1. OBJETIVO

Establecer las directrices que aseguren el manejo adecuado de los datos personales en poder de Dulcenac S.A. Dulcería Nacional, (en adelante, La Compañía), con el fin de garantizar la protección y el ejercicio de los derechos de los titulares cuyos datos personales están bajo su responsabilidad.

2. ALCANCE

Esta política aplica a todas las actividades de tratamiento de datos personales realizadas por La Compañía, incluyendo a sus, colaboradores, contratistas, practicantes y cualquier tercero que trate datos personales por encargo o en representación de la institución.

3. DEFINICIONES

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.

Aviso de Privacidad: Comunicación escrita generada por el Responsable del tratamiento, mediante la cual se le informa al titular acerca de la existencia de las Políticas que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que La Compañía realiza con sus datos personales.

Base de Datos Personales: Conjunto organizado de datos personales que son objeto de tratamiento, automatizado o no, independientemente del soporte, sea físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.

Brecha de seguridad de datos personales: Cualquier evento, situación o vulnerabilidad que cause o tenga el potencial de causar la destrucción, pérdida, alteración, acceso no autorizado o divulgación indebida de datos personales, afectando o pudiendo afectar su confidencialidad, integridad o disponibilidad.

Datos personales: Cualquier información relativa a una persona física identificada o identificable.

Datos sensibles: son los datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.

Encargado del tratamiento:  Persona física o jurídica facultada por un instrumento jurídico o expresamente autorizada por el responsable del tratamiento para el tratamiento de los datos personales.

Responsable del tratamiento: Persona física o jurídica que decide sobre el tratamiento de los datos personales.

Titular: Persona a la que pertenecen los datos personales.

Tratamiento: La recopilación, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción para acceder, almacenar, manejar, intercambiar, reenviar, explotar, transferir o disponer de cualquier otro modo de datos personales.

Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al Titular, Responsable o Encargado del Tratamiento.

4. CONTENIDO

1. 1. 4.1. MARCO NORMATIVO

La presente política se fundamenta en la normativa vigente en materia de protección de datos personales, así como en estándares internacionales de seguridad de la información y privacidad, de aplicación complementaria. Entre ellos:

Normativa nacional

• Ley Orgánica de Protección de Datos Personales (LOPDP), que establece los principios, derechos, obligaciones y responsabilidades aplicables al tratamiento de datos personales.
• Reglamentos, lineamientos y resoluciones emitidas por la Superintendencia de Protección de Datos Personales (SPDP), que desarrollen o complementen las disposiciones de la LOPDP y resulten aplicables al responsable del tratamiento.

Estándares internacionales

• ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información, que define controles y buenas prácticas para la protección y gestión segura de la información.
• ISO/IEC 27701 – Sistema de Gestión de la Privacidad, como extensión de la ISO/IEC 27001, que establece controles específicos para la gestión y protección de datos personales.

1. 1. 4.2. PRINCIPIOS

El tratamiento de los datos personales en La Compañía se rige por los siguientes principios:

1. 1. 1. 4.2.1. Juridicidad

Se encuentra prohibida la recopilación de datos personales por medios fraudulentos, desleales o ilícitos. La Compañía debe recopilar, procesar y almacenar datos personales en ejercicio de las actividades indicadas en su objeto social, y dentro del curso normal de sus actividades.

1. 1. 1. 4.2.2. Finalidad

Los datos personales deben ser recopilados por La Compañía para una finalidad determinada, explícita y lícita. El Tratamiento de dichos datos personales no se extenderá a una finalidad distinta o adicional a la establecida de manera inequívoca como tal al momento de su recopilación o incompatible con aquella que motivó su obtención. La finalidad y uso del tratamiento se especifica en las políticas de privacidad y avisos de privacidad aplicables a los datos personales sujetos a Tratamiento. Todo tratamiento adicional a las finalidades principales de tratamiento será debidamente informado al Titular de los Datos Personales, y se solicitará el consentimiento por separado, cualquiera sea la categoría de tratamiento.

1. 1. 1. 4.2.3. Proporcionalidad

Todo tratamiento de datos personales realizado por La Compañía deberá ser adecuado, relevante y no excesivo a la finalidad para la que hubiesen sido recopilados. La Compañía podrá solicitar la recopilación de datos sensibles, respecto de los cuáles determinará expresamente la finalidad y proporcionalidad de dicho tratamiento en las Políticas y Avisos de Privacidad respectivos; y además cumplirá con solicitar el consentimiento informado y por escrito para el Tratamiento de Datos Sensibles.

1. 1. 1. 4.2.4. Calidad y exactitud

La información sujeta a tratamiento debe ser veraz, exacta y, en la medida de lo posible, actualizada, necesaria, pertinente y adecuada respecto de la finalidad para la que fue recopilada. Dicha información se conservará solo por el tiempo necesario para cumplir con la finalidad del Tratamiento, lo cual deberá estar especificado en cada Aviso de Privacidad.

1. 1. 1.  
      2. 4.2.5. Seguridad de los datos personales

La Compañía cuenta con una Política de Seguridad de la Información en la que se detallan las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de la información y de los datos personales.

1. 1. 1.  
      2. 4.2.6. Responsabilidad proactiva

La Compañía garantizará el cumplimiento de lo dispuesto en la presente Política, siendo capaz de demostrarlo ante el Titular y a la Autoridad de Protección de Datos Personales.

1. 1. 1. 4.2.7. Transparencia

Toda información o comunicación relativa a tratamiento de datos por parte de La Compañía deberá utilizar un lenguaje sencillo y claro, y ser fácilmente accesible. Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la LOPDP, su reglamento y demás normativas atinentes a la materia.

1. 1. 1.  
      2. 4.2.8. Pertinencia y Minimización de Datos Personales

Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del Tratamiento.

1. 1. 1.  
      2. 4.2.9. Confidencialidad

El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento.

1. 1. 1. 4.2.10. Aplicación favorable al titular

En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al Titular de dichos datos.

1. 1. 1.  
      2. 4.2.11. Lealtad

El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.

1. 1. 4.3.RESPONSABILIDADES, SUPERVISIÓN Y RENDICIÓN DE CUENTAS

La implementación y el cumplimiento de esta política es responsabilidad de todas las personas que forman parte de La Compañía. Para ello, cada área productiva, administrativa y de apoyo coordinará las acciones necesarias para aplicar las medidas aquí establecidas y garantizar la correcta difusión de esta política entre su personal, de manera que se asegure su observancia.

La estructura de supervisión y rendición de cuentas de La Compañía en materia de protección de datos personales está conformada por los siguientes actores clave:

Delegado de Protección de Datos 

Las principales actividades serán las siguientes:

• Proporcionar asesoramiento, apoyo y capacitación en materia de protección de datos y la presente política;
• Recibir notificaciones de filtración de datos y solicitudes y/o quejas de los Titulares de los datos;
• Fomentar activamente que los actores pertinentes adopten medidas encaminadas al cumplimiento de esta política;
• Coordinar las diferentes gestiones según sea necesario en virtud de la presente política.
• Atender a auditorías y requerimientos de protección de datos personales.

Verificar y monitorear el cumplimiento de la política de protección de datos personales.

Jefe de TI

Las principales actividades serán las siguientes:

• Proporcionar orientación sobre prácticas y políticas que ayuden a mitigar los riesgos relacionados con el procesamiento de datos personales;
• Asesorar en la definición y aplicación de controles técnicos y organizativos apropiados para la protección de los datos personales;
• Supervisar la implementación de medidas de seguridad de la información aplicables al ciclo de vida de los datos personales (recolección, almacenamiento, transmisión, acceso, eliminación);
• Coordinar y gestionar las pruebas periódicas de seguridad, incluyendo pruebas de vulnerabilidad y ejercicios de respuesta a incidentes;
• Asegurar los tiempos de conservación de los datos digitales a través de respaldos que garanticen la integridad de los datos conforme los tiempos de retención definidos por Dulcenac
• Colaborar con el Delegado de Protección de Datos en la evaluación y gestión de incidentes de seguridad que afecten datos personales;
• Asegurar el mantenimiento y actualización de los registros de incidentes de seguridad;
• Promover una cultura de seguridad de la información a través de iniciativas de concienciación y capacitación complementarias.

Líder de Transformación

En apoyo a esta política, será consultado cuando existan asuntos relacionados a la seguridad de la información y proporcionará orientación sobre prácticas y políticas que ayuden a mitigar los riesgos relacionados con el procesamiento de datos personales.

Las principales actividades serán las siguientes:

• Autorizar y aprobar las políticas, procedimientos, formatos y demás documentos vinculados a la gestión de protección de datos personales;
• Validar y aprobar los planes de acción y las medidas de remediación frente a incidentes de seguridad de datos personales;
• Asegurar el respaldo institucional para la adecuada gestión de la protección de datos personales y la seguridad de la información.

Jefe de Nómina y Compensaciones

Las principales actividades serán las siguientes:

• Coordinar los programas de formación y sensibilización en materia de protección de datos personales y seguridad de la información para los colaboradores, los cuales serán impartidos por el DPO en apoyo con el Jefe de TI;
• Asegurar la inclusión de cláusulas y compromisos de confidencialidad y protección de datos en los documentos laborales pertinentes;
• Colaborar con el DPO en la gestión y respuesta frente a solicitudes de ejercicio de derechos por parte de los Titulares que involucren datos personales del personal.
• Gestionar en conjunto con el jefe administrativo las comunicaciones y piezas visuales/afiches, que informen sobre la actividad de tratamiento del dato personal.

Analista de Procesos y Proyectos

Las principales actividades serán las siguientes:

• Incorporar los principios y requisitos de protección de datos personales en los procesos y proyectos de la Compañía;
• Asegurar que las iniciativas de transformación, automatización y mejora de procesos consideren el cumplimiento de esta política;
• Apoyar en la documentación y actualización de procesos en relación con la gestión y tratamiento de datos personales;
• Participar en la identificación y evaluación de riesgos de seguridad de la información en los proyectos que impliquen tratamiento de datos personales.

1. 1. 4.4. DERECHOS

1. 1. 1. 4.4.1. Derechos Garantizados

La Compañía tiene la obligación de garantizar los derechos de los Titulares cuyos datos trata, de conformidad con la LOPDP, según se describen a continuación:

Información 

Al recopilar los datos personales del Titular de los datos, la Compañía debe, por escrito, y de manera entendible con un lenguaje que sea comprensible, informar al Titular de los datos respecto de lo siguiente:

1. Finalidades específicas con las que se procesarán los datos personales
2. Base legal para el tratamiento;
3. Tipos de tratamiento;
4. Tiempo de conservación;
5. La existencia de una base de datos en la que constan sus datos personales;
6. El origen de los datos personales cuando no se hayan obtenido directamente del titular;
7. Otras finalidades y tratamientos ulteriores;
8. Identidad y datos de contacto del Responsable;
9. Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;
10. La importancia de que el Titular de los datos proporcione información precisa y completa;
11. Cualquier consecuencia de la negativa o el rehusarse a proporcionar los datos personales solicitados;
12. La posibilidad de revocar el consentimiento;
13. La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas;
14. Mecanismos para hacer efectivo su derecho de portabilidad;
15. Cómo presentar una reclamación ante la Autoridad de Protección de Datos Personales;
16. La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles

Acceso 

A solicitud del Titular de los datos, éste tiene derecho a conocer y obtener gratuitamente de la Compañía, acceso a todos sus datos personales y a la información detallada en el Art.12 de la Ley Orgánica de Protección de Datos Personales.

Rectificación y Actualización  

El Titular de los datos podrá solicitar la rectificación o actualización de los datos personales que son inexactos o incompletos. Cuando un Titular de datos solicita la rectificación o actualización de sus datos personales, la Compañía deberá solicitar la prueba relativa a la inexactitud o al carácter incompleto de estos datos.

Eliminación 

El Titular tiene derecho a solicitar que la Compañía elimine sus datos cuando el tratamiento: no cumpla con los principios establecidos en la LOPDP, sea innecesario para cumplir una finalidad o dicha finalidad ya se haya cumplido, se haya vencido el plazo de conservación, afecte derechos fundamentales del Titular, el Titular revoque su consentimiento, o cuando exista obligación legal para eliminar los datos.

Oposición 

El Titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:

• No se afecten derechos y libertades fundamentales de terceros, la ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley;
• El tratamiento de datos personales tenga por objeto la mercadotecnia directa; el Titular tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines;
• Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, y se justifique en una situación concreta personal del Titular, siempre que una ley no disponga lo contrario.
• La Compañía dejará de tratar los datos personales en estos casos, salvo que acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del Titular, o para la formulación, el ejercicio o la defensa de reclamaciones.

Suspensión 

El Titular tiene derecho a que la Compañía suspenda el tratamiento de sus datos cuando: el Titular impugne la exactitud de los datos mientras la Compañía los verifica; el tratamiento sea ilícito; la Compañía ya no necesite los datos, pero el Titular sí para formular o ejercer reclamaciones; cuando el Titular se oponga al tratamiento de sus datos de salud mientras se verifica si los motivos legítimos prevalecen sobre los del Titular.

En caso de que la Compañía rechace la solicitud de oposición de tratamiento y el Titular recurra por dicha decisión a la Autoridad de Datos Personales, se extenderá la suspensión del tratamiento hasta la resolución del procedimiento administrativo.

Portabilidad 

El Titular tiene derecho a recibir de la Compañía, sus datos personales en un formato compatible, actualizado, estructurado, común, interoperable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables.

Para que proceda este derecho el Titular debe haber consentido el tratamiento de sus datos, el tratamiento se debe realizar por medios automatizados, el tratamiento comprende un volumen relevante de datos del Titular, o el tratamiento es necesario para ejercer derechos y cumplir obligaciones del responsable, encargado o Titular en materia de derecho laboral y seguridad social.

No ser objeto de decisiones basadas en valoraciones automatizadas 

El Titular tiene derecho a no ser sometido a una decisión basada única o parcialmente en valoraciones que sean producto de procesos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales.

El Titular puede solicitar a la Compañía explicación motivada sobre decisiones que ha tomado como responsable, presentar observaciones respecto de la decisión, solicitar criterios de valoración e información sobre los tipos de datos utilizados, e impugnar la decisión tomada por el responsable.

Atención a las Solicitudes de Ejercicio de Derechos 

La Compañía ha designado un canal para atender las solicitudes de ejercicio de derechos de los Titulares. Para hacer efectivos sus derechos, los Titulares de la Compañía, podrán ejercer sus derechos a través de los siguientes canales enviando su solicitud directamente a la Compañía a la que se quiere contactar por el siguiente medio: protecciondedatos@dulcenac.com.ec

Las solicitudes de información sobre el acceso, corrección o eliminación de datos personales o sobre una oposición, deberán ser realizadas por el Titular de datos o su representante legal autorizado, o, en el caso de un menor de edad, por un padre o tutor legal.

Las solicitudes deben ser presentadas a través por el “Formulario de Ejercicio de Derechos” al Delegado de Protección de Datos de La Compañía o Gestor de Protección de Datos, en concordancia con el “Procedimiento para atender solicitudes de ejercicio de derechos”.

Se debe registrar el hecho de haber atendido las solicitudes recibidas para el ejercicio de los derechos del Titular, descritos en los numerales anteriores.

4.5.TRATAMIENTO DE DATOS PERSONALES

4.5.1.Titulares

La Compañía recopila y trata datos personales de titulares de su información de carácter personal. La Compañía a través de sus diferentes áreas ha identificado los siguientes grupos de titulares:

• Colaboradores – excolaboradores
• Proveedores
• Clientes
• Visitantes y usuarios

4.5.2.Categoría de Datos Personales

La Compañía realiza el tratamiento de datos personales de las siguientes categorías:

• Categoría General

• Datos de identificación: nombre y apellidos, lugar de nacimiento, fecha de nacimiento, edad, sexo, estado civil, nacionalidad, número de cédula, dirección, teléfono, correo electrónico (personal), firma, país y ciudad de residencia, número telefónico, dirección de residencia, imágenes de video de cámaras de seguridad.

• Datos laborales: título profesional, cargo, nombre de la empresa donde trabaja, condición de relación laboral, dirección de trabajo, condición de la relación laboral, número de teléfono, email.

• Datos socioeconómicos y financieros: información bancaria, información de pago, número de cuenta, tipo de cuenta, nombre de la entidad financiera emisora de la tarjeta de débito o crédito, referencias bancarias y comerciales, estados financieros, posesiones: matrículas, certificados de propiedad.

• Datos de terceros: nombre y apellidos, número de cédula, partidas de nacimiento, lugar de trabajo, referencias laborales, dirección de vivienda, dirección de trabajo, número telefónico, correo electrónico.

• Categoría Especial

• Datos sensibles 

La Compañía podrá hacer tratamiento de datos de sensibles únicamente cuando:

1. El Titular haya dado su consentimiento explícito para el tratamiento de sus datos personales;
2. El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos de la Compañía o del Titular en el ámbito del Derecho laboral y de la seguridad y protección social;
3. El tratamiento es necesario para proteger intereses vitales del Titular o de otra persona natural, en el supuesto de que el Titular no esté capacitado, física o jurídicamente, para dar su consentimiento;
4. El tratamiento se refiere a datos personales que el Titular ha hecho manifiestamente públicos;
5. El tratamiento se lo realiza por orden de autoridad judicial;
6. El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular;
7. Cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la LOPDP.

4.6.Legitimación para el Tratamiento de Datos 

La Compañía realiza el tratamiento de datos personales de manera legítima conforme a las bases legales establecidas en las LOPDP conforme a las siguientes condiciones:

• Consentimiento: la Compañía deberá requerir el consentimiento previo, libre, expreso, inequívoco e informado del Titular para poder tratar sus datos personales, en aquellos casos previstos en la Ley Orgánica de Protección de Datos Personales.  

Para ello, La Compañía se encargará de obtener el consentimiento de los Titulares a través de formularios físicos y digitales, declaraciones de autorización y mediante casillas en las plataformas oficiales de La Compañía, de acuerdo con cada finalidad de tratamiento. En los casos en que el Tratamiento de Datos Personales esté legitimado por alguna norma o se encuentre dentro de alguna excepción en la ley, La Compañía cumplirá con el deber de informar a los Titulares de los Datos personales, sobre las condiciones de dicho tratamiento.

• Cumplimiento de una obligación legal; 

• Por orden judicial;  

• Por una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;

• Para la ejecución de medidas precontractuales a petición del Titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, Encargado del tratamiento de datos personales o por un Tercero legalmente habilitado;  

• Intereses vitales: será lícito el tratamiento de datos personales si es necesario para proteger un interés esencial para la vida del titular o de otra persona, como epidemias o situaciones de emergencia humanitaria.  

• Fuentes de acceso público: para tratamiento de datos personales que consten en bases de datos de acceso público;

• Interés legítimo del responsable de Tratamiento o de Terceros. 

Ningún tratamiento podrá ejecutarse sin base de legitimación previa, documentada y verificable, debiendo conservarse la evidencia del consentimiento o de la causal legal aplicable.
Cuando se invoque interés legítimo, deberá existir un análisis previo de necesidad, proporcionalidad y ponderación, debidamente documentado.

4.7.Registro de Actividades de Tratamiento

El Registro de Actividades de Tratamiento (RAT) será actualizado cada 6 meses por el Delegado de Protección de Datos (DPO) en coordinación con las áreas responsables del tratamiento. Este registro es un instrumento esencial para garantizar la trazabilidad, responsabilidad proactiva y cumplimiento normativo de La Compañía.

4.7.1.Contenido del RAT:

Identificación del Responsable del Tratamiento:

DULCENAC S.A. DULCERÍA NACIONAL

RUC 0992338547001

Parroquia Pascuales, Número SL2, Carretera Vía Daule, Kilómetro 24, Manzana 15.

Contacto del Delegado de Protección de Datos (DPO):

protecciondedatos@dulcenac.com.ec

Finalidades del tratamiento:

Gestión del talento humano, incluyendo procesos de selección, contratación, administración y desvinculación de personal; prestación y administración de los servicios contratados por los clientes; gestión de relaciones contractuales y operativas con proveedores; cumplimiento de obligaciones legales, regulatorias y contractuales aplicables; implementación de medidas de seguridad física y lógica, incluyendo control de accesos; atención de solicitudes y ejercicio de derechos por parte de los titulares de datos personales, elaboración de reportes estadísticos y análisis para la mejora continua de los procesos organizacionales; de forma enunciativa y no limitativa.

• Categorías de titulares de datos personales: 

• Colaboradores – excolaboradores
• Proveedores
• Clientes
• Visitantes y usuarios

• Categorías de datos personales tratados: 

• Datos de carácter identificativo
• Datos de características personales
• Circunstancias sociales
• Datos académicos y profesionales
• Información comercial
• Datos económicos y financieros
• Datos relativos a comportamiento o personalidad
• Datos de categoría especial

• Base legal para el tratamiento: 

• Consentimiento del titular
• Ejecución de contratos
• Cumplimiento de obligaciones legales
• Cumplimiento de orden judicial
• Interés público
• Interés legítimo debidamente justificado
• Bases de datos de acceso público
• Protección de intereses vitales

• Categorías de destinatarios de los datos personales: 

• Autoridades judiciales y administrativas
• Proveedores de servicios tecnológicos, alimentación y logísticos
• Entidades financieras
• Encargados del tratamiento contratados por La Compañía.

• Transferencias internacionales: 

Se realizan únicamente cuando el destinatario se encuentra en países con nivel adecuado de protección de datos, o mediante la aplicación de garantías contractuales conforme al artículo 56 de la LOPDP.

• Plazo de conservación de los datos: 

Conforme al principio de limitación de la conservación, los datos personales serán conservados durante el tiempo estrictamente necesario para cumplir con la finalidad del tratamiento o según lo establecido en normativas legales o contractuales aplicables, de conformidad con lo regulado en la Política para la Conservación y Eliminación de Datos.

4.7.2.Procedimiento para la actualización del Registro de Actividades de Tratamiento (RAT)

Además de las actualizaciones semestrales programadas, el Registro de Actividades de Tratamiento deberá ser actualizado cada vez que se identifique un nuevo tratamiento de datos personales o se produzca una modificación sustancial en los tratamientos existentes, tales como cambios en las finalidades, bases legales, categorías de datos, destinatarios o transferencias internacionales. Para ello se establece el siguiente procedimiento:

• Notificación interna obligatoria: Las áreas responsables deberán informar inmediatamente al DPO cuando:

• Se implementen nuevos procesos que impliquen tratamiento de datos personales;
• Se modifique alguna actividad ya registrada;
• Se elimine un tratamiento existente.

• Coordinación con el DPO: El DPO convocará reuniones con las áreas involucradas para:

• Recopilar información relevante sobre el tratamiento;
• Validar su legalidad y alineación con la política de protección de datos;
• Establecer controles y medidas de mitigación si aplica.

• Evaluación de impacto: El DPO analizará si el nuevo tratamiento requiere una Evaluación de Impacto en Protección de Datos (EIPD) conforme al artículo 42 de la Ley Orgánica de Protección de Datos Personales (LOPDP), y coordinará su ejecución de ser necesaria. 

• Actualización formal del RAT: Con base en la información recabada, el DPO actualizará el RAT incorporando el nuevo tratamiento o modificando los registros existentes. Las versiones anteriores serán archivadas para fines de trazabilidad y control documental. 

• Reporte de cambios: El DPO informará al Líder de Transformación – Jefe de Procesos y Proyectos sobre las actualizaciones realizadas. Asimismo, podrá compartir versiones actualizadas con las áreas interesadas. 

• Disponibilidad y archivo: El RAT actualizado será almacenado en el sistema de gestión documental de La Compañía, y estará disponible para su presentación ante la Autoridad de Protección de Datos cuando sea requerido. 

Este procedimiento garantiza el cumplimiento continuo de los principios de licitud, transparencia y responsabilidad proactiva, promoviendo una gestión dinámica y conforme al marco legal vigente.

4.8.TRATAMIENTO DE DATOS PERSONALES POR PARTE DE PROVEEDORES

4.8.1.Verificación de la información que se podrá compartir 

Una vez se ha realizado la selección del proveedor que prestará un servicio a La Compañía, el área que esté gestionando el proceso de contratación deberá gestionar que la “Ficha de creación o actualización de Proveedores” sea completado con la información requerida.

Si en el formato “Ficha de creación o actualización de Proveedores” se identificó que sí existirá un tratamiento de datos, se deberá completar el anexo del formato para identificar las categorías de datos que podrán comunicarse.

Si se identificó que existirá un tratamiento de datos por parte de un proveedor, se deberá registrar la información del proveedor en la “Matriz de Proveedores Críticos”.

4.8.2.Análisis de la relación de tratamiento de datos personales: figuras aplicables 

Para la identificación de proveedores considerados como encargados de tratamiento, se toma en cuenta los siguientes criterios:

1) ¿El proveedor para prestar el servicio accede o recoge datos personales de clientes, proveedores o colaboradores de La Compañía?

2) ¿Se comparten o transfieren bases datos de La Compañía a otras empresas para el cumplimiento de un servicio bajo las instrucciones expresas de Dulcenac S.A.? ¿La Compañía decide sobre el tratamiento de datos personales que se dará?

En caso de que La Compañía decida sobre el tratamiento que se dará a los datos personales, la relación que existirá es de Encargo de tratamiento y se deberá suscribir con el proveedor un “Contrato de encargo de tratamiento de datos personales”.

En caso de que no se decida sobre el tratamiento de los datos personales debido a que se contrata un servicio, pero no se puede decidir sobre las actividades que realizarán, es decir, no se dirigirán las operaciones, la figura aplicable será una relación de “Comunicación” o “Transferencia de datos”. (Ver apartado 10).

Bajo esta figura, la regla general es que se debe solicitar el consentimiento de los titulares para poder compartir la información.

Ningún proveedor podrá usar, acceder o guardar datos personales por cuenta de La Compañía sin autorización formal, contrato previo y medidas de seguridad suficientes.

4.9.TRANSFERENCIA DE DATOS PERSONALES

4.9.1.Transferencias Internas

4.9.2.Principio General

Las transferencias de datos personales entre áreas, unidades de negocio o dependencias internas de La Compañía, así como entre empresas del mismo grupo corporativo, no se consideran transferencias a terceros.

No obstante, dichas transferencias deberán cumplir con los principios de protección de datos personales establecidos en esta Política y en la normativa vigente, garantizando en todo momento un nivel adecuado de protección, confidencialidad y seguridad de la información.

4.9.3.Condiciones para la transferencia interna

La comunicación de datos personales entre áreas internas sólo podrá realizarse cuando:
a. Exista una base legítima que justifique el tratamiento y la transferencia interna de los datos;
b. La transferencia responda a fines específicos, explícitos y legítimos relacionados con las funciones de las áreas involucradas;
c. Los datos compartidos sean estrictamente necesarios, pertinentes y no excesivos (principio de minimización);
d. El Titular haya sido informado sobre el tratamiento de sus datos personales, incluyendo la circulación interna cuando corresponda;
e. Se garantice la confidencialidad de la información, limitando el acceso; y
f. Se mantengan medidas técnicas y organizativas adecuadas para asegurar la seguridad de los datos.

4.9.4.Medios autorizados para la transferencia interna

La transferencia de datos personales entre áreas deberá realizarse exclusivamente a través de medios que garanticen condiciones adecuadas de seguridad, trazabilidad y control. En particular:

a. Correo electrónico corporativo:
Será el medio preferente para la transferencia de datos personales. Deberá utilizarse únicamente cuentas institucionales asignadas por Dulcenac S.A., evitando el uso de correos personales.

b. Plataformas y sistemas corporativos:
Se priorizará el uso de sistemas internos, repositorios compartidos, herramientas de gestión documental o plataformas tecnológicas autorizadas por La Compañía, que cuenten con controles de acceso y registro de actividad.

c. Mensajería instantánea:
El uso de aplicaciones de mensajería instantánea (por ejemplo, WhatsApp) deberá ser excepcional y restringido. En caso de ser necesario:

• Sólo podrá utilizarse mediante números corporativos autorizados;
• No se deberá compartir información sensible o de alto riesgo a través de estos medios, salvo que existan medidas adicionales de protección;
• Se deberá evitar el almacenamiento permanente de datos personales en estos canales; y
• Se deberán eliminar los datos una vez cumplida la finalidad de la comunicación, cuando sea aplicable.

En particular, se considerarán datos de alto riesgo, entre otros:

• Fotografías de documentos de identidad (cédula, licencia, matrícula, pasaporte u otros);
• Fotografías de personas para fines de identificación, control de acceso o registro de ingreso a instalaciones;
• Imágenes captadas en procesos de seguridad física o control de visitantes.

Este tipo de información deberá ser gestionada exclusivamente a través de sistemas corporativos seguros, diseñados para tal fin y que cuenten con controles adecuados de acceso, almacenamiento y trazabilidad.

d. Medios no autorizados:
Queda prohibido el uso de canales no controlados por La Compañía, tales como correos personales, servicios de almacenamiento no autorizados o aplicaciones no aprobadas, para la transferencia de datos personales.

4.9.5.Medidas de control y seguridad

Las áreas que reciban datos personales deberán:
a. Utilizar la información únicamente para los fines autorizados;
b. No divulgar los datos a otras áreas o terceros sin la debida autorización;
c. Implementar controles de acceso, registro de actividades y mecanismos de trazabilidad cuando corresponda;
d. Garantizar el almacenamiento seguro de la información conforme a las políticas internas de seguridad de la información;
e. Considerar medidas adicionales como cifrado, anonimización o seudonimización cuando la naturaleza de los datos lo requiera;
f. Evitar la generación de repositorios informales de datos personales (por ejemplo, almacenamiento en dispositivos móviles, galerías de imágenes o historiales de chat); y
g. Notificar cualquier incidente de seguridad o uso indebido de datos personales conforme a los procedimientos internos establecidos (ver numeral 10.5).

4.10. Transferencias Locales 

4.10.1.Condiciones generales  

La Compañía puede transferir datos personales a terceros con la condición de que dicha transferencia se regule por medio del instrumento jurídico adecuado, y que el tercero proporcione un nivel de protección de datos igual o superior a esta Política.

Teniendo en cuenta los posibles riesgos de protección de datos que implican las transferencias a terceros, La Compañía debe prestar especial atención a los siguientes principios:

• La transferencia se basa en una o más bases legítimas;
• La transferencia es para uno o más propósitos específicos y legítimos;
• Los datos personales que se van a transferir son adecuados, pertinentes, necesarios y no excesivos en relación con el o los propósitos para los que se están transfiriendo;
• El Titular de los datos ha sido informado, ya sea en el momento de la recolección, o con posterioridad, sobre la transferencia de sus datos personales;
• El tercero respete la confidencialidad de los datos personales que le son transferidos por parte de La Compañía. Con el fin de garantizar y respetar la confidencialidad, los datos personales deben ser archivados y almacenados de manera que sean accesibles sólo al personal autorizado y transferidos sólo a través del uso de medios de comunicación protegidos.
• El tercero mantiene un alto nivel de seguridad de datos que protege los datos personales contra el riesgo de destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito/ilegítimo.

4.10.2. Acuerdos de Transferencia de Datos 

A menos que existan motivos suficientes para no hacerlo, previo a la transferencia de datos personales a un tercero, se debe firmar un acuerdo de transferencia de datos, o, en su caso, incorporar cláusulas de protección de datos dentro de los acuerdos más amplios, sobre todo cuando la transferencia de datos personales sea extensiva, repetida, o estructural, es decir, cuando el mismo tipo o tipos de datos se comparten con el tercero para el mismo propósito durante un determinado periodo de tiempo.

Los acuerdos de la transferencia de datos deberían, entre otros:

• Abordar el o los objetivos para la transferencia de datos, los elementos de datos específicos a ser transferidos, así como las medidas de protección y seguridad de datos a ser puestos en marcha;
• Requerir que el tercero se comprometa a que sus medidas de protección y seguridad de datos están de acuerdo con esta Política y la normativa vigente en materia de protección de datos; y
• Estipular los mecanismos de consulta, supervisión, rendición de cuentas y revisión para monitorear la transferencia por la vigencia del contrato.

4.11. Transferencia a Entidades Públicas o de Control 

En circunstancias apropiadas, La Compañía puede transferir datos personales a entidades públicas o de control. Estas transferencias pueden ser solicitadas por las instituciones o cortes, o por iniciativa propia de La Compañía. Las transferencias pueden estar relacionadas con personas sujetas a una investigación por supuestos delitos, o en relación con la o las víctimas o testigo(s) de estos.

Por lo anterior, La Compañía sólo podrá cooperar con dicha solicitud y la transferencia de datos personales a un organismo nacional encargado de hacer cumplir la ley o a un tribunal nacional si se cumplen las siguientes condiciones:

1. La transferencia es necesaria para fines de la detección, prevención, investigación o enjuiciamiento de un delito grave, en particular, con el fin de evitar un riesgo inmediato y sustancial para la seguridad y protección de un individuo o del público;
2. El organismo encargado de hacer cumplir la ley o el tribunal que la solicita es competente en relación con la detección, prevención, investigación o enjuiciamiento del delito en cuestión;
3. La transferencia ayudará sustancialmente al organismo encargado de hacer cumplir la ley o al tribunal en la consecución de estos fines y que los datos personales no pueden de otra manera ser obtenidos de otras fuentes;
4. La transferencia no interfiere de manera desproporcionada con el derecho a la privacidad u otros derechos humanos de un Titular de datos o de otra persona de interés; y
5. En el caso de datos relacionados con víctimas y testigos, que se haya obtenido su consentimiento a la transferencia.

4.12. Transferencias Internacionales  

 Las transferencias internacionales conforme a nuestra legislación podrán efectuarse a países, organizaciones y personas jurídicas, bajo las siguientes directrices:

1. Cuando la Autoridad de Protección de Datos declare a países, organizaciones y personas jurídicas con el nivel adecuado de protección.
2. Cuando el responsable o encargado del tratamiento de datos ofrezca garantías adecuadas para el titular.
3. Cuando existan normas corporativas vinculantes entre empresas de un grupo empresarial.
4. Cuando exista autorización de la Autoridad de Protección de Datos para realizar las transferencias.
5. Para todos los casos no contemplados anteriormente, se podrá realizar transferencia internacional de datos si es que:

1. 1. Los datos personales son requeridos para el cumplimiento de competencias institucionales;
   2. El Titular otorgó su consentimiento explícito a la transferencia o comunicación propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias o comunicaciones internacionales, debido a la ausencia de una resolución de nivel adecuado de protección y de garantías adecuadas;
   3. La transferencia internacional tiene como finalidad el cumplimiento de una obligación legal o regulatoria;
   4. La transferencia internacional de datos personales es necesaria para la ejecución de un contrato entre el Titular y el Responsable del tratamiento de datos personales, o para la ejecución de medidas de carácter precontractual adoptadas a solicitud del titular;
   5. La transferencia es necesaria por razones de interés público;
   6. La transferencia internacional es necesaria para la colaboración judicial internacional;
   7. La transferencia internacional es necesaria para la cooperación dentro de la investigación de infracciones;
   8. La transferencia internacional es necesaria para el cumplimiento de compromisos adquiridos en procesos de cooperación internacional entre Estados;
   9. Se realizan transferencias de datos en operaciones bancarias y bursátiles;
   10. La transferencia internacional de datos personales es necesaria para la formulación, el ejercicio o la defensa de reclamaciones, acciones administrativas o jurisdiccionales y recursos; y,
   11. La transferencia internacional de datos personales es necesaria para proteger intereses vitales del interesado u otras personas, cuando el Titular esté física o jurídicamente incapacitado para dar su consentimiento.

4.13. Reporte de Incidentes en Transferencias de Datos

Durante la realización de transferencias de datos personales (internas, locales o internacionales), cualquier incidente que comprometa o pueda comprometer la seguridad, confidencialidad o integridad de la información deberá ser reportado de manera inmediata al Delegado de Protección de Datos Personales.

Se considerarán incidentes, entre otros:

• Envío erróneo de datos personales a destinatarios no autorizados (por ejemplo, a un área, colaborador o tercero que no debía recibir la información);
• Uso de medios no autorizados para la transferencia de información;
• Envío de datos personales de alto riesgo a través de canales no seguros (por ejemplo, mensajería instantánea);
• Acceso no autorizado a información compartida (por ejemplo, información visible o accesible para personas que no debían tener acceso);
• Pérdida o robo de dispositivos o soportes que contengan datos personales;
• Uso indebido de los datos personales por parte del receptor;
• Configuraciones incorrectas que permitan acceso no restringido a la información.

La gestión, análisis y notificación de estos incidentes se realizará conforme a lo establecido en el Procedimiento de Notificación de Brechas de Seguridad de Datos Personales y las medidas de seguridad definidas en el numeral 11 de la presente Política.

4.14.SEGURIDAD DE DATOS PERSONALES

4.14.1. Medidas de Seguridad 

La Compañía ha adoptado medidas jurídicas, físicas, técnicas y administrativas para garantizar la seguridad del tratamiento de los datos personales dentro de esta.

4.14.2.Medidas de seguridad jurídicas 

1. Inclusión de cláusulas de protección de datos en los futuros contratos a celebrar con proveedores en los que se involucre un tratamiento de datos.
2. Inclusión de cláusulas respecto al tratamiento de datos personales en los contratos celebrados con colaboradores y representantes legales.
3. Celebración de adendas respecto al tratamiento de datos personales en los contratos celebrados previamente con colaboradores y proveedores.
4. Celebración de acuerdos de confidencialidad con colaboradores que deban encargarse del tratamiento de datos personales.
5. Celebración de acuerdos de encargo de tratamiento de datos con aquellos proveedores con los que se ha identificado un tratamiento de datos personales.
6. Inclusión de avisos respecto al tratamiento de datos personales dirigido hacia los titulares en caso de que se vaya a capturar información referente a sus datos personales.
7. Obtención del consentimiento previo para la transferencia de datos personales, en caso de que sea requerido, al capturar la información de los colaboradores y/o representantes legales.
8. Elaboración de matrices de encargo con proveedores con los que se haya establecido dicho acuerdo.
9. Elaboración de procedimientos de evaluación de impacto de protección de datos en virtud de la normativa vigente.
10. El mantener las políticas de privacidad de forma accesible en los medios de comunicación, tales como la página web de La Compañía.
11. Habilitación de un correo electrónico únicamente para el ejercicio de los derechos de los titulares respecto a sus datos personales (rectificación, eliminación, etc.)

4.14.3. Medidas de seguridad técnicas y físicas 

1. Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados.
2. Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones.
3. Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware.
4. Gestionar las comunicaciones, medios de almacenamiento y operaciones de los recursos informáticos en el tratamiento de datos personales.
5. Prevenir el acceso no autorizado al perímetro de La Compañía, sus instalaciones físicas, áreas críticas, recursos e información.
6. Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de La Compañía, recursos e información.
7. Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico, que pueda salir de las instalaciones de La Compañía.
8. Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz que asegure su disponibilidad, integridad y funcionalidad.

4.14.4. Medidas de seguridad administrativas y organizativas 

1. Definición de directrices estratégicas en materia de seguridad de activos, alineadas a las atribuciones de las dependencias o entidades.
2. Establecimiento de controles para evitar violaciones a la normatividad vigente, o la política de seguridad interna u obligaciones contractuales.
3. Establecimiento de controles internos y externos a través de los cuales se gestione la seguridad de activos.
4. Establecimiento de controles orientados a que el personal conozca el alcance de sus responsabilidades respecto a la protección de datos personales y seguridad de los activos de información, antes, durante y al finalizar la relación laboral.
5. Implementación de controles enfocados a la gestión de incidentes presentes y futuros que puedan afectar la integridad, confidencialidad y disponibilidad de la información.
6. Evaluar y supervisar regularmente a los proveedores de servicios que tienen acceso a datos personales y asegurar de que cumplan con los mismos estándares de protección de datos que La Compañía.

4.15. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD  

La notificación de brechas de seguridad debe ser realizada de conformidad con los lineamientos descritos en el Procedimiento de Notificación de Brechas de Seguridad de Datos Personales.

4.16. INCUMPLIMIENTOS

El incumplimiento de lo establecido en esta Política se considerará como una falta leve o grave a consideración de la Autoridad Competente de Protección de Datos Personales.

La Compañía tomará las medidas disciplinarias que considere pertinentes en los casos de incumplimiento de las obligaciones aquí estipuladas por parte de los colaboradores y de ser el caso la aplicación de las sanciones previstas en las leyes aplicables.

4.17. REVISIÓN Y ACTUALIZACIÓN

Esta política deberá ser revisada cada dos (2) años o cuando existan cambios en las operaciones de La Compañía que impacten en el Tratamiento de Datos Personales, con la finalidad de determinar lo siguiente:

1. La existencia de nuevas categorías de Tratamiento de Datos Personales, con el objetivo de analizar el flujo de los datos, aprobar los avisos o políticas de privacidad correspondientes e inscribir la base de datos que corresponda.
2. Actualizar la relación de Encargados de tratamiento, con el propósito de actualizar los avisos o políticas de privacidad, así como, actualizar y solicitar las modificaciones de las bases de datos que correspondan.
3. Verificar si existen cambios de proveedores respecto de los flujos transfronterizos de datos para actualizar el listado de receptores internacionales y los avisos o políticas de privacidad cuando corresponda.
4. Verificar que todos los proveedores o Encargados de Tratamiento tengan suscrito un contrato de tratamiento de datos por encargo.

Toda modificación sustancial de esta política tendrá que ser comunicada previamente a los Titulares por medio de mecanismos eficientes, tales como documentos que contengan las condiciones específicas del Tratamiento de Datos Personales, la página web de La Compañía y/o correos electrónicos. Por modificación sustancial se entienden, entre otras, las siguientes situaciones:

1. Modificación en la identificación del área o persona encargada de atender las consultas y reclamos.
2. Modificación evidente de las finalidades que puedan afectar las bases de legitimación del tratamiento.
3. Modificación evidente de los receptores de los datos personales en los casos de transferencia, sobre todo en los casos de flujos transfronterizos de datos.

CONTROL DE CAMBIOS