Política General de Protección de Datos Personales

En el presente documento se instrumenta la Política de Protección de Datos Personales (la “Política”), la cual será de obligatorio cumplimiento para todos los trabajadores, proveedores y clientes de Grupo Grupo Roldán”. La Política establecerá la guía y los principios bajo los cuales Grupo Roldán se regirá en sus relaciones y procesos en los cuales se realice un tratamiento de datos personales.

  1. Objeto

1.1.       General: Grupo Roldán tiene como objetivo principal el cumplir con los derechos, principios y obligaciones establecidas en la Ley Orgánica de Protección de Datos Personales (“LOPDP”), normativa secundaria y resoluciones emitidas por la Autoridad de Protección de Datos.

1.2.       Específicos:

1.2.1.       Establecer los principios que guiarán a Grupo Roldán en el manejo de los datos personales de sus clientes, trabajadores y/o proveedores.

1.2.2.       Establecer las guías para crear los mecanismos de control relacionados con los datos personales.

1.2.3.       Establecer los principales lineamientos para la contratación de proveedores con enfoque a la protección de datos personales.

1.2.4.       Establecer las guías para implementar los mecanismos de seguridad técnicas, físicas y organizativas para garantizar la confidencialidad y seguridad de los datos personales.

 

  1. Ámbito de Aplicación

 2.1.       La Política es de aplicación obligatoria para todos sus clientes, trabajadores, proveedores, personas relacionadas con Grupo Roldán (accionistas y órganos directivos) y compañías relacionadas.

  1. Definiciones

 3.1.       Se toma las definiciones de la LOPDP, en especial las siguientes:

3.2.       Dato Personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente. Por ejemplo: nombre, cédula de identidad, dirección, correo electrónico, número de teléfono, estado civil, datos de salud, huella dactilar, salario, bienes, estados financieros, etc.

3.3.       Dato Sensible: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

3.4.       Custodio de Datos: Rol encargado de garantizar funcionalmente la implementación de Gobierno de Datos. En Grupo Roldán este rol se encuentra actualmente designado a Departamento Legal. Dueño de Proceso Denominación utilizada para identificar a la persona que es responsable de un proceso que debe gestionar la correcta ejecución de los procesos a su cargo y el mejoramiento continuo, para ordenar las prácticas de trabajo, dar mayor satisfacción a los clientes internos e incrementar la eficiencia, con el apoyo de todos los participantes del proceso designado.

3.5.       Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento (Grupo Roldán), como aliado o proveedor. En los eventos en que el responsable no ejerza como encargado de la base de datos, se identificará expresamente quién será el encargado.

3.6.       Titular: Persona natural cuyos datos son objeto del tratamiento.

3.7.       Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

 

  1. Principios del Tratamiento de Datos Personales

 4.1.       Los principios que rigen esta política y el tratamiento de datos personales realizados por Grupo Roldán son los siguientes:

4.1.1.       Lealtad

 

4.1.1.1.   Los datos personales serán recopilados de una manera leal y lícita para una o más finalidades específicas informadas al titular de los datos. Grupo Roldán podrá utilizar cualquier base legitimadora que sea aplicable para el tratamiento de datos personales.

4.1.1.2.   Dentro de lo posible, no se tratarán datos personales que sean considerados como sensibles tales como etnia, orientación sexual, convicciones filosóficas y política, ideología de género. En caso de que Grupo Roldán requiera datos sensibles, lo hará en los casos que la ley lo ordene o cuente con autorización expresa del titular de los datos personales. En el caso de datos de salud, especialmente y no limitándose a datos de trabajadores, estos serán tratados de acuerdo con lo establecido en la normativa laboral correspondiente.

4.1.1.3.   Para la recolección o recopilación de datos personales, esto se lo realizará informando al titular de los mismos respecto del tipo de datos, tiempo de conservación, base del tratamiento y todos los requisitos establecidos en la LOPDP.

4.1.1.4.   El titular de los datos será responsable de proporcionar datos exactos y correctos. Grupo Roldán podrá realizar la actualización o solicitar la actualización de los mismos.

4.1.1.5.   Grupo Roldán no adquirirá datos personales o bases de datos, que no cuenten con los mecanismos de legitimación correspondiente, así como tampoco transferirá los datos a terceros destinatarios sin contar con la autorización o base legitimadora correspondiente.

 

4.1.2.       Transparencia

 

4.1.2.1.   El tratamiento de datos personales será transparente respecto del titular de los mismos. De esta manera, Grupo Roldán informará y comunicará a los titulares de los datos personales de una manera clara y sencilla todo lo que requiera saber el titular de los datos personales respecto del tratamiento de datos personales. Grupo Roldán informará al titular de los datos a través de la política y documentos constantes en las oficinas, almacenes, sitios web y/o locaciones administradas y de propiedad de Grupo Roldán, así como también a través de campañas, contratos, cláusulas y documentos preparados por Grupo Roldán para el efecto.

4.1.3.       Grupo Roldán garantiza que los titulares de datos personales puedan ejercer sus derechos, poniendo a su disposición diferentes canales mediante los cuales el titular podrá presentar las solicitudes correspondientes.

 

4.1.4.       Finalidad

 

4.1.4.1.   Grupo Roldán informará al titular de los datos personales la o las finalidades para las cuales los datos personales han sido recopilados y serán tratados. Las finalidades serán determinadas y específicas de acuerdo con la base legitimadora con la cual los datos fueron recopilados.

 

4.1.5.       Minimización y Proporcionalidad

 

4.1.5.1.   Grupo Roldán procesará los datos personales que sean necesarios para las finalidades informadas al titular de los datos personales, no se recopilarán datos en exceso o que no sean necesarios para una finalidad previamente establecida. En caso de tener datos excesivos, Grupo Roldán procederá a borrarlos o eliminarlos de sus bases de datos.

 

4.1.6.       Confidencialidad

 

4.1.6.1.   Grupo Roldán realizará los mejores esfuerzos para garantizar la confidencialidad de los datos personales. Grupo Roldán adaptará la tecnología y procesos, técnica y económicamente viables, para garantizar la confidencialidad, disponibilidad e integridad de los datos personales, limitando dentro de lo posible que terceros que no tengan derecho accedan a los datos personales. Grupo Roldán no transferirá los datos personales a terceros destinatarios sin la autorización o la base legitimadora correspondiente.

 

4.1.7.       Seguridad

 

4.1.7.1.   Grupo Roldán adoptará las medidas de seguridad que sean necesarias para garantizar la confidencialidad de los datos personales, tomando en consideración el tipo de datos personales a ser tratados, así como que, las medidas sean técnica y económicamente viables.

4.1.7.2.   Todos los proveedores y clientes de Grupo Roldán con quienes se comparta datos personales deberán acreditar la implementación de medidas de seguridad que garanticen la protección de datos personales.

 

4.1.8.       Conservación

 

4.1.8.1.   Grupo Roldán conservará los datos personales de acuerdo con las finalidades para los cuales fueron proporcionados por el titular o, de acuerdo con lo establecido en las diferentes bases legitimadoras. Una vez cumplido el período de conservación, Grupo Roldán eliminará o borrará los datos de sus sistemas.

4.1.8.2.   Grupo Roldán podrá anonimizar los datos en caso de considerarlo necesario. El dato anonimizado podrá ser libremente utilizado por Grupo Roldán.

 

4.1.9.       Responsabilidad Proactiva y Demostrada

 

4.1.9.1.   Grupo Roldán obtendrá los medios de verificación necesarios y correspondientes para demostrar el cumplimiento de la Ley de Protección de Datos Personales. En caso de que sea necesario o a criterio de Grupo Roldán, se obtendrán las certificaciones correspondientes.

4.1.9.2.   En caso de requerirlo y de acuerdo con la normativa correspondiente, Grupo Roldán podrá contar con un delegado de protección de datos (“DPO”), quien será responsable de generar el programa de cumplimiento de datos personales, obtener los medios de verificación correspondientes, obtener las certificaciones necesarias y comunicarse con la Autoridad de Protección de Datos.

 

4.1.10.    Sensibilidad de datos

 

4.1.10.1.    El Custodio de datos será responsable de definir los datos que pueden catalogarse como “Datos sensibles” dentro de la base legal, considerando la siguiente síntesis:

 

Tipo de Dato

Descripción

Medida preventiva

Dato personal

Dato que identifica o hace identificable a una persona natural,            directa          o indirectamente, en el presente o futuro. Incluye datos inocuos, metadatos o fragmentos de datos que identifiquen       o       hagan

identificable a un ser humano

Además de compartir estos datos por medios seguros, cifrados o encriptados, se sugiere anonimizar  identificadores directos como C.I., nombre completo (solo nombre 1, apellido 1 por ejemplo), al compartir con terceros (entregar datos estrictamente necesarios)

Dato personal crediticio

Dato que integra el comportamiento crediticio (tarjeta), financiero (cuenta), capacidad de pago, de personas naturales

Si contamos con este tipo de información, únicamente debe provenir de instituciones financieras y/o burós de crédito o mecanismos autorizados. Al compartir, debemos evitar compartir aquellos datos que permitan reconstruir la «capacidad de pago» de una persona natural, así como transferir datos que faciliten transacciones en línea (por ejemplo CVC).

Dato sensible

Dato relativo a etnia, identidad de género, identidad cultural, religión, ideología, afiliación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, genéricos, y todos aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos

humanos o la dignidad e integridad de las personas

Además de compartir estos datos por medios seguros, cifrados o encriptados, se sugiere anonimizar identificadores directos como C.I., nombre completo (solo nombre 1, apellido 1 por ejemplo), al compartir con terceros (entregar datos estrictamente necesarios).

Extremadamente sensible

Datos de niñas, niños y adolescentes

Evitar incluir estos datos en repositorios organizacionales. Salvo para el cumplimiento de las obligaciones derivadas de la relación laboral y de seguridad social

 

 

  1. Comunicación de Datos Personales

 5.1.       Grupo Roldán podrá realizar transferencia de datos personales tanto nacionales como internacionales con el objetivo de cumplir obligaciones contractuales. En caso de transferencia internacional, Grupo Roldán se cerciorará que sea efectuada a jurisdicciones que tutelen la protección y privacidad de datos personales.

5.2.       Los destinatarios estarán sujetos a las mismas obligaciones y medidas de seguridad, técnicas y legales descritas en la LOPDP, normativa secundaria y resoluciones emitidas por la Autoridad de Protección de Datos.

 

  1. Clientes

 6.1.       Los datos personales de clientes actuales y potenciales serán recolectados, almacenados, organizados, usados, circulados, transmitidos, transferidos, actualizados, rectificados, suprimidos, eliminados y gestionados de acuerdo con la naturaleza de los datos y de las finalidades establecidas en esta Política u otras específicas para el tratamiento de datos personales de clientes actuales y potenciales.

6.2.       Grupo Roldán accede a datos de sus clientes actuales y potenciales tales como sus nombres, número de cédula, correos electrónicos, datos crediticios, teléfonos fijos y celulares, entre otros. Estos datos son recolectados con las siguientes finalidades:

 

6.2.1.       Enviar propuestas de servicios.

6.2.2.       Contacto con los clientes actuales y potenciales para responder sus consultas.

6.2.3.       Cumplimiento de obligaciones comerciales en el marco de relaciones contractuales.

6.2.4.       Obtención de leads a nombre de sus clientes.

6.2.5.       Procesar y asegurar el cumplimiento y prestación de servicios adquiridos por los clientes de Grupo Roldán , así como elaborar la facturación correspondiente.

6.2.6.       Envío de publicidad sobre productos y servicios de Grupo Roldán .

6.2.7.       Ofrecimiento de servicios de las distintas áreas de Grupo Roldán .

6.2.8.       Comunicar la realización de actividades comerciales, concurso y eventos organizados por Grupo Roldán .

6.2.9.       Envío de encuestas de satisfacción o cualquier otro mecanismo para evaluar la calidad de los servicios prestados por Grupo Roldán .

6.2.10.    En el evento en el que Grupo Roldán realice el tratamiento de datos de contacto corporativo de personas naturales que representan a los clientes (personas jurídicas), este tratamiento se limitará al desarrollo del negocio con el respectivo cliente.

6.2.11.     Para realizar el análisis de la capacidad crediticia de cada cliente.

 

 

  1. Contratación de Proveedores

 7.1.       Todos los proveedores de Grupo Roldán que manejen datos personales proporcionados por Grupo Roldán, deberán contar con las medidas adecuadas para garantizar la confidencialidad y seguridad de los datos personales, esto incluye, pero no se limita, a contar con una política de protección de datos, certificaciones (a consideración de Grupo Roldán), medidas técnicas y organizativas correspondientes, entre otros.

7.2.       Todo proveedor que maneje una gran cantidad de datos personales y/o datos sensibles de Grupo Roldán deberá suscribir un Acuerdo de Tratamiento de Datos (“DPA”), en el cual se establecerán las condiciones del tratamiento de los datos personales, así como las medidas técnicas que serán adoptadas. En caso de no suscribir un DPA, en el contrato se deberá incorporar cláusulas respecto del manejo de datos personales.

7.3.       Grupo Roldán no podrá suscribir contratos de prestación de servicios en los cuales se incluya o se involucre datos personales, sin que el proveedor (en calidad de encargado del tratamiento), cuente con las medidas técnicas, físicas, jurídicas y organizativas adecuadas, y sin que el proveedor suscriba su acuerdo de procesamiento de datos personales.

 

  1. Evaluación y Control

 8.1.       Grupo Roldán realizará procesos de evaluación y control respecto del cumplimiento de la Ley de Protección de Datos y las medidas técnicas de seguridad involucradas.

8.2.       Grupo Roldán podrá solicitar medios de verificación o realizar controles a los proveedores que manejen datos personales. Esto se establecerá en el DPA suscrito con el proveedor o en el contrato de prestación de servicios.

 

  1. Capacitación

 9.1.       Grupo Roldán realizará capacitaciones a todo su personal respecto de los principios, derechos y obligaciones establecidas en la LOPDP. Grupo Roldán adoptará las acciones formativas y de concienciación correspondientes de forma periódica para que todas las personas conozcan la presente Política y los procesos de protección de datos personales, y desarrollen sus funciones de conformidad con los mismos.

 

  1. Ejercicio de Derechos

 10.1.    El área de Legal será responsable de la atención de peticiones, consultas, reclamos, quejas o para el ejercicio de los derechos del titular de los datos personales.

 10.2.    El titular de los datos personales podrá solicitar el ejercicio de sus derechos de acceso, rectificación o actualización, eliminación, suspensión, oposición, portabilidad y a no ser objeto de decisiones automatizadas. Para ejercer los mencionados derechos, el titular podrá enviar una comunicación a las siguientes direcciones:

 10.2.1.    Dirección: AV. ESPAÑA 8-99 y SEVILLA, DIAGONAL AL CUERPO DE BOMBEROS

10.2.2.    Correo Electrónico: protecciondedatos@gruporoldan.com.ec

10.2.3.    Teléfono: 072807317 EXT 1511/1508/1509/1514

10.3.    Grupo Roldán tendrá el plazo establecido en la LOPDP para responder el requerimiento del titular. Grupo Roldán podrá solicitar información o datos de soporte para identificar al titular de los datos personales. Los derechos de eliminación y rectificación estarán sujetos a las limitaciones establecidas en la LOPDP.

 

  1. Niños, niñas y adolescentes

 11.1.    Grupo Roldán no recopilará datos personales relacionados con niños, niñas y adolescentes , excepto si se trata de información de cargas familiares relacionada para el cumplimiento de las obligaciones derivadas de la relación laboral y de seguridad social. Grupo Roldán se reserva el derecho de eliminar o borrar cualquier información relacionada con niños, niñas y adolescentes en caso de que un titular de datos personales haya compartido información de niños, niñas y adolescentes.

 

  1. Relación con la Autoridad de Control

 12.1.    Grupo Roldán mantendrá un dialogo fluido y de cumplimiento con la Autoridad de Protección de Datos. Grupo Roldán podrá compartir información y datos personales de acuerdo con los requerimientos realizado por la Autoridad de Protección de Datos.

12.2.    En caso de que sea necesario, Grupo Roldán nombrará a un Delegado de Protección de Datos quien será la persona a cargo de comunicarse y presentar la información requerida por la Autoridad de Protección de Datos.

 

  1. Derechos de los titulares de los datos personales

 13.1.    El procedimiento de atención de los derechos y requerimientos de los titulares se establecerá mediante una política. En todo caso, los Titulares podrán gozar de los siguientes derechos, con sujeción a la legislación aplicable y de conformidad con la misma:

 

  1. Transparencia de la información: derecho a ser informado conforme los principios de lealtad y transparencia sobre todos los aspectos que indica el artículo 12 de la LOPDP.

 

  1. Acceso: derecho a:
  • Obtener confirmación de si se están tratando o no sus Datos Personales;
  • Recibir una copia de todos sus Datos Personales que estén siendo procesados por Grupo Roldán, salvo las excepciones definidas por la legislación pertinente (por ejemplo, información comercial confidencial, o información que vulneraría demasiado los derechos de privacidad de un tercero);
  • Solicitar información sobre el intercambio de sus Datos Personales con otras organizaciones.

 

  1. Rectificación y actualización: derecho a obtener del responsable del tratamiento la rectificación y actualización de sus datos personales inexactos o incompletos.

 

  1. Eliminación: derecho a que se suprima sus datos personales en los casos que determinar el artículo 15 de la LOPDP.

 

  1. Oposición: derecho a oponerse al tratamiento de sus datos personales en circunstancias particulares determinadas en el artículo 16 de la LOPDP. Grupo Roldán deberá dejar de tratar dichos Datos cuando se presente una oposición, a menos que exista una razón específica por la que la oposición no sea válida.

 

  1. Portabilidad: El titular tiene el derecho a recibir del responsable del tratamiento, sus datos personales en un formato compatible, actualizado, estructurado, común, inter-operable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables.

 

  1. Suspensión: derecho a obtener del responsable del tratamiento la suspensión del tratamiento de los datos, cuando se cumpla alguna de las condiciones del artículo 19 de la LOPDP.

 

 

  1. Solicitud de revisión de decisiones tomadas exclusivamente sobre la base de un tratamiento automatizado: derecho a oponerse, pedir explicaciones y solicitar la revisión humana de las decisiones basadas exclusivamente en un tratamiento automatizado de datos que afecten a sus intereses.

 

  1. Seguridad de los datos personales

 

Consideraciones generales

 

14.1.    Grupo Roldán deberá dar tratamiento a los datos en todo su ciclo de vida, para esto deberá tomar en cuenta las siguientes acciones:

 

14.2.    Almacenamiento:

 Encriptación del disco.

  1. Usar protocolos de encriptación de datos (AES, RSA)
  2. Enmascaramiento dinámico de bases de datos
  3. Protección antivirus (endpoint)
  4. Consideraciones de respaldo de la información
  5. Proceso de almacenamiento de información

14.3.    Eliminación

 Eliminación a bajo nivel (Borrado seguro)

  1. Definir procesos para la eliminación de la información

  

  1. Aprobación y Entrada en Vigencia

 15.1.    Esta Política será comunicada a todas las personas relacionadas y que deben cumplir con la misma de acuerdo con lo establecido en el Ámbito de Aplicación. La Política será revisada con periodicidad anual de acuerdo con las actividades comerciales y objetivos estratégicos de Grupo Roldán. Adicionalmente, La Política podrá ser revisada y adaptada de conformidad con los cambios legales, regulatorios o resoluciones de la Autoridad Competente.

La Política ha sido aprobada el 24 de mayo de 2023. La última modificación fue realizada el 08 de febrero de 2024.