Teléfono: (593-2) 382 2720.
Dirección: Quito: Av. Galo Plaza Lasso N51-127 y Algarrobos.

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

1. Introducción:

HIDALGO E HIDALGO S.A. o “Hidalgo e Hidalgo”, a quien para efectos del presente instrumento se lo denominará simplemente como “La Compañía”, respeta la privacidad de sus trabajadores, proveedores, contratistas, representantes legales, clientes, visitantes, y otros titulares vinculados a la Compañía, que para cualquier efecto entreguen sus datos personales; y, en consecuencia, se compromete a proteger la información personal recolectada en el marco del ejercicio de sus actividades empresariales. La presente Política de Protección de Datos Personales establece las prácticas y procedimientos para garantizar el cumplimiento de la normativa ecuatoriana en materia de protección de datos personales. Esta Política se aplica a todos los Datos Personales obtenidos, tratados y transferidos por HIDALGO E HIDALGO S.A., de manera digital o física.

2. Alcance:

En cumplimiento del artículo 47, numeral 4 de la Ley Orgánica de Protección de Datos Personales (en adelante “LOPDP”), referente a la obligación de implementar políticas de protección de datos personales, la Compañía emite esta Política aplicable a la organización y a todas las Bases de Datos y/o Documentación, sea está física o digital, que contengan Datos Personales y que sean objeto de tratamiento por parte de la Compañía para determinar el modo de obtención, tratamiento, finalidades y posibles transferencias en relación a los datos personales de, trabajadores, proveedores, clientes y demás titulares con quienes la Compañía tenga una relación.

3. Definiciones:

Para entender la presente política se deberán tomar en cuenta las siguientes definiciones:

  1. Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.
  2. Base de datos: se entiende como el conjunto organizado de datos cualquiera sea su forma, soporte, procesamiento, almacenamiento o forma de creación.
  3. Consentimiento: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
  4. Datos personales: Dato que identifica o hace identificable a una persona natural, directa o indirectamente. Cualquier información que haga a una persona natural identificada o identificable. Esto puede incluir información como nombre, dirección, número de teléfono, dirección de correo electrónico, número de tarjeta de crédito, entre otros. Se debe entender como dato personal también a los datos biométricos -que pueden ser captados por video, huellas, etc.-, genéticos, crediticios, de salud, entre otros.
  5. Datos sensibles: Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
  6. Delegado de Protección de Datos Personales: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
  7. Encargado del tratamiento: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
  8. Incidente que afecte la seguridad de los datos personales o filtración de datos personales: un incidente de seguridad contra los datos personales es cualquier evento o situación que comprometa la integridad, disponibilidad, confidencialidad o los derechos del titular de los datos personales.
  9. Persona Identificable: se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.
  10. Portabilidad de datos: es el derecho que tiene el titular a recibir sus datos personales en un formato estructurado, de uso y lectura común.
  11. Recolección: el proceso mediante el cual se obtienen los datos personales de una persona.
  12. Responsable del tratamiento: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
  13. Seguridad de los datos personales: las medidas adoptadas para proteger los datos personales contra pérdida, robo, uso indebido, acceso no autorizado, modificación o destrucción.
  14. Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
  15. Tercero: Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.
  16. Titular: la persona natural cuyos datos personales son objeto de tratamiento.
  17.  Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.
  18.   Tratamiento de datos: Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.


4. Principios del tratamiento:

La presente política se basa en los principios básicos de la protección de datos personales en el Ecuador conforme lo establece la Constitución de la República, la Ley Orgánica de Protección de Datos Personales, el Reglamento General a la Ley Orgánica de Protección de Datos Personales y demás normas conexas. La Compañía se obliga a aplicar los siguientes principios:

  1. Juridicidad: los datos personales serán tratados con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la LOPDP, su Reglamento, la presente Política y la demás normativa y jurisprudencia aplicable.
  2. Lealtad: El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.
  3. Transparencia: el tratamiento de los datos personales será de modo transparente por lo que toda información o comunicación relativa a este tratamiento será accesible y fácil de entender y utilizará un lenguaje sencillo y claro.
  4. Finalidad: Las finalidades del tratamiento serán determinadas, explícitas, legítimas y comunicadas al titular. Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular; no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley.
    El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.
  5. Pertinencia y minimización de datos personales: los datos personales deberán ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
  6. Proporcionalidad del tratamiento: El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos.
  7. Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.
  8. Calidad y exactitud: Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. En caso de tratamiento por parte de un encargado, la calidad y exactitud será obligación del responsable del tratamiento de datos personales. Siempre que el responsable del tratamiento haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, no le será imputable la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:
  9. Hubiesen sido obtenidos por el responsable directamente del titular.
  10. Hubiesen sido obtenidos por el responsable de un intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario que recoja en nombre propio los datos de los afectados para su transmisión al responsable.
  11. Fuesen obtenidos de un registro público por el responsable.
  12. Conservación: La Compañía establecerá plazos y procedimientos para la supresión o eliminación conforme a lo determinado en la LOPDP. Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento.
  13. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica.
  14. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en esta norma.
  15. Seguridad de datos personales: Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales, frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.
  16. Responsabilidad proactiva y demostrada: la Compañía implementará mecanismos para la protección de datos personales cumpliendo los principios, derechos y obligaciones establecidos en la LOPDP, para lo cual estará a las mejores prácticas de la materia y buscando la eficiencia en sus medidas adoptadas.

5. Encargados:

La Compañía podrá encargar el tratamiento de los datos personales a proveedores externos únicamente para los fines para los cuales fueron obtenidos dichos datos y con las limitaciones y estipulaciones que manda la Ley y la normativa vinculante en la materia.

Todos los encargados del tratamiento de datos personales, en virtud del numeral 10 del artículo 47 de la Ley Orgánica de Protección de Datos Personales, suscribirán acuerdos de confidencialidad y manejo adecuado de los datos personales, incluyendo una cláusula penal y la posibilidad de repetir en contra de ellos por incumplimiento de sus obligaciones referentes al tratamiento de datos personales. Los Encargados, serán directamente responsables por las actividades de tratamiento a título individual cuando excedan las instrucciones impartidas por el Responsable en el contrato de encargo; en cualquier caso, deberán garantizar un nivel de protección adecuado al tratamiento de los datos, considerando su naturaleza, volumen y posibles riesgos, amenazas y vulnerabilidades, y las demás consideraciones establecidas en el marco legal. La Compañía tiene la potestad sancionatoria en caso de verificar un incumplimiento y, de ser el caso, informará a las autoridades civiles, administrativas y penales para la investigación correspondiente.

Una vez terminado el tratamiento de los datos para los que fueron delegados, los encargados tienen la obligación de eliminar o devolver los datos que tengan en su posesión sin excepción alguna.

Todos los encargados del tratamiento de datos declaran conocer su obligación de permitir cualquier auditoría o investigación de parte del Responsable o de la Autoridad, en cualquier momento.

6. Medidas de Seguridad:

En cumplimiento del principio de seguridad de datos personales y de los artículos 37, 39, 40 y 41 de la Ley Orgánica de Protección de Datos Personales así como las directrices del Reglamento a la ley, relativos a la seguridad de los datos personales, la Compañía ha implementado e implementará todas las medidas técnicas, organizativas, jurídicas e informáticas para proteger los Datos Personales que recolecta y trata según un análisis de riesgos, amenazas y vulnerabilidades, teniendo en cuenta la naturaleza y volumen de los datos personales objeto del tratamiento. Lo mismo se aplicará a los Encargados del tratamiento de datos, en el marco del encargo dado por el Responsable. Se realizarán las evaluaciones de impacto sobre el tratamiento e implementarán medidas de seguridad desde el diseño y por defecto, y se solicitará que los proveedores mantengan un nivel óptimo y adecuado de la seguridad de la información.

7. Política de Videovigilancia:

En adición a la presente política y de modo complementario, la Compañía en estricto cumplimiento de la LOPDP, el Reglamento y las buenas prácticas en materia de protección de datos personales, mantiene una política de videovigilancia para que todos los usuarios y visitantes de las instalaciones tengan conocimiento de cómo serán tratados sus datos personales recolectados por el sistema de videovigilancia con la finalidad de seguridad. La política establece el modo de la gestión del Circuito Cerrado de Televisión (CCTV) en sus instalaciones en relación con la protección de datos personales. Para más información sobre la política pueden acceder a ella a través del siguiente enlace:

Ver Política de Videovigilancia

8. Obtención y tratamiento de datos:

La Compañía dentro de sus procesos se encarga de recolectar datos de clientes, prospectos de trabajadores, trabajadores, trabajadores de subcontratistas, prospectos de proveedores, proveedores, prestadores de servicios, familiares de trabajadores, visitantes de sus instalaciones y más personas que mantenga una relación con la Compañía. Los datos personales se recolectan a través de distintos medios ya sean digitales o físicos siempre en un marco de transparencia y tratamiento legítimo y buscando el libre consentimiento del titular en todos los casos que se requiera, con finalidades informadas, específicas, comunicadas de modo transparente y cumpliendo lo dispuesto en la LOPDP y normativa vinculante. En específico, los datos podrán obtenerse y tratarse siempre y cuando exista una de las siguientes bases legitimadoras:

  1. Por el consentimiento libre, inequívoco, específico e informado del titular.
  2. Por la existencia de una relación contractual entre el responsable y el titular de los datos personales.
  3. Que sea realizado por el Responsable del tratamiento por mandato legal, para la ejecución de medidas precontractuales a petición del titular
  4. Para proteger los intereses vitales del interesado o de otra persona natural
  5. Cuando exista un interés legítimo del Responsable atendiendo al principio de ponderación.
  6. Cuando los datos provengan de una base de datos de acceso público

Los datos que se obtienen y tratan podrán ser, sin limitarse a: nombres, fechas de nacimiento, números de teléfono, direcciones, correos electrónicos, sexo, género, edad, condiciones médicas, imagen personal, estados y movimientos financieros, información relativa a discapacidades entre otros, en el marco de relaciones de prestación del servicio y conexas; en aplicación del principio de minimización, limitándose a lo estrictamente necesario para cumplir con las finalidades del tratamiento.

Los datos se obtendrán del titular, ya sea de forma directa, a través de encargado o terceros, o a través de la consulta en fuentes de acceso púbico, siempre que exista una base legitimadora que legitime la obtención, de conformidad con las finalidades del tratamiento y la normativa aplicable. Cada obtención y tratamiento de datos personales se realiza con estricto apego a lo dispuesto en la LOPDP y se garantizan los derechos de los titulares.

9. Exactitud y entrega de datos personales:

Los titulares de los datos personales son responsables de garantizar que la información que proporcionen sea veraz, exacta, completa y actualizada, cuando la obtención se realice de forma directa o a través de encargados. El suministro de datos incorrectos, inexactos o desactualizados podrá afectar la correcta prestación de los servicios, el cumplimiento de las finalidades del tratamiento o la eficacia de las comunicaciones realizadas.

Asimismo, la entrega de determinados datos personales puede ser necesaria para el cumplimiento de obligaciones legales, contractuales o administrativas, así como para la adecuada gestión de los fines descritos en la presente política. La negativa injustificada a proporcionar los datos solicitados o la entrega de información incompleta podrá impedir el acceso a ciertos servicios, beneficios o interacciones con la organización, sin perjuicio de las demás consecuencias previstas en la normativa vigente.

10. Finalidades:

Los fines del tratamiento de datos personales por parte de la Compañía se establecerán en cada contrato o documento que soporte la entrega de dichos datos. Estos fines serán debidamente informados a los titulares y se verificará en todos los casos el cumplimiento de la normativa relacionada. Las finalidades del tratamiento de datos serán distintas dependiendo de la relación entre la Compañía y el Titular, podrán, entre otros y sin limitarse a, ser los siguientes: proceso de contratación de personal, calificación de proveedores, prestación de servicios profesionales, cumplimiento de obligaciones legales con las entidades de control en materia de prevención de lavados de activos, entre otras finalidades específicas que serán informadas conforme lo indica a la ley al titular. Los titulares nunca serán objeto de una decisión basada única o parcialmente en valoraciones automatizadas y la Compañía se compromete a tratar sus datos con estricto cumplimiento de la LOPDP y demás normas vinculantes.

11. Tratamiento:

El tratamiento que se le da a los datos personales en el marco de esta política incluye pero no se limita a su obtención, compilación, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales. Las actividades de tratamiento se harán de conformidad a los fines específicos para los cuales fueron obtenidos dichos datos personales y nunca podrán ser utilizados para otros de manera unilateral. Cada tratamiento será registrado y justificado en la Matriz de Registro de Actividades de Tratamiento correspondiente, y podrá ser consultado por el titular, sin perjuicio de la información que se proporcionará al momento de la obtención, en cumplimiento del principio de transparencia.

11. Transferencia:

Las transferencias de Datos Personales que realice la Compañía serán únicamente para cumplir las finalidades específicas para las cuales el titular otorgó su consentimiento o para el cumplimiento de la obligación legal o contractual con las consideraciones establecidas en el artículo 33 de la LOPDP. En caso de requerirlo y contar con el consentimiento del titular o con otro justificación legal o contractual suficiente, la Compañía transferirá a terceros únicamente la información necesaria para el cumplimiento de las finalidades para las cuales se otorgó consentimiento, garantizando un nivel de protección adecuado a los datos personales. Además, suscribirá contratos que incluyan cláusulas de confidencialidad y manejo adecuado de datos personales para garantizar un sistema adecuado de protección de datos.

En el caso de realizarse transferencias internacionales, la Compañía velará porque se garanticen los derechos de los titulares, para el efecto, cumplirá con las disposiciones normativas constantes en la Ley y el Reglamento de la materia.

12. Conservación de Datos:

Los datos personales tendrán distintos plazos de conservación dependiendo del tipo de relación entre el Responsable y el Titular. Este plazo de conservación siempre tendrá relación con las finalidades para las cuales se recogieron y con la justificación de su tratamiento. En las relaciones de carácter contractual se mantendrán los datos personales durante toda la relación contractual y por un plazo posterior, de conformidad con la normativa aplicable, en particular con relación a los plazos de prescripción de acciones. Así mismo los datos personales se conservarán cuando exista obligación legal, fiscal, de auditoría y contable. Una vez concluido el plazo de conservación la Compañía procederá a la eliminación, seudonimización o anonimización de los datos personales.

Para verificar el tiempo específico de conservación aplicable a cada categoría de dato personal y la base de datos específica en la que constan los datos personales, se deberá consultar la matriz de registro de actividades de tratamiento correspondiente, misma que se encontrará a disposición del titular bajo pedido, la cual detalla los tipos de tratamientos y los plazos de conservación establecidos para cada tipo de tratamiento conforme a su finalidad y base legal.

13. Datos de Categoría Especial:

La Compañía, por el giro de negocio no tratará datos de sensibles que puedan dar origen a discriminación o atenten contra derecho fundamentales del titular. En los casos de datos de categoría especial, como los datos relativos a salud, discapacidades o niños, niñas y adolescentes, la Compañía obtendrá únicamente los datos indispensables para gestionar la relación con el titular, y los tratará de conformidad con el artículo 26 de la LOPDP, velando por los intereses de los titulares y asegurando el respeto a sus derechos fundamentales.

La Compañía únicamente conocerá datos relativos a la salud, y/o datos de personas con discapacidad y de sus sustitutos, de modo estrictamente confidencial para poder atender el derecho superior del titular, incluyendo adecuar sus instalaciones para hacerlas más accesibles, atender necesidades especiales y cumplir con la normativa en materia laborales vigente.

14. Derechos de los titulares:

La Compañía garantiza el cumplimiento de los derechos garantizados a los titulares de datos personales en la LOPDP, para ello mantiene procedimientos internos adecuados para la recepción, análisis y resolución de los requerimientos de los titulares, así como un permanente control que permita verificar el cumplimiento de sus derechos, en relación a los Derechos de Acceso, Rectificación y Actualización, Eliminación, Oposición y Portabilidad, y demás, para ello se tomarán en cuenta las siguientes estipulaciones

  1. Derecho de Acceso: el o los titulares de datos personales, o sus representantes legales, cuyos datos sean objeto de tratamiento por parte de la Compañía tienen derecho a conocer y a obtener, gratuitamente todos sus datos personales y los detalles del tratamiento de dichos datos, sin necesidad de presentar justificación alguna. La Compañía pone a su disposición el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Eliminación, Suspensión y Oposición” y garantiza que una vez recibido dicho formulario será atendido dentro del plazo de quince (15) días.
  2. Derecho de rectificación y actualización: el o los titulares de datos personales cuyos datos sean objeto de tratamiento por parte de la Empresa, o sus representantes legales, tienen derecho a la rectificación y actualización de sus datos personales inexactos o incompletos. Para el ejercicio de este derecho la Empresa pone a su disposición el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Eliminación, Suspensión y Oposición”, que contiene un campo donde el o los titulares deberán presentar los justificativos de su solicitud. La Empresa garantiza una respuesta dentro en un plazo de quince (15) días.
  3. Derecho de eliminación: los datos personales podrán ser eliminados, a petición del titular o titulares en los casos establecidos en la LOPDP, para ello la Compañía pone a disposición de los titulares el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Eliminación, Suspensión y Oposición” y garantiza una respuesta a estas solicitudes en el plazo de quince (15) días de recibida la solicitud por parte del titular.
  4. Derecho de oposición: el o los titulares de datos personales cuyos datos sean objeto de tratamiento por parte de la Compañía tienen derecho a oponerse al tratamiento de sus datos en los casos establecidos en la LOPDP, para ello la Empresa pone a disposición de los titulares el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Eliminación. Suspensión y Oposición” y garantiza una respuesta a estas solicitudes en el plazo de quince (15) días de recibida la solicitud por parte del titular.
  5. Derecho de portabilidad: el o los titulares de datos personales cuyos datos sean objeto de tratamiento por parte de la Compañía tienen derecho a recibir sus datos personales en un formato compatible, actualizado, estructurado, común, interoperable y de lectura mecánica, preservando sus características; o, mediante expresa solicitud del titular, a transferir a otro nuevo responsable del tratamiento de datos cuando fuera técnicamente posible, siempre y cuando se cumpla una de las condiciones establecidas en la Ley.
  6. Revocatoria de consentimiento: en caso de otorgarse el consentimiento para el tratamiento de los datos personales, la decisión de revocarlo será mediante el proceso establecido por la Compañía.
  7. Suspensión: El titular tendrá derecho a obtener del responsable del tratamiento la suspensión del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes: 1) Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos; 2) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso; 3) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; y. 4) Cuando el interesado se haya opuesto al tratamiento en virtud del artículo 31 de la presente ley; mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
  8. Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas: El titular tiene derecho a no ser sometido a una decisión basada única o parcialmente en valoraciones que sean producto de procesos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales, para lo cual podrá: a. Solicitar al responsable del tratamiento una explicación motivada sobre la decisión tomada por el responsable o encargado del tratamiento de datos personales; b. Presentar observaciones; c. Solicitar los criterios de valoración sobre el programa automatizado; o, d. Solicitar al responsable información sobre los tipos de datos utilizados y la fuente de la cual han sido obtenidos los mismos; e impugnar la decisión ante el responsable o encargado del tratamiento.
  9. Derecho a la información: El titular de datos personales tiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre: 1) Los fines del tratamiento; 2) La base legal para el tratamiento; 3) Tipos de tratamiento; 4) Tiempo de conservación; 5) La existencia de una base de datos en la que constan sus datos personales; 6) El origen de los datos personales cuando no se hayan obtenido directamente del titular; 7) Otras finalidades y tratamientos ulteriores; 8) Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluirá: dirección del domicilio legal, número de teléfono y correo electrónico; 9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico; 10) Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas; 11) Las consecuencias para el titular de los datos personales de su entrega o negativa a ello; 12) El efecto de suministrar datos personales erróneos o inexactos; 13) La posibilidad de revocar el au; 14) La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas. 15) Los mecanismos para hacer efectivo su derecho a la portabilidad, cuando el titular lo solicite; 16) Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales y la Autoridad de Protección de Datos Personales, y; 17) La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.
  10. Posibilidad de presentar reclamos ante la SPDP: Los titulares de datos personales tienen el derecho a presentar reclamos ante la Superintendencia de Protección de Datos Personales (SPDP) cuando consideren que sus derechos han sido vulnerados en el tratamiento de sus datos personales. Este derecho se ejerce de forma gratuita, individual o a través de representante, y constituye una vía administrativa para la tutela efectiva de los derechos reconocidos por la LOPDP.
  11. Posibilidad de revocar el consentimiento: El titular de los datos personales tiene el derecho a revocar, en cualquier momento, el consentimiento que previamente haya otorgado para el tratamiento de sus datos personales, sin que ello afecte la licitud del tratamiento realizado con base en el consentimiento previo a su revocatoria.


Los formularios para el ejercicio de los derechos se pueden encontrar en los siguientes links:

Formulario de Derecho de Portabilidad Formulario de derecho de Acceso Formulario de Revocatoria de consentimiento

El ejercicio de los derechos estará sujeto a un análisis por parte de la Compañía, para determinar si la solicitud de ejercicio de derechos es procedente o no, lo cual se comunicará al titular en los términos y formas previstas en la Ley y su Reglamento.

15. Notificación en caso de vulneración a la seguridad de la información:

La Compañía implementará todas las medidas técnicas, organizativas y de cualquier otra índole para minimizar los riesgos, amenazas y vulnerabilidades; será especialmente diligente en el mantenimiento de la seguridad de su información propia y de sus encargados y controlará que, en todos los procesos, desde el diseño, origen y por defecto, tenga un nivel adecuado de protección. En el caso de que la Compañía detecte una vulneración a la seguridad de su información que pueda conllevar un riesgo a los derechos fundamentales y libertades individuales de los titulares, activará el protocolo establecido previamente para el efecto y realizará una notificación a cada uno de los titulares y a las autoridades de control correspondientes, considerando lo establecido en el artículo 46 de la LOPDP.

Se considera que existe un riesgo a los derechos fundamentales y libertades individuales de los titulares, en los siguientes casos:

  1. Cuando los datos fueron destruidos, ya no existen o no están disponibles de una forma que sea de utilidad para el responsable del tratamiento;
  2. Cuando los datos personales han sido alterados, corrompidos o dejan de estar completos;
  3. Cuando el responsable del tratamiento ha perdido el control o el acceso a los datos, o ya no obran en su poder; o,
  4. Cuando el tratamiento no ha sido autorizado o es ilícito, lo cual incluye la divulgación de datos personales o el acceso por parte de destinatarios que no están autorizados a recibir o acceder a los datos o cualquier otra forma de tratamiento que se ejecuta contrariando las disposiciones de la Ley.

16. Actualización de Esta Política:

Esta política podrá actualizarse en cualquier momento. Así mismo, en virtud del artículo 76 de la LOPDP esta política podrá ser modificada una vez que la Autoridad de Protección de Datos emita las directrices para el diseño y contenido de la política de tratamiento de datos personales.

17. Datos de contacto del responsable del tratamiento de datos personales y del Delegado de Protección de Datos:

Para la solicitud de ejercicio de cualquiera de los derechos aquí plasmados o reclamación sobre el tratamiento de datos personales, los Titulares podrán comunicarse a los siguientes datos de contacto:

  1. Nombre: Hidalgo e Hidalgo S.A.
  2. RUC: 1790059111001
  3. Gerente General: GEMADEMSA A.
  4. Dirección: Galo Plaza Lasso N51-127 y Algarrobos
  5. Correo electrónico: proteccion_datos@heh.com.ec
  6. Correo electrónico Protección de datos: proteccion_datos@heh.com.ec
  7. Teléfonos: (02) 3822-720
Link: Política de Protección de Datos Personales