Política de Privacidad — Autolandia 2.0

POLITICA DE TRATAMIENTO DE DATOS PERSONALES AUTOLANDIA S.A. – SERVIMOTOR S.A.

INFORMACIÓN GENERAL DEL RESPONSABLE DE TRATAMIENTO DE DATOS

Identificación general del responsable del tratamiento de datos personales

Objetivo de la política

La presente política tiene como objetivo dar cumplimiento a los artículos 16 numerales 1 y 2 de la constitución política de Ecuador y al marco legislativo que regula la protección de datos personales, (ley orgánica de protección de datos personales de 2021, Decreto ejecutivo 906 de noviembre de 2023 y demás normas).

Objeto de la política

La Política brinda al titular de los datos personales los derechos que le asisten, la información de los tratamientos a los que serán sometidos sus datos, describe su ciclo de vida (colecta, conservación, circulación, uso y/o explotación y disposición final) y enuncia los controles que garantizan la privacidad de la información del titular, igualmente permite conocer los canales de comunicación con la entidad responsable para las solicitudes de información y para la presentación de las quejas en caso de requerirse.

La entidad asume esta Política como un compromiso ante los titulare de la información.

Alcance de la política

La presente política aplica a todos los tratamientos de datos personales que se efectúen directamente por parte de esta entidad, como Responsable de los tratamientos de datos personales, y a los tratamientos que se encomienden a los Encargados quienes en cumplimiento de contratos traten los datos personales.

Obligaciones

Esta política es de obligatorio cumplimiento sobre todos los procesos y procedimientos que de manera directa o indirecta traten datos personales, igualmente cuenta con carácter de obligatorio cumplimiento para todas las áreas administrativas, directivas y organizacionales de esta entidad, las cuales incluyen dentro de sus políticas internas los principios rectores de los tratamientos de datos personales exigidos.

Definiciones pertinentes

Los términos y palabras que se definen a continuación deben recibir el significado y uso que se describe a continuación.

Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la presente ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales.

Anonimización: La aplicación de medidas dirigidas a impedir la identificación o re identificación de una persona natural, sin esfuerzos desproporcionados.

Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.

Consentimiento: Manifestación de la voluntad libre, especifica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.

Dato genético: Dato personal único relacionado a características genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre la fisiología o salud de un individuo.

Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.

Datos personales crediticios: Datos que integran el comportamiento económico de personas naturales, para analizar su capacidad financiera.

Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos, datos relativos a las personas apátridas y refugiados que requieren protección internacional, y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.

Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.

Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, Habilidad, ubicación, movimiento físico de una persona, entre otros.

Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.

Entidad Certificadora: Entidad reconocida por la Autoridad de protección de Datos Personales, que podrá, de manera no exclusiva, proporcionar certificaciones en materia de protección de datos personales.

Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo acceso es público, incondicional y generalizado.

Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.

Sellos de protección de datos personales: Acreditación que otorga la entidad certificadora al responsable o al encargado del tratamiento de datos personales, de haber implementado mejores prácticas en sus procesos, con el objetivo de promover la confianza del titular, de conformidad con la normativa técnica emitida por la Autoridad de protección de Datos Personales.

Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Titular: Persona natural cuyos datos son objeto de tratamiento.

Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.

Principios rectores del tratamiento de datos personales

En la interpretación, el desarrollo, y la aplicación de la presente Política, se aplicarán de manera armónica e integral los siguientes principios:

Relacionados con la colecta de los datos personales.

a) Principio de juridicidad: Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales y la ley de protección de datos personales.

b) Principio de lealtad: El tratamiento de datos personales deberá́ ser leal, lo que significa que los titulares deben conocer plenamente que sus datos están siendo tratados y con qué propósito. En ningún caso los datos personales podrán ser tratados a través de medios o para fines ilícitos o desleales.

c) Principios de transparencia: El tratamiento de datos personales deberá́ ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá́ ser fácilmente accesible y fácil de entender y se deberá́ utilizar un lenguaje sencillo y claro.

d) Principio de finalidad: Las finalidades del tratamiento deberán ser determinadas, explicitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos establecidos en la ley.

e) Principios de pertinencia y minimización de datos personales: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.

Relacionados con la conservación, el Uso y/o Explotación de los datos personales

a) Principio de proporcionalidad del tratamiento: El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos

b) Principio de confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos. Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.

c) Principio de calidad y exactitud: Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad.

d) Principio de conservación Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales.

Relacionados con la circulación de datos personales.

a) Principio de seguridad de datos personales: Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.

Relacionados con la consulta y conservación de la prueba de autorización del titular de los datos personales.

a) Principio de la responsabilidad demostrada: El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá́ valerse de estándares, mejores prácticas, esquemas de auto y con regulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento. El responsable del tratamiento de datos personales deberá́ evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la Ley

b) Principio de aplicación favorable al titular: En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.

c) Principio de independencia del control: Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el Estado, la Autoridad de protección de Datos deberá ejercer un control independiente, imparcial y autónomo, así́ como llevar a cabo las respectivas acciones de prevención, investigación y sanción

CICLO DE VIDA DE LOS TRATAMIENTOS DE DATOS PERSONALES

Colecta de los datos personales

La entidad como responsable y los encargados podrán colectar los datos clasificados como públicos, sensibles, categorías especiales (personas fallecidas, niños niñas y adolescentes) datos con personas en discapacidad, datos crediticios) los cuales serán utilizados única y exclusivamente con las finalidades establecidas en los avisos de privacidad presentados durante la colecta para cada uno de los tratamientos presentados y sujetos a esta política.

La entidad responsable y sus encargados se comprometen a tratar los datos personales colectados de manera licita, leal y transparente.

Los tratamientos de datos personales se fundamentan sobre las bases legales que la ley permite.

Tipos de datos colectados

TABLA 1: TIPOS DE DATOS QUE SON COLECTADOS

Finalidades

Los datos personales colectados están circunscritos a las finalidades descritas y seleccionadas en la tabla 2

Las finalidades responden a los propósitos que la entidad pretende alcanzar con el tratamiento de los datos personales, estos propósitos son permitidos en tanto que cumplen con cuatro condiciones: a) son determinados; b) son explícitos; c) son legítimos e informadas al titular al titular.

FINALIDADES DEL TRATAMIENTO DE DATOS PERSONALES

Minimización de la colecta de datos personales

La entidad como responsable y los encargados contratados se comprometen a limitar el tratamiento de datos a aquellos que son estrictamente necesarios, son adecuados y guardan proporcionalidad entre el propósito de la colecta y los derechos de los titulares.

Legalidad, lealtad y transparencia

El tratamiento de datos personales solo podrá efectuarse bajo una de las siguientes causales (base legal) de autorización, el responsable se obliga a colectar los datos personales en amparo de las siguientes bases legales

BASE LEGAL DEL TRATAMIENTO DE DATOS PERSONALES

BASE LEGAL PARA EL TRATAMIENTO DE DATOS SENSIBLES

Los datos personales de niños, niñas y adolescentes se colectan en cumplimiento al régimen general de la colecta y en adición el tratamiento responde al interés superior de los niños, niñas y adolescentes y sus garantías fundamentales.

Cualquier base jurídica descrita anteriormente es pertinente para efectuar el tratamiento de datos, los responsables del tratamiento de datos y sus encargados se comprometen a respetar el interés superior de los niños, niñas y adolescentes como elemento legitimador de la colecta. Cualquier tratamiento de datos que no respete esta condición deberá suspenderse y el dato personal deberá suprimirse.

Consentimiento

El consentimiento entendido como toda manifestación de voluntad libre, especifica, informada e inequívoca por la cual una persona acepta u autoriza por medio de una declaración o por medio de un acto positivo claro que sus datos personales sean objeto de un tratamiento de datos personales.

El responsable y sus encargados se comprometen a colectar datos personales en virtud del consentimiento y garantizar que el consentimiento cumple con las características de ser una manifestación de voluntad libre, especifica, informada e inequívoca.

De la misma manera el responsable está en la obligación de conservar y probar en debida forma al titular y a las autoridades de control y conforme a las exigencias legales el consentimiento del titular de la información.

La información que debe preceder la colecta del consentimiento es la siguiente.

1. Identificación de los datos del responsable incluidos sus datos de contacto.

2. Las características del tratamiento al cual serán sometidos los datos personales

3. Los derechos en calidad de titular sobre sus datos personales

Colecta de datos de niños, niñas y adolescentes y datos sensibles

Para tratar este tipo de datos el responsable y sus encargados deben reforzar el consentimiento de los titulares de la información o sus representantes informándoles de manera expresa y explicita la finalidad del tratamiento.

En el caso de los menores debe contarse con el consentimiento de sus padres y en caso de ser mayores de 15 años el de los adolescentes

Métodos de comunicación en tratamiento de datos personales

Los responsables y sus encargados utilizaran los siguientes métodos para la colecta de los datos, la divulgación de la información referente al tratamiento y la solicitud y recepción de la autorización.

La entidad responsable y sus encargados se comprometen a limitar la colecta a los métodos acá descritos y así poder garantizar el cumplimiento de las exigencias legales en el marco del principio de la responsabilidad demostrada.

La divulgación de la información se hará, vía aviso de privacidad (anexo 1), vía comunicación de la presente política de tratamiento de datos

METODOS DE COMUNICACIÓN EN TRATAMIENTO DE DATOS PERSONALES

Conservación de los datos personales

Condiciones de conservación de los datos personales

El responsable y sus encargados se comprometen a conservar los datos bajo las condiciones necesarias y suficientes, garantizando su conservación bajo la más estricta confidencialidad, integralidad y permanente disponibilidad.

El responsable y sus encargados implementaran las medidas de seguridad que se necesiten para asegurar los tres principios que consagra la ley sobre los datos personales.

Duración de conservación de los datos personales

El responsable y sus encargados se comprometen a conservar los datos personales por una duración que no exceda el cumplimiento de las finalidades para lo que los datos han sido tratados, sin exceder nunca los términos máximos si los hubiere para cada tipo de ley se establecen.

DURACION DEL TRATAMIENTO DE LOS DATOS PERSONALES EN FUNCION DE LA FINALIDAD

TABLA 6: DURACION DE LA CONSERVACION DE LOS DATOS PERSONALES EN FUNCION DE LOS REQUISITOS DE LEY

Circulación de los datos personales.

Transferencia de datos

El responsable y/o encargado se comprometen a transferir los datos tratados a destinatarios ubicados en países donde se ofrece un nivel de protección adecuada a Ecuador, según reporte la autoridad de protección de datos personales, en caso de no poder satisfacer dicha condición el responsable o encargado se comprometen a cumplir lo preceptuado en la ley orgánica de protección de datos capitulo IX Transferencia y comunicación internacional de datos.

Uso y explotación de los datos personales

El responsable y sus encargados se comprometen a usar y explotar los datos personales conforme la finalidad informada al titular y autorizada por éste, para los casos que se requiera autorización.

El titular de la información podrá solicitar en cualquier momento la verificación del uso y explotación que sobre sus datos se está dando, el responsable se compromete a dar respuesta en los términos establecidos por la ley para tal efecto.

Disposición final de los datos personales.

El responsable se compromete a eliminar los datos personales tratados una vez se haya satisfecho la finalidad para la cual los datos fueron tratados, respetando los términos definidos por la ley para los diferentes tipos de datos

El responsable a efectos de hacer efectivo la eliminación de los datos personales declara que esta se efectuara de alguna de las siguientes formas.

METODOS DE ELIMINACION DE LOS DATOS PERSONALES

El responsable está facultado legalmente por archivar los datos sin estar obligado a su destrucción a condición de destinarlo a fines de interés público, investigación científica, histórico o usos estadísticos

El archivo de estos datos se hace bajo la implementación de medidas técnicas y organizacionales que garanticen su debida custodia.

DE DERECHOS DE LOS TITULARES DE LA INFORMACIÓN

El responsable y sus encargados se obligan a dar trámite a las solicitudes que tengan por objeto hacer efectivo los derechos otorgados por la ley a los titulares de la información y/o a sus representantes

Como titular de sus datos personales Usted tiene derecho a:

Derecho a la información.

Todo titular de la información tiene derecho a ser informado sobre los fines del tratamiento, la base legal, el tiempo de conservación y en general todas las condiciones y características del tratamiento de sus datos personales.

Del mismo modo tiene derecho a conocer la identidad del responsable y sus datos de contacto, pudiendo revocar el consentimiento en cualquier momento.

Derecho de acceso

El titular tiene derecho a conocer y a obtener, gratuitamente, del responsable de tratamiento acceso a todos sus datos personales y a la información detallada sobre el tratamiento que de estos se realiza, sin necesidad de presentar justificación alguna.

La respuesta por parte del responsable debe tener lugar en un plazo no superior a 15 días

Derecho de rectificación y de actualización

La rectificación y corrección del tratamiento de los datos es otra de las garantías del titular de la información, este aplica en caso de encontrar que sus datos son inexactos o incompletos.

Derecho de eliminación

La ley faculta al titular de la información a solicitar la eliminación de sus datos de manera inmediata sin necesidad de prestar justificación alguna

El responsable por su lado deberá responder dentro de los 15 días siguientes a la comunicación del titular confirmando la realización de dicha operación

Derecho de oposición

La oposición significa que el titular puede manifestarle al responsable su deseo de no autorizar cierto uso o finalidad del tratamiento sin significar que el resto de los usos no pueda continuar. La oposición significa una cancelación o suspensión parcial y no total

La oposición está sujeta a cumplir con unas condiciones establecidas en la ley y el responsable deberá dar respuesta en un plazo de 15 días

Derecho a la portabilidad

El titular tiene derecho a recibir sus datos en un formato compatible y poder transferirlos a otros responsables. El responsable debe realizar la transferencia si es posible técnicamente y sin presentar trabas.

La portabilidad está sujeta a cumplir con unas condiciones y supuestos previstos en la ley.

La portabilidad no aplica sobre la información inferida de los datos de origen

Derecho de suspensión

El titular tiene el derecho de solicitar la suspensión de un tratamiento al responsable en caso de que se cumpla alguna de las condiciones previstas en la ley.

En caso de que se niegue la suspensión del tratamiento el titular podrá solicitar ante la autoridad de protección de datos personales su intervención.

Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas

Los titulares de la información tienen derecho a no ser sometidos a decisiones basadas única o parcialmente en valoraciones que sean producto de procesos automatizados, incluida las elaboraciones de perfiles, que produzcan efectos jurídicos o atenten contra sus derechos y libertades, este derecho está condicionado a un conjunto de circunstancias definidas en la ley

Este derecho es irrenunciable

Derecho de consulta ante el registro nacional de protección de datos personales

El titular de la información tiene derecho a presentar consultas públicas y gratuitas ante el registro nacional, en caso de evidenciar el incumplimiento de alguno de sus derechos

REQUISITOS PARA PRESENTAR LAS CONSULTAS

Para el ejercicio pleno y efectivo de los derechos de los titulares de la información, el responsable de los datos personales cuenta con el siguiente procedimiento para efectos de asegurar la debida gestión de las consultas y los reclamos

Los titulares de los datos personales pueden realizar las consultas de la información que el responsable tiene de él o presentar los reclamos que considere necesario según los derechos descritos anteriormente mediante comunicación dirigida al siguiente correo electrónico dpd@autolandia.com.ec

Información indispensable para la consulta de información del titular

DATOS DE CONTACTO DEL DELEGADO DE PROTECCION DE DATOS PERSONALES DPD

El responsable ha designado como delegado de protección de datos (DPD) (dpd@autolandia.com.ec) quien recibirá las consultas y reclamos y dará tramite a las solicitudes de los titulares de la información

PLAN DE COMUNICACIÓN Y VIGENCIA DE LA POLÍTICA

El responsable publica la presente política en página web – Showroom de las oficinas principales

El responsable suscribe acuerdos de confidencialidad y manejo de información con sus trabajadores con el fin de garantizar la debida custodia, disponibilidad, integralidad, autenticidad y efectiva confidencialidad de los datos personales tratados

Cualquier modificación sustancial sobre la presente política se comunicará a los titulares por los mismos medios en que se colectaron sus datos

La presente política entrara en vigor a partir del día 1 de diciembre de 2023 y hasta que se modifique algún elemento sustancial.

MODELO ESTÁNDAR DE POLÍTICA DE TRATAMIENTO DE DATOS

Se prohíbe la reproducción, uso, copia, utilización total o parcial de este documento el cual está protegido por copyright y bajo ninguna forma y por ningún medio electrónico, o mecánico incluidos el fotocopiado o la publicación en internet o una intranet, la autorización puede solicitarse a Autolandia S.A.- Servimotor S.A. a la siguiente dirección de correo electrónico dpd@autolandia.com.ec