Tecnología

Política de Protección de Datos para Empresas

Ley aplicable: Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP); Reglamento de la LOPDP; Constitución, Art. 66 numeral 19Actualizado: marzo de 2026

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES PARA EMPRESAS

Empresa: __________

RUC: __________

Versión: __________

Fecha de aprobación: __ de __________ de 20__

Aprobado por: __________ (cargo)

Próxima revisión: __ de __________ de 20__

1. PRESENTACIÓN Y ALCANCE

__________ (nombre de la empresa), en adelante "la Empresa", en cumplimiento de la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP), publicada en el Registro Oficial Suplemento No. 459 del 26 de mayo de 2021, y su Reglamento, establece la presente Política de Protección de Datos Personales (en adelante "la Política").

La presente Política aplica a:

  • Todos los empleados, directivos y colaboradores de la Empresa.
  • Todos los procesos y sistemas de la Empresa que involucren tratamiento de datos personales.
  • Los datos personales de clientes, empleados, proveedores, accionistas y cualquier otra persona natural cuyos datos sean tratados por la Empresa.
  • Todas las filiales, sucursales y oficinas de la Empresa en el territorio ecuatoriano.

2. MARCO LEGAL

La presente Política se fundamenta en:

  • Constitución de la República del Ecuador, Art. 66, numeral 19: derecho a la protección de datos de carácter personal.
  • Ley Orgánica de Protección de Datos Personales (LOPDP), publicada en el Registro Oficial Suplemento No. 459 del 26 de mayo de 2021.
  • Reglamento de la Ley Orgánica de Protección de Datos Personales.
  • Resoluciones de la Autoridad de Protección de Datos Personales (ADPP).
  • Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.
  • Código Orgánico Integral Penal (COIP), delitos contra la intimidad y la información.
  • __________ (normas sectoriales aplicables al giro del negocio).

3. DEFINICIONES

A efectos de la presente Política, se aplican las siguientes definiciones conforme a la LOPDP:

| Término | Definición | |---------|------------| | Datos personales | Toda información sobre una persona natural identificada o identificable. | | Datos sensibles | Los que revelen origen étnico, opiniones políticas, religión, datos de salud, biométricos, genéticos, vida sexual, etc. | | Tratamiento | Cualquier operación sobre datos personales: recolección, almacenamiento, uso, transferencia, eliminación. | | Titular | Persona natural a quien pertenecen los datos personales. | | Consentimiento | Manifestación de voluntad libre, específica, informada e inequívoca del titular. | | Delegado de Protección de Datos (DPD) | Persona designada para supervisar el cumplimiento de la normativa de protección de datos. |

4. PRINCIPIOS DE PROTECCIÓN DE DATOS

La Empresa aplicará los siguientes principios establecidos en el Capítulo II de la LOPDP:

  1. Licitud, lealtad y transparencia: los datos se tratarán con base legal y de forma transparente.
  2. Limitación de la finalidad: los datos se recogerán con fines determinados, explícitos y legítimos.
  3. Minimización de datos: se tratarán únicamente los datos adecuados, pertinentes y limitados a los necesarios.
  4. Exactitud: los datos serán exactos y se mantendrán actualizados.
  5. Limitación del plazo de conservación: los datos se conservarán únicamente durante el tiempo necesario.
  6. Integridad y confidencialidad: se garantizará la seguridad de los datos mediante medidas técnicas y organizativas.
  7. Responsabilidad proactiva: la Empresa podrá demostrar el cumplimiento de estos principios.

5. BASES LEGALES PARA EL TRATAMIENTO

La Empresa tratará datos personales únicamente cuando exista alguna de las siguientes bases legales (Art. 7 LOPDP):

| Base legal | Descripción | Ejemplos de uso | |------------|-------------|-----------------| | Consentimiento | Autorización expresa del titular | Marketing, newsletter | | Ejecución de contrato | Necesario para cumplir el contrato | Gestión de clientes, facturación | | Obligación legal | Requerido por ley | Nómina, obligaciones tributarias (SRI), IESS | | Interés vital | Proteger intereses vitales del titular | Emergencias médicas | | Interés legítimo | Intereses legítimos de la Empresa | Seguridad, prevención de fraude | | Misión pública | (Aplica a entidades públicas) | — |

6. REGISTRO DE ACTIVIDADES DE TRATAMIENTO

La Empresa mantiene un Registro de Actividades de Tratamiento (RAT) que incluye:

| Proceso | Finalidad | Datos tratados | Base legal | Destinatarios | Plazo de conservación | |---------|-----------|---------------|-----------|---------------|----------------------| | Gestión de clientes | __________ | __________ | __________ | __________ | __________ | | Gestión de RRHH | __________ | __________ | __________ | __________ | __________ | | Marketing digital | __________ | __________ | __________ | __________ | __________ | | Proveedores | __________ | __________ | __________ | __________ | __________ | | __________ | __________ | __________ | __________ | __________ | __________ |

El RAT será revisado y actualizado periódicamente por el Delegado de Protección de Datos.

7. CATEGORÍAS ESPECIALES DE DATOS

La Empresa reconoce que las siguientes categorías de datos requieren protección reforzada conforme al Art. 27 de la LOPDP:

  • Datos de salud (historias clínicas, incapacidades).
  • Datos biométricos (huella digital, reconocimiento facial).
  • Datos de origen étnico o racial.
  • Opiniones políticas, creencias religiosas.
  • Orientación sexual.
  • Datos genéticos.

El tratamiento de datos sensibles solo se realizará cuando exista consentimiento explícito del titular o una base legal específica, y con las medidas de seguridad reforzadas establecidas en la normativa.

8. DERECHOS DE LOS TITULARES Y PROCEDIMIENTO DE ATENCIÓN

8.1 Derechos reconocidos

La Empresa garantiza los siguientes derechos a los titulares de datos (Arts. 49-70 LOPDP):

| Derecho | Contenido | Plazo de respuesta | |---------|-----------|-------------------| | Acceso | Conocer qué datos se tratan | 15 días hábiles | | Rectificación | Corregir datos inexactos | 15 días hábiles | | Supresión | Eliminar datos cuando no sean necesarios | 15 días hábiles | | Oposición | Oponerse al tratamiento en ciertos casos | 15 días hábiles | | Portabilidad | Recibir datos en formato estructurado | 15 días hábiles | | Limitación | Restringir el tratamiento | 15 días hábiles |

8.2 Procedimiento para ejercer derechos

Los titulares pueden ejercer sus derechos mediante:

  • Correo electrónico: __________ (correo del DPD o departamento de privacidad)
  • Formulario en línea: __________
  • Carta dirigida a: __________, atención Delegado de Protección de Datos.

La solicitud deberá incluir: nombre completo, número de cédula, descripción del derecho ejercido y documentación de respaldo.

9. DELEGADO DE PROTECCIÓN DE DATOS (DPD)

9.1 Designación

La Empresa ha designado como Delegado de Protección de Datos (DPD) a:

  • Nombre: __________
  • Cargo: __________
  • Correo electrónico: __________
  • Teléfono: __________

9.2 Funciones del DPD

  • Supervisar el cumplimiento de la LOPDP y la presente Política.
  • Asesorar a la Empresa y a los empleados sobre sus obligaciones en materia de protección de datos.
  • Ser el punto de contacto con la Autoridad de Protección de Datos Personales (ADPP).
  • Gestionar las solicitudes de ejercicio de derechos de los titulares.
  • Coordinar la elaboración de Evaluaciones de Impacto relativas a la Protección de Datos (EIPD).
  • Reportar brechas de seguridad a la ADPP en los plazos establecidos.

10. MEDIDAS DE SEGURIDAD

La Empresa implementa las siguientes medidas técnicas y organizativas para garantizar la seguridad de los datos personales:

10.1 Medidas técnicas

  • Cifrado de datos en tránsito (TLS 1.2 o superior) y en reposo (AES-256).
  • Control de acceso basado en roles (RBAC) y principio de mínimo privilegio.
  • Autenticación de múltiples factores (MFA) para sistemas que traten datos personales.
  • Registros de auditoría y monitoreo de accesos.
  • Copias de seguridad cifradas con restauración verificada periódicamente.
  • Gestión de vulnerabilidades y parches de seguridad.
  • Firewall, antivirus y sistemas de detección de intrusiones.

10.2 Medidas organizativas

  • Formación y concienciación periódica de empleados en protección de datos.
  • Políticas de contraseñas seguras.
  • Acuerdos de confidencialidad para empleados y colaboradores.
  • Procedimientos de gestión de incidentes de seguridad.
  • Contratos de procesamiento de datos con proveedores (Encargados).
  • Evaluaciones de Impacto relativas a la Protección de Datos (EIPD).

11. GESTIÓN DE BRECHAS DE SEGURIDAD

Ante una brecha de seguridad que afecte datos personales, la Empresa seguirá el siguiente procedimiento:

  1. Detección y contención (primeras __ horas): identificar la brecha y aplicar medidas de contención.
  2. Evaluación de impacto (primeras __ horas): determinar qué datos se vieron afectados y el riesgo para los titulares.
  3. Notificación a la ADPP (máximo 72 horas desde el conocimiento): conforme al Art. 39 de la LOPDP.
  4. Notificación a los titulares afectados: cuando la brecha pueda causar un alto riesgo para sus derechos.
  5. Documentación: registrar todos los hechos, medidas adoptadas y lecciones aprendidas.

12. TRANSFERENCIAS INTERNACIONALES DE DATOS

La Empresa podrá transferir datos personales a terceros países únicamente cuando se cumplan las condiciones del Art. 54 de la LOPDP, incluyendo:

  • El país destino cuenta con nivel adecuado de protección reconocido por la ADPP.
  • Se han establecido garantías adecuadas (cláusulas contractuales tipo, normas corporativas vinculantes, etc.).
  • El titular ha dado su consentimiento explícito para la transferencia.

13. CONSERVACIÓN Y ELIMINACIÓN DE DATOS

Los datos personales se conservarán únicamente durante el tiempo necesario para cumplir con las finalidades del tratamiento. Los plazos generales de conservación son:

| Tipo de datos | Plazo de conservación | Base legal | |---------------|----------------------|------------| | Datos de clientes | __ años desde la última transacción | Art. 102 Código Tributario | | Datos de empleados | __ años desde la terminación laboral | Código de Trabajo | | Datos contables | 7 años | Ley de Compañías | | Datos de marketing | Hasta revocación del consentimiento | LOPDP | | Datos de videovigilancia | __ días | LOPDP |

Transcurrido el plazo de conservación, los datos serán eliminados de forma segura e irreversible.

14. CAPACITACIÓN Y CONCIENCIACIÓN

La Empresa realizará las siguientes actividades de formación:

  • Capacitación inicial en protección de datos para todos los nuevos empleados.
  • Capacitación anual de actualización para todos los empleados.
  • Capacitación específica para equipos que traten datos sensibles o a gran escala.

15. REVISIÓN Y ACTUALIZACIÓN

La presente Política será revisada anualmente, o cuando se produzcan cambios normativos significativos o cambios en los procesos de la Empresa. La versión actualizada se comunicará a todos los empleados y se publicará en __________ (intranet / sitio web de la Empresa).

16. INCUMPLIMIENTO

El incumplimiento de la presente Política por parte de los empleados o colaboradores de la Empresa podrá dar lugar a medidas disciplinarias conforme al Reglamento Interno de Trabajo y al Código de Trabajo, sin perjuicio de las acciones civiles y penales que pudieran corresponder.

APROBADO POR:

Firma: __________________________

Nombre: __________

Cargo: __________ (Representante Legal / Directorio)

Fecha: __________

 

DELEGADO DE PROTECCIÓN DE DATOS:

Firma: __________________________

Nombre: __________

Fecha: __________

Más plantillas

Tecnología

Política de Privacidad para Sitio Web

Tecnología

Términos y Condiciones para Sitio Web

Tecnología

Contrato de Servicios Tecnológicos SaaS