Tratamiento de datos
Mediante el presente documento, la compañía COMODIN S.A., en adelante la “Compañía”, dando cumplimiento la Ley Orgánica de Protección de Datos Personales LOPDP y las demás normas concordantes sobre la materia, se permite implementar su Política para el Tratamiento y Protección de Datos Personales (en adelante la “Política”).
Para estos efectos, es importante tener en cuenta que la Compañía es una sociedad de carácter comercial, domiciliada en la República del Ecuador, dedicada principalmente a: “la compra, venta, distribución directa o a través de terceros, exportación, producción y mercadeo de textiles, entre otros-
En razón de lo anterior, atendiendo a lo determinado por el objeto social de la Compañía y en desarrollo de sus facultades, es posible determinar que existen datos personales que componen Bases de Datos de propiedad de la Compañía, los cuales son tratados según los lineamientos consagrados en el marco legal vigente aplicable en Ecuador.
Por todo lo anterior, la Política será aplicada tanto para proteger los datos personales y la información transaccional que actualmente trate la Compañía, como para proteger los que en un futuro se puedan llegar a tratar por parte de ésta, en medio del desarrollo de su actividad económica.
1. Identificación del Responsable.
Comodín S.A., sociedad constituida bajo las leyes de la República del Ecuador, con RUC 1793178650001, ubicada en las Bodegas Parkenor, Av. Galo Plaza Lasso 69-92 y Avellaneda, ciudad de Quito.
2. Objetivo.
Para efectos de la Política, la Compañía actúa como Responsable del Tratamiento de datos personales en virtud de que decide sobre la finalidad del tratamiento de datos personales; por tal motivo, la Política tiene como objetivo principal la definición y posterior determinación de todos los temas relativos a los procedimientos, los principios y las políticas de seguridad según los cuales, la Compañía garantizará el adecuado tratamiento de los datos personales en desarrollo de su objeto social.
3. Marco Legal.
La Política fue elaborada dando estricto cumplimiento a todo lo dispuesto por la normatividad vigente sobre la materia, de esta manera, el presente documento cumple lo dispuesto por la Constitución de la República del Ecuador, la LOPDP y en las demás normas que en un futuro puedan llegar a modificar, regular o adicionar la normatividad aplicable en materia de Protección de Datos Personales.
4. Definiciones.
Para efectos de esta política, se tendrán en cuenta las definiciones previstas en el artículo 4 de la LOPDP.
5. Deberes de la Compañía como Responsable del Tratamiento.
La Compañía tendrá los siguientes deberes en su calidad de Responsable del Tratamiento, los cuales se desprenden de la legislación aplicable en la materia, sin perjuicio de todos los otros deberes previstos en las disposiciones que regulen o lleguen a regularla.
5.1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos en relación con sus datos personales.
5.2. Permitir el acceso a la información de los Titulares únicamente a las personas habilitadas para tener acceso a ella y para cumplir la finalidad propuesta.
5.3. Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
5.4. Actualizar la información cuando se detecte que la misma perdió vigencia y/o por solicitud del titular.
5.5. Solicitar y conservar el correspondiente respaldo de la Autorización o Consentimiento otorgad por el Titular para el Tratamiento de sus datos personales.
5.6. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos vinculados a éste, procedentes desde la Autorización otorgada.
5.7. Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible. Además, acreditar en todo momento que la información debe corresponder a los datos personales inicialmente otorgados para el Tratamiento.
5.8. Conservar la información bajo las condiciones de seguridad físicas y digitales que impidan adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, además de cualquier conducta regulada y sancionada en la ley de delitos informáticos.
5.9. Implementar las medidas necesarias para que la información se mantenga actualizada,
5.10. Implementar un procedimiento del Tratamiento del dato en cuanto a las consultas y reclamos que los Titulares puedan hacer de ella.
5.11. Identificar cuando determinada información se encuentra en discusión por parte del Titular.
5.12. Respetar las condiciones de seguridad y privacidad de la información del Titular.
5.13. Tramitar las consultas, solicitudes y reclamos formulados en los términos señalados por la le; esto incluye el ejercicio de derechos del Titular.
5.14. Informar, a solicitud del Titular, sobre los tratamientos de sus datos personales, así como sus finalidades.
5.15. Cumplir los requerimientos e instrucciones que imparta la Autoridad de Protección de Datos Personales sobre el tema en particular.
5.16. Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto.
5.17. Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes, en aquellos casos en que se obtenga con autorización expresa de su representante legal, del tratamiento de sus datos personales.
5.18. Tratar datos personales de terceros únicamente en caso de que esté sustentado en una base legitimadora prevista en la LOPDP.
5.19. Abstenerse de circular información que esté siendo controvertida por el Titular y cuya supresión o bloqueo haya sido ordenado la Autoridad de Protección de Datos Personales.
5.20. Usar los datos personales del Titular sólo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.
6. Encargo de datos personales de la Compañía a un tercero.
Para el cumplimiento de su objeto social, la Compañía, podrá contratar con terceras empresas, denominadas Encargadas de Tratamiento, con el fin que éste último, por cuenta del Responsable, trate datos personales, entre las que se incluyen las siguientes actividades: gestiones de comunicación, promoción, mercadeo, notificación, actualización de datos, planes de fidelización, programas y proyectos especiales que
permitan, entre otras, el cumplimiento de las siguientes finalidades tanto por medios físicos como digitales:
Celebración, suscripción o mantenimiento de relaciones contractuales con los Titulares.
Otorgamiento de créditos y financiación de consumo.
Tratamiento de información requerida en materia laboral y societaria de la Compañía.
Información de carácter confidencial, privacidad y no divulgable.
Cumplimiento de la finalidad del servicio como proveedor.El Encargado de Tratamiento deberá respetar las instrucciones que imparta la Compañía como Responsable, a fin de que las actividades que realice el primero se enmarquen en las presentes políticas y en las normativa vigente sobre protección de datos personales.
7. Derechos de los Titulares de los datos personales.
Los datos personales que trata La Compañía lo hacen respetando la confidencialidad y garantizando el ejercicio de los derechos por parte del Titular. En tal sentido, el Titular, sin costo alguno, podrá ejercitarlos escribiendo un correo electrónico a la siguiente dirección datospersonalesec@aeo.com.ec, para lo cual, deberá indicar el motivo de su solicitud y el derecho que pretende ejercitar, acompañando el documento acreditativo de su identidad.
El Titular tendrá derecho a:
Acceder a los datos personales que la Compañía dispone.
Rectificar o actualizar la información que presente errores y/o no corresponda a la que actualmente tiene el Titular. En tal sentido, cualquier pérdida o daño causado a La Compañía o a terceros por motivo de una comunicación de información errónea, inexacta o incompleta en los formularios de registro por parte del Titular, será responsabilidad exclusiva de este último.
Eliminar los datos personales en la medida en que ya no sean necesarios para la finalidad para La Compañía ha establecido para tratarlos o cuando ya no se cuente con legitimación para hacerlo.
Limitar el tratamiento de los datos personales a fin de suspender temporalmente el tratamiento de datos o conservar más allá del tiempo necesario por necesidad del Titular.
Retirar el consentimiento en cualquier momento.
Solicitar la portabilidad de los datos personales en caso de que la legitimación para el tratamiento sea el consentimiento o la ejecución de un contrato.
Oponerse al tratamiento de los datos personales cuando el tratamiento se base en el interés legítimo de La Compañía y/o para la ejecución de mercadotecnia, incluida la elaboración de perfiles.
8. Canales de Captación.
La Compañía podrá recaban datos personales a través de diferentes medios, entre ellos se encuentran los siguientes:
Documentos físicos;
Documentos Electrónicos;
Mensaje de datos;
Internet, Sitios Web;
Fuentes accesibles al público
Cualquier otro formato presente o futuro.
Previo a recolectar los datos personales, La Compañía deberá contar con una base de legitimación.
9. Mecanismos de captación de datos personales.
La Compañía realiza la recolección de Datos Personales por los mecanismos que se enuncian y definen a continuación:
10. Campos de captura de la información.
La recolección de datos personales se realizará limitándose a aquellos que son pertinentes y adecuados para el propósito para el cual son recabados por la Compañía.
11. Bases de legitimación para el tratamiento de datos personales.
La Compañía, actuando como Responsable, realizará el tratamiento de datos personales amparado en alguna base legitimadora prevista en la LOPDP, en función de la finalidad que persiga cada tratamiento. Así, la legitimación del tratamiento podrá venir de:
Consentimiento o autorización expresa del titular
Cumplimiento de una obligación legal u orden judicial
Ejecución de una obligación contractual y medidas precontractuales
Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos
Proteger intereses vitales del Titular u otra persona natural
Satisfacer un interés legítimo del responsable de tratamiento o de tercero.
Así, La Compañía tratará los datos personales sobre las siguientes bases legales:
Finalidad - Legitimación
Gestionar registro como cliente / usuario - Interés legítimo de La Compañía
Desarrollo, cumplimiento y ejecución del contrato de compraventa o servicios - Cumplimiento de obligación contractual
Atención al cliente - Interés legítimo de La Compañía
Marketing - Consentimiento del Titular
12. Revocatoria de la Autorización
Todos los Titulares de los datos personales pueden en cualquier momento revocar su Autorización otorgada a la Compañía para el Tratamiento de sus datos personales e incluso solicitar a la Compañía la supresión o eliminación de sus datos personales contenidos en sus Bases de Datos. Lo anterior, siempre y cuando dicha conducta no contravenga una disposición legal o contractual vigente.
La Compañía garantizará al Titular el fácil acceso a estas solicitudes, estableciendo mecanismos sencillos y simples que permitan al Titular revocar su Autorización o solicitar la supresión de sus datos personales, al menos por el mismo medio por el cual él los otorgó inicialmente.
Para el anterior procedimiento, deberá tenerse en cuenta por parte del Titular que, la revocatoria del consentimiento puede expresarse de manera total o parcial en relación con las finalidades autorizadas. (i) Si se revoca totalmente, la Compañía deberá cesar cualquier actividad de Tratamiento de los datos suministrados por el Titular; por el contrario (ii) si se revoca parcialmente únicamente frente a ciertos tipos de Tratamiento, la Compañía cesará el tratamiento sobre las finalidades que expresamente fueron revocadas por el Titular. En este último caso, la Compañía podrá continuar tratando los datos personales para aquellos fines que no fueran revocados.
13. Tratamiento al cual serán sometidos los datos y finalidad del mismo.
Todo Tratamiento sobre los datos de los Titulares con los cuales la Compañía tuviere establecida una relación como Responsable del Tratamiento y de la Información Transaccional para la oferta de servicios de valor agregado, será realizado por la Compañía.
En todo caso, la Compañía recolectará y tratará los datos personales de los Titulares, con el propósito de ejecutar ciertas finalidades según se describen a continuación:
13.1. Nómina:
Adelantar procesos de selección.
Desarrollar y ejecutar la relación laboral de llegarse a celebrar.
Enviar información por cualquier medio conocido o por conocer (correo electrónico, físico, SMS, llamadas telefónicas, mensaje de datos, Whatsapp, herramientas de mensajería instantánea, entre otros) acerca de procesos de selección, ejecución de contratos laborales, incapacidades, pagos, campañas, información de productos y servicios, notificaciones de actividades, promociones, ofertas y lanzamientos.
Realizar programas y actividades de formación y capacitación.
Realizar evaluaciones y valoraciones de desempeño.
Emitir referencias laborales y/o comerciales cuando el Titular lo requiera.
Validar las referencias laborales y/o comerciales que el Titular hubiese aportado.
Suministrar información personal de carácter comercial, para la ejecución de las relaciones contractuales adquiridas por la Compañía con terceros.
Actualizar datos personales.
Consultar, reportar, procesar y divulgar toda la información que se refiera a su comportamiento financiero, comercial y de servicios, a cualquier Operador de la Información (Central de Riesgo) o a cualquier entidad o fuente de información pública o privada, nacional, extranjera o multilateral que administre o maneje bases de datos, para fines comerciales y de servicios de crédito.
Adelantar trámites de vinculación al sistema de seguridad social.
Realizar tratamiento de datos biométricos para la implementación y uso de sistemas de ingreso y seguridad que requieran autenticación biométrica.
13.2. Proveedores:
Enviar información por cualquier medio conocido o por conocer (correo electrónico, físico, SMS, llamadas telefónicas, mensaje de datos, Whatsapp, herramientas de mensajería instantánea, entre otros), siempre que sea autorizado por el Titular.
Crear y realizar seguimiento a las órdenes de compra.
Gestionar el pago a proveedores.
Analizar información con fines estadísticos.
Solicitar propuestas y cotizaciones.
Atender reclamaciones.
Contactar a potenciales proveedor o proveedores actuales para compras y contratación.
Enviar y solicitar información sobre el desempeño de productos.
Evaluar calidad de productos y servicios contratados.
Realizar actividades de mercadeo y publicidad afines al objeto social de la Compañía.
Analizar, evaluar y consultar la información entregada por el Titular en listas para el control de lavado de activos y financiación del terrorismo administradas por cualquier autoridad nacional o extranjera.
13.3. Comercial:
Establecimiento de canales de comunicación con el Titular, a través de correo electrónico, llamadas telefónicas, envío de SMS, Whatsapp, herramientas de mensajería instantánea, o cualquier canal de comunicación conocido o por conocerse, siempre que sea autorizado por el Titular.
Ofrecer servicios y campañas comerciales.
Ofertar servicios de valor agregado.
Participar en programas de beneficios y fidelización.
Consultar en centrales de información para fines comerciales y de servicios de crédito.
Consultar hábitos de consumo y aficiones para ofertas, promociones y servicios, entre otros.
Contactarlo para realizar estudios de mercado y encuestas de satisfacción.
Gestionar tramites (solicitudes, quejas y reclamos).
Compartir con empresas aliadas, asociados, sucursales, franquicias, filiales y subsidiarias para la oferta de servicios.
13.4. Circuito Cerrado de videovigilancia
14. Tratamiento de datos de niños, niñas y adolescentes.
En el Tratamiento de datos personales, la Compañía asegurará el respeto a los derechos prevalentes de los menores (niños, niñas, y adolescentes). Por este motivo, en caso de presentarse alguna recolección de datos personales correspondientes a este tipo de personas, se dará cumplimiento a lo señalado en el artículo 24 de la LOPDP y las demás disposiciones concordantes sobre la materia.
15. Tratamiento de datos personales sensibles
La Compañía conoce que realiza Tratamiento sobre datos personales que revisten la calidad de sensibles, por lo que asegurará que al momento de la recolección de datos personales correspondientes a este tipo, dará cumplimiento a lo señalado en el Artículo 26 de la LOPDP y las demás disposiciones concordantes sobre la materia.
16. Conservación de datos personales
La Compañía conservará los datos personales en función de la finalidad del tratamiento, según el marco general que se establece a continuación:
Finalidad - Tiempo de conservación
Gestionar registro como cliente / usuario - Durante todo el tiempo que tenga vinculación con La Compañía como cliente / usuario de sus servicios.
Desarrollo, cumplimiento y ejecución del contrato de compraventa o servicios - Durante el tiempo necesario para gestionar la compra de los productos o servicios que el Titular haya adquirido, incluyendo posibles devoluciones, quejas o reclamaciones asociadas a la compra del producto o servicio en particular.
Atención al cliente - Durante el tiempo que sea necesario para atender la solicitud o petición del Titular
Marketing - Hasta que el cliente se dé de baja o cancele su suscripción
La Compañía, en cumplimiento de su propósito de garantizar el cuidado de los datos personales de terceros, obtenidos a través de los Canales autorizados por esta Política, ha dispuesto un conjunto de medidas de seguridad las cuales serán usadas e implementadas buscando una adecuada protección de toda la información que sea objeto de Tratamiento.
Con lo anterior, se considera razonablemente que la Compañía cuenta con adecuados y suficientes modelos de gestión documental y protección de información para cumplir adecuadamente con sus obligaciones legales en relación con el cuidado y custodia de información suministrada por terceros.
17. Procedimientos de seguridad.
La Compañía, buscando lograr una adecuada protección de la información objeto de la Política, ha desplegado diversos mecanismos de seguridad para custodiar y evitar todo deterioro, pérdida o fuga que pueda presentarse en la información contenida en sus Bases de Datos y ficheros.
Uno de ellos está relacionado con la ubicación de la Base de Datos, la cual se encuentra en el Centros de Cómputo propio de la Compañía, contando con los debidos controles de acceso físico entre los cuales se encuentran:
Acceso con tarjetas magnéticas personales y registro digital del ingreso.
Un modelo de seguridad lógico que permite restringir los usuarios que tienen acceso a la data e identificar inequívocamente su ingreso.
La creación diaria de respaldos de la información para evitar su pérdida.
18. Medidas de protección.
Al interior de la Compañía, existen dos (2) tipos de medidas de protección dentro del Programa Integral de Gestión de Datos Personales adoptadas por cada uno de los Departamentos de la Compañía.
18.1. Barreras físicas.
La primera de las medidas tiene que ver con las barreras físicas que custodian el acceso a los medios que contienen las Bases de Datos. Para esto, el personal es primeramente identificado en la portería de la Compañía. Para tener acceso a los equipos en los que se almacenan las Bases de Datos, el personal debe pedir autorización al área de Servicios que es la encargada de permitir el ingreso al cuarto de equipos y autenticar la identidad del personal mediante tarjeta RFID. El ingreso es registrado mediante cámaras de video vigilancia.
18.2. Barreras digitales.
La segunda medida se encuentra descrita como las barreras digitales, en la cual, el usuario se debe autenticar en la estación de trabajo y luego frente al aplicativo, el cual se protege a través de un Firewall, a su vez, el aplicativo realiza la consulta a la Base de Datos que también está protegida por un Firewall.
Adicionalmente, la Compañía implementa políticas de contraseñas en la cual se generan claves seguras de al menos doce (12) dígitos y con caracteres adecuados para que no se descifren fácilmente, adicional a que todas son mediante md5.
19. Canales de atención.
Para la atención de consultas y reclamos relativos al Tratamiento de Datos Personales, podrán formularse a través de los siguientes correos, según corresponda:
Base de datos - Correo electrónico
American Eagle - datospersonalesec@aeo.com.ec
Naf Naf - datospersonales@nafnafec.com.ec
Rifle - datospersonalesec@rifle.ec
20. Procedimiento para radicar un reclamo.
Cuando el Titular de los datos personales pretenda rectificar, actualizar, suprimir alguno de sus datos o revocar su Autorización, el área de Servicio al Cliente resolverá su reclamo dentro de los quince (15) días hábiles siguientes a la fecha de recibo de la misma.
Cuando no fuere posible atender la consulta dentro del término indicado en el inciso anterior, se informará al solicitante tal situación, los motivos de la demora y la fecha en la cual será resuelta la solicitud, fecha que en ningún caso superará los ocho (8) días hábiles siguientes al vencimiento del primer término.
21. Medio de respuesta.
La Compañía dará respuesta a las consultas y reclamos de los Titulares, dentro de los términos establecidos en los numerales 20 y 21 de esta Política, de manera escrita a la dirección física o electrónica suministrada por el solicitante para tal efecto.
Cuando el solicitante suministre una dirección física y una electrónica, o más de una dirección de aquellas o de estas, será a discreción de la Compañía la decisión sobre a cual dirección enviar la respuesta.
22. Personas legitimadas para radicar consulta o reclamo.
De conformidad con las normas aplicables a la materia, se encuentran legitimados para radicar una consulta o un reclamo ante la Compañía, las siguientes personas:
Los Titulares de los datos personales.
Los causahabientes de los Titular
Los representantes legales.
Los terceros autorizados por el Titular o por la ley.
23. Actualización de las bases de datos.
La Compañía actualizará sus Bases de Datos y ficheros de manera permanente.
24. Transferencias de datos para tratamiento por terceros, nacionales e internacionales.
La Compañía puede transmitir o transferir de manera parcial o total los Datos Personales y la información transaccional a terceros dentro del país o en el exterior, en desarrollo de su objeto social, para lo cual solicita cumplirá con lo dispuesto en los artículos 55 y siguientes de la LOPDP.
25. Seguridad de la información.
La Compañía cuenta con una Política de Seguridad de la Información, la cual hace parte integral de esta Política.
26. Procedimiento para modificaciones a esta Política.
Toda modificación a lo dispuesto en esta Política, pasará por un proceso de discusión y decisión conjunta en el que intervendrán los siguientes funcionarios de la Compañía:
Asistencia Legal
Negocios digitales
Tecnología
De cada decisión que determine la necesidad de efectuar alguna modificación a la presente Política se dejará constancia escrita suscrita por los integrantes.
Toda modificación que cumpla el procedimiento previamente determinado, entrará hacer parte de la presente Política y por lo tanto será de obligatorio e inmediato cumplimiento.
27. Registro Nacional de Bases de Datos.
Acorde con las disposiciones establecidas en el Art. 51 de la LOPDP, así como las directrices impartidas por la autoridad competente en Ecuador para la protección de los datos personales, la Compañía registrará las Bases de Datos sobre las cuales realice Tratamiento y procederá con su actualización periódica.
28. Vigencia.
La presente Política regirá a partir de la fecha de su publicación y dejará sin efectos las demás disposiciones institucionales que le sean contrarias. Todo elemento sobre la materia objeto de la presente Política que no se encuentre contenido en la misma, se reglamentará de acuerdo la normativa en materia de protección de datos personales vigente en la República de Ecuador.