sermacon-negativo@150x-8

POLÍTICA INTEGRAL DE PROTECCIÓN DE DATOS PERSONALES

  1. Objeto

La presente Política Integral de Protección de Datos Personales tiene por objeto establecer los principios, lineamientos, responsabilidades y procedimientos que rigen el tratamiento de datos personales por parte de SERMCONEC S.A.S. (en adelante, la “Compañía”), garantizando el respeto a los derechos de los titulares y el cumplimiento de la normativa ecuatoriana vigente.

  1. Alcance

Esta Política aplica a todos los tratamientos de datos personales realizados por la Compañía, incluyendo aquellos efectuados en calidad de Responsable y/o Encargado del Tratamiento, y es obligatoria para colaboradores, contratistas, proveedores y terceros que tengan acceso a información personal.

  1. Marco normativo

La presente Política se fundamenta en la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP), su Reglamento General, las resoluciones emitidas por la Superintendencia de Protección de Datos Personales, así como en principios reconocidos internacionalmente en materia de privacidad y seguridad de la información.

El tratamiento de datos personales se realizará sobre la base de al menos una de las siguientes legitimaciones:

  • Consentimiento del titular.
  • Cumplimiento de una obligación legal.
  • Ejecución de una relación contractual o precontractual.
  • Interés legítimo debidamente ponderado.
  • Cumplimiento de misiones realizadas en interés público, cuando aplique.
  1. Definiciones relevantes
  • Dato personal: Información que identifica o hace identificable a una persona natural.
  • Titular: Persona natural a quien corresponden los datos.
  • Responsable del tratamiento: Quien decide sobre la finalidad y medios del tratamiento.
  • Encargado del tratamiento: Quien trata datos personales por cuenta del Responsable.
  • Tratamiento: Cualquier operación realizada sobre datos personales.
  1. Principios aplicables al tratamiento

La Compañía observará, como mínimo, los siguientes principios:

5.1 Licitud

Todo tratamiento se realizará con base legal válida, documentada y verificable.

5.2 Finalidad

Los datos serán recolectados para fines determinados, explícitos y legítimos, informados previamente al Titular.

5.3 Minimización

Solo se tratarán los datos estrictamente necesarios para cumplir la finalidad declarada.

5.4 Transparencia

El Titular será informado de forma clara, accesible y comprensible sobre el tratamiento de sus datos personales.

5.5 Exactitud

Se adoptarán medidas razonables para asegurar que los datos sean exactos, completos y actualizados.

5.6 Seguridad

Se aplicarán medidas técnicas y organizativas apropiadas para proteger los datos contra acceso no autorizado, pérdida, alteración o divulgación.

5.7 Responsabilidad proactiva

La Compañía implementará mecanismos de prevención, control y documentación que permitan demostrar el cumplimiento normativo.

  1. Categorías de datos tratados

La Compañía podrá tratar, según corresponda:

  • Datos de identificación
  • Datos de contacto
  • Datos laborales
  • Datos financieros básicos
  • Datos comerciales

No se tratarán datos sensibles salvo que exista habilitación legal expresa.

  1. Actividades de tratamiento

Las actividades de tratamiento se encuentran documentadas en el Registro de Actividades de Tratamiento (RAT), incluyendo procesos relacionados con:

  • Clientes
  • Proveedores
  • Recursos Humanos

7.1. Uso de imágenes y material audiovisual de obras

La Compañía podrá registrar material fotográfico y audiovisual durante la ejecución de sus servicios con fines de documentación técnica, control de calidad, evidencia contractual, capacitación interna y, cuando corresponda, difusión institucional o comercial.

El registro de imágenes podrá incluir:

  • Instalaciones, procesos y resultados de obras
  • Equipos y materiales utilizados
  • Personal operativo en contexto laboral o clientes. 

Cuando las imágenes permitan identificar directa o indirectamente a personas naturales, su tratamiento se realizará sobre la base jurídica correspondiente, incluyendo el interés legítimo para fines operativos y, en caso de utilización con fines promocionales, el consentimiento previo del titular o la autorización contractual aplicable.

La Compañía adoptará medidas razonables para evitar la exposición innecesaria de datos personales, priorizando imágenes no identificables cuando sea posible.

  1. Modelo operativo y tecnológico

SERMCONEC opera bajo un modelo predominantemente digital y no remoto:

  • No mantiene infraestructura física propia de servidores.
  • El personal trabaja en oficinas utilizando equipos protegidos.
  • La información se gestiona mediante plataformas cloud de terceros.
  • Se aplican controles de acceso lógico, autenticación, segregación de perfiles y registro de actividades.

Estas medidas forman parte de la Seguridad Organizativa de la Compañía.

8.1 Canal formal de contacto

Para cualquier asunto relacionado con protección de datos personales, los titulares podrán comunicarse con el Responsable Interno de Protección de Datos a través del siguiente canal:

Correo electrónico: administrativo@sermacon.com.ec

  1. Derechos de los titulares (Derechos ARCO y complementarios)

Los titulares podrán ejercer en cualquier momento los siguientes derechos:

  • Acceso: conocer qué datos personales están siendo tratados.
  • Rectificación: solicitar la corrección de datos inexactos o incompletos.
  • Actualización: mantener la información vigente.
  • Eliminación: solicitar la supresión cuando ya no exista finalidad legítima.
  • Oposición: oponerse al tratamiento en casos legalmente permitidos.
  • Portabilidad: recibir sus datos en formato estructurado cuando corresponda.
  • Limitación del tratamiento, en los casos previstos por la ley.

El ejercicio de estos derechos es gratuito y no requiere justificación.

  1. Procedimiento para ejercicio de derechos
  1. Recepción de solicitud por canal habilitado.
  2. Verificación de identidad del solicitante.
  3. Análisis interno.
  4. Respuesta dentro de los plazos legales.
  5. Registro de la atención en bitácora.
  1. Gestión de incidentes de seguridad

La Compañía mantiene un procedimiento interno documentado para la gestión de incidentes que contempla:

  • Identificación y clasificación del evento.
  • Contención inmediata.
  • Evaluación de impacto legal y técnico.
  • Notificación al Responsable interno y, cuando aplique, a la Autoridad y a los titulares.
  • Implementación de acciones correctivas y preventivas.

Todos los incidentes serán registrados y conservados como evidencia de cumplimiento.

  1. Transferencias, comunicaciones y encargos de tratamiento

Cualquier transferencia nacional o internacional, así como el acceso por parte de terceros, se realizará únicamente bajo contratos que incluyan cláusulas de protección de datos, confidencialidad, seguridad y limitación de finalidad.

  1. Conservación de la información

Los datos personales serán conservados únicamente durante el tiempo necesario para cumplir la finalidad del tratamiento y las obligaciones legales aplicables. De manera referencial:

  • Clientes: durante la relación contractual y hasta 7 años posteriores.
  • Proveedores: durante la relación comercial y hasta 7 años posteriores.
  • Recursos Humanos: durante la relación laboral y hasta 10 años posteriores.
  • Registros contables y tributarios: conforme plazos legales vigentes.

Una vez vencidos estos plazos, los datos serán eliminados o anonimizados de forma segura.

Los datos personales serán conservados únicamente durante el tiempo necesario para cumplir la finalidad del tratamiento o las obligaciones legales.

13.1 Bases legales por tipo de tratamiento

  • Clientes: ejecución contractual / consentimiento.
  • Proveedores: ejecución contractual / obligación legal.
  • Recursos Humanos: relación laboral / obligación legal.
  • Contactos comerciales: consentimiento / interés legítimo ponderado.

13.2 Evaluaciones de Impacto (EIPD / DPIA)

Cuando un tratamiento pueda implicar alto riesgo para los derechos y libertades de los titulares, la Compañía realizará Evaluaciones de Impacto en Protección de Datos (EIPD/DPIA), documentando:

  • descripción del tratamiento
  • análisis de necesidad y proporcionalidad
  • identificación de riesgos
  • medidas de mitigación

Estas evaluaciones formarán parte del sistema de responsabilidad proactiva.

  1. Responsabilidades internas
  • Dirección: supervisión general del cumplimiento del programa de protección de datos.
  • Responsable interno de protección de datos: coordinación operativa, atención de derechos, gestión del RAT e incidentes.
  • Colaboradores y contratistas: cumplimiento estricto de esta Política y deber permanente de confidencialidad.

El incumplimiento podrá dar lugar a medidas disciplinarias y responsabilidades legales.

  1. Capacitación

La Compañía promoverá capacitaciones periódicas en materia de protección de datos personales.

  1. Evidencia y trazabilidad

Se mantendrán registros mínimos de:

  • Accesos
  • Solicitudes de derechos
  • Incidentes
  • Altas y bajas de usuarios
  1. Actualización de la política

La presente Política podrá ser actualizada cuando exista cambio normativo, operativo o tecnológico relevante.

Correo: administrativo@sermacon.com.ec 

Teléfono: 99 789 9842