procedimientos por área

La protección de datos personales debe integrarse de manera transversal en todas las áreas de una organización, ya que los datos personales pueden ser procesados en diversos contextos y departamentos. Para garantizar que se cumpla con la Ley Orgánica de Protección de Datos Personales de Ecuador (LOPDP)

Área de Recursos Humanos

  • Recolección y Gestión de Datos Personales del Personal:
  • Procedimiento: Recoger únicamente los datos necesarios para la gestión laboral (nombre, dirección, puesto, salario, etc.) y obtener el consentimiento explícito de los empleados para su tratamiento.
  • Acciones a tomar: Garantizar que los datos se recojan mediante formularios seguros, informando a los empleados sobre el uso que se les dará a sus datos y asegurándose de que se puedan ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
  • Medidas de seguridad: Implementar controles de acceso estrictos para proteger los datos personales de los empleados y hacer auditorías periódicas.
  • Gestión de Contratos Laborales:
    • Procedimiento: Al almacenar los contratos y documentos relacionados con los empleados, se deben aplicar protocolos de seguridad (como encriptación y almacenamiento restringido) para evitar accesos no autorizados.
    • Acciones a tomar: Asegurarse de que los contratos con proveedores de servicios (por ejemplo, empresas de nómina) incluyan cláusulas que garanticen el cumplimiento de la ley de protección de datos.

Área de Marketing y Ventas

  • Recolección y Uso de Datos de Clientes:

  • Procedimiento: Solicitar el consentimiento explícito para la recolección de datos personales de clientes y usuarios. Informar sobre el propósito para el cual se recolectan los datos y las finalidades (por ejemplo, campañas de marketing, promociones, etc.).
  • Acciones a tomar: Crear políticas de privacidad claras y fáciles de entender, asegurando que los clientes puedan revocar su consentimiento en cualquier momento.
  • Medidas de seguridad: Asegurarse de que los datos personales de los clientes estén protegidos mediante medidas como la encriptación y la implementación de protocolos de seguridad en el almacenamiento y envío de información.

  • Envío de Comunicaciones Comerciales:

    • Procedimiento: Antes de enviar comunicaciones (como correos electrónicos de marketing), asegurarse de contar con el consentimiento previo de los usuarios (opt-in) y proporcionar una opción fácil para que los destinatarios se desinscriban (opt-out).
    • Acciones a tomar: Llevar un registro detallado de las personas que han otorgado y revocado su consentimiento para recibir comunicaciones comerciales.

Área de Tecnología de la Información (TI)

  • Seguridad de la Información:
  • Procedimiento: Implementar medidas de seguridad cibernética, como encriptación de datos, autenticación multifactor y almacenamiento seguro de la información.
  • Acciones a tomar: Definir procedimientos para la protección contra accesos no autorizados a bases de datos que contienen información personal. Realizar auditorías periódicas para detectar posibles vulnerabilidades.
  • Medidas de seguridad: Implementar controles de acceso basados en roles para limitar quién puede acceder a los datos personales, así como realizar copias de seguridad periódicas y mantener un protocolo de respuesta ante incidentes de seguridad.
  • Gestión de Brechas de Seguridad:
    • Procedimiento: En caso de una brecha de seguridad que comprometa los datos personales, debe existir un protocolo para notificar rápidamente a las autoridades competentes (por ejemplo, la Agencia Nacional de Protección de Datos Personales) y a los afectados dentro del plazo legal establecido (72 horas desde el incidente).
    • Acciones a tomar: Realizar investigaciones internas para identificar la causa de la brecha, tomar medidas correctivas y notificar a las partes afectadas para minimizar el impacto.

Área Legal y Cumplimiento

  • Políticas y Procedimientos de Protección de Datos:

  • Procedimiento: Elaborar y mantener actualizadas las políticas internas de protección de datos personales, asegurando su cumplimiento con la ley ecuatoriana y normativas internacionales (si aplica).
  • Acciones a tomar: Realizar auditorías internas para verificar el cumplimiento de las políticas de protección de datos. Asegurarse de que todos los contratos con terceros (proveedores, socios, etc.) incluyan cláusulas sobre la protección de datos.
  • Medidas de seguridad: Implementar medidas preventivas, como la capacitación del personal y la documentación sobre la ley y los procedimientos de protección de datos, para minimizar riesgos legales.

  • Evaluación de Impacto en la Protección de Datos (EIPD):

    • Procedimiento: Realizar una EIPD cuando se introduzcan nuevos procesos, tecnologías o servicios que impliquen el tratamiento de datos personales, especialmente cuando el tratamiento implique riesgos elevados para los derechos y libertades de los individuos.
    • Acciones a tomar: Documentar los resultados de la evaluación y establecer medidas para mitigar los riesgos identificados.

Área de Atención al Cliente

  • Manejo de Consultas y Ejercicio de Derechos ARCO:

  • Procedimiento: Proporcionar un proceso claro y accesible para que los clientes puedan ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición) sobre sus datos personales.
  • Acciones a tomar: Crear un formulario de solicitud de derechos ARCO, establecer un procedimiento para su gestión y dar respuesta a las solicitudes dentro de los plazos legales establecidos.
  • Medidas de seguridad: Asegurarse de que las solicitudes se procesen de forma segura, protegiendo la identidad de los solicitantes y la integridad de los datos proporcionados.

  • Comunicación Transparente:

    • Procedimiento: Proporcionar información clara y accesible sobre cómo se manejarán los datos personales de los clientes, incluyendo las políticas de privacidad y la finalidad del tratamiento de los datos.
    • Acciones a tomar: Informar a los clientes sobre sus derechos y cómo pueden ejercerlos, y ofrecer canales de comunicación seguros.

Área de Finanzas

  • Gestión de Datos Personales de Pagos y Facturación:

  • Procedimiento: Asegurarse de que los datos personales sensibles (como números de tarjeta de crédito) sean tratados con el máximo nivel de seguridad y conforme a las normativas de protección de datos.
  • Acciones a tomar: Garantizar que los sistemas de pago sean seguros y que cualquier intercambio de datos financieros esté encriptado y se realice a través de canales seguros.

  • Conservación de Registros Financieros:

    • Procedimiento: Mantener los datos financieros de los clientes solo el tiempo necesario para cumplir con obligaciones fiscales y contables, y asegurar su eliminación segura cuando ya no sean necesarios.
    • Acciones a tomar: Establecer políticas para la retención y eliminación de documentos y registros financieros personales, asegurando que se cumpla con la ley.