está autorizada para el cumplimiento legal, contractual o por requerimiento de autoridad competente. Cualquier comunicación de esta categoría de datos debe ser evaluada y aprobada previamente por la Gerencia General.

Artículo 9. – Finalidades del Tratamiento de Datos Personales: Las finalidades del tratamiento de los datos personales se entienden como el uso que realizamos de los datos personales. Las finalidades no son estáticas, por lo tanto, deben ajustarse a cada realidad jurídica o legal. Las finalidades del tratamiento estarán recogidas en el documento Aviso de Privacidad de COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA. y se actualizarán constantemente, según sea necesario.

Artículo 10.- Almacenamiento, seguridad y privacidad de datos personales: Los datos personales recogidos por COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA. serán incorporados y tratados en bases de datos, recogidos en sistemas informáticos, garantizando de manera expresa las medidas de seguridad técnica, organizativa y legal para el tratamiento, seguridad y confidencialidad de los datos personales de forma que se asegure la integridad de los datos y la seguridad de la información que los contienen.

Para prevenir el acceso no autorizado a datos personales y con el fin de asegurar la seguridad de la información utilizada para los fines establecidos en esta Política de Tratamiento de Datos Personales, CEDEPPA procurará periódicamente implementar procedimientos físicos, electrónicos y administrativos, utilizando tecnologías avanzadas que limiten el uso o divulgación de sus datos, permitiéndonos tratarlos debidamente y prohibiendo extraer de las oficinas de CEDEPPA, de forma no autorizada, cualquier tipo de información que contenga datos personales.

El Delegado de Protección de Datos (DPO) llevará a cabo revisiones periódicas de los accesos a la información, con el fin de identificar y recomendar la eliminación de privilegios de acceso y de aquellos accesos que resulten innecesarios.

Artículo 11. -Tiempo de tratamiento y almacenamiento de los datos personales: Los datos personales tratados por COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA. serán conservados durante el tiempo mínimo necesario para cumplir con las finalidades mencionadas y/o hasta que el titular de los datos se oponga o revoque su consentimiento.

Como regla general se almacena la información por los siguientes periodos:

MATERIA - (AÑOS OBLIGADOS FUENTE)

  • Civil – cobro de deudas acción ordinaria - (11 años)

  • Comercio – libros de contabilidad y sus soportes - (7 años)

  • Tributaria – facturas, nota de ventas, declaraciones, etc. - (8 años)

  • Laboral - (Mínimo 5 años hasta el mayor tiempo posible para eventuales requerimientos de información del IESS.)

Artículo 12 .- Recomendaciones de Seguridad de la Información

Para garantizar la seguridad de la información, recomendamos seguir estas prácticas:

  1. Acceso Restringido: Limitar el acceso a la información y los datos personales. Limitar el acceso solo a las personas autorizadas.

  2. Contraseñas Seguras: Utilizar contraseñas fuertes y actualizarlas regularmente. Todos los equipos informáticos que se utilicen en CEDEPPA deben estar protegidos con contraseña para su uso.

  3. Actualización de Software: Mantener todos los sistemas y software actualizados con las últimas correcciones de seguridad.

  4. Gestión de Incidentes: Seguir el procedimiento para notificar y gestionar incidentes de seguridad de datos.

  5. Evaluación de Riesgos: Realizar evaluaciones periódicas de riesgos de seguridad de la información

Artículo 13 .- Incidentes de Seguridad de la información

El proceso de reporte de un incidente de seguridad de la información se seguirá de la siguiente manera:

  1. Detección del incidente: Identifique cualquier actividad o evento inusual que pueda ser un incidente de seguridad, como un acceso no autorizado o una fuga de datos o información. Los incidentes de seguridad de la información pueden ser de los siguientes tipos

    • [_]Revelación verbal no autorizada

    • [_]documentación perdida, robada o depositada en localización insegura

    • [_]correo postal perdido o abierto

    • [_]eliminación incorrecta de datos en formato papel

    • [_]datos personales enviados por error (postal o electrónicamente)

    • [_]datos personales mostrados al individuo incorrecto

    • [_]datos personales eliminados/destruidos

    • [_]abuso de privilegios de acceso por parte de empleado para extraer, reenviar o copiar datos personales

    • [_]datos personales residuales en dispositivos obsoletos

    • [_]publicación no intencionada/autorizada

    • [_]envío de email a múltiples destinatarios sin [_] copia oculta/lista de distribución

    • [_]dispositivo perdido o robado

    • [_]ciberincidente: dispositivo cifrado/secuestro de información

    • [_]ciberincidente: phishing/compromiso de cuenta de usuario

    • [_]ciberincidente: acceso no autorizado a datos en sistema ti (debe ser verificada por el proveedor de servicios IT)

    • [_]incidencia técnica (debe ser verificada por el proveedor de servicios IT)

    • [_]modificación no autorizada de datos

2. Recopilación de información: Reúna toda la información relevante sobre el incidente, incluyendo registros, datos de eventos, capturas de pantalla y cualquier otro detalle que pueda ayudar a comprender la situación.

3. Notificación: Informe de inmediato a la Gerencia General quien a su vez verificará los incidentes con el asesor externo de IT de ser pertinente. Dependiendo del tipo de incidente la Gerencia General debe analizar si se requiere la notificación a los titulares afectados y a la Autoridad de Datos Personales.

4. Clasificación del incidente: Evalúe la gravedad y el impacto del incidente para determinar su clasificación. La clasificación responderá al grado de afectación de los derechos de los titulares, por ejemplo la filtración de datos sensibles puede ocasionar perjuicio en la privacidad de su titular.

5. Investigación: Lleve a cabo una investigación detallada para comprender la raíz del incidente y recopilar evidencia para futuras acciones legales, si es necesario. La investigación servirá para determinar responsabilidades internas de existir.

6. Registro y documentación: Mantenga registros detallados de todas las acciones tomadas y los hallazgos durante el proceso de manejo del incidente.

7. Mejora continua: Después de resolver el incidente, realice una revisión post-incidente para identificar lecciones aprendidas y mejore las políticas y prácticas de seguridad para evitar futuros incidentes.

Artículo 14. - El Delegado de Protección de Datos Personales (DPO):

La función del Delegado de Protección de Datos Personales la ejercerá la Gerencia General. En tal razón, cualquier actividad que implique tratamiento de datos personales debe estar en conocimiento de los propietarios de información y de la Gerencia General. El tratamiento de datos sensibles deberá estar autorizado siempre por la Gerencia General.

Artículo 15.- Registro de las actividades del Tratamiento de Datos Personales: Cada área de CEDEPPA tiene la responsabilidad de registrar el tratamiento de datos personales que se haya realizado en virtud de los contratos de servicios requeridos en su área. Este registro se debe realizar en la Matriz de Registro de Contratos que le entregará la Gerencia.

Sobre la seguridad de la información:

Artículo 16.- Responsables de clasificar la información: La decisión de clasificar una información se regirá por los siguientes criterios:

  • El Propietario de la información es el empleado (con cargo directivo o gerencial) que tiene la decisión sobre la finalidad, contenido y uso de la información.

  • El Propietario de la información deberá instruir a su equipo sobre el uso de la información a la que tengan acceso.

  • La Gerencia General puede decidir clasificar una información como reservada, secreta o secretísima.

Sin perjuicio de la clasificación de la información los trabajadores de CEDEPPA deberán tratar toda información como confidencial con la excepción de la información que sea pública.

Artículo 17. – Escritorios y estaciones de trabajo limpias:

Todas las personas que trabajan en las oficinas de COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA. deberán acatar las siguientes políticas de escritorios limpios y estaciones de trabajo limpias:

  • Mantener sus lugares o estaciones de trabajo limpios y ordenados evitando dejar sobre su escritorio o estación de trabajo: documentos, papeles, tarjetas magnéticas, dispositivos de almacenamiento, entre otros.

  • Minimizar la exposición de la información sensible, datos personales y cualquier información confidencial.

  • No publicar o dejar a la vista, documentos o datos críticos como papeles o documentos que tengan nombres de usuario, contraseñas, listas de clientes o proveedores, proformas, archivos en general, datos personales de los empleados y/o cualquier información importante

  • Es necesario que todos los empleados bloqueen la pantalla de sus computadoras cuando se ausenten de sus escritorios, ya sea temporalmente o al finalizar su jornada laboral. Además, se les solicita configurar sus computadoras para que se active el bloqueo con acceso restringido por usuario en caso de que más de un empleado utilice el mismo equipo. Asimismo, se debe establecer el acceso mediante contraseña y la activación automática del bloqueo de pantalla después de al menos 2 minutos de inactividad.

Artículo 18. - Filtración y uso no autorizado: La filtración, exportación, transmisión, comunicación, remisión o cualquier uso indebido de las bases de datos personales o de datos personales en general, por parte de los empleados, será sancionado de acuerdo con el Reglamento Interno de Trabajo, sin perjuicio de las acciones legales penales que pueda emprender CEDEPPA.

Las bases de datos, y los sistemas informáticos que contengan datos personales, son activos de COMPAÑÍA ECUATORIANA DE PRODUCTOS PARA EL ASEO CEDEPPA CÍA. LTDA., por lo mismo los empleados no son dueños del mencionado activo.

Artículo 19. - Interpretación: Los aspectos no contenidos en la presente Política o que puedan prestarse a diversas interpretaciones serán aclaradas por la Gerencia.

Artículo 20. - Vigencia: Esta Política estará vigente y entrará en vigor a partir de octubre del año 2023 de forma indefinida mientras exista normativa vigente en la República del Ecuador que así lo requiera.

Revisión y Actualización
Esta política será revisada y actualizada periódicamente para garantizar su vigencia y eficacia.

Fecha de última actualización: 5 de junio de 2024