Política de Privacidad y Protección de Datos Personales AEDIPRO - Asociación Ecuatoriana en Dirección de Proyectos
1. Introducción
AEDIPRO Asociación Ecuatoriana en Dirección de Proyectos (en adelante AEDIPRO) en cumplimiento del régimen general de Protección de Datos Personales establecido por la Constitución Política del Ecuador, así como la Ley Orgánica de Protección de Datos Personales, presenta su Política de Privacidad y Protección de Datos, en la que se establecen los lineamientos y procedimientos para garantizar este derecho fundamental.
Esta política incluye aspectos esenciales para informar sobre el manejo apropiado de los datos personales entregados a AEDIPRO, así como las medidas de seguridad para su tratamiento, los derechos de los Titulares y las obligaciones de los Responsables y Encargados en el proceso.
2. Lineamientos generales
a. Definiciones
Para efectos de la presente Política, se entenderá por:
Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la Ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales.
Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.
Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al Responsable del tratamiento de los datos personales a tratar los mismos.
Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
Datos sensibles: Datos relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a rendimiento profesional, situación económica, salud, preferencias personales, intereses, habilidad, ubicación, movimiento físico de una persona, entre otros.
Encargado del tratamiento de datos personales: AEDIPRO que es la encargada del tratamiento de datos personales a nombre y por cuenta de un responsable.
Responsable de tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que contrata los servicios de AEDIPRO y decide sobre la finalidad y el tratamiento de datos personales.
Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Titular: Persona natural cuyos datos son objeto de tratamiento.
Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.
Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la Ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales.
Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.
Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al Responsable del tratamiento de los datos personales a tratar los mismos.
Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
Datos sensibles: Datos relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a rendimiento profesional, situación económica, salud, preferencias personales, intereses, habilidad, ubicación, movimiento físico de una persona, entre otros.
Encargado del tratamiento de datos personales: AEDIPRO que es la encargada del tratamiento de datos personales a nombre y por cuenta de un responsable.
Responsable de tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que contrata los servicios de AEDIPRO y decide sobre la finalidad y el tratamiento de datos personales.
Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Titular: Persona natural cuyos datos son objeto de tratamiento.
Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.
Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
b. Principios
La política de protección de datos de AEDIPRO, se basa en los siguientes principios:
• Principio de legalidad en materia de tratamiento de datos: El tratamiento al que se refiere la Ley Orgánica de Protección de Datos Personales es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
• Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada a los clientes de AEDIPRO.
• Principio de libertad: El tratamiento de datos personales sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Para los servicios prestados por AEDIPRO, ese consentimiento debe ser obtenido por el Responsable, es decir, por el cliente que solicita el servicio.
Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
• Principio de veracidad o calidad: Los datos sujetos a tratamiento deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles y serán aquellos entregados a AEDIPRO por sus clientes.
• Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley Orgánica de Protección de Datos Personales, la Constitución y la presente Política. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular, por un Encargado designado por el Responsable y las personas designadas para el efecto que trabajaren para el Encargado.
• Principio de seguridad: La información sujeta a tratamiento por el Responsable o Encargado del mismo, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
• Principio de intimidad y buen nombre: La información sujeta a tratamiento por parte del Responsable o Encargado del mismo debe ser valorada dentro de los cánones del respeto a la intimidad y el buen nombre de los titulares del dato.
La política de protección de datos de AEDIPRO, se basa en los siguientes principios:
• Principio de legalidad en materia de tratamiento de datos: El tratamiento al que se refiere la Ley Orgánica de Protección de Datos Personales es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
• Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada a los clientes de AEDIPRO.
• Principio de libertad: El tratamiento de datos personales sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Para los servicios prestados por AEDIPRO, ese consentimiento debe ser obtenido por el Responsable, es decir, por el cliente que solicita el servicio.
Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
• Principio de veracidad o calidad: Los datos sujetos a tratamiento deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles y serán aquellos entregados a AEDIPRO por sus clientes.
• Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley Orgánica de Protección de Datos Personales, la Constitución y la presente Política. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular, por un Encargado designado por el Responsable y las personas designadas para el efecto que trabajaren para el Encargado.
• Principio de seguridad: La información sujeta a tratamiento por el Responsable o Encargado del mismo, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
• Principio de intimidad y buen nombre: La información sujeta a tratamiento por parte del Responsable o Encargado del mismo debe ser valorada dentro de los cánones del respeto a la intimidad y el buen nombre de los titulares del dato.
3. Alcance
Esta política se aplica a todos los datos personales recolectados a través de la página web cuando el cliente realiza los estudios actuariales a través del Portal Clientes y/o por medio de la contratación de servicios ofertados por AEDIPRO, cuyo detalle se encontrará en el Anexo que forma parte integrante del presente instrumento: “Registro de las actividades del tratamiento de datos personales”.
Las personas que laboren en AEDIPRO y que tengan acceso por sus funciones al tratamiento de datos personales, deberán suscribir acuerdos de confidencialidad de la información al momento de su vinculación en la empresa.
4. Finalidad
Las personas que laboren en AEDIPRO y que tengan acceso por sus funciones al tratamiento de datos personales, deberán suscribir acuerdos de confidencialidad de la información al momento de su vinculación en la empresa.
4. Finalidad
AEDIPRO utiliza datos personales entregados por sus clientes para las siguientes finalidades:
a) Proporcionar soporte u otros servicios que hayan sido contratados por sus clientes.
b) Responder directamente a las solicitudes de sus clientes.
c) Solventar las inquietudes, dudas y/o consultas de los usuarios disponibles en el sitio web de la compañía que les permiten participar en discusiones interactivas, publicar comentarios, oportunidades u otro contenido en un tablón de anuncios o intercambio, o participar en actividades de redes sociales.
d) Evaluar el uso de los productos y servicios.
e) Comunicaciones acerca de una reunión, conferencia o evento organizado o copatrocinado por AEDIPRO, que puede incluir información sobre el contenido, la logística, las actualizaciones y la información adicional.
f) Proteger contenidos y servicios.
g) Detectar y abordar actividades anómalas y para analizar el contenido a fin de evitar abusos, como el spam.
h) Obtener retroalimentación o aportación por parte de sus clientes o de los usuarios con el fin de ofrecer productos y servicios de mejor calidad.
i) Realizar estudios e investigaciones estadísticas y analíticas con fines científicos, históricos o estadísticos que se realicen por interés público.
j) Elaboración de perfiles que permiten evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a rendimiento profesional, situación económica, salud, preferencias personales, intereses, habilidad, ubicación, movimiento físico de una persona, entre otros.
5. Base legal para el procesamiento
El tratamiento de datos personales realizado por AEDIPRO estará regulado sea por el contrato suscrito con su cliente y/o por su consentimiento a las disposiciones de la presente Política, en el que se establezca de manera clara y precisa que se tratarán los mismos únicamente conforme sus instrucciones, de acuerdo al objeto señalado en el contrato o en el servicio o proceso llevado a cabo por AEDIPRO y no serán utilizados para finalidades distintas a las especificadas en la presente política, ni que serán transferidos o comunicados ni siquiera para su conservación a otras personas.
6. Derecho de acceso
El Titular tiene derecho a conocer y a obtener, gratuitamente, del Responsable de tratamiento acceso a todos sus datos personales sin necesidad de presentar justificación alguna. El Responsable además deberá establecer métodos razonables que permitan el ejercicio de este derecho, el cual deberá ser atendido dentro del plazo de quince (15) días.
7. Derecho de actualización y rectificación
El cliente y/o titular que haya transferido a AEDIPRO datos personales de sus colaboradores y que son necesarios para el cumplimiento de una obligación legal, contractual o que sean necesarios para la prestación del servicio, podrá solicitar la actualización y/o rectificación de los mismos en caso de detectar errores de omisión, tales como tipográficos u ortográficos. En caso de que un Titular de datos personales, requiera de una actualización o rectificación, deberá hacerla por intermedio del Responsable de sus datos, que en este caso, es el cliente de AEDIPRO.
El cliente y/o titular que haya transferido a AEDIPRO datos personales de sus colaboradores y que son necesarios para el cumplimiento de una obligación legal, contractual o que sean necesarios para la prestación del servicio, podrá solicitar la actualización y/o rectificación de los mismos en caso de detectar errores de omisión, tales como tipográficos u ortográficos. En caso de que un Titular de datos personales, requiera de una actualización o rectificación, deberá hacerla por intermedio del Responsable de sus datos, que en este caso, es el cliente de AEDIPRO.
8. Derecho a eliminación
El Titular tiene derecho a que el Responsable del tratamiento suprima sus datos personales, cuando:
a. El tratamiento no cumpla con los principios establecidos en la normativa vigente.
b. El tratamiento no sea necesario o pertinente para el cumplimiento de la finalidad.
c. Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados.
d. Haya vencido el plazo de conservación de los datos personales.
e. El tratamiento afecte derechos fundamentales o libertades individuales.
f. Revoque el consentimiento prestado o señale no haberlo otorgado para uno o varios fines específicos, sin necesidad de que medie justificación alguna.
g. Exista obligación legal.
El Responsable del tratamiento de datos personales implementará métodos y técnicas orientadas a eliminar, hacer ilegible, o dejar irreconocibles de forma definitiva y segura los datos personales. Esta obligación la deberá cumplir en el plazo de quince (15) días de recibida la solicitud por parte del Titular y será gratuito.
11. Derecho a retirar el consentimiento
9. Derecho de oposición
El Titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:
- No se afecten derechos y libertades fundamentales de terceros, la Ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la Ley.
- El tratamiento de datos personales tenga por objeto la mercadotecnia directa; el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines.
- Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, y se justifique en una situación concreta personal del Titular, siempre que una ley no disponga lo contrario.
El Responsable de tratamiento dejará de tratar los datos personales en estos casos, salvo que acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del Titular, o para la formulación, el ejercicio o la defensa de reclamaciones.
Esta solicitud deberá ser atendida dentro del plazo de quince (15) días.
10. Derecho de portabilidad
El Titular tiene el derecho a recibir del Responsable del tratamiento, sus datos personales en un formato compatible, actualizado, estructurado, común, inter-operable y de lectura mecánica, preservando sus características; o a transmitirlos a otros Responsables.
El Titular podrá solicitar que el Responsable del tratamiento realice la transferencia o comunicación de sus datos personales a otro Responsable del tratamiento en cuanto fuera técnicamente posible y sin que el Responsable pueda aducir impedimento de cualquier orden con el fin de ralentizar el acceso, la transmisión o reutilización de datos por parte del Titular o de otro Responsable del tratamiento. Luego de completada la transferencia de datos, el Responsable que lo haga procederá a su eliminación, salvo que el Titular disponga su conservación.
Para que proceda el derecho a la portabilidad de datos es necesario que se produzca al menos una de las siguientes condiciones:
- Que el Titular haya otorgado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. La transferencia o comunicación se hará entre Responsables del tratamiento de datos personales cuando la operación sea técnicamente posible; en caso contrario los datos deberán ser transmitidos directamente al Titular.
- Que el tratamiento se efectúe por medios automatizados.
- Que se trate de un volumen relevante de datos personales.
- Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos del Responsable o encargado del tratamiento de datos personales, o del Titular en el ámbito del derecho laboral y seguridad social.
No procederá este derecho cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el Responsable del tratamiento de datos personales con base en los datos personales proporcionados por el Titular, como es el caso de los datos personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.
11. Derecho a retirar el consentimiento
El consentimiento podrá revocarse en cualquier momento sin que sea necesaria una justificación, para lo cual el Responsable del tratamiento de datos personales establecerá mecanismos que garanticen celeridad, eficiencia, eficacia y gratuidad, así como un procedimiento sencillo, similar al proceder con el cual recabó el consentimiento.
23. Datos de contacto
Cualquier comunicación relacionada con los derechos, como es el caso de acceso, eliminación, rectificación, actualización, revisión, portabilidad y oposición, podrá ser dirigida al Delegado de AEDIPRO a la dirección de correo electrónico proteccion-datos-personales@aedipro.com o mediante comunicación escrita entregada en las oficinas de AEDIPRO ubicadas en Victor Manuel Rendón 1006 y Lorenzo de Garaycoa, o presentar cualquier solicitud ante la Autoridad de Protección de Datos del Ecuador.
12. Requerimientos directos y de la gestión del procedimiento administrativo
El Titular podrá en cualquier momento, de forma gratuita, por medios físicos o digitales puestos a su disposición por parte del Responsable del tratamiento de los datos personales, presentar requerimientos, peticiones, quejas o reclamaciones directamente al Responsable del tratamiento, relacionadas con el ejercicio de sus derechos, la aplicación de principios y el cumplimiento de obligaciones por parte del Responsable del tratamiento, que tengan relación con él.
Presentado el requerimiento ante el Responsable este contará con un término de diez (10) días para contestar afirmativa o negativamente, notificar y ejecutar lo que corresponda.
En el caso de que el Responsable del tratamiento no conteste el requerimiento, en el término de diez (10) días o éste fuere negado, el Titular podrá presentar el correspondiente reclamo administrativo ante la Autoridad de Protección de Datos Personales, para lo cual se deberá estar conforme al procedimiento establecido en el Código Orgánico Administrativo, la Ley Orgánica de Protección de Datos Personales y demás normativa emitida por la Autoridad de Protección de Datos Personales. Sin perjuicio, el Titular podrá presentar acciones civiles, penales o constitucionales de las que se crea asistido.
13. Excepciones a los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad
No procederán los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad, cuando los datos sean necesarios para el cumplimiento del objeto del contrato suscrito entre AEDIPRO y sus clientes.
14. Proceso y recolección de datos
AEDIPRO, dentro del giro de su negocio, recopila datos personales en línea que son compartidos por sus clientes para realizar los cálculos actuariales requeridos y/o otros productos cuyos lineamientos y especificaciones se encuentran detallados en el contrato, orden de compra o propuesta comercial suscritos por las partes.
15. Almacenamiento y conservación de datos personales
El tiempo que AEDIPRO conserve los datos personales entregados por sus clientes podrá incluso extenderse una vez finalizada la relación contractual y/o de prestación de servicios, en los plazos establecidos por ley, con el objeto de que AEDIPRO pueda cumplir con las finalidades descritas en la presente política.
16. Distribución y envío de la información
AEDIPRO realizará los máximos esfuerzos para proteger los datos personales que le proporcionen los usuarios o clientes y podrá compartir o transferir información personal a terceros que no estén relacionados, en los siguientes casos:
- Cumplir con una disposición legal o de algún tipo de autoridad judicial, administrativa, arbitral y/o similar.
- Investigar un posible delito, como el robo de identidad.
- Si está relacionado con la venta, la compra, la fusión, la reorganización, la liquidación o la disolución de la compañía o de una unidad comercial de la misma.
Si ocurre alguno de estos eventos, AEDIPRO tomará las medidas correspondientes para proteger su información personal, de conformidad a las disposiciones contenidas en la Ley Orgánica de Protección de Datos Personales.
AEDIPRO no venderá la información personal recopilada en sus bases de datos a agentes de listas de correo sin su consentimiento explícito y respetará los principios establecidos en la Ley Orgánica de Protección de Datos Personales, así como demás normativa relacionada.
17. Confidencialidad
17. Confidencialidad
AEDIPRO protege la confidencialidad, integridad y disponibilidad de los activos de información al seguir un enfoque de administración de riesgos basado en la presente política y procedimientos. AEDIPRO utiliza protocolos de comunicación para brindar seguridad en el uso de canales electrónicos, mitigando los riesgos utilizando marcos de referencia internacionales como las normas ISO 27000 y demás normativa aplicable.
18. Seguridad de la información
AEDIPRO se sujetará al principio de seguridad de datos personales, para lo cual deberá tomar en cuenta las categorías y volumen de datos personales, el estado de la técnica, mejores prácticas de seguridad integral y los costos de aplicación de acuerdo a la naturaleza, alcance, contexto y los fines del tratamiento, así como identificar la probabilidad de riesgos.
Para ello, se implementará un proceso de verificación, evaluación y valoración continua y permanente de la eficiencia, eficacia y efectividad de las medidas de carácter técnico, organizativo y de cualquier otra índole, implementadas con el objeto de garantizar y mejorar la seguridad del tratamiento de datos personales.
AEDIPRO ha adoptado los niveles de seguridad de protección de los datos personales legalmente requeridos y ha instalado todos los medios y medidas técnicas a su alcance para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos personales facilitados. A pesar de ello, el usuario o cliente debe ser consciente de que las medidas de seguridad en internet pueden ser vulneradas.
AEDIPRO ha implementado todas las medidas de seguridad necesarias para evitar que terceros no autorizados accedan a los datos. Esto incluye las medidas de seguridad físicas y el acceso sólo de empleados o subcontratistas que necesiten acceder a los datos por razones laborales.
19. Medidas de seguridad
Para ello, se implementará un proceso de verificación, evaluación y valoración continua y permanente de la eficiencia, eficacia y efectividad de las medidas de carácter técnico, organizativo y de cualquier otra índole, implementadas con el objeto de garantizar y mejorar la seguridad del tratamiento de datos personales.
AEDIPRO ha adoptado los niveles de seguridad de protección de los datos personales legalmente requeridos y ha instalado todos los medios y medidas técnicas a su alcance para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos personales facilitados. A pesar de ello, el usuario o cliente debe ser consciente de que las medidas de seguridad en internet pueden ser vulneradas.
AEDIPRO ha implementado todas las medidas de seguridad necesarias para evitar que terceros no autorizados accedan a los datos. Esto incluye las medidas de seguridad físicas y el acceso sólo de empleados o subcontratistas que necesiten acceder a los datos por razones laborales.
19. Medidas de seguridad
AEDIPRO se compromete a cumplir con las siguientes medidas de seguridad para el tratamiento de datos personales:
- Medidas de anonimización, encriptación, cifrado o codificación de datos personales.
- Medidas dirigidas a mantener la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios del tratamiento de datos personales y su acceso.
- Protección de redes de datos y contra software malicioso con el objeto de que AEDIPRO garantice la protección de la información y los recursos de procesamiento adoptando controles necesarios, contando con dispositivos de seguridad: antivirus, cortafuegos, control de contenidos y navegación, protección para correo electrónico entrante y saliente.
- Los colaboradores de AEDIPRO deben asegurarse de que los archivos adjuntos de los correos electrónicos descargados de internet o copiados de cualquier medio de almacenamiento, provienen de fuentes conocidas y seguras para evitar el contagio de virus informáticos o instalación de software malicioso.
- Para evitar problemas de códigos maliciosos a través de medios extraíbles o correo electrónico, se deberá realizar la verificación respectiva de los archivos a través del software de antivirus, instalado en los equipos cada vez que instale o conecte un dispositivo o se reciban archivos sospechosos por correo electrónico.
- Los colaboradores de AEDIPRO que sospechen o detecten alguna infección por software malicioso deben notificar inmediatamente al área correspondiente con el fin de tomar las respectivas medidas según sea el caso.
- Políticas y procedimientos para implementar la seguridad de información.
20. Tratamiento de datos personales
AEDIPRO, durante el tratamiento de datos personales, estará obligada a:
- Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Política y demás normativa sobre la materia.
- Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Política, y demás normativa sobre la materia.
- Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas implementadas.
- Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular.
- Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas.
- Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales.
- Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas.
- Notificar a la Autoridad de Protección de Datos Personales y al Titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto.
21. Delegado de protección de datos personales
En virtud de que las actividades de AEDIPRO requieren un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, se designará un Delegado que tendrá las siguientes funciones y atribuciones:
- Asesorar al Responsable, al personal del Responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en la normativa vigente.
- Supervisar el cumplimiento de las disposiciones contenidas en la normativa vigente.
- Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación.
- Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales.
- Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.
22. Notificación de cambios a esta política
AEDIPRO podrá actualizar su Política de Privacidad y Protección de Datos Personales cuando sea necesario. Si se realizaren cambios sustanciales, AEDIPRO deberá notificar a los usuarios registrados por correo o mediante un aviso en su sitio web institucional antes de que el cambio entre en vigencia.
23. Datos de contacto
Cualquier comunicación relacionada con los derechos, como es el caso de acceso, eliminación, rectificación, actualización, revisión, portabilidad y oposición, podrá ser dirigida al Delegado de AEDIPRO a la dirección de correo electrónico proteccion-datos-personales@aedipro.com o mediante comunicación escrita entregada en las oficinas de AEDIPRO ubicadas en Victor Manuel Rendón 1006 y Lorenzo de Garaycoa, o presentar cualquier solicitud ante la Autoridad de Protección de Datos del Ecuador.