Política General de Protección de Datos Personales

DISTRIBUIDORA DICELTECSA S.A.

Versión: 3.0

Última actualización: 31 de marzo de 2026

1. General

La compañía DISTRIBUIDORA DICELTECSA S.A. (en adelante, “DICELTECSA”), identificada con Registro Único de Contribuyentes (RUC) 1792495636001, se encuentra comprometida con la protección de los datos personales y la privacidad de sus clientes, usuarios, proveedores, colaboradores y demás titulares de datos personales con los que mantiene relaciones comerciales, contractuales o laborales.

En cumplimiento de lo establecido en la Constitución de la República del Ecuador, la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento General y demás normativa vinculante, DICELTECSA fundamenta su gestión en los principios nacionales e internacionales de protección de datos personales, así como demás estándares y tratados internacionales que reconocen y tutelan el derecho fundamental a la protección de datos personales y a la privacidad.

La presente Política tiene por objeto informar a los titulares sobre:

• Qué datos personales recopila DICELTECSA.
• Las finalidades para las cuales son tratados.
• Las bases legitimadoras que sustentan el tratamiento.
• Los derechos que les asisten como titulares.
• Los mecanismos para ejercer dichos derechos.
• Las medidas técnicas, organizativas y legales implementadas para garantizar la confidencialidad, integridad y disponibilidad de la información.

DICELTECSA recopila y trata datos personales de clientes, usuarios, proveedores, empleados y terceros relacionados con sus actividades comerciales y administrativas, incluyendo datos asociados con la prestación de servicios, gestión contractual, cumplimiento legal, prevención del lavado de activos, seguridad de la información, videovigilancia y atención de requerimientos de autoridades competentes.

En este contexto, DICELTECSA realiza el tratamiento de los datos personales que son recolectados, registrados, organizados, estructurados, almacenados, conservados, utilizados, consultados, actualizados, transferidos, comunicados, bloqueados, eliminados y, en general, tratados conforme a las disposiciones legales aplicables.

2. Responsable del Tratamiento

DICELTECSA actúa en calidad de responsable del Tratamiento. A continuación, podrá encontrar los datos de contacto de la compañía.

• RUC No.: 1792495636001.
• Domicilio: Av. Amazonas N47-205 y Río Palora, Quito-Pichincha.
• Número de teléfono: 02-600-9988.

3. Ámbito de aplicación

Esta Política es de obligatorio cumplimiento para los trabajadores, consultores, empresas afiliadas, aliados comerciales, proveedores y partes relacionadas que obren en nombre de DICELTECSA.

La observancia y el respeto de la Política son requisitos fundamentales en la ejecución de las actividades relacionadas con los Datos Personales. Este compromiso se extiende a la esfera pública, ya que la Política se encuentra debidamente publicada en el sitio web de DICELTECSA por medio del siguiente enlace: https://minegocioefectivo.com/politica-privacidad/, garantizando su conocimiento general.

4. Definiciones

La Política hace referencia a las definiciones siguientes, las cuales son extraídas de la LOPDP, su Reglamento y cualquier otra normativa pertinente que pueda ser aplicable:

• Autoridad de Protección de Datos Personales: hace referencia a la Superintendencia de Protección de Datos Personales.
• Base de Datos: conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, Tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
• Dato/s Personal/es: información que identifica o hace identificable a una persona natural, directa o indirectamente.
• Dato/s sensible/s: datos relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo Tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
• Delegado de Protección de Datos Personales: persona natural encargada de informar al responsable o al encargado del Tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del Tratamiento de datos.
• Destinatario: persona natural o jurídica que ha sido comunicada con Datos Personales.
• Encargado: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate Datos Personales a nombre y por cuenta del Responsable de Tratamiento de Datos Personales.
• Responsable: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el Tratamiento de Datos Personales.
• Titular: persona natural cuyos Datos Personales son objeto de Tratamiento.
• Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de Datos Personales.
• Transferencia o comunicación: manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de Datos Personales realizada a una persona distinta al Titular, responsable o encargado del Tratamiento de Datos Personales. Los Datos Personales que comuniquen deben ser exactos, completos y actualizados.

5. Principios

DICELTECSA, en estricto apego a lo determinado en la LOPDP, mediante esta política pone en conocimiento que todas las actuaciones que requieran de tratamiento y/o uso de datos personales se realizarán conforme a los principios determinados en nuestra normativa, siendo estos los contenidos en el Capítulo II de la LOPDP y que se refieren a los siguientes trece (13) principios:

a) Juridicidad

Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.

b) Lealtad

El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.

En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.

c) Transparencia

El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.

Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.

d) Finalidad

Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

e) Pertinencia y minimización de datos personales

Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.

f) Proporcionalidad del tratamiento

El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos.

g) Confidencialidad

El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.

Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.

h) Calidad y exactitud

Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

En caso de tratamiento por parte de un encargado, la calidad y exactitud será obligación del responsable del tratamiento de datos personales.

Siempre que el responsable del tratamiento haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, no le será imputable la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:

• Hubiesen sido obtenidos por el responsable directamente del titular.
• Hubiesen sido obtenidos por el responsable de un intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario que recoja en nombre propio los datos de los afectados para su transmisión al responsable.
• Fuesen obtenidos de un registro público por el responsable.

i) Conservación

Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento.

Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica.

La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en esta norma.

j) Seguridad de datos personales

Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.

k) Responsabilidad proactiva y demostrada

El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y correlación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.

El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales.

El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley.

l) Aplicación favorable al titular

En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.

m) Independencia del control

Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el Estado, la Autoridad de Protección de Datos deberá ejercer un control independiente, imparcial y autónomo, así como llevar a cabo las respectivas acciones de prevención, investigación y sanción.

6. Datos Personales que son tratados

DICELTECSA realiza el Tratamiento de las siguientes categorías y tipologías de Datos Personales, de forma ejemplificativa, pero no limitada:

• Datos de identificación: nombres, apellidos, número del documento de identificación, imagen, geolocalización, firma.
• Datos de contacto: número de teléfono, dirección de domicilio, correo electrónico.
• Datos relacionados a características personales: estado civil, fecha de nacimiento, lugar de nacimiento, sexo, edad, intereses, nacionalidad, referencias personales, peso, talla.
• Datos de circunstancias familiares y sociales: datos de familiares, nombres y apellidos del cónyuge, número de cargas familiares, datos del garante, contacto de emergencia.
• Datos académicos: formación académica (título), idiomas.
• Datos profesionales: experiencia profesional, cargo de trabajo, remuneración, beneficios de ley, referencias laborales, evaluación de desempeño, código interno de trabajador, fecha de ingreso al lugar de trabajo, fecha de salida al lugar de trabajo, modalidad de contratación, años de servicio.
• Datos económicos, financieros y de seguros: datos bancarios (banco, número de cuenta bancaria, tipo de cuenta bancaria), datos de tarjeta de crédito o débito, vivienda, vehículos, inmuebles, referencias comerciales, actividad económica.
• Datos de control presencial: fecha y hora de entrada y salida, motivo de ausencia.
• Categorías especiales de Datos Personales: condición migratoria, etnia, identidad de género, pasado judicial, datos crediticios, datos de salud, datos de discapacidad, datos biométricos, datos de niñas, niños y adolescentes.

7. Finalidades del Tratamiento

DICELTECSA realiza el Tratamiento de los Datos Personales, en virtud de las bases de legitimación establecidas en el artículo 7 de la LOPDP, siendo estas: el consentimiento; cumplimiento de obligaciones legales; ejecución de medidas precontractuales o cumplimiento de obligaciones contractuales; cumplimiento de órdenes judiciales; bases de datos de acceso público; protección de intereses vitales del interesado o de terceros; cumplimiento de una misión realizada en interés público, e interés legítimo.

Cuando el Tratamiento de Datos Personales se realice en virtud del consentimiento, DICELTECSA informará al Titular del Dato Personal sobre la existencia de las condiciones particulares del Tratamiento de sus Datos Personales en cada caso.

DICELTECSA trata los Datos Personales previamente señalados de sus candidatos, trabajadores, clientes, proveedores, visitantes, entre otros, para el cumplimiento de su objeto social, y específicamente las siguientes finalidades:

Candidatos — Tratamiento en virtud del consentimiento

• Reclutamiento: gestionar los perfiles de postulantes interesados a puestos vacantes.
• Selección: gestionar el proceso de selección, entrevistas, visitas y validar la información proporcionada por el candidato.
• Comunicaciones: contactar al candidato e informarle sobre el proceso de selección.

Candidatos — Tratamiento en virtud de medidas precontractuales y obligaciones legales

• Exámenes preocupacionales: verificar el estado de salud y si es apto para el puesto de trabajo.

Trabajadores — Tratamiento en virtud del consentimiento

• Gestión de seguro de medicina prepagada: suministrar la información requerida por los asesores corredores de seguro y/o a las compañías de seguro o de medicina prepagada, para la gestión de gastos o reclamos.
• Gestión de seguro de vida: suministrar la información requerida por los asesores corredores de seguro y/o a las compañías de seguro de vida para la gestión de seguro.
• Beneficio de tarjeta de crédito: suministrar información requerida por entidades emisoras de tarjetas para la afiliación, cambio o desafiliación, y la emisión de tarjeta de gasto.
• Publicación de campañas: socialización de fotos o videos de campañas en el sitio web, redes sociales y demás medios que DICELTECSA considere.
• Comunicaciones comerciales, promociones, descuentos, concursos, sorteos y eventos: enviar información promocional, ofertas, descuentos, sorteos y eventos de forma personalizada a través de los canales con los que cuente DICELTECSA, tomando en cuenta los intereses y necesidades del Titular.
• Programas de ayuda psicológica: gestión para ayuda psicológica a los trabajadores de la compañía.
• Beneficio de transporte: gestionar el traslado de los trabajadores a las instalaciones de la compañía.

Trabajadores — Tratamiento en virtud de medidas precontractuales u obligaciones contractuales

• Contratación: formalizar la relación laboral mediante la suscripción del contrato laboral e inducción.
• Comunicaciones: contactar y mantener informados a los trabajadores sobre temas relacionados con la relación laboral y de la compañía.
• Asignación y entrega de equipos: entrega de herramientas a los trabajadores para realizar las labores.
• Creación de usuarios: dar accesos a los aplicativos y sistemas informáticos necesarios para el cumplimiento de las labores.
• Baja de usuarios: controlar y limitar el acceso a la información de la compañía.
• Gestión de acciones disciplinarias: investigar, gestionar y registrar las acciones correspondientes por infracciones leves y graves.
• Capacitaciones y entrenamientos: mantener a los trabajadores debidamente actualizados, informados, aptos y competentes para la gestión de sus labores.
• Evaluación de desempeño: para evaluar el cumplimiento de objetivos por parte de los trabajadores.
• Pago: diligenciar el pago de la remuneración y descuentos aplicables a los trabajadores.
• Control de asistencia: validar el cumplimiento del horario laboral por parte de los trabajadores, y de corresponder, realizar el cálculo para el pago de horas suplementarias o extraordinarias.
• Gestión de viajes por asuntos laborales: gestionar la compra de pasajes, reserva de hoteles para los viajes relacionados a asuntos laborales.
• Pago de viáticos: gestionar el pago de los viáticos para los viajes que realicen los trabajadores con relación a asuntos laborales.
• Gestión de subsidio familiar: gestionar el pago por concepto de subsidio familiar por cónyuge o conviviente, y cargas familiares, en virtud del contrato colectivo.
• Gestión de subsidio de antigüedad: gestionar el pago por concepto de subsidio de antigüedad, en virtud del contrato colectivo.
• Bono vacacional: gestionar el pago por concepto de bono vacacional, en virtud del contrato colectivo.

Trabajadores — Tratamiento en virtud del cumplimiento de obligaciones legales

• Afiliación y aportes al seguro social: afiliar al trabajador al Instituto Ecuatoriano de Seguridad Social – IESS, realizar los descuentos de su remuneración para los aportes y demás acciones que se requieran, en cumplimiento con la normativa laboral y de seguridad social.
• Gestión de registro frente al Ministerio de Trabajo: registrar la relación laboral con el trabajador frente al Ministerio de Trabajo, en cumplimiento con la normativa laboral.
• Exámenes ocupacionales: verificar el estado de salud y validar si el trabajador es apto para desempeñar las actividades laborales que realiza.
• Examen final: verificar el estado de salud y validar si el trabajador es apto.
• Examen de reintegro: verificar el estado de salud y validar si el trabajador puede retomar sus actividades.
• Examen de retiro: verificar el estado de salud del trabajador con quien se termina la relación.
• Pago de beneficios de ley: realizar el pago de horas suplementarias y/o extraordinarias, décimos, vacaciones, jubilación patronal y demás beneficios de ley previstos en la normativa laboral, y realizar las gestiones correspondientes frente al Ministerio de Trabajo.
• Pago de utilidades: realizar el pago de las utilidades de acuerdo con la normativa laboral.
• Gestión de accidentes laborales: registro y gestiones correspondientes frente a las entidades públicas competentes, de acuerdo con la normativa laboral y de seguridad social.
• Requerimientos de autoridades competentes y el cumplimiento de sus mandatos: gestionar la transferencia de información que solicite una autoridad competente, en cumplimiento de obligaciones legales con observancia de los principios establecidos en la LOPDP.
• Conservación de la información de la relación laboral: mantener en los soportes físicos o digitales de la compañía para cumplir con requerimientos de información de autoridades competentes, solicitudes de los Titulares o defensa de los intereses de la compañía.
• Actualización de datos: gestionar la actualización de información de los trabajadores.

Trabajadores — Tratamiento en cumplimiento de órdenes judiciales

• Retenciones judiciales: descuentos correspondientes en cumplimiento de lo ordenado por un juez competente, en observancia de los principios establecidos en la LOPDP.
• Transferencia de información: envío de información solicitada por autoridades judiciales en cumplimiento de sus órdenes o decisiones.

Potenciales clientes y clientes — Tratamiento en virtud del consentimiento

• Registro de clientes: enviar información a través de los canales con los que cuente DICELTECSA, tomando en cuenta los intereses y necesidades del Titular.
• Facturación: enviar facturas, retenciones o documentos tributarios, en virtud de una obligación legal.

Proveedores — Tratamiento en virtud de medidas precontractuales u obligaciones contractuales

• Calificación de proveedores: validar y realizar una verificación de la información de aquellos proveedores que desean prestar servicios o vender bienes a DICELTECSA.
• Desarrollo, ejecución y cumplimiento de la relación contractual: calificación, formalización de la relación, creación del proveedor en los sistemas internos de la compañía, gestión de la relación comercial con el objeto de adquirir productos o servicios que ofrecen los proveedores para ayudar a la gestión administrativa de DICELTECSA.
• Comunicaciones: mantener comunicación directa con los Titulares para temas relacionados con su relación comercial.
• Pago: realizar los pagos correspondientes por la prestación de los servicios o entrega de los bienes adquiridos.
• Conservación de la información de la relación: mantener en los soportes físicos o digitales de la compañía para cumplir con requerimientos de información de autoridades competentes, solicitudes de los Titulares o defensa de los intereses de la compañía.
• Actualización de información: solicitar la actualización periódica de los Datos Personales suministrados.
• Realizar todas las gestiones de orden tributario: cumplimiento de las obligaciones de carácter tributario, emisión de comprobantes de retención y declaraciones tributarias frente a la autoridad tributaria competente, en virtud de las normas tributarias vigentes.
• Gestión de actividades con auditoría externa: envío de información a auditor externo, en virtud de las normas societarias vigentes.
• Respuesta a requerimientos de autoridades competentes y el cumplimiento de sus mandatos: gestionar la transferencia de información que solicite una autoridad competente, en observancia de los principios establecidos en la LOPDP.
• Transferencia de información: envío de información solicitada por autoridades judiciales en cumplimiento de sus órdenes o decisiones.

8. Encargado del tratamiento de datos personales y sus responsabilidades

De conformidad con la Ley Orgánica de Protección de Datos Personales, el Encargado del tratamiento de datos personales es la persona natural o jurídica, pública o privada, autoridad pública u otro organismo que trate datos personales por cuenta y bajo instrucciones de DICELTECSA.

DICELTECSA podrá contratar a proveedores de servicios tecnológicos, servicios de almacenamiento en la nube, servicios de mensajería, auditoría, asesoría legal, contable, recursos humanos, medicina ocupacional, seguridad física, soporte técnico y otros terceros que, para la correcta prestación de sus servicios, deban tratar datos personales en nombre de la compañía.

Todos los Encargados del Tratamiento deberán suscribir con DICELTECSA acuerdos contractuales de encargo y confidencialidad para el tratamiento de datos personales, mediante los cuales se establezcan sus obligaciones y responsabilidades.

Responsabilidades del Encargado del Tratamiento

El Encargado del Tratamiento deberá:

• Tratar los datos personales únicamente conforme a las instrucciones documentadas de DICELTECSA.
• Utilizar los datos personales exclusivamente para las finalidades autorizadas.
• Mantener absoluta confidencialidad respecto de la información tratada.
• Implementar medidas técnicas, organizativas, administrativas y físicas apropiadas para garantizar la seguridad de los datos personales.
• Limitar el acceso a los datos únicamente al personal autorizado.
• Notificar de manera inmediata, en un máximo de 48 horas una vez identificada la vulnerabilidad, a DICELTECSA cualquier incidente de seguridad o vulneración de datos personales.
• Colaborar con DICELTECSA en la atención de solicitudes de ejercicio de derechos de los titulares.
• Eliminar, devolver o anonimizar los datos personales una vez concluida la prestación del servicio, salvo obligación legal de conservación.
• Permitir auditorías y verificaciones por parte de DICELTECSA para demostrar el cumplimiento de la LOPDP.

DICELTECSA podrá comunicar o transferir datos personales a autoridades competentes cuando exista obligación legal o requerimiento debidamente fundamentado.

9. Tiempo de Conservación de Datos Personales

DICELTECSA conservará los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades para las cuales fueron recopilados y mientras subsista la base legitimadora que justifique su tratamiento, incluyendo la ejecución de relaciones contractuales, precontractuales, laborales, comerciales y el cumplimiento de obligaciones legales y regulatorias.

Los datos personales serán almacenados en bases de datos y repositorios físicos y digitales protegidos mediante medidas técnicas, organizativas, administrativas y físicas adecuadas para garantizar su confidencialidad, integridad y disponibilidad, de conformidad con la Ley Orgánica de Protección de Datos Personales y demás normativa aplicable.

Sin perjuicio de lo anterior, los titulares podrán ejercer su derecho de eliminación cuando sea legalmente procedente, de acuerdo con los plazos y condiciones establecidos en la Ley Orgánica de Protección de Datos Personales.

Conservación por Obligación Legal

Adicionalmente, DICELTECSA podrá conservar los datos personales durante los períodos establecidos por la legislación aplicable, incluyendo, entre otras:

• Normativa laboral y de seguridad social.
• Normativa tributaria y contable.
• Normativa societaria y comercial.
• Disposiciones emitidas por organismos de control.
• Plazos de prescripción de acciones administrativas, judiciales o contractuales.

Cuando una norma legal exija la conservación obligatoria de la información por un período determinado, DICELTECSA mantendrá los datos durante el plazo correspondiente, aun cuando haya concluido la relación contractual o comercial con el titular.

Conservación para Defensa de Derechos e Intereses Legítimos

DICELTECSA podrá conservar la información durante el tiempo necesario para:

• Atender requerimientos de autoridades competentes.
• Ejercer o defender derechos en procesos administrativos, judiciales o arbitrales.
• Cumplir con auditorías internas o externas.
• Atender reclamaciones o solicitudes de los titulares.

Conservación de Grabaciones de Videovigilancia

Las grabaciones obtenidas mediante sistemas de videovigilancia serán conservadas por un período máximo de 30 días calendario, salvo que deban preservarse por incidentes de seguridad, investigaciones internas, requerimientos de autoridad competente o procesos judiciales o administrativos, en cuyo caso podrán mantenerse durante el tiempo estrictamente necesario para atender dichas finalidades.

Eliminación, Bloqueo y Anonimización

Una vez cumplida la finalidad del tratamiento o vencidos los plazos legales de conservación, DICELTECSA procederá, según corresponda, a:

• Eliminar los datos personales de forma segura.
• Bloquear temporalmente la información cuando sea necesario.
• Anonimizar o seudonimizar los datos para fines estadísticos, históricos o de mejora continua.

Los datos anonimizados dejarán de tener la naturaleza de datos personales y podrán ser utilizados por DICELTECSA para análisis internos, estudios y optimización de sus procesos.

Conservación de Información en Encargados del Tratamiento

Cuando los datos personales sean tratados por proveedores o terceros que actúen como Encargados del Tratamiento, DICELTECSA exigirá contractualmente que la información sea conservada únicamente durante el tiempo autorizado y que, al finalizar la prestación del servicio, sea eliminada, devuelta o anonimizada conforme a las instrucciones de la compañía y a la normativa vigente.

10. Transferencia y Comunicación de Datos Personales

DICELTECSA podrá comunicar o transferir datos personales a terceros únicamente cuando exista una base legitimadora válida y siempre que dicha comunicación sea necesaria para el cumplimiento de las finalidades descritas en la presente Política, así como para atender obligaciones contractuales, legales, regulatorias o judiciales.

DICELTECSA comunica los datos personales exclusivamente con aquellos terceros con quienes mantiene una relación contractual, comercial o legal que justifica el tratamiento de la información, y respecto de los cuales se han implementado las garantías jurídicas, técnicas y organizativas necesarias para proteger los datos personales.

DICELTECSA cuenta con criterios estrictos para la selección, contratación y supervisión de sus proveedores y encargados del tratamiento, exigiendo contractualmente el cumplimiento de obligaciones de confidencialidad, seguridad de la información y protección de datos personales.

El tratamiento de datos personales puede involucrar transferencias nacionales o internacionales, por ejemplo, cuando se utilicen servicios de almacenamiento en la nube, plataformas tecnológicas, servicios corporativos compartidos o proveedores ubicados fuera del territorio ecuatoriano. Cuando las comunicaciones impliquen transferencias internacionales de datos personales, DICELTECSA verificará que el receptor garantice un nivel adecuado de protección conforme a la Ley Orgánica de Protección de Datos Personales, su Reglamento y las resoluciones emitidas por la Autoridad de Protección de Datos Personales. En caso de que el país de destino no cuente con niveles adecuados de protección, DICELTECSA implementará las salvaguardas contractuales, técnicas y organizativas necesarias para asegurar la confidencialidad, integridad y disponibilidad de los datos personales.

En todos los casos, DICELTECSA verificará que los terceros receptores adopten medidas suficientes y apropiadas para garantizar que los datos personales sean tratados de manera confidencial, segura y conforme a los principios establecidos en la Ley Orgánica de Protección de Datos Personales.

11. Derechos de los Titulares

DICELTECSA reconoce y garantiza a los Titulares de los Datos Personales los siguientes derechos consagrados en la LOPDP:

• Información: derecho a ser informado de nuestra forma de recopilar y tratar sus Datos Personales, incluyendo información sobre quiénes somos, cómo utilizamos los datos de carácter personal y sus derechos en relación con dichos datos.
• Acceso: derecho a conocer si DICELTECSA realiza el Tratamiento de sus Datos Personales o no, y a acceder a los Datos Personales tratados por DICELTECSA.
• Rectificación y actualización: derecho a que los Datos Personales erróneos o inexactos sean rectificados o actualizados por DICELTECSA.
• Eliminación: derecho a solicitar a DICELTECSA la supresión de sus Datos Personales, cuando el Tratamiento: (i) no cumpla con una obligación legal; (ii) no sea necesario; (iii) se haya cumplido su propósito; (iv) haya vencido el plazo de conservación; (v) afecte derechos fundamentales; o (vi) se haya revocado el consentimiento.
• Oposición: derecho a solicitar a DICELTECSA oponerse al Tratamiento de sus Datos Personales en los casos que no afecten derechos fundamentales, no estén relacionados con información pública o de interés público.
• Portabilidad: derecho a solicitar a DICELTECSA recibir sus Datos Personales en un formato compatible y/o que transfiera sus Datos Personales a otro Responsable.
• Suspensión: derecho a solicitar la suspensión del Tratamiento de sus datos en las siguientes situaciones: (i) impugnación de la exactitud de los datos, (ii) Tratamiento ilícito con solicitud de limitación en lugar de supresión, (iii) no necesidad de los datos por parte de DICELTECSA, pero sí por el Titular para reclamaciones; y (iv) oposición al Tratamiento mientras se verifica la legitimidad de motivos.
• Solicitud de revisión de decisiones tomadas exclusivamente sobre la base de un Tratamiento automatizado: derecho a oponerse, pedir explicaciones y solicitar la revisión humana de las decisiones basadas exclusivamente en un Tratamiento automatizado de datos que afecten a sus intereses.

12. Ejercicio de Derechos de los Titulares de Datos Personales

DICELTECSA reconoce y garantiza a los titulares de datos personales el ejercicio de los derechos consagrados en la Ley Orgánica de Protección de Datos Personales, incluyendo los derechos de acceso, rectificación y actualización, eliminación, suspensión, oposición, portabilidad y el derecho a no ser objeto de decisiones basadas única o parcialmente en valoraciones automatizadas.

Con el propósito de asegurar el cumplimiento efectivo de estos derechos, DICELTECSA ha implementado un Protocolo Interno de Atención a Derechos de los Titulares de Datos Personales, en el cual se establecen los canales habilitados, el procedimiento de atención, el análisis de procedencia, la respuesta motivada al titular y la ejecución de las solicitudes que resulten procedentes.

Asimismo, DICELTECSA pone a disposición de los titulares de datos personales un Formulario de Ejercicio de Derechos, el cual podrá ser solicitado o descargado a través de los canales oficiales de la compañía y deberá ser presentado debidamente completado junto con la documentación que permita acreditar la identidad del solicitante o su representación legal.

Para el ejercicio de sus derechos, los titulares podrán utilizar los siguientes mecanismos, acreditando previamente su identidad:

Envío de solicitud a través del correo electrónico: delegadoprotecciondedatos@negocioefectivo.com

La solicitud deberá contener, al menos:

• Nombres y apellidos del titular o su representante legal.
• Número de identificación.
• Derecho que desea ejercer.
• Descripción clara y detallada de la solicitud.
• Documentación de respaldo, cuando corresponda.
• Dirección de correo electrónico o medio para recibir notificaciones.

En concordancia con la Ley Orgánica de Protección de Datos Personales, DICELTECSA responderá a las solicitudes de ejercicio de derechos en un plazo máximo de quince (15) días contados desde la recepción de la solicitud, salvo que resulte necesario aclarar o ampliar la información proporcionada.

En caso de requerirse aclaraciones o ampliaciones, DICELTECSA solicitará dicha información al titular dentro del plazo de cinco (5) días contados desde la recepción de la solicitud. El titular dispondrá de diez (10) días contados a partir del día siguiente a la notificación para remitir la información requerida.

Si el titular no presenta las aclaraciones o ampliaciones dentro del plazo establecido, DICELTECSA procederá al archivo de la solicitud y notificará dicha decisión al titular, sin perjuicio de que este pueda presentar una nueva solicitud en cualquier momento.

La respuesta emitida por DICELTECSA será debidamente motivada e indicará, según corresponda:

• La aceptación total o parcial de la solicitud.
• La negativa fundamentada.
• La ejecución de las acciones solicitadas, cuando resulten procedentes.

Si el titular considera que su solicitud no ha sido atendida adecuadamente o no recibe respuesta dentro del plazo legal, podrá presentar un reclamo ante la Superintendencia de Protección de Datos Personales.

El ejercicio de estos derechos será gratuito y podrá estar sujeto únicamente a las limitaciones previstas en la normativa aplicable.

13. Medidas de seguridad y privacidad para la protección de los datos personales

DICELTECSA ha implementado medidas técnicas, administrativas, organizativas y físicas adecuadas para garantizar la seguridad de los datos personales y mitigar los riesgos asociados a su tratamiento, de conformidad con la Ley Orgánica de Protección de Datos Personales, su Reglamento y las mejores prácticas internacionales en materia de seguridad de la información.

Entre las principales medidas adoptadas se encuentran:

• Designación del Delegado de Protección de Datos Personales (cuando aplique).
• Identificación, evaluación y tratamiento de riesgos de protección de datos personales.
• Evaluaciones de impacto a la protección de datos personales cuando el tratamiento implique alto riesgo.
• Implementación de planes de acción y medidas de mitigación.
• Control de acceso basado en roles y responsabilidades.
• Acceso restringido a los datos personales exclusivamente al personal autorizado.
• Uso de servidores, bases de datos y sistemas con mecanismos de cifrado en tránsito y, cuando corresponda, en reposo.
• Copias de seguridad y procedimientos de recuperación ante incidentes.
• Uso de equipos corporativos y controles de seguridad informática.
• Instalación y actualización permanente de antivirus y herramientas de protección.
• Monitoreo y registro de actividades sobre sistemas críticos.
• Suscripción de contratos de encargo para el tratamiento de datos personales, acuerdos de confidencialidad y cláusulas contractuales de protección de datos con encargados de datos personales, colaboradores, proveedores y terceros.
• Programas periódicos de capacitación y concienciación en materia de protección de datos personales y seguridad de la información.
• Procedimientos para gestión de incidentes de seguridad y notificación de violaciones de datos personales.
• Auditorías y revisiones periódicas para verificar el cumplimiento normativo.

Los datos personales son almacenados en infraestructuras tecnológicas propias o de proveedores debidamente evaluados, quienes actúan en calidad de encargados del tratamiento y están obligados contractualmente a cumplir con estándares adecuados de seguridad, confidencialidad y protección de datos personales.

DICELTECSA ha definido una estructura organizativa con roles y responsabilidades claramente establecidos, de modo que cada colaborador únicamente acceda y trate los datos personales estrictamente necesarios para el cumplimiento de sus funciones, en observancia de los principios de finalidad, minimización, proporcionalidad y confidencialidad.

Ningún colaborador podrá tratar datos personales fuera del ámbito de sus funciones autorizadas. La segregación de funciones, el control de accesos y las medidas tecnológicas implementadas permiten asegurar la adecuada protección de los datos personales y el cumplimiento de estándares internacionales como la norma ISO/IEC 27001.

14. Notificación en Caso de Incidentes que Vulneren la Seguridad de la Información

De conformidad con la Ley Orgánica de Protección de Datos Personales, su Reglamento General y demás normativa aplicable, cuando se produzca una vulneración de seguridad que pueda afectar los derechos y libertades de los titulares de datos personales, DICELTECSA notificará a los titulares afectados y, cuando corresponda, a la Superintendencia de Protección de Datos Personales, dentro de los plazos establecidos en la normativa vigente.

Evaluación del Incidente

Una vez detectado un incidente de seguridad, DICELTECSA realizará un análisis para determinar, entre otros aspectos:

• La naturaleza y alcance del incidente.
• Las categorías y volumen de datos personales comprometidos.
• El número aproximado de titulares afectados.
• La probabilidad e impacto del riesgo sobre los derechos y libertades de los titulares.
• Las posibles consecuencias del incidente.
• Las medidas correctivas y de mitigación adoptadas.

Notificación a los Titulares Afectados

Cuando el incidente represente un riesgo para los derechos y libertades de los titulares, DICELTECSA notificará a los afectados a la mayor brevedad posible y, en todo caso, dentro del plazo legal aplicable. La notificación podrá realizarse por correo electrónico, llamada telefónica, mensaje de texto, mensajería instantánea, carta física o cualquier otro medio idóneo que garantice una comunicación efectiva.

La notificación incluirá, como mínimo, la siguiente información:

• Fecha y hora del incidente o de su detección.
• Descripción general de lo ocurrido.
• Tipo de datos personales comprometidos.
• Posibles consecuencias para los titulares.
• Medidas adoptadas por DICELTECSA para contener y remediar el incidente.
• Recomendaciones para que los titulares reduzcan los riesgos asociados.
• Datos de contacto para obtener información adicional o presentar consultas.

Notificación a la Autoridad de Protección de Datos Personales

Cuando la normativa lo exija, DICELTECSA notificará a la Superintendencia de Protección de Datos Personales dentro del plazo legal correspondiente, incluyendo toda la información requerida por la Ley Orgánica de Protección de Datos Personales y su Reglamento.

Medidas Correctivas y Seguimiento

Después de la notificación, DICELTECSA adoptará las acciones necesarias para:

• Contener el incidente y evitar su propagación.
• Recuperar la disponibilidad e integridad de la información.
• Reducir el impacto sobre los titulares afectados.
• Investigar las causas raíz del incidente.
• Implementar controles correctivos y preventivos.
• Documentar el incidente y conservar la evidencia correspondiente.

Canal de Contacto para Incidentes de Seguridad

Los titulares de datos personales podrán comunicarse con DICELTECSA para reportar incidentes o solicitar información adicional a través del siguiente correo electrónico: delegadoprotecciondedatos@negocioefectivo.com.

DICELTECSA atenderá oportunamente todas las consultas y solicitudes relacionadas con incidentes de seguridad y protección de datos personales, brindando información clara, suficiente y actualizada sobre las acciones adoptadas para proteger los derechos de los titulares.

15. Actualización y Modificación de la Política

DICELTECSA modificará y actualizará la presente Política General de Protección de Datos Personales cuando resulte necesario, ya sea por cambios en la normativa aplicable, por nuevas directrices emitidas por la Superintendencia de Protección de Datos Personales, por requerimientos de organismos de control, por cambios en los procesos internos de la compañía o por la incorporación de nuevas actividades de tratamiento de datos personales.

Sin perjuicio de lo anterior, DICELTECSA realizará una revisión integral de la presente Política al menos una vez al año, con el propósito de verificar su vigencia, adecuación y cumplimiento con la legislación aplicable y las mejores prácticas en materia de protección de datos personales.

Las modificaciones y actualizaciones que se realicen serán publicadas a través de los canales oficiales de la compañía, incluyendo su sitio web y demás medios que DICELTECSA considere pertinentes, a fin de garantizar que los titulares de datos personales puedan conocer oportunamente su contenido vigente.

Los titulares podrán consultar la versión actualizada de esta Política en cualquier momento a través de los canales oficiales de DICELTECSA.

La fecha de la última actualización de la presente Política constará expresamente en el encabezado o pie del documento correspondiente.

---