Protección de Datos Personales

  1. OBJETO

El presente manual tiene el propósito de definir los lineamientos para la implementación, monitoreo, sostenimiento y mejora continua del Programa de Protección de Datos Personales de Metropolitana de Promociones Metropromociones C. L.

  1. ALCANCE

Metropolitana de Promociones Metropromociones C. L., identificada con el RUC No. 1790105423001, con domicilio principal en la ciudad de Quito en la dirección CHECOSLOVAQUIA N640 y SUIZA, Edificio ANACAPRY, en adelante denominada como “Metropromociones C.L.”, en el rol de responsable o encargada del tratamiento de los datos personales, está comprometida con el adecuado tratamiento de los datos de sus empleados, colaboradores, clientes, proveedores y terceros. Por lo tanto, en el presente documento se articulan los procedimientos y actividades que involucran el tratamiento de los datos personales, los cuales están alineados con las normas y directrices que lo regulan.

  1. MARCO NORMATIVO

Con el propósito de dar un adecuado tratamiento a los datos personales, Metropromociones C.L. ha identificado el siguiente marco normativo que articula las disposiciones de protección de los datos personales, su confidencialidad y los derechos de los titulares:

  • Constitución de la República del Ecuador 2008: En su artículo 92 la Constitución establece lo siguiente: “(…) Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y a acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos.

Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley.

La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados. (…)”.

  • Ley Orgánica de Protección de Datos Personales: La cual busca garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.
  • En general, para la aplicación e interpretación del presente manual, cuando fuere procedente, se aplicarán las demás normas que regulen o complementen lo concerniente a la protección de datos personales.
  1. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS

Metropromociones C.L. está comprometida con el adecuado tratamiento de los datos personales, por lo cual, en todas las actividades que tengan manejo de datos personales, se deberá garantizar la aplicación de los siguientes principios, los cuales se encuentran alineados con los establecidos en el artículo 10 de la Ley Orgánica de Protección de Datos Personales:

  • Juridicidad.- Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.
  • Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.

En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.

  • Transparencia.- El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.

Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la Ley, su reglamento y demás normativa atinente a la materia.

  • Finalidad. - Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la Ley.

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

  • Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
  • Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos.
  • Confidencialidad.- El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la Ley.

Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.

  • Calidad y exactitud.- Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad.

Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. En caso de tratamiento por parte de un encargado, la calidad y exactitud será obligación del responsable del tratamiento de datos personales.

Siempre que el responsable del tratamiento haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, no le será imputable la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:

a) Hubiesen sido obtenidos por el responsable directamente del titular.

b) Hubiesen sido obtenidos por el responsable de un intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario que recoja en nombre propio los datos de los afectados para su transmisión al responsable.

c) Fuesen obtenidos de un registro público por el responsable.

  • Conservación.- Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento.

Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en la norma.

  • Seguridad de datos personales.- Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.
  • Responsabilidad proactiva y demostrada.- El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.

El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales.

El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la Ley.

  • Aplicación favorable al titular.- En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.
  • Independencia del control.- Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el Estado, la Autoridad de Protección de Datos deberá ejercer un control independiente, imparcial y autónomo, así como llevar a cabo las respectivas acciones de prevención, investigación y sanción.
  1. DISPOSICIONES GENERALES PARA LA OBTENCIÓN DE LA AUTORIZACIÓN

Toda captura, recolección, uso y almacenamiento de datos personales que realice Metropromociones C.L. en el desarrollo de sus actividades, y de aquellas finalidades dispuestas en la Política de Protección de Datos Personales, requiere de los titulares un consentimiento libre, previo, expreso, inequívoco e informado.

Al efecto, Metropromociones C.L. ha puesto a disposición de los titulares la autorización para el tratamiento de sus datos personales en los diversos escenarios en los cuales realiza la captura del dato, tanto de manera física como digital, a través de coberturas en modelos de autorizaciones o avisos de privacidad en donde se informa al titular sobre la captura de sus datos personales, el tratamiento al cual serán sometidos incluyendo las finalidades, sus derechos, los canales de ejercicio de sus derechos y la información relacionada sobre la Política de Protección de Datos Personales.

En todos los casos la obtención de la autorización se realizará bajo las diferentes modalidades que establece la ley, teniendo en cuenta la naturaleza de cada uno de los canales de captura de la información, y el modo en que la misma es obtenida, es decir, si es a través de un canal escrito, uno verbal o mediante una conducta inequívoca.

Es importante tener en consideración que en todos los casos Metropromociones C.L. debe custodiar las autorizaciones obtenidas para el tratamiento de los datos personales, dado que ésta hace parte de las pruebas exigidas por las autoridades pertinentes. Así las cosas, se deberán guardar los formatos físicos en donde existan autorizaciones, el registro de llamadas o de los formularios web en los cuales se da trazabilidad sobre la aceptación del tratamiento.

    1. Contenido de los avisos de privacidad

De acuerdo con las disposiciones normativas, los avisos de privacidad mediante los cuales se obtiene la autorización de los titulares deben tener los siguientes elementos:

  1. Nombre o razón social y datos de contacto del responsable del tratamiento
  2. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
  3. Los derechos que le asisten al titular.
  4. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información.
  5. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información
    1. Autorización en Formatos

Los modelos de autorización de tratamiento de datos personales pueden ser tramitados a través de formatos web o documentos físicos.

      • Autorización en Formatos Web

Las áreas que, en el ejercicio de sus funciones, o debido a que lleven a cabo iniciativas que impliquen la recolección de datos personales a través de formularios web, deberán tener en cuenta los siguientes aspectos necesarios para su captura:

        1. Solicitar sólo aquellos datos personales necesarios conforme con la finalidad del tratamiento.
        2. Relacionar en el formato, un aviso de privacidad que incorpore la autorización del tratamiento por parte del titular.
        3. El envío de la información a través del formulario, deberá estar condicionado a la previa aceptación de la autorización de tratamiento del dato.
        4. Validar que en el aviso de privacidad se encuentren todas las finalidades de tratamiento asociadas a la captura de los datos personales.
        5. Validar que la plataforma que soporta el formulario web tenga la capacidad técnica, operativa y de seguridad para almacenar las autorizaciones, y poder tener la trazabilidad en ellas. Preferiblemente se deberá incluir fecha en la que se obtuvo la autorización.
      • Autorización en formatos físicos

Las áreas que lleven a cabo iniciativas que impliquen la recolección de datos personales a través de formularios físicos, deberán tener en cuenta los siguientes aspectos:

        1. Solicitar sólo aquellos datos personales necesarios conforme con la finalidad de la captura.
        2. Relacionar en el formato, un aviso de privacidad que incorpore la autorización del tratamiento de los datos.
        3. Para que Metropromociones C.L. pueda realizar el tratamiento de los datos capturados en el formulario, el titular debe dar la autorización. En el evento en que el titular no haya autorizado, deberá ser analizado de manera independiente.
        4. Validar que en el aviso de privacidad se encuentren todas las finalidades de tratamiento asociadas a la captura de los datos solicitados.
        5. Garantizar la custodia de los formularios con sus respectivas autorizaciones.
    1. Autorización en la toma de imagen (video y fotografías)
      • Autorización para eventos

Con el propósito de cumplir con las disposiciones legales para el tratamiento de datos privados como la imagen, Metropromociones C.L. ha dispuesto de avisos de privacidad en la entrada de los auditorios.

Sin perjuicio de ello, el área promotora del evento deberá velar por el adecuado cumplimiento de las directrices establecidas sobre protección de datos personales, por lo cual, al inicio de cada presentación se deberá incorporar una diapositiva informativa sobre la captura de la imagen y las finalidades de tratamiento.

      • Autorización para actividades particulares

Dentro de las actividades que realiza Metropromociones C.L., están aquellas en las cuales participan terceros de quienes se puede capturar la imagen por video o fotografía. El área a cargo del tratamiento de los datos gestionará la autorización del titular para el uso de su imagen, garantizando su custodia.

Es importante mencionar que la imagen de los empleados no requiere de una autorización adicional, ya que Metropromociones C.L. cuenta con la cobertura en los contratos y en el formulario de registro, respectivamente.

Por último, en cada caso se deberá realizar el análisis sobre la imagen que custodiará Metropromociones C.L., dado que, si la misma tiene implicaciones sobre derechos de autor, se deberá contar adicionalmente con el consentimiento del autor para hacer uso de ella.

    1. Custodia de la autorización

Cada área de Metropromociones C.L. que realice un tratamiento activo de datos personales debe garantizar la custodia y almacenamiento de la autorización para el tratamiento de los datos.

Así mismo, se deberán poner a disposición de la Dirección Nacional de Registro de Datos Públicos en el evento en que éstos lo requieran.

  1. GOBIERNO EN LA PROTECCIÓN DE DATOS PERSONALES

Metropromociones C.L. dentro de su programa de protección de datos personales ha estructurado unos roles para el desarrollo, verificación y control del programa el cual está constituido por:

  1. Oficial de Protección de Datos Personales: Es la persona encargada de liderar el programa de protección de datos personales en Metropromociones C.L. a través de: i) la planeación, ejecución y seguimiento de los elementos que hacen parte del programa; ii) asesorar y sensibilizar a los empleados de Metropromociones C.L. en relación con el programa y las principales obligaciones en su ejecución y desarrollo; iii) emitir conceptos y dar respuesta a las inquietudes y requerimientos sobre protección de datos personales a nivel interno y externo, así como asesorar sobre los asuntos relacionados con el manejo de información personal; iv) realizar el seguimiento de las normas sobre protección de datos personales y realizar las adecuaciones pertinentes al programa para procurar su cumplimiento; v) hacer seguimiento a la correcta implementación del programa en Metropromociones C.L. y vi) gestionar y liderar el proceso de actualización de bases de datos ante la Dirección Nacional de Registro de Datos Públicos y realizar los reportes legales que los entes de control soliciten.
  1. Delegados de Protección de Datos Personales: Son las personas encargadas de las bases de datos identificadas y reportadas ante la Dirección Nacional de Registro de Datos Públicos, quienes tienen el deber de reportar actualizaciones o cambios sustanciales en la información de la base de datos que deba ser reportada ante la Dirección Nacional de Registro de Datos Públicos. Adicionalmente, están encargadas de informar sobre cambios en el tratamiento de datos personales, o puntos de captura adicionales que requieran coberturas.
  2. Comité de Habeas Data: Está encargado de realizar el seguimiento a los principales temas del programa de protección de datos personales Metropromociones C.L.. Es el escenario de control en donde se revisan, discuten, validan y aprueban directrices enfocadas a implementar, consolidar y mejorar continuamente las actividades que hacen parte del programa de protección de datos personales.

Está integrado por, el Oficial de Protección de Datos Personales de Metropromociones C.L., y por cada uno de miembros que se señalen para el efecto.

  1. PROCEDIMIENTO DE ATENCIÓN DE CONSULTAS Y RECLAMOS

El procedimiento de consultas y reclamos se ejecutará de acuerdo con los términos incluidos en la ley y acogidos por la Política de Protección de Datos Personales.

Las solicitudes que pueden ser catalogadas como consultas o reclamos pueden llegar por los canales habilitados de protección de datos, los cuales son: (insertar un correo electrónico) y (insertar un correo electrónico), o ser recibidas por cualquier persona vinculada a Metropromociones C.L. En éste último caso, es necesario que la solicitud sea remitida al canal de protección de datos personales para que el Oficial de Protección de Datos Personales pueda hacer seguimiento a su trámite y cierre.

Los tiempos de respuesta de las consultas serán de diez (10) días hábiles desde la fecha de recibo, y de los reclamos serán de quince (15) días hábiles desde su recibo.

  1. ACREDITACIÓN DEL PRINCIPIO DE LA RESPONSABILIDAD DEMOSTRADA (“ACCOUNTABILITY”) Y EL RELACIONAMIENTO CON TERCEROS

Para llevar a cabo un adecuado tratamiento de los datos personales, el Oficial de Protección de Datos Personales deberá validar los siguientes elementos de manera periódica:

  1. Revisión de las actividades que generan algún tipo de tratamiento de los datos personales
  2. Validación de los puntos de captura de información personal, identificando el tipo de información que se recolecta y sus finalidades
  3. Inventario y actualización de las bases de datos identificadas
  4. Seguimiento al cumplimiento de las medidas de seguridad de las bases de datos y repositorios de información que se encuentren en el inventario.
  5. Identificación de terceros que realizarán el tratamiento de datos personales

Los elementos antes relacionados son la base para la determinación de incorporación de coberturas jurídicas y técnicas en Metropromociones C.L., para que se pueda llevar a cabo un adecuado tratamiento de los datos personales en cumplimiento de las disposiciones legales y reglamentarias.

Adicionalmente, como parte de un análisis integral, Metropromociones C.L. procurará mantener relaciones con terceros que reflejen un compromiso por la protección de los datos personales y la operación que ellos implican. Al efecto, en los contratos que Metropromociones C.L. suscriba se incorporarán cláusulas de protección de datos personales, y adicionalmente, se podrá solicitar a los terceros en el desarrollo del vínculo comercial o contractual, información que permita validar el cumplimiento de las directrices contenidas en la Política de Protección de Datos Personales de Metropromociones C.L., así como aquellas directrices legales y reglamentarias, cuando se estime necesario. 

Los terceros que realicen un tratamiento de datos personales de los cuales Metropromociones C.L. es responsable, deberán acreditar el cumplimiento de los requisitos del régimen de protección de datos personales, aportando: i) la política de protección de datos personales; ii) información sobre los canales habilitados para el trámite de consultas y reclamos y iii) el cumplimiento sobre el registro de las bases de datos

Sin perjuicio de lo anterior, Metropromociones C.L. podrá realizar verificaciones aleatorias en el desarrollo del vínculo comercial o contractual para validar que se esté efectivamente cumpliendo con las disposiciones de protección de datos, por lo cual se podrá solicitar evidencias o soportes del cumplimiento. En todos los casos, Metropromociones C.L. podrá incluir cláusulas en los contratos referidas al cumplimiento de las disposiciones sobre protección de datos personales.

En el evento en el que Metropromociones C.L. evidencie un incumplimiento de las disposiciones sobre protección de datos por parte del tercero, puede sugerir que se lleve a cabo un acuerdo para su cumplimiento; en el caso en que éste no cumpla, podrá promover la terminación de la relación contractual o comercial vigente.

  1. INICIATIVAS QUE IMPLICAN EL TRATAMIENTO DE DATOS PERSONALES Y ANÁLISIS DE IMPACTO DE PRIVACIDAD

Metropromociones C.L. reconoce la importancia de proteger los datos personales de todos los titulares, por lo que cualquier tipo de iniciativa que implique el tratamiento de datos personales deberá ser objeto de análisis de manera previa, a efectos de validar el alcance de las coberturas que deben tenerse en cuenta para el desarrollo de la misma.

El análisis de impacto de la privacidad permite validar el cumplimiento de las disposiciones legales y reglamentarias en el ejercicio de la captura y tratamiento de los datos personales.

    1. Trámite de solicitudes de conceptos o análisis de impacto de privacidad

Los tramites sobre solicitud de conceptos, análisis de impacto de privacidad o coberturas particulares de autorizaciones, serán tramitadas por el Oficial de Protección de Datos Personales a través de correo electrónico

  1. PROGRAMA DE SENSIBILIZACIÓN Y CAPACITACIÓN

Para Metropromociones C.L. es muy importante tener actualizados a los empleados Y administrativos sobre las disposiciones y reglamentación relacionada con la protección de los datos personales.

Al efecto, Metropromociones C.L. incorporó dentro de su programa de inducción los principales conceptos, lineamientos y disposiciones prácticas sobre el tratamiento de los datos personales, el cual será complementada con la capacitación anual liderada por el área de Talento Humano.

Adicionalmente, durante cada año se llevarán a cabo capacitaciones por grupos de trabajo que permita comprender y aprehender las directrices sobre manejo de información y medias de seguridad de acuerdo con el desarrollo de la operación de cada área de Metropromociones C.L.. Los grupos de trabajo que recibirán las capacitaciones serán definidos en la primera sesión del año del Comité de Habeas Data.

  1. VERIFICACIÓN DEL CUMPLIMIENTO DE LAS DISPOSICIONES SOBRE DATOS PERSONALES

El Oficial de Protección de Datos Personales podrá, en cualquier momento, adelantar auditorías de supervisión de cumplimiento de las disposiciones sobre protección de datos personales, con el propósito de garantizar el adecuado cumplimiento y desarrollo del programa en Metropromociones C.L. 

Como resultado de las revisiones pueden levantarse planes de acción para cerrar las brechas encontradas, los cuales tendrán seguimiento en los Comités de Habeas Data.