INTRODUCCIÓN. –

La protección de datos ha experimentado un desarrollo exponencial en todo el mundo en los últimos años. Diversos países, tanto del entorno como del resto del continente, han aprobado —o están en proceso de aprobar— leyes específicas para proteger los datos personales de sus ciudadanos. La República del Ecuador no ha sido ajena a esta realidad. En el año 2021, la Asamblea Nacional expidió la Ley Orgánica de Protección de Datos Personales, la cual establece, en esencia, los principios, obligaciones y derechos de los actores involucrados en el sistema ecuatoriano de protección de datos.

En este contexto, dicho avance ha impulsado la adopción de medidas corporativas destinadas a resguardar este derecho. Así, mediante Decreto Ejecutivo N.º 904, de fecha 6 de noviembre de 2023, publicado en el Registro Oficial Suplemento N.º 435 el 13 de noviembre de 2023, se promulgó el Reglamento de la Ley Orgánica de Protección de Datos Personales.

En esta línea, es pertinente revisar brevemente sus principales características regulatorias. El régimen jurídico ecuatoriano en materia de protección de datos exige que los responsables del tratamiento de datos personales —como GERENCO S.A.S., en adelante “GERENCO” o “la COMPAÑÍA”

— adopten políticas adecuadas para su protección.

Dichas políticas deben ir más allá de reproducir textos normativos o recomendaciones generales, y deben atender a los requerimientos de un sistema que, si bien es reciente en nuestro país, ha sido aplicado con éxito en otras latitudes por más de quince años.

El Programa Interno de Protección de Datos Personales (en adelante, “PIPDP”) incorpora previsiones que abarcan: (i) los ciclos internos del tratamiento de datos personales por parte del responsable, y (ii) la generación de resultados medibles que permitan evidenciar la diligencia debida y alcanzar la responsabilidad demostrada en el manejo de datos personales.

En concreto, un PIPDP está compuesto por medidas internas orientadas a: (i) la implementación efectiva de sus disposiciones; (ii) el establecimiento de procesos para la atención de consultas, peticiones, reclamos y cualquier otra solicitud; (iii) la verificación de registros de tratamiento que identifiquen de forma precisa los distintos tratamientos de datos personales; y (iv) la recomendación de medidas diversas para garantizar la seguridad del tratamiento de dichos datos.

GERENCO S.A.S., para cumplir con su objeto social y empresarial, accede a datos personales de trabajadores, futuros trabajadores, proveedores, futuros proveedores,

asistentes a eventos, participantes en capacitaciones y personal capacitador.

Por tanto, la labor que desempeña GERENCO es fundamental para la prestación de servicios de asesoramiento y apoyo a empresas y administraciones públicas en áreas como la planificación, organización, eficiencia, control e información administrativa. En consecuencia, resulta esencial que, en el ejercicio de sus actividades, se garantice la protección de los datos personales bajo los principios establecidos en el régimen jurídico vigente. GERENCO busca fortalecer el ejercicio de los derechos fundamentales de las personas, y considera indispensable la implementación de políticas y medidas que aseguren el tratamiento adecuado de los datos personales que maneja.

POLÍTICA INTERNA DE PROTECCIÓN DE DATOS

PERSONALES

GERENCO S.A.S.

Introducción y objeto

La presente Política Interna de Protección de Datos Personales (en adelante, la Política) se fundamenta en las mejores prácticas nacionales e internacionales en materia de tratamiento de datos personales, con el objetivo de fortalecer los mecanismos de control y garantizar un uso transparente, responsable y adecuado de los datos personales de todas las personas que mantienen alguna relación con la Compañía.

Esta Política se encuentra enmarcada en la Ley Orgánica de Protección de Datos Personales y se complementa con los lineamientos normativos institucionales que integran el Programa Interno de Protección de Datos Personales (PIPDP).

El objetivo de la Política es establecer los principios, directrices y procedimientos aplicables al tratamiento y protección de datos personales, con el fin de garantizar el respeto, la defensa y la promoción de los derechos de los titulares de datos que interactúan con la Compañía.

Aplicación

Esta Política es aplicable a todas y cada una de las personas vinculadas directamente con la Compañía, sean empleados, proveedores, clientes y socios estratégicos, entre otros. Su cumplimiento es de carácter obligatorio.

Disposiciones para la protección de datos personales

La COMPAÑÍA mediante la Política, establece las disposiciones para el tratamiento adecuado y correcto de los datos personales a los cuales tenga acceso para el cumplimiento de su operación. De conformidad con el régimen jurídico aplicable, prevalecerá el derecho de toda persona a la protección de sus datos personales, a la confidencialidad, al tratamiento de estos de acuerdo con los principios enmarcados en la LOPDP.

Tratamiento y finalidad de los datos personales

La Compañía actuando en calidad de Responsable y/o Encargado, según sea el caso, del tratamiento de Datos Personales: recolecta, almacena, usa, circula, transfiere y suprime Datos Personales correspondientes a personas naturales y jurídicas con quienes tiene o ha tenido relación o que accede como consecuencia de relaciones comerciales, civiles o contractuales, tales como, sin que la enumeración signifique limitación: trabajadores y familiares de éstos, proveedores, asistentes a eventos, capacitadores y capacitados para los siguientes propósitos o finalidades:

Los Datos Personales que se pudieran recabar directamente de la persona interesada serán tratados de forma confidencial y quedarán incorporados a la correspondiente actividad de tratamiento titularidad de la Compañía.

Responsable del tratamiento

El responsable del tratamiento de personales es la Compañía GERENCO S.A.S., con Registro Único de Contribuyentes Nro. 1793201100001, con los siguientes datos de

contacto: correo electrónico: info@gerenco.ec / marcotapia@gerenco.ec; teléfono: 0986243813 y, con domicilio en: Calle Orión de las Galaxias N45 y Villa, Quito-Ecuador.

En la Compañía los encargados del tratamiento son cada una de las áreas que tratan datos personales de acuerdo con las definiciones del responsable del tratamiento.

Deberes del Responsable

El rol del Responsable de tratamiento de Datos Personales, abarca las obligaciones previstas en el art. 47 de la LOPDP, además de las siguientes:

1. Garantizar confidencialidad, integridad, disponibilidad y resiliencia.
2. Garantizar seguridad en el tratamiento de datos personales.
3. Garantizar el acceso a los datos personales, así como a la actualización, rectificacióno supresión.
4. Implementar políticas de protección de los datos personales
5. Realiza el tratamiento de los datos personales considerando las particularidades normativas.

Derechos del Titular respecto del Responsable

1) Derecho a la información.

2) Derecho de acceso.

3) Derecho de rectificación, actualización y eliminación

4) Derecho de oposición

5) Derecho de portabilidad

6) Derecho de suspensión del tratamiento

7) Derecho de no recibir una decisión automatizada

8) Derecho de consentimiento de menores de edad

Derechos del Titular respecto de la Autoridad

1) Derecho de consulta

2) Derecho de la educación digital

Legitimación para el tratamiento de Datos Personales

Según el caso, las bases legales que habilitan a GERENCO a tratar los Datos Personales son la siguientes: (i) el interesado otorgo su autorización/consentimiento para el tratamiento de sus Datos Personales para uno o varios fines específicos; (ii) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; (iii) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable a la Compañía; (iv) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; y, (v) el tratamiento es necesario para el cumplimiento de una misión.

Autorización/Consentimiento

La Compañía solicitará autorización/consentimiento de manera previa, libre, expresa, inequívoca e informada a los titulares de los Datos Personales sobre los que requiera realizar el Tratamiento. Esta manifestación de voluntad del Titular puede darse por medio de diferentes mecanismos puestos a disposición por GERENCO, tales como:

1) Por escrito, diligenciando un formato de autorización (medios físicos o electrónicos) para el tratamiento de Datos Personales entregado por GERENCO;

2) De forma oral, a través de una conversación telefónica o en videoconferencia; y,

3) Mediante conductas inequívocas que permitan concluir que otorgó su autorización/consentimiento, a través de su aceptación expresa a los Términos y

Condiciones de una actividad dentro de los cuales se requiera la autorización de los participantes para el Tratamiento de sus Datos Personales.

En ningún caso la Compañía asumirá el silencio del titular como una conducta inequívoca.

Sensibilidad de datos

El Responsable de datos será garante de definir los datos que pueden catalogarse como “datos sensibles” dentro de la base legal, exponiendo los siguientes:

Medidas para la seguridad de los datos personales y mitigación o eliminación de riegos

Las medidas para garantizar la protección de datos personales, que en esencia guarda relación con el plan de tratamiento del riesgo, deberán agruparse en tres campos: (i) prevención; (ii) actuación; y, (iii) proactividad.

A modo de lista no taxativa, están los siguientes:

Transferencia internacional de datos personales

GERENCO podrá entregar los Datos Personales a terceros no vinculados a ésta, por lo tanto, cuando desee enviar o transmitir datos a uno o varios encargados de tratamiento asegura mediante la aplicación de cláusulas de protección de datos. Asimismo, GERENCO podrá comunicar sus datos a sucursales y filiales, e igualmente para efectos de almacenar información en bases de datos locales y/o extranjeras.

GERENCO no comunicará dichos datos a terceros, salvo cuando sea necesario para gestionar los procesos y servicios de la Compañía. En particular, sólo tendrán acceso a los datos personales aquellos terceros a los que la Compañía haya encomendado una prestación de servicios.

Los destinatarios estarán sujetos a las mismas obligaciones y medidas de seguridad, técnicas y legales descritas en la LOPDP, normativa secundaria y resoluciones emitidas por la Autoridad de Protección de Datos.

Contratación de Proveedores

Todos los proveedores de GERENCO deberán tratar los datos personales a los que tengan acceso únicamente de acuerdo con las instrucciones documentadas por GERENCO.

Todos los proveedores que manejen datos personales proporcionados por GERENCO deberán contar con las medidas adecuadas para garantizar la confidencialidad y seguridad de los datos personales, esto incluye, pero no se limita, a establecer, implementar y mantener un programa de seguridad de la información que incluya políticas y procedimientos, para proteger y mantener seguros los datos personales de acuerdo con las buenas prácticas de la industria y como lo exige la LOPDP.

En específico, la COMPAÑÍA verificará que se cuente con: una política de protección de datos, política de seguridad de la información, certificaciones, un delegado de protección de datos o un responsable del tema de datos dentro de la organización, entre otros.

Todos los proveedores de la Compañía que manejen datos sensibles y aquellos que determine el Departamento Legal, deberán suscribir un Acuerdo de Tratamiento de Datos (“DPA”), en el cual se establecerán las condiciones del tratamiento de los datos personales, así como las medidas técnicas que serán adoptadas. En caso de no suscribir un DPA, en el contrato marco, declaración de trabajo, órdenes de compra o cualquier documento donde se verifique la relación con el proveedor se deberá incorporar disposiciones respecto del manejo de datos personales. En cualquiera de los documentos referidos se deberá establecer como mínimo: el objeto y la duración del tratamiento, la naturaleza y la finalidad del mismo, el tipo de datos personales que se van a utilizar, los sujetos de datos, así como las obligaciones y los derechos de GERENCO.

GERENCO no podrá suscribir contratos de prestación de servicios en los cuales se incluya o se involucre datos personales, sin que el proveedor (en calidad de encargado del tratamiento), cuente con las medidas técnicas, físicas, jurídicas y organizativas adecuadas, y sin que el proveedor suscriba un DPA o un documento donde se especifique obligaciones respecto a la protección de datos personales.

Si el proveedor pretende utilizar a un subcontratista para el tratamiento de los datos personales, deberá: (i) notificar a GERENCO antes de subcontratar servicios o realizar cualquier cambio relativo a la adición o sustitución de subcontratistas; (ii) documentar la naturaleza y el alcance de los datos personales de GERENCO subtratados por los subcontratistas, garantizando que la información recopilada sea necesaria para la realización de la actividad; (ii) tratar los datos personales conforme las directrices de la COMPAÑÍA; y, (iv) limitar el tratamiento de los datos personales de GERENCO por parte del subcontratista para los fines necesarios para cumplir el contrato del proveedor con GERENCO.

Aprobación y Entrada en Vigor

Esta Política será comunicada a todas las personas relacionadas y que deben cumplir con la misma de acuerdo con lo establecido en el Ámbito de Aplicación (ANEXO I). La Política será revisada de forma recurrente de acuerdo con las actividades comerciales y objetivos estratégicos de GERENCO. Adicionalmente, La Política podrá ser revisada y adaptada de conformidad con los cambios legales, regulatorios o resoluciones de la Autoridad

Competente.