POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA EMPRESA PÚBLICA - EMPRESA MUNICIPAL DE AGUA POTABLE Y ALCANTARILLADO DE AMBAТО
Antecedentes
La Empresa Pública Municipal de Agua Potable y Alcantarillado de Ambato (EP-EMAРА-А) actúa en calidad de responsable del tratamiento de los datos personales proporcionados por los usuarios o titulares de dichos datos. En este contexto, la presente Política de Protección de Datos Personales establece los lineamientos que regulan dicho tratamiento y debe ser leída de manera íntegra y cuidadosa por los titulares.
La aceptación de la presente Política por parte del titular implica su conocimiento y sujeción a las condiciones aquí establecidas, las cuales rigen jurídicamente el tratamiento de sus datos personales por parte de la EP-EMAPA-A, de conformidad con la normativa vigente.
La presente Política se emite en observancia y cumplimiento de lo dispuesto en el artículo 66, numeral 19, de la Constitución de la República del Ecuador, que reconoce y garantiza g el derecho de libertad a la protección de los datos de carácter personal, así como en concordancia con lo establecido en la Ley Orgánica de Protección de Datos Personales y su ción de normativa conexa, constituyéndose en el marco normativo interno que regula el tratamiento, uso, custodia y protección de los datos personales bajo responsabilidad de la Empresa.
Objeto
La presente Política de Protección de Datos Personales (en adelante, la "Política") tiene por objeto establecer los principios, lineamientos y parámetros aplicables al tratamiento de los datos personales de los usuarios y demás titulares por parte de la EP-EМАРА-А.
El usuario o titular podrá consultar la presente Política en cualquier momento y reconoce que la EP-EMAPA-A se encuentra facultada para modificarla, conforme a la normativa vigente. En tal caso, la Empresa informará dichas modificaciones a través de sus portales web, mediante un aviso visible al momento de acceder a las plataformas institucionales, en el cual se pondrá conocimiento que la Política ha sido actualizada. Cuando las modificaciones incidan directamente en los derechos de los titulares o en las finalidades del tratamiento, se solicitará nuevamente el consentimiento correspondiente, a través de la aceptación expresa de la Política actualizada.
Responsable del Tratamiento de Datos Personales
Nombre del responsable: Empresa Pública - Empresa Municipal de Agua Potable y Alcantarillado de Ambato (EР-ЕМАРА-А).
RUC: 1865030070001.
Domicilio: Antonio Clavijo e Isaías Sánchez, ciudad de Ambato, provincia Tungurahua.
Correo electrónico: datospersonales@emapa.gob.ec
Delegado de Protección de Datos Personales
Domicilio: Antonio Clavijo e Isaías Sánchez, ciudad de Ambato, provincia Tungurahua.
Correo electrónico: dpd@emapa.gob.ec
Leyes Aplicables
Ley Orgánica de Protección de Datos Personales (LOPDP).
Reglamento General de la Ley Orgánica de Protección de Datos Personales (RGLOPDР).
Ley de Comercio Electrónico, Firmas y Mensajes de Datos.
Demás normativa aplicable de la materia.
Definiciones
Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
Dato sensible: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
Delegado de Protección de Datos Personales: Persona natural responsable de informar y asesorar al responsable y al encargado del tratamiento respecto de sus obligaciones legales en materia de protección de datos personales; de supervisar y velar por el cumplimiento del marco normativo aplicable; y de cooperar con la EP-ЕМАРА-А, actuando como punto de contacto entre la Institución y la Autoridad de Protección de Datos Personales.
Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.
Obreros o trabajadores: Aquellas personas calificadas como tales por la autoridad competente, con base en parámetros ámetros objetivos objetivos y de clasificación técnica, que desempeñan cargos vinculados de manera directa a los procesos operativos, productivos y de especialización industrial de la EP-EMAРА-А.
Responsable del tratamiento: Persona natural o jurídica, que sólo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
Titular de datos personales: Persona natural cuyos datos son objeto de tratamiento.
Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable de da o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados
Servidores públicos: Serán servidores públicos todas las personas que en cualquier forma o a cualquier título trabajen, presten servicios o ejerzan un cargo, función o dignidad dentro de la EP-EМАРА-А.
Usuarios: Son los titulares de datos personales, denunciantes o terceros que requieren los servicios de la EР-EМАРА-A, incluidos aquellos que no cuentan con una relación contractual regular o permanente y que solicitan la prestación de servicios de manera provisional.
Principios
El tratamiento de datos personales que realice la EP-EMАРA-A se llevará a cabo de manera lícita, ética y responsable, con estricta observancia de los principios de juridicidad o licitud, lealtad y transparencia; limitación de la finalidad; pertinencia y minimización de datos; proporcionalidad del tratamiento; confidencialidad; calidad y exactitud de la información; limitación del plazo de conservación; seguridad de los datos personales; protección de datos desde el diseño y por defecto; responsabilidad proactiva y demostrada; rendición de cuentas; interpretación y aplicación más favorable al titular de los datos; independencia del control; así como de los demás principios que rigen a la Administración Pública y al régimen de protección de datos personales. Estos principios serán aplicados de manera transversal a los procesos, sistemas, trámites y actuaciones institucionales que involucren datos personales, sin perjuicio de los demás principios y obligaciones previstos en la normativa vigente, garantizando en todo momento el respeto de los derechos de los titulares de los datos personales.
Obtención de Datos Personales datos
Con la finalidad de prestar los servicios de su competencia, la EP-ЕМАРА-А podrá recabar personales mediante formularios físicos o electrónicos, los cuales serán tratados conforme a lo dispuesto en la Ley Orgánica de Protección de Datos Personales, Reglamento General y la demás normativa aplicable emitida para el efecto.
Categorías de Datos Personales
Servidores públicos y trabajadores.- Respecto de los servidores públicos y trabajadores de la EP-EMAPA-A, se podrán tratar, entre otras, las siguientes categorías de datos personales:
a) Datos identificativos, biográficos y de contacto: nombres y apellidos; número de cédula de identidad o pasaporte; dirección física y electrónica; firma; y número telefónico.
b) Datos especiales: datos relativos a la salud; datos personales crediticios y tributarios; datos de personas con discapacidad y de sus sustitutos; datos de familiares, conyuge o unión de hecho; y datos de niñas, niños y adolescentes.
c) Metadatos, en la medida en que puedan constituir datos personales.
Titulares de los derechos de datos personales.- Respecto de los titulares de datos personales, se podrán tratar, entre otras, las siguientes categorías:
a) Datos identificativos, biográficos y de contacto: nombres y apellidos; número de cédula de identidad o pasaporte; dirección física y electrónica; firma; y número telefónico.
b) Datos especiales: datos relativos a la salud; datos personales crediticios y tributarios; datos de personas con discapacidad y de sus sustitutos; datos de personas adultas mayores; datos de niñas, niños y adolescentes; y datos personales de personas fallecidas, de conformidad con la normativa aplicable.
c) Metadatos, en la medida en que puedan constituir datos personales.
Usuarios.- Respecto de los usuarios de la EP-ЕМАРА-A, se podrán tratar, entre otras, siguientes categorías de datos personales:
a) Datos identificativos, biográficos y de contacto: nombres y apellidos; número de cédula de identidad o pasaporte; razón social; Registro Único de Contribuyentes (RUC); datos del representante legal; dirección física y electrónica; firma; y número telefónico.
b) Datos sensibles: datos relativos a la salud, etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, datos biométricos, datos genéticos, y aquellos que, conforme a la Ley Orgánica de Protección de Datos Personales, que puedan afectar derechos y libertades fundamentales del titular.
c) Datos financieros, tributarios y patrimoniales: datos personales crediticios y tributarios; datos financieros necesarios para la gestión de pagos, tales como números de cuenta o información bancaria. La EP-EMАРА-A no almacena códigos CVV ni datos completos de tarjetas de crédito o débito, utilizando para tales efectos pasarelas de pago certificadas que cumplen estándares internacionales de seguridad; datos patrimoniales como títulos de propiedad y documentación relacionada.
d) Datos de grupos de atención prioritaria: datos de personas con discapacidad y sus sustitutos; personas adultas mayores; niñas, niños y adolescentes.
e) Datos personales de personas fallecidas: conforme a la normativa aplicable.
f) Metadatos, en la medida en que puedan constituir datos personales.
Base Legal para el Tratamiento de los Datos Personales
El tratamiento de datos personales por parte de la ЕР-ЕМАРА-A se realizará de manera legítima y lícita, en cumplimiento de obligaciones legales, por razones de interés público o en ejercicio de potestades públicas, de conformidad con la finalidad institucional atribuida por la Constitución de la República del Ecuador, la ley, las ordenanzas municipales y demás normativa aplicable.
En este contexto, y conforme a lo dispuesto en el artículo 7 de la Ley Orgánica de Protección de Datos Personales, el tratamiento de datos personales se considerará legítimo y lícito cuando se fundamente en, al menos, una de las siguientes bases de legitimación:
Consentimiento del titular, otorgado de manera libre, específica, informada inequívoca, para una o varias finalidades determinadas.
Cumplimiento de una obligación legal a cargo del responsable del tratamiento.
Mandato u orden judicial, observando en todo caso los principios y garantías previstos en la Ley Orgánica de Protección de Datos Personales. interás
Cumplimiento de una misión realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, derivadas de una competencia atribuida por una norma con rango de ley, sujeto al respeto de los estándares internacionales de derechos humanos, a los principios de la presente ley y a los criterios de legalidad, proporcionalidad y necesidad.
Ejecución de medidas precontractuales solicitadas por el titular, o para el cumplimiento de obligaciones contractuales en las que el titular sea parte, o que deban ejecutarse por el responsable, el encargado del tratamiento o un tercero legalmente habilitado.
Protección de intereses vitales del titular o de otra persona natural, tales como su vida, salud o integridad personal.
Tratamiento de datos personales contenidos en bases de datos de acceso público, conforme a los límites y condiciones establecidos en la ley.
Satisfacción de un interés legítimo del responsable del tratamiento o de un tercero, siempre que no prevalezcan los derechos y libertades fundamentales del titular de los datos, de conformidad con lo previsto en la Ley Orgánica de Protección de Datos Personales.
Cuando el tratamiento requiera el consentimiento del titular, este será solicitado de manera previa y expresado mediante una acción afirmativa, libre, específica e inequívoca.
Fines del Tratamiento
A través del portal web de la ЕР-ЕМАРА-A y de los formularios físicos o electrónicos habilitados para el efecto, no se recabará ni tratará datos personales sin que exista una base de legitimación conforme a la normativa vigente. Los datos personales proporcionados por los usuarios o titulares seran utilizados única y exclusivamente para los fines específicos previstos en cada procedimiento, trámite o actuación administrativa.
La recopilación y el tratamiento de datos personales tienen como finalidad general la gestión, prestación, control y mejora de los servicios a cargo de la EP-EMAРA-A, así como la tramitación, seguimiento y atención de los procedimientos administrativos y demás solicitudes formuladas por los usuarios, administrados o titulares de los datos personales.
Adicionalmente, el tratamiento de los datos personales podrá responder a otras finalidades, siempre que estas se encuentren debidamente justificadas y amparadas en el consentimiento expreso del titular o en las bases de legitimación legal que habilitan a la EP-EMAPA-A para el ejercicio de sus competencias, de conformidad con los supuestos de licitud previstos en el artículo 7 de la Ley Orgánica de Protección de Datos Personales.
Tiempo de Conservación de Datos Personales
Los datos personales serán conservados únicamente durante el tiempo necesario para el cumplimiento de la finalidad para la cual fueron recabados y mientras subsistan obligaciones legales, contractuales o administrativas que justifiquen su tratamiento. Concluido dicho plazo, los datos serán eliminados, anonimizados o bloqueados, según corresponda, de conformidad a con los mecanismos, controles y herramientas implementados por la EP-EМАРА-А y la normativa vigente.
Los plazos específicos de conservación de los datos personales y de la documentación que los contenga se encuentran definidos en las tablas de retención documental y en los instrumentos de gestión archivística debidamente aprobados por la EP-EMAPA-A, elaborados y aplicados en observancia de la normativa nacional vigente en materia de archivo, gestión documental y administración pública.
Transferencias y/o Comunicación de Datos Personales
La ЕР-ЕМАРA-A únicamente comunicará o compartirá datos personales de los usuarios o titulares con terceros que resulten estrictamente necesarios para el cumplimiento de las finalidades previamente determinadas y legítimas. En este marco, la Empresa podrá realizar comunicación o transferencia de datos personales, incluyendo su almacenamiento en bases de datos o sistemas cuyos servidores se encuentren ubicados dentro del territorio nacional o en el extranjero.
Cuando la comunicación o transferencia implique una transferencia internacional de datos personales, esta se efectuará, de manera preferente, hacia jurisdicciones que garanticen un nivel adecuado de protección. No obstante, si la transferencia se realizare hacia jurisdicciones airá que no cuenten con un nivel de protección equivalente al del Ecuador, la ЕР-ЕМАРА-A exigirá al destinatario la adopción de medidas técnicas, organizativas y legales adecuadas que aseguren la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales, conforme a la normativa vigente.
Para tales efectos, la EP-EMАРА-А роdrá suscribir cláusulas contractuales específicas, acuerdos interinstitucionales o exigir certificaciones y garantías adecuadas al destinatario, previa evaluación del nivel de protección de la jurisdicción de destino, conforme a los estándares establecidos en la normativa vigente.
Derechos de los Titulares de los Datos Personales
El titular de los datos personales podrá ejercer los siguientes derechos:
Acceso: El titular de los datos personales puede conocer, obtener y solicitar a la EP- EМАРА-A la información que se está tratando.
Rectificación y actualización: El titular de los datos personales puede solicitar que se modifiquen o actualicen sus datos personales.
Eliminación: El titular de los datos puede solicitar la eliminación de datos personales que la EP-EMAPA-A posea, siempre que dichos datos personales ya no sean necesarios para las finalidades de uso.
Suspensión: El titular de los datos puede solicitar el cese temporal del tratamiento de sus datos personales en los siguientes casos:
a) Impugna la exactitud de sus datos personales, mientras el responsable del tratamiento verifica la exactitud de estos.
b) El tratamiento sea ilícito y el titular de datos se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su usuo.
c) El responsable ya no necesite tratar los datos personales pero el titular de datos los necesite para la formulación, el ejercicio o la defensa de reclamaciones.
Oposición: El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:
a) Cuando no se afecten derechos y libertades fundamentales de terceros, la ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley.
b) Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa; el interesado tendrá derecho a oponerse en todo momento al fratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines.
c) Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, previsto en el artículo 7 de la LOPDP, y se justifique en una situación concreta personal del titular, siempre que una ley no disponga lo contrario.
No ser objeto de una decisión basada en valoraciones automatizadas: Oponerse, pedir explicaciones y solicitar la revisión humana de las decisiones basadas exclusivamente en un tratamiento total o parcialmente automatizado de datos personales que afecten a los intereses del titular, con las limitaciones determinadas en la LOPDP.
Procedimiento para el Ejercicio de los Derechos de Titular
Para el ejercicio de los derechos reconocidos en la normativa de protección de datos personales, así como para la actualización de su información, la EP-EMAPA-A ha habilitado el siguiente canal de contacto: datospersonales@emapa.gob.eс.
La EP-EMAPA-A atenderá las solicitudes presentadas por los titulares en un plazo máximo de quince (15) días, contados a partir de la recepción de la solicitud completa, conforme a lo dispuesto en la Ley Orgánica de Protección de Datos Personales.
La solicitud deberá contener al menos: nombres completos del titular, número de identificación, descripción clara del derecho que desea ejercer y medios de contacto para recibir notificaciones.
En caso de que la solicitud no sea atendida de manera adecuada, el titular podrá dirigirse al Delegado de Protección dede Datos Personales a través del correo electrónico: dpd@emapa.gob.eс.
Como última instancia, si persiste la inconformidad, el titular podrá presentar su reclamación ante la Superintendencia de Protección de Datos Personales, autoridad de control competente en la materia.
Seguridad de los Datos Personales
La EP-EMAPA-A implementa y mantiene medidas técnicas, organizativas y administrativas apropiadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales objeto de tratamiento. Dichas medidas se adoptan bajo un enfoque de responsabilidad proactiva y demostrada, orientado no solo a la protección efectiva de los datos, sino también a la capacidad institucional de acreditar el cumplimiento normativo ante las autoridades competentes y los titulares de los datos personales.
Con este propósito, la EP-EMAPA-A conserva y gestiona evidencia documentada, registros y soportes verificables que respalden la implementación, revisión y mejora continua de las medidas de seguridad adoptadas, incluyendo, de manera enunciativa y no limitativa, las siguientes:
Realización periódica de evaluaciones de impacto relativas a la protección de datos personales, de conformidad con lo dispuesto en el artículo 42 de la Ley Orgánica de Protección de Datos Personales, debidamente documentadas mediante informes técnicos y planes de mitigación, orientados a prevenir, reducir y gestionar los riesgos identificados en los tratamientos de datos personales.
Implementación de medidas de seguridad organizativas y técnicas, definidas a partir de los resultados de la gestión de riesgos en materia de seguridad de la información y protección de datos personales, debidamente documentadas y actualizadas.
Aplicación de políticas de control de acceso y gestión de privilegios, así como de procedimientos de borrado seguro de datos personales, orientados a reforzar la confidencialidad del tratamiento, respaldados por registros, bitácoras y controles que permitan verificar su correcta ejecución.
Implementación de planes de continuidad de negocio (BCP) y planes de recuperación ante desastres (DRP), con el objetivo de asegurar la disponibilidad de la información; así como el desarrollo y aplicación de políticas de seguridad de la información basadas en estándares y buenas prácticas internacionales, tales como ISO/IEC 27001, 27002 y 27005; ISO/IEC 27701; ISO 22301; ISO/IEC 27037; OWASP ASVS, OWASP Top Ten y el modelo FAIR, entre otros.
En caso de producirse una vulneración de seguridad que comprometa datos personales y que represente un riesgo para los derechos y libertades de los titulares, la EP-ЕМАРА-А notificará el incidente a la Autoridad de Protección de Datos Personales y, cuando corresponda, a los titulares afectados, en los plazos y condiciones establecidos en la normativa vigente.
Información sobre Cookies
Una cookie es un archivo que se descarga y almacena en el dispositivo del usuario al acceder a determinadas páginas web, previa aceptación de este, y que permite reconocer al usuario, recopilar información sobre la navegación y facilitar futuras visitas a un sitio web recurrente. Las cookies también pueden permitir identificar información asociada al titular de datos personales.
En caso de que el portal institucional utilice herramientas de analítica web o servicios de terceros, se informará de manera expresa al usuario sobre la identidad de dichos proveedores, la finalidad del tratamiento y, cuando corresponda, la posible transferencia internacional de datos derivada de su uso.
El portal web de la EP-EMAPA-A utiliza cookies con la finalidad de identificar las páginas visitadas y su frecuencia de acceso. Esta información se emplea exclusivamente con fines de análisis estadístico, y es eliminada de forma permanente una vez cumplida dicha finalidad. El usuario puede eliminar o gestionar las cookies en cualquier momento desde la configuración de su dispositivo o navegador.
La EP-EMAPA-A pone a disposición del usuario distintos niveles de configuración de cookies, de conformidad con sus preferencias:
Nivel máximo de privacidad: Se accede únicamente a los datos estrictamente necesarios para el funcionamiento básico del sitio web. La información se comparte con terceros solo cuando es indispensable para garantizar la seguridad y operatividad del sitio en el dispositivo del usuario.
Experiencia equilibrada: Se accede a datos para la personalización de contenidos y la optimización del sitio web. Los datos compartidos con terceros podrán ser utilizados para registrar y almacenar las preferencias del usuario dentro del portal.
Nivel máximo de personalización: Se accede a datos con el fin de ofrecer contenidos y elementos multimedia más relevantes. Los datos compartidos con terceros podrán ser utilizados para analizar las visitas del usuario a este y a otros sitios web.
Contacto
Para obtener mayor información sobre el tratamiento de sus datos personales, el usuario o titular de los datos podrá comunicarse con la EP-EMAPA-A a través del siguiente canal oficial: datospersonales@emapa.gob.ec.
Actualizaciones y Modificaciones de la Políticа
La presente Política será objeto de revisión periódica y actualización, no solo en atención a los cambios normativos o regulatorios aplicables, sino también con base en los resultados de auditorías internas o externas, evaluaciones de impacto en materia de protección de datos personales y procesos de gestión de riesgos, así como de las resoluciones, disposiciones y directrices internas emitidas por la EP-EMAPA-A, con el fin de asegurar su permanente adecuación, eficacia y alineación con el marco legal vigente.