CONSIDERANDO:
QUE, los numerales 19 y 20 del artículo 66 de la Constitución de la República del Ecuador reconocen y garantizan el Derecho a la Protección de Datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección, y finalmente, el amparo al Derecho a la Intimidad.
QUE, los numerales 4 y 7 del artículo 47 de la Ley Orgánica de Protección de Datos Personales publicada en el Quinto Suplemento del Registro Oficial No.459, 26 de mayo 2021, establece que los responsables y encargados de tratamiento de datos personales deben implementar políticas, medidas organizativas y legales para proteger los datos personales de acuerdo con la antedicha Ley.
QUE, la compañía APESE S.A. AGENCIA ASESORA PRODUCTORA DE SEGUROS (en
adelante APESE), es de nacionalidad ecuatoriana domiciliada en el cantón Guayaquil, antes denominada ASOCIACIÓN DE PROFESIONALES EN SEGUROS APESE CIA.
LTDA., se constituyó mediante escritura pública otorgada ante el Notario Quinto del cantón Guayaquil, doctor Gustavo Falconí Ledesma, el 27 de septiembre de 1984, e inscrita en el Registro Mercantil de Guayaquil, el 26 de octubre de 1984, habiendo aumentado su capital, transformado a Compañía Anónima, modificado su Denominación Social, fijando Capital Autorizado y reformando integralmente su Estatuto Social, mediante escritura pública otorgada ante la Notaria Trigésima Séptima de Guayaquil, Ab. Luz Angélica Luna de Castro, el 31 de diciembre de 1998, e inscrita en el Registro Mercantil de Guayaquil el 20 de agosto de 1999. Su objeto social es de agencia asesora productora de seguros de todos los ramos.
QUE, en virtud del numeral 8 del artículo 45 del Código de Trabajo, los colaboradores que tengan conocimiento por razón de su trabajo de secretos comerciales de APESE, tienen la obligación de guardar escrupulosamente los mismos, en este caso los Datos Personales de sus clientes y proveedores. De este modo, en función a lo que dicta la Ley Orgánica de Protección de Datos Personales, su Reglamento, y los numerales 15 y 16 del artículo 66 del Reglamento Interno de Trabajo debidamente aprobado por el Ministerio de Trabajo, los colaboradores de APESE tiene la prohibición de divulgar cualquier dato administrativo y/o comercial (datos personales de clientes) de carácter reservado. En este caso, en sujeción a las bases legales antes citadas, los colaboradores deben ceñirse a la calidad de Encargados de APESE en el tratamiento de los datos personales de los clientes, proveedores y/o prospectos de clientes de esta última.
QUE, en virtud del deber de debida diligencia establecido en el artículo 262 de la Ley de Compañías se aprueba y expiden LAS POLÍTICAS GENERALES DE PRIVACIDAD DE APESE, al tenor de los siguientes términos y condiciones:
ACÁPITE PRIMERO: GENERALIDADES ARTÍCULO 1: ALCANCE Y VIGENCIA. –
El presente instrumento tendrá alcance y será de obligatorio cumplimiento para los proveedores, accionistas, contratistas, colaboradores, directivos, clientes y cualquier persona natural y/o jurídica que tenga una relación contractual, de cualquier naturaleza, con
APESE. Sin desmedro de que APESE, por así convenir a sus intereses corporativos, decida adherirse a diferentes políticas de privacidad o cláusulas contractuales de tratamiento de datos personales, en función de una relación contractual determinada, o, en su defecto, las partes contractuales puedan estipular libremente los términos y condiciones particulares en privacidad de datos para ese preciso negocio jurídico, en estricto cumplimiento a la normativa ecuatoriana. El tiempo de vigencia de este instrumento será del plazo de existencia legal que tenga APESE.
ARTICULO 2: OBJETO, FINALIDAD, PROTECCIÓN DE DATOS PERSONALES Y CONSERVACIÓN DE DATOS. –
El objeto y finalidad de la presente Política es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. El tratamiento de los Datos incluye el uso de documentación impresa, análoga y digital tratada a través del uso documentación física o herramientas de monitoreo de software del sitio y otros recursos tecnológicos como sistemas informáticos y operativos de APESE.
Los Datos Personales que APESE almacena y procesa se implementan por medio procedimientos físicos, electrónicos y administrativos, en pleno cumplimiento de los estándares internacionales de Protección de Datos Personales, para salvaguardar y proteger la información contra pérdida, uso indebido, acceso no autorizado o divulgación, alteración o destrucción. Sin embargo, debido a la naturaleza inherente del internet como un vehículo de comunicación global abierto, no se puede garantizar que cualquier información, ya sea durante la transmisión a través de Internet o mensajes de datos, mientras esté almacenada en los archivos físicos y/o digitales de APESE, esté absolutamente a salvo de la intrusión de otros, incluyendo de los ataques informáticos. Sin embargo, en caso de violaciones a la seguridad se notificará en el menor tiempo posible la existencia de un riesgo a sus derechos, en aplicación de la Ley Orgánica de Protección de Datos Personales y su Reglamento.
La conservación y retención de los datos personales e información anónima será recopilada a través de los formularios, mensajes de datos, contratos y del sitio web (de ser el caso), para fines operativos, de registro, de cumplimiento del objeto social, obligaciones contractuales y legales. Se retendrán los datos personales durante el período necesario para cumplir con los fines que en acápites posteriores se describirán, a menos que una norma aplicable exija un período de retención más extenso.
ACÁPITE SEGUNDO: DE LOS DATOS PERSONALES DE LOS CLIENTES O PROSPECTO DE CLIENTES
ARTÍCULO 3: DE LOS DATOS PERSONALES DE LOS CLIENTES O PROSPECTOS DE CLIENTE. –
En estricto cumplimiento del objeto social de APESE, los datos personales que se recopilarán, procesarán, almacenarán y tratarán de los clientes o prospectos de clientes, de manera enunciativa, mas no limitativa, serán los siguientes: Información recibida mediante formularios, suscripción física y/o en línea, registro (nombres y apellidos, correo electrónico, números de teléfono fijo y móvil, documento de identidad y/o ciudadanía, ciudad y país de residencia, organización a la que pertenece, cargo en la organización, dirección
domiciliaria o de trabajo, entre otros); Datos anónimos relacionados con el comportamiento del usuario durante la visita a la página web, plataforma digital y/o software (de ser el caso), sea a través de cookies, píxeles o tecnologías similares. Entre otros, se recopila el tiempo de la visita y los contenidos visitados; Datos anónimos relacionados con las herramientas de acceso y su interacción con la página web, plataforma digital y/o software (de ser el caso), tales como dirección IP, características del navegador y dispositivo, preferencias de idioma o URL de referencia y otra información técnica (de ser el caso); Datos Biométricos; Datos de su comportamiento de compra; Datos médicos y/o genéticos (historial médico) y, Datos bancarios, financieros y patrimoniales, cuando se requieran para el seguimiento del cumplimiento de un contrato y/o el objeto social antedicho.
ARTÍCULO 4: FINALIDAD DEL TRATAMIENTO. –
Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: La gestión de formularios, suscripción y/o registros físicos y/o en línea; Optimizar la pertinencia de los contenidos; tabulación y fines estadísticos de mercadeo; Para contactar a los usuarios o titulares de datos, en respuesta a las solicitudes físicas y/o en línea que hayan realizado a APESE; Para fase precontractual (de cotización) y contratación de cualesquiera póliza de seguro y/o contrato de asistencia médica, esto incluye el intercambio de información y datos personales autorizados con cualesquiera aseguradora y/o empresa de medicina pre-pagada, con extensión a reclamos por cualquier tipo de siniestro y velar por los intereses del cliente en la aseguradora pertinente; Para promocionar, por cualquier medio físico y/o digital, los productos, servicios y novedades de APESE; Para identificar si los contenidos son pertinentes y relevantes de acuerdo con sus intereses, así como para identificar mejoras en los canales de comunicación en términos de experiencia del usuario y diseño de APESE; Los datos relacionados con las herramientas de acceso se emplean tanto para identificar mejoras en el desempeño del portal web, plataforma digital y/o software (de ser el caso), como para garantizar el funcionamiento del sitio, su seguridad y la de su información; Presentación de propuestas de venta de productos y/o servicios a clientes; y, Cumplimiento de las relaciones jurídicas que se generen, así como también obligaciones contractuales con terceros relacionadas a su objeto social. En este último punto la finalidad del tratamiento de los datos, se hace extensiva a que los Datos Personales de los clientes de APESE sean almacenados en soportes digitales de compañías nacionales y/o extranjeras que precisamente prestan tal servicio digital (almacenamiento en la nube), para lo cual, desde ya, los usuarios autorizan tales actos de transferencia internacional de datos para exclusivo fin de almacenamiento en nubes (de ser el caso).
Las comunicaciones mediante las cuales se recopilarán los datos personales son principalmente a través de correos electrónicos, mensajes de datos, llamadas telefónicas, formularios, contratos escritos y difusión de anuncios en plataformas digitales (redes sociales, de ser el caso). Finalmente, mediante la suscripción del cliente en la página web, plataforma digital y/o software (de ser el caso) de APESE.
El tratamiento de los datos personales se llevará a cabo conforme a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad y responsabilidad; previstos en la Ley Orgánica de Protección de Datos Personales y su Reglamento.
ARTICULO 5: TRANSFERENCIA DE DATOS PERSONALES. –
APESE no venderá, distribuirá ni arrendará los datos personales de sus clientes a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de APESE, de acuerdo con los siguientes supuestos:
- Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.
- Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato relacionado a su objeto social.
- Información sobre cookies y otras tecnologías de seguimiento. Los tipos de cookies que el sitio web de APESE recopila son los siguientes: técnicas, de personalización, de análisis, publicitarias, de publicidad comportamental, de complementos y de reproductor multimedia. El sitio web y sus sub-sitios recopilan registros anónimos durante las visitas de los usuarios, esto se puede hacer a través de cookies o tecnologías similares para retener información sobre el cliente y su uso del sitio web de APESE. Otra tecnología que se utiliza son los pixeles, que son fragmentos de código en los canales de APESE y permiten recopilar información anónima sobre el desempeño de anuncios en línea y del correo masivo, así como para encauzar mensajes de difusión en otras plataformas como las redes sociales o los buscadores.
- Realizar consultas en las bases de datos públicas y/o privadas, para efectos del cumplimiento de relaciones contractuales y su objeto social.
ARTÍCULO 6: DE LOS DERECHOS DE LOS CLIENTES Y TIEMPOS DE RESPUESTA. –
La Ley Orgánica de Protección de Datos Personales y su Reglamento vigentes en el Ecuador otorgan ciertos derechos a los titulares. En términos generales, el cliente tiene, o puede tener, el derecho (como se establece con más detalle en las leyes de protección de datos aplicables) a:
- Conocer, actualizar, rectificar y solicitar la supresión de sus datos personales entregados a APESE. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Protección de Datos Personales haya determinado que, en el tratamiento, APESE ha incurrido en conductas contrarias a la Ley Orgánica de Protección de Datos Personales, su Reglamento y a la Constitución de la República del Ecuador.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
- Los demás que establezca la Ley Orgánica de Protección de Datos Personales, su reglamento y directrices emitidas por la Autoridad Nacional competente en materia de Protección de Datos Personales.
Estos derechos no son absolutos. Por ejemplo, si un cliente revoca su voluntad para procesar, almacenar y tratar sus datos personales, APESE podrá continuar procesando sus datos personales en la medida requerida o permitida por la ley, en particular en relación con el ejercicio y la defensa de los derechos u obligaciones legales y/o regulatorias.
El plazo para atender las solicitudes de ejercicio de los derechos contemplados en la Ley Orgánica de Protección de Datos Personales es de quince (15) días a partir de la recepción de la solicitud. Esta petición se procesará en los departamentos correspondientes, en función del organigrama interno de APESE.
ARTÍCULO 7: DE LOS DATOS DE LAS PERSONAS CAPTADOS POR EN EL SITIO WEB, PLATAFORMA DIGITAL Y/ SOFTWARE (DE SER EL CASO). –
Cuando una persona accede y acepta los términos y condiciones establecidos en el portal web, plataforma digital y/o software (de ser el caso) de APESE, autoriza de forma libre, específica, informada e inequívoca a APESE, a registrarla al boletín electrónico (mailing) donde se envía información de productos, ofertas y marketing (de ser el caso).
APESE, en función de la autorización arriba señalada, almacena y recolecta bases de datos personales con la finalidad de mantenerse en contacto con sus potenciales clientes y clientes para informarles acerca de las diferentes actividades que realiza en su giro de negocio. De este modo, la autorización descrita se hace extensiva para que todas las personas, naturales y/o jurídicas, nacionales o extranjeras, relacionadas contractualmente con APESE recolecten, recauden, almacenen, usen, circulen, supriman, procesen, compilen, intercambien, traten, actualicen y dispongan de los datos personales que por los medios digitales han sido suministrados y que se han incorporado en las distintas bases o bancos de datos, o en repositorios electrónicos de todo tipo con que cuenta APESE, y que serán utilizados de forma directa por APESE en su calidad de Responsable del Tratamiento o a través de terceros como Encargados del Tratamiento según se definen a continuación:
Los Datos Personales que sean recolectados serán usados para los siguientes fines: Envío de información y documentos relacionados con los bienes y/o servicios que ofrece APESE; Remisión de información acerca de las ofertas realizadas de forma periódica por APESE; Envío de boletines y de correos electrónicos y demás mensajes de datos, informando sobre novedades y eventos o actividades que realice APESE, de manera física y/o telemática; Envío de felicitaciones y congratulaciones por fechas especiales; Envío de encuestas de opinión sobre la satisfacción de clientes y/o usuarios del sitio web, plataforma digital y/o software (de ser el caso) de APESE; y, Realización de encuestas y/o sondeos de opinión sobre productos y servicios ofrecidos por APESE.
En los casos que APESE lo considere necesario podrá solicitar información a cualquier entidad que maneje bases de datos bancarios, con el fin de validar la veracidad de la transacción (de ser el caso), consultar información de contenido comercial, crediticio, financiero, de servicios y la proveniente de terceros países y en general para consultar acerca del cumplimiento de las relaciones y obligaciones que ha tenido el Titular (cliente) de la información con el sector financiero y sobre las relaciones y obligaciones que en un futuro adquiera con dicho sector. La presente autorización a APESE, que, dicho sea de paso, es libre, específica, informada e inequívoca, estará vigente por el tiempo que subsista la relación comercial entre el Titular de la Información (cliente) y APESE, y/o exista obligación insoluta a cargo del Titular de la Información (cliente). APESE se compromete a
no tener manejos adicionales a los condicionales antes expuestos de la información proporcionada, y dicha información sólo se empleará para las estrategias comerciales y de comunicación propias de APESE y no será bajo ningún motivo compartida o comercializada para ninguna estrategia externa.
Los datos recaudados y las autorizaciones serán almacenados en las Bases de datos de APESE, y permanecerán bajo su custodia en condiciones de idoneidad, confidencialidad y seguridad generalmente admitidas. Sólo el personal autorizado podrá acceder a estas Bases de datos. Se observarán los protocolos de acceso y seguridad que se consideran estándar en estas actividades para evitar la vulneración o manipulación de la información recopilada. No obstante, lo anterior, APESE podrá operar las bases de datos mediante un Encargado del Tratamiento de datos. Es decir, de manera enunciativa mas no limitativa, podrá contratar la recepción, tratamiento, procesamiento y almacenamiento de los datos personales de sus clientes con terceros, para efectos de facturación electrónica, almacenamiento en nubes extranjeras y/o botón de pagos por sus servicios y/ o productos.
ACÁPITE TERCERO: DE LOS DATOS PERSONALES DE LOS COLABORADORES ARTÍCULO 8: DE LOS DATOS PERSONALES DE LOS COLABORADORES. –
En estricto cumplimiento al objeto social de APESE, los datos personales que se recopilarán, procesarán, almacenarán y tratarán de los colaboradores de APESE (empleados bajo relación de dependencia), de manera enunciativa, más no limitativa, serán los siguientes: Datos biométricos (exclusivamente aquellos estrictamente necesarios para cumplir con sus obligaciones patronales y laborales), Datos académicos y profesionales, tales como currículum y título profesional; Familiares y personas de referencia en caso de cualquier acontecimiento que amerite su contacto (En tales casos, de acuerdo con los formularios correspondientes, el colaborador declarará que cuenta con el consentimiento de sus familiares y personas de referencia, para compartir sus datos personales); Datos de salud, considerados como datos personales sensibles, cuando se requiera dicha información para el cumplimiento de las obligaciones de APESE respecto a sus empleados y, de ser requerido, a los candidatos a empleo; Financieros o patrimoniales, cuando se requieran para el seguimiento de una prestación laboral o el cumplimiento de un contrato; Datos de los colaboradores almacenados en los directorios activos y plataformas de APESE; Datos Personales de toda índole de sus hijos bajo relación de dependencia para efectos de cumplimiento de la Código Orgánico de la Niñez y Adolescencia, obligaciones patronales, laborales y de pensiones alimenticias; Datos anónimos relacionados con las herramientas de acceso y su interacción con la página web (de ser el caso), tales como dirección IP, características del navegador y dispositivo, preferencias de idioma o URL de referencia y otra información técnica; y, Datos financieros o patrimoniales, cuando se requieran para el seguimiento de la relación laboral.
APESE no utilizará los datos biométricos de sus trabajadores para efectos de registro de entrada y salida al lugar de trabajo. Salvo que la Autoridad Nacional de Protección de Datos Personales, lo dictamine oportunamente, como tratamiento lícito y necesario.
ARTÍCULO 9: FINALIDAD DEL TRATAMIENTO. –
Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: Gestionar el proceso de contratación y en su caso, integrar el expediente laboral
correspondiente (Durante el proceso de entrevistas se podrán filmar y/o grabar las mismas), esto implica que se considera como tratamiento legítimo todo dato personal obtenido durante el proceso de contratación; transferir sus datos personales al proveedor externo de servicios de recursos humanos para efectos de llevar a cabo el control laboral y patronal de APESE; Elevar y/o alimentar al sistema de nómina el Dato Personal del colaborador ; Realizar las gestiones y actividades relacionadas con las actividades a desempeñar; Evaluación de su desempeño laboral; Efectuar los pagos de las contraprestaciones correspondientes y administrar la nómina; Otorgar prestaciones o beneficios adicionales a los contemplados en el contrato de trabajo; Ofrecer cursos y capacitaciones; Cumplir con las obligaciones legales y patronales derivadas de la relación laboral; Los datos relacionados con las herramientas de acceso se emplean tanto para identificar mejoras en el desempeño de la infraestructura tecnológica, como para garantizar el funcionamiento de los sistemas informáticos, sitios, sus seguridades y la de su información; y, al Cumplimiento de todas las obligaciones generadas por la relación laboral y patronal.
Las comunicaciones mediante las cuales se recopilarán los datos personales son principalmente a través de correos electrónicos, mensajes de datos, llamadas telefónicas, formularios, contratos escritos y difusión de anuncios en plataformas digitales.
El tratamiento de los datos personales se llevará a cabo conforme a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad y responsabilidad; previstos en la Ley Orgánica de Protección de Datos Personales.
ARTÍCULO 10: TRANSFERENCIA DE DATOS PERSONALES DE LOS COLABORADORES. –
APESE no venderá, distribuirá ni arrendará los datos personales de sus colaboradores a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de APESE, de acuerdo con los siguientes supuestos:
- Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.
- Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato, a propósito del cumplimiento de su giro ordinario.
- Cuando se presente la relación con clientes, con la finalidad de prestarles servicios y productos ofrecidos por APESE.
ACÁPITE CUARTO: DE LOS DATOS PERSONALES DE LOS PROVEEDORES ARTÍCULO 11: DATOS PERSONALES DE LOS PROVEEDORES. –
En estricto cumplimiento al objeto social de APESE, los datos personales que se recopilarán, procesarán, almacenarán y tratarán de los proveedores de APESE (cualquier tipo de relación contractual civil, mercantil y/o comercial), de manera enunciativa, más no limitativa, serán los siguientes: Datos Biométricos (en caso de que los proveedores sean personas naturales) y Datos Biométricos de los colaboradores y/o subcontratistas del
proveedor; En general cualquier dato personal del proveedor, sus colaboradores y/o subcontratistas para efectos del proceso de selección y/o contratación de proveedores (nombres, apellidos, números de cédula, de contacto, dirección domiciliaria y de trabajo, correo electrónico); Información recibida mediante formularios, mensajes de datos, suscripción, registro (Razón Social, Registro Único de Contribuyentes o Documento de Identidad, Nombres y apellidos del Representante Legal, Correo electrónico de correspondencia legal y tributaria, Nombres y apellidos del responsable comercial o de soporte, Correo electrónico del responsable comercial o soporte, Números de teléfono, Ciudad y país de residencia, Cargo en la organización); y, Datos bancarios, financieros y patrimoniales, cuando se requieran para el seguimiento del cumplimiento de un contrato.
ARTÍCULO 12: FINALIDAD DEL TRATAMIENTO. –
Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: Los datos obtenidos por APESE, que se deriven del cumplimiento de las relaciones jurídicas que se generen con los proveedores, serán utilizados únicamente para la finalidad expresada en el objeto del contrato; Para la gestión de formularios, suscripción y/o registros; Revisión y análisis de la información para el periodo de selección de proveedores; Para contactar a los usuarios o titulares de datos que almacenan los proveedores, en respuesta a las solicitudes que hayan realizado directamente a APESE, a propósito del cumplimiento del contrato respectivo con el proveedor; Para promocionar los productos, servicios y novedades de APESE; Compartir Datos personales de los colaboradores y/o subcontratistas de los proveedores para efectos del cumplimiento del contrato respectivo, en el sentido de que, APESE, pueda transmitirle tales datos a sus clientes para el cumplimiento de su giro ordinario; y, Realizar consultas en las bases de datos públicas y/o privadas, para efectos del cumplimiento del contrato y su objeto social.
Las comunicaciones mediante las cuales se recopilarán los datos personales son principalmente a través de correos electrónicos, mensajes de datos, llamadas telefónicas, formularios, contratos escritos y difusión de anuncios en plataformas digitales.
El tratamiento de los datos personales se llevará a cabo conforme a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad y responsabilidad; previstos en la Ley Orgánica de Protección de Datos Personales y su Reglamento.
ARTÍCULO 13: TRANSFERENCIA DE DATOS PERSONALES DE LOS PROVEEDORES.
–
APESE no venderá, distribuirá ni arrendará los datos personales de sus proveedores a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de APESE, de acuerdo con los siguientes supuestos:
- Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.
- Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato, a propósito del cumplimiento de su giro ordinario.
- Cuando se presente la relación con clientes, con la finalidad de prestarles servicios y productos ofrecidos por APESE.
ACÁPITE QUINTO: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN. – ARTÍCULO 14: FINALIDAD DE LA SEGURIDAD DE LA INFORMACIÓN. –
La Política de Seguridad de la Información persigue la adopción de un conjunto de medidas destinadas a preservar la calidad, confidencialidad, integridad y disponibilidad de la información, que constituyen los cuatro componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para los procesos de APESE.
Esta política incorpora medidas de seguridad la información adecuadas de acuerdo a los principios de legalidad, corrección y transparencia requeridos para la prevención de pérdida de los datos personales bajo el cuidado de APESE ya sea por eventos accidentales, accesos no autorizados, alteración o divulgación sin el consentimiento de los titulares.
Además, se limita el acceso a los datos personales a aquellas personas ya sean colaboradores, proveedores, contratistas y terceros que requieran acceder a ellos para los propósitos legítimos del tratamiento aquí descrito. Sólo las personas autorizadas por APESE podrán acceder y consultar información personal bajo su autorización e instrucciones las cuales serán realizadas en estricta confidencialidad y en total respeto a la privacidad de los datos personales de los titulares.
Para la identificación preventiva de riesgos potenciales en pérdida, robo, extravío y divulgación no autorizada de datos personales y en el escenario eventual de algún incidente de seguridad de la información se procederá a notificar a los titulares de los datos personales y a la autoridad de control pertinente del suceso y las medidas correctivas a implementar, en caso de ser aplicables, de acuerdo a las disposiciones de la normativa local en Protección de Datos Personales.
ARTÍCULO 15: PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN. –
En cumplimiento de la Ley Orgánica de Protección de Datos Personales y su Reglamento se establecen los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse presentes en cualquier actividad relacionada con el tratamiento de información:
- Alcance estratégico: La seguridad de la información deberá contar con el compromiso y apoyo de todos los niveles directivos de APESE, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.
- Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.
- Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos, la eficacia y el coste de las medidas de seguridad.
- Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos, a la criticidad y valor de la información y de los servicios afectados.
- Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal calificado.
- Seguridad por defecto: Los sistemas deberán diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
Puesto que la seguridad de la información incumbe a todo el personal de APESE, esta Política deberá ser conocida, comprendida y asumida por todos sus colaboradores y directivos. Para la consecución de los objetivos de estos principios y políticas, APESE deberá establecer una estrategia para implementar los controles para su mitigación y estableciendo procedimientos regulares para su reevaluación.
ARTÍCULO 16: SEGURIDAD EN LA OPERATIVA. –
Todos los sistemas de información de APESE que procesan o almacenan datos personales deberán contar con las medidas de seguridad oportunas y adecuadas. Asimismo, se deberán gestionar, controlar y monitorizar las redes de manera adecuada, a fin de protegerse de las amenazas y mantener la seguridad de los sistemas y aplicaciones que utilizan la red.
ARTÍCULO 17: GESTIÓN DE INCIDENTES. –
Si existe un incidente de fuga de datos, ciberataque, pérdida, robo, hurto de equipos propios o de APESE el colaborador y/o el prestador del servicio (de ser el caso) que tenga conocimiento y/o responsabilidad de aquello deberá notificar inmediatamente (en un lapso máximo de 2 horas) a la Gerencia General de APESE, por mensaje de datos, con el fin de tomar las medidas correctivas inmediatas e idóneas para subsanar tal hecho. Esta obligación es indispensable para cumplir con la notificación que debe realizar APESE a las Autoridades y Titulares de Datos Personales en caso de emergencias e incidentes informáticos, tal como lo establecen los artículos 44, 45 y 46 de la Ley Orgánica de Protección de Datos Personales (de aplicar la notificación).
DISPOSICIONES GENERALES
PRIMERA: Cuando la Autoridad Nacional de Protección de Datos Personales emita sus directrices para la designación del Delegado de Protección de Datos, en el evento de que, APESE, configure o califique, de acuerdo a su giro ordinario y a los Datos Personales que
trata, como una entidad obligada a contratar al antedicho delegado, APESE aplicará y ejecutará las medidas pertinentes para el cumplimiento de la precitada obligación.
SEGUNDA: Por medio de las presente Políticas, APESE podrá emitir las cláusulas tipo y/o declaraciones referentes al Tratamiento de Datos Personales para cualquier tercero, colaboradores, persona natural y/o jurídica, que tenga relaciones jurídicas de cualquier naturaleza con APESE.
TERCERA: APESE podrá emitir directrices, protocolos e instructivos internos que deriven de las presentes Políticas Generales de Privacidad tendientes al estricto cumplimiento del mismo.
CUARTA: En caso de recopilación, procesamiento y tratamiento de Datos Personales provenientes de fases pre-contractuales, de cualquier naturaleza, APESE, se reserva el derecho de almacenarla, eliminarla y/o anonimizarla por el tiempo que esta considere pertinente, salvo que exista disposición legal que exija un tratamiento distinto.
QUINTA: En lo no previsto en este instrumento se estará a lo que dispone la Ley Orgánica de Protección de Datos Personales, su Reglamento y directrices emitidas por la Autoridad Nacional de Protección de Datos Personales.
SEXTA: Para efectos de cumplir con los principios de transparencia, calidad y responsabilidad proactiva establecidos en la normativa local de protección de datos personales, APESE ha designado un correo electrónico especial para atender las solicitudes y requerimientos de los titulares de datos personales, el cual es: datos@apese.com
Dado en el cantón de Guayaquil, República del Ecuador, el 20 de MARZO de 2025