POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

POLÍTICA CORPORATIVA DE PROTECCIÓN DE DATOS PERSONALES

De conformidad a lo establecido en la Ley Orgánica de Protección de Datos Personales nos corresponde informarle:

1.   Del responsable del tratamiento de los datos personales:

La norma aplicable en materia de protección de datos personales es la Ley Orgánica de Protección de Datos Personales, en este sentido y en este marco jurídico La Universidad San Gregorio de Portoviejo es responsable del tratamiento del fichero/base de datos/ tratamiento de datos personales.

Adicionalmente te informamos:

La denominación social: Universidad Particular San Gregorio de Portoviejo

Nuestra Dirección: Av. Metropolitana y Av. Olímpica

Correo  electrónico  de  contacto  del  Delegado  de  protección  de  datos  personales:

protecciondatospersonales@sangregorio.edu.ec

2.   ¿A qué nos comprometemos por medio de esta política?

Nos comprometemos a cumplir con la legislación vigente en materia de protección de datos personales, la cual nos obliga a cumplir determinadas exigencias, fundamentalmente referidas a:

• La recopilación y el uso de datos personales (en adelante, los “datos”).
• La calidad y la seguridad de los datos.
• Los derechos de las personas con respecto a la Información sobre sí mismos.

En este contexto, nos encontramos comprometidos con la protección, el manejo y el tratamiento adecuado de los datos a los que tenemos acceso en la operación regular de nuestros negocios, ya sean datos de trabajadores, prestadores de servicios, estudiantes, proveedores, usuarios de los sitios web, entre otros.

La presente política corporativa de protección de datos personales (en adelante, la “Política”) recoge las prácticas desarrolladas por la Universidad para la recolección, almacenamiento y tratamiento de datos personales a fin de asegurar el respeto por los derechos de sus titulares, así como el cumplimiento del marco normativo vigente.

La Política podrá ser complementada con reglamentos corporativos o directrices adicionales que desarrollen lo establecido en el presente documento siempre que se encuentren alineadas con sus principios rectores.

3. ¿En qué ámbito aplican las disposiciones de esta política?

El presente documento es aplicable a todas las bases de datos personales o información destinada a estar contenida en bases de datos de la Universidad, así como al tratamiento de dichas bases de datos por parte de la Universidad o por parte de terceros encargados.

Todos los trabajadores de la Universidad se encuentran obligados a conocer y cumplir todas y cada una de las disposiciones de la Política.

4. Definiciones:

Datos personales: toda información sobre una persona natural que la identifica o la hace identificable a través de medios que puedan ser razonablemente utilizados.

Datos sensibles: datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; pasado judicial; condición migratoria; identidad cultural; afiliación sindical e información relacionada a la salud o a la vida sexual e identidad de género.

Bases de datos personales: conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.

Tratamiento de datos personales: cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

Titular de datos personales: persona natural a quien corresponden los datos personales.

Titular de la base de datos: persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido de la base de datos personales, el tratamiento de estos y las medidas de seguridad.

Encargado del tratamiento: persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular de la base de datos personales o el responsable de tratamiento.

5. Confidencialidad:

La Información a la que los trabajadores de la Universidad y/o terceros tengan acceso tiene carácter confidencial y no podrá ser divulgada, comunicada ni compartida con terceros sin contar con el consentimiento previo del titular de la Información, salvo las excepciones establecidas en la Ley.

Todas las personas que intervengan en el tratamiento de la información están obligadas a guardar el secreto profesional y a mantener la confidencialidad respecto de estos. Dicha obligación se mantendrá aún después de finalizada la relación que une a esas personas con la Universidad.

6. Principios:

La Universidad se preocupa por que toda persona pueda ejercer sus derechos sobre los datos que comparte con terceros, así como a asegurarse de que estos se utilicen de forma apropiada. Por este motivo, en sus actividades regulares de negocio, la Universidad respeta los principios establecidos en la legislación:

• Principio de legalidad: El tratamiento de la Información realizado por la Universidad se realizará conforme a lo establecido en la Ley, demás normativa y jurisprudencia aplicable. Se encuentra prohibida la recopilación de información por medios fraudulentos, desleales o ilícitos.
• Principio de consentimiento: La Universidad no podrá tratar datos si no cuentan con el consentimiento previo, expreso, inequívoco y libre de su titular, salvo las excepciones previstas en la Ley.
• Principio de finalidad: La Información debe ser recopilada por la Universidad para una finalidad determinada, explícita, lícita, legítima y comunicada al titular. El tratamiento de dichos datos no se extenderá a una finalidad distinta a la establecida de manera inequívoca como tal al momento de su recopilación o incompatible con aquella que motivó su obtención.

• Principio   de   proporcionalidad:   Todo   tratamiento   de   los   datos   realizado   por   la Universidad deberá ser adecuado, necesario, oportuno, relevante y no excesivo a la finalidad para la que la Información hubiese sido recopilada o a la naturaleza misma, de las categorías especiales de datos.
• Principio de calidad: Los datos que vaya a ser tratada por la Universidad debe ser veraz, exacta, íntegra, precisa, completa, comprobable, clara, y, en la medida de lo posible, actualizada, necesaria, pertinente y adecuada respecto de la finalidad para la que fue recopilada. Dichos datos deberán conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
• Principio de seguridad: La Universidad y los terceros que actúen como encargados del tratamiento de bases de datos personales de la Universidad deberán adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos y protegerlos frente a cualquier riesgo, amenaza o vulnerabilidad. Éstas deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos que se trate.
• Principio de nivel de protección adecuado: En el caso de que la Universidad realice transferencias internacionales de la Información deberá garantizar un nivel suficiente de protección en concordancia con lo establecido en la Ley.
• Principio de Lealtad: El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines ilícitos o desleales.
• Principio de Transparencia: El tratamiento de datos personales deberá ser transparente, por  lo que toda información  o comunicación  relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro. Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.

• Principio de pertinencia y minimización de datos personales: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
• Confidencialidad:  El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la ley. Para tal efecto, el responsable del tratamiento adecuará las medidas técnicas organizativas para cumplir con este principio.
• Principio de conservación: Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento ha establecido plazos para su supresión o revisión periódica. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en esta norma.
• Principio de responsabilidad proactiva y demostrada: El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y corregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento. El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales. El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley.
• Principio de aplicación favorable  al titular:  En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.

7. Bases de datos de la Universidad:

Considerando las exigencias planteadas por la legislación en materia de protección de datos personales, la Universidad cuenta con las siguientes bases de datos a ser registradas ante la Autoridad de Protección de Datos Personales:

Sus datos personales serán conservados durante la ejecución de la finalidad para la cual fueron recopilados y hasta por el tiempo que exijan las leyes aplicables vigentes.

8. Finalidad:

Los datos recopilados de los estudiantes/clientes se tratan a efectos de ejecutar nuestra prestación de servicios de educación. Adicionalmente, utilizamos esta información a fin de prestar servicios de facturación, entre otros.

Los datos recopilados sobre los postulantes a puestos de trabajo se utilizarán para gestionar su candidatura a los puestos de trabajo ofrecidos por la Universidad.

La Universidad conservará los datos personales proporcionados mientras dure el proceso de selección y posteriormente podrán conservar los datos de aquellos perfiles que pese a no haber accedido a la plaza mientras, a criterio de la Universidad, tengan el potencial para ser considerados en futuros procesos de selección o hasta que los titulares revoquen su consentimiento, lo que suceda primero, conforme a lo regulado por la Ley y normativa aplicable.

Los datos personales recopilados sobre los trabajadores se utilizarán para gestionar la relación laboral que mantienen con la Universidad, lo cual incluye, a manera ejemplificativa pero sin limitarse a, el pago de la nómina, las evaluaciones de desempeño, capacitación y desarrollo del trabajador; la gestión de rendimiento, acciones correctivas e investigaciones.

Los datos recopilados sobre proveedores se utilizarán para gestionar su relación comercial de prestación de servicios o comercialización de bienes a favor de la Universidad.

Los datos recopilados por medio de nuestros sistemas de videovigilancia serán utilizados a fin de preservar la seguridad de los establecimientos, bienes muebles e infraestructura.

En caso de que el titular de los datos personales haya dado su consentimiento para recibir contactos de naturaleza comercial,  se le enviará encuestas de satisfacción, información de nuestros servicios, invitaciones a eventos, entre otros. Estos contactos se realizan principalmente a través de correo electrónico y eventualmente por mensajes de texto (SMS) y/o call center.

En caso de que el Titular no proporcione los datos solicitados, o proporcione datos erróneos o inexactos, el titular no podrá gestionar la relación con el titular de manera adecuada.

9. Derechos de los titulares de la Información:

La Universidad cuenta con un procedimiento sencillo y gratuito de atención de los derechos de los titulares de los datos personales contemplados en la Ley, entre ellos el derecho de acceso, actualización, rectificación, eliminación, oposición, portabilidad, entre otros.

Por lo tanto, la Universidad realizará las acciones necesarias para atender, de manera oportuna y dentro de los plazos establecidos por la legislación, todas las solicitudes y requerimientos relacionados con dichos derechos.

Los titulares de los derechos podrán iniciar sus solicitudes por medio de una comunicación a la siguiente dirección de correo electrónico: protecciondatospersonales@sangregorio.edu.ec

Adicionalmente, podrán ejercer sus derechos de forma presencial, mediante el envío de una solicitud física, en la dirección consignada en el numeral 1) de esta política.

Asimismo, podrá presentar una reclamación ante la Superintendencia de Protección de Datos a través de los medios que esta entidad haya habilitado para tal efecto.

10. Revocatoria del consentimiento:

El Titular podrá revocar la autorización y el consentimiento otorgados para el tratamiento de sus datos personales, mediante la presentación de una solicitud escrita remitida al Delegado de Protección de Datos Personales, cuya información fue mencionada con anterioridad.

11. Transferencias de los datos:

Los datos objeto de tratamiento por parte de la Universidad sólo será cedida o transferida a terceros para el cumplimiento de los fines relacionados en concordancia con la legislación en materia de protección de datos personales. En los casos en los que corresponda, se receptará el consentimiento expreso, libre, inequívoco e informado del titular de los datos. Dicho consentimiento no será requerido en los supuestos permitidos por la normativa en materia de protección de datos personales.

Además  de  lo  previamente  establecido,   la  Universidad  no  transferirá  o  comunicará  la Información a terceros, salvo en los siguientes casos:

a)   Cuando sea necesario para la finalidad para la que la información fue recopilada.

b)   Cuando al momento de la recopilación de la Información se obtenga su consentimiento previo y expreso.

c)   Cuando el consentimiento no sea exigido.

d)   Cuando  la  Información  sea  requerida  por  entidades  públicas  en  el  ámbito  de  sus competencias y en el ejercicio de sus funciones y atribuciones.

e)   Cuando la Información sea solicitada en virtud de órdenes judiciales o disposiciones legales.

f)    Cuando se trate de acceso a la Información por parte de auditores, abogados y demás profesionales en ejercicio de sus funciones, obligados a guardar el secreto profesional.

g)   Cuando los datos han sido recogidos de fuentes accesibles al público, siempre y cuando se ajuste a la finalidad de dichos datos en concordancia con la legislación correspondiente.

h)   Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica entre el responsable de tratamiento y el titular, cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con base de datos.

i)     Cuando la comunicación se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando dichos datos se encuentren debidamente disociados o a lo menos anonimizados.

j)     Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que implique intereses vitales de su titular y este se encontrare impedido de otorgar su consentimiento.

k)  Cuando la comunicación de datos de carácter personal sea necesaria para realizar estudios epidemiológicos de interés público, dando cumplimiento a los estándares internacionales en la materia de derechos humanos.

12. Recopilación de datos sensibles:

La Universidad únicamente recopilará y tratará Información y/o datos sensibles cuando sea estrictamente necesario, respetando los principios de finalidad y proporcionalidad y, en concordancia con los supuestos que habilitan el tratamiento de datos sensibles de conformidad con la Ley.

13. Medidas de seguridad:

La Universidad ha implementado las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de la Información y evitar su alteración, pérdida, tratamiento y/o acceso no autorizado.

En general la Universidad y todos sus colaboradores que trabajen con datos personales cumplirán con las medidas de seguridad correspondientes a la naturaleza de los datos objeto de tratamiento de conformidad con lo establecido en la legislación.

14. Tratamiento por terceros – Encargados del tratamiento:

Toda vez que la Universidad encargue el tratamiento de una base de datos a un tercero, o permita el acceso de terceros a sus bases de datos para la prestación de algún servicio específico, se deberán tener en cuenta las siguientes especificaciones:

• Todo tratamiento de datos realizado por un tercero distinto a la Universidad estará regulado en un contrato, estableciéndose expresamente que el tratamiento de los datos se realizará siguiendo las instrucciones de la Universidad y, que únicamente se tratará la Información para los fines autorizados o establecidos en el contrato, por lo que el encargado no los utilizará con una finalidad distinta, ni los comunicará indebidamente a otras personas.
• El contrato deberá estipular las medidas de seguridad que el encargado del tratamiento está obligado a implementar, tales como la devolución o destrucción de los datos una vez finalizado el encargo.
• El contrato establecerá que en caso de incumplimiento el infractor responderá ante el titular y ante las autoridades por todo tratamiento o uso no autorizado de la Información.
• Si el encargado del tratamiento necesita subcontratar con terceros para brindar parte de los servicios que se obligó a ofrecer, deberá contar con la autorización previa de  la Universidad  y  ésta sólo  procederá siempre  que  el subcontratista asuma las mismas obligaciones que el encargado del tratamiento.
• El contrato establecerá las obligaciones de confidencialidad respecto a la información a la que accede el encargado del tratamiento, manteniéndose dichas obligaciones en vigor aún después de finalizado el plazo de vigencia del contrato.

15. Eliminación de los datos:

La Universidad procederá a eliminar los datos personales de sus registros una vez que haya finalizado el tratamiento de la Información, se haya cumplido con el principio de finalidad, y no exista mandato legal o razón que justifique la conservación de la Información.

Alternativamente, se podrá aplicar procesos de disociación, anonimización o equivalentes cuando por alguna razón comercial, de estadística o de análisis de mercado se justifique la conveniencia de conservar la información.