CLÁUSULA PRIMERA: OBJETO

La compañía DESARROLLO E INTEGRACIÓN DE PROCESOS DIGITALES SODIG S.A. (en adelante “SODIG S.A.”) es una compañía privada constituida y existente bajo las leyes ecuatorianas, que ha desarrollado una infraestructura tecnológica propia para dispositivos móviles y páginas web a la cual en adelante se la denominara “MEDILUX”, la cual tiene contenido y servicios puestos a su disposición.

Este documento tiene por objeto comunicar cómo MEDILUX trata los datos personales de sus usuarios en sus diferentes etapas, tanto los que se obtienen de fuentes de información de acceso público o autorizado, como los que recopila a través de canales electrónicos, propios o de redes asociadas.

En cumplimiento del artículo 47, numeral 4 de la Ley Orgánica de Protección de Datos Personales (en adelante “LOPDP”), referente a la obligación de implementar políticas de protección de datos personales, MEDILUX emite esta Política aplicable a la organización y a todas las Bases de Datos y/o Documentación, sea está física o digital, que contengan Datos Personales y que sean objeto de tratamiento por parte de MEDILUX para determinar el modo de obtención, tratamiento, finalidades y posibles transferencias en relación a los datos personales de, trabajadores, proveedores, clientes y
otros titulares, con quien MEDILUX tenga una relación.

CLÁUSULA SEGUNDA: RESPONSABLE DEL TRATAMIENTO

MEDILUX podrá encargar el tratamiento de los datos personales a empleados directos, así como a proveedores externos únicamente para los fines para los cuales fueron obtenidos dichos datos y con las limitaciones y estipulaciones que manda la Ley y la normativa vinculante en la materia.

Todos los encargados del tratamiento de datos personales suscribirán acuerdos de confidencialidad y manejo adecuado de los datos personales, incluyendo una cláusula penal y la posibilidad de repetir en contra de ellos por incumplimiento de sus obligaciones referentes al tratamiento de datos personales. Los encargados, sean internos o externos, serán directamente responsables por las actividades de tratamiento a título individual, por lo que deberán garantizar un nivel de protección adecuado al tratamiento de los datos, considerando su naturaleza, volumen y posibles riesgos, amenazas y vulnerabilidades, y las demás consideraciones establecidas en el marco legal. MEDILUX notificará en caso de incumplimiento a las autoridades civiles, administrativas y penales para la investigación correspondiente. En caso de que el incumplimiento sea de un trabajador de MEDILUX se aplicarán las sanciones internas, civiles y laborales respectivas.

Una vez terminado el tratamiento de los datos para los que fueron delegados, los encargados tienen la obligación de eliminar o devolver los datos que tengan en su posesión sin excepción alguna.
Todos los encargados del tratamiento de datos declaran conocer su obligación de permitir cualquier auditoría o investigación de parte del responsable o de la Autoridad en cualquier momento.

CLÁUSULA TERCERA: DEFINICIONES

Para entender la presente política se deberán tomar en cuenta las siguientes definiciones:

(i) Anonimización: es el proceso mediante el cual se hace imposible identificar al titular de los datos personales, mediante la eliminación o alteración de información personal que permita su identificación.
(ii) Base de datos: se entiende como el conjunto organizado de datos cualquiera sea su forma, soporte, procesamiento, almacenamiento o forma de creación.
(iii) Consentimiento: la manifestación de voluntad inequívoca, libre, informada y especifica del titular de los datos, por medio del cual se autoriza al responsable el tratamiento de sus datos personales.
(iv) Datos personales: cualquier información que haga a una persona natural identificada o identificable. Esto puede incluir información como nombre, dirección, número de teléfono, dirección de correo electrónico, número de tarjeta de crédito, entre otros. Se debe entender como dato personal también a los datos biométricos -que pueden ser captados por video, huellas, etc.-, genéticos, crediticios, de salud, entre otros.
(v) Datos sensibles: son aquellos datos personales que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación, tales como la orientación sexual, afiliación política, religión, entre otros.
(vi) Delegado de Protección de Datos Personales: es la persona encargada de informar al responsable y encargados del tratamiento de sus obligaciones y de velar por el cumplimiento de la normativa relacionada con la protección de datos personales, y de cooperar con la Autoridad de Protección de Datos Personales.
(vii) Derecho ARCO: conjunto de derechos que tiene el titular, tales como Acceso, Rectificación, Cancelación y Oposición al tratamiento de sus datos personales.
(viii) Encargado del tratamiento: la persona natural o jurídica, que realice el tratamiento de datos personales en nombre del responsable del tratamiento.
(ix) Incidente que afecte la seguridad de los datos personales o filtración de datos personales: un incidente de seguridad contra los datos personales es cualquier evento o situación que comprometa la integridad, disponibilidad, confidencialidad o los derechos del titular de los datos personales.
(x) Persona Identificable: se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.
(xi) Portabilidad de datos: es el derecho que tiene el titular a recibir sus datos personales en un formato estructurado, de uso y lectura común.
(xii) Recolección: el proceso mediante el cual se obtienen los datos personales de una persona.
(xiii) Responsable del tratamiento: la persona natural o jurídica que decida sobre los fines y medios del tratamiento de datos personales.
(xiv) Seguridad de los datos personales: las medidas adoptadas para proteger los datos personales contra pérdida, robo, uso indebido, acceso no autorizado, modificación o destrucción.
(xv) Seudonimización: es el proceso mediante el cual se sustituye la información personal del titular por un identificador o alias, con el objetivo de proteger la privacidad del titular.
(xvi) Tercero: Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.
(xvii) Titular: la persona natural cuyos datos personales son objeto de tratamiento.
(xviii) Transferencia o comunicación: el proceso mediante el cual se comparten los datos personales con una tercera parte, distintos del titular, responsable o encargado.
(xix) Tratamiento de datos: toda operación o conjunto de operaciones realizadas sobre los datos personales, como la recolección, almacenamiento, uso, divulgación, transferencia y eliminación.

CLÁUSULA CUARTA: OBTENCIÓN DE LOS DATOS

En específico, los datos podrán obtenerse y tratarse siempre y cuando exista una de las siguientes bases legitimadoras:
(i) Por el consentimiento libre, inequívoco, específico e informado del titular
(ii) Por la existencia de una relación contractual entre el responsable y el titular de los datos personales
(iii) Que sea realizado por el responsable del tratamiento por mandato legal, para la ejecución de medidas precontractuales a petición del titular
(iv) Para proteger los intereses vitales del interesado o de otra persona natural
(v) Cuando exista un interés legítimo del responsable atendiendo al principio de ponderación
Los datos que se obtienen y tratan podrán ser, sin limitarse a: nombres, fechas de nacimiento, números de teléfono, direcciones, correos electrónicos, sexo, género, edad condiciones médicas, imagen personal, estados y movimientos financieros, información relativa a discapacidades entre otros, en el marco de relaciones de prestación del servicio y conexas; en aplicación del principio de minimización, limitándose a lo estrictamente necesario para cumplir con las finalidades del tratamiento. Cada obtención y tratamiento de datos personales se realiza con estricto apego a lo dispuesto en la LOPDP y se garantizan los derechos de los titulares.

CLÁUSULA QUINTA: FINALIDAD DEL TRATAMIENTO

MEDILUX podrá realizar distintos tipos de tratamiento de los datos personales recopilados, pudiendo incluir, pero sin limitarse a, recopilar, registrar, organizar, estructurar, almacenar, modificar, procesar, comunicar, consultar, usar, combinar, suprimir y destruir datos.

MEDILUX recopilará datos de carácter personal, tales como nombres, apellidos, teléfonos fijos o móviles, o correos electrónicos, número de medidor, a través de formularios virtuales que estuvieren alojados en los canales. Adicionalmente, los canales podrán también recopilar información relativa a dirección IP, sistema operativo, navegadores, motores de búsqueda, entre otros.
Los fines del tratamiento de datos personales por parte de MEDILUX se establecerán en cada contrato o documento que soporte la entrega u obtención de dichos datos. Estos fines serán debidamente informados a los titulares y se verificará en todos los casos el cumplimiento de la normativa relacionada. Las finalidades del tratamiento de datos serán distintas dependiendo de la relación entre MEDILUX y el Titular, y podrán, entre otros y sin limitarse a, ser los siguientes: procesos de contratación, instalación, configuración y mantenimiento de medidores de energía, actividades de lectura, monitoreo y análisis del consumo energético, notificaciones vía correo electrónico y SMS, envíos de mailings y pautas, envío de información publicitaria, promocional o comercial relacionada con productos, servicios, actividades, campañas o eventos propios o de compañías asociadas, y relación contractual de naturaleza civil y/o laboral.
Los titulares nunca serán objeto de una decisión basada única o parcialmente en valoraciones automatizadas, y MEDILUX se compromete a tratar sus datos con estricto cumplimiento de la LOPDP, su Reglamento General y demás normas vinculantes.

En los canales de tipo telemático o virtual, el titular acepta y autoriza a MEDILUX a instrumentar cualquiera de las siguientes acciones, de acuerdo con las características del dispositivo utilizado por el titular:
● Uso de la cámara
● Uso de lectores de huella, si esta forma de ingreso es elegida por el titular
● Uso de la libreta de contactos del dispositivo, para la ejecución de transacciones, así como para los demás usos que MEDILUX estime oportunos.
● Envío de notificaciones al TITULAR a través de canales virtuales.
● Uso de herramientas de geolocalización con el fin de determinar su ubicación para la entrega de información sobre los puntos de atención disponibles para los clientes y usuarios de MEDILUX que se encuentren más cercanos; así como para verificaciones que requiera MEDILUX a fin de enviar ofertas de productos o servicios financieros, redes asociadas o aliados comerciales, entre otros.
MEDILUX solo podrá acceder a dichas herramientas y funcionalidades bajo condición de que el titular haya manifestado su aprobación al respecto, en la ventana de notificación que aparecerá en el dispositivo del titular en el momento de acceder a los canales.

CLÁUSULA SEXTA: TRANSFERENCIA

Las transferencias de Datos Personales que realice MEDILUX serán únicamente para cumplir las finalidades específicas para las cuales el titular otorgó su consentimiento o para el cumplimiento de la obligación legal o contractual con las consideraciones establecidas en el artículo 33 de la LOPDP. En caso de requerirlo y contar con el consentimiento del titular, MEDILUX transferirá a terceros únicamente la información necesaria para el cumplimiento de las finalidades para las cuales se otorgó consentimiento, garantizando un nivel de protección adecuado a los datos personales.

Además, suscribirá contratos que incluyan cláusulas de confidencialidad y manejo adecuado de datos personales para garantizar un sistema adecuado de protección de datos.

En el caso de realizarse transferencias internacionales, MEDILUX velará porque se garanticen los derechos de los titulares, para el efecto, cumplirá con las disposiciones normativas constantes en la Ley y el Reglamento de la materia.

CLÁUSULA SÉPTIMA: DATOS DE CATEGORÍA ESPECIAL, DE MENORES Y DE SALUD

MEDILUX por el giro de negocio no tratará datos de sensibles que puedan dar origen a discriminación o atenten contra derecho fundamentales del titular. En los casos de datos de categoría especial, como los datos relativos a salud, discapacidades o niños, niñas y adolescentes, MEDILUX obtendrá únicamente los datos indispensables para gestionar la relación con el titular, y los tratará de conformidad con el artículo 26 de la LOPDP, velando por los intereses de los titulares y asegurando el respeto a sus derechos fundamentales.

MEDILUX únicamente conocerá datos relativos a la salud, y/o datos de personas con discapacidad y de sus sustitutos, de modo estrictamente confidencial para poder atender el derecho superior del titular, incluyendo adecuar sus instalaciones para hacerlas más accesibles, atender necesidades especiales, tener las precauciones necesarias entendiendo los riesgos posibles a la salud de sus empleados y cumplir con la normativa en materia laborales vigente.

CLÁUSULA OCTAVA: MEDIDAS DE SEGURIDAD

MEDILUX, ha implementado e implementará todas las medidas técnicas, organizativas, jurídicas e informáticas para proteger los Datos Personales que recolecta y trata según un análisis de riesgos, amenazas y vulnerabilidades, teniendo en cuenta la naturaleza y volumen de los datos personales objeto del tratamiento. Esto lo hará en sus procesos por diseño y por defecto, utilizando sistemas de seguridad de la información en el ámbito digital y físico, con sus propios medios o por medio de proveedores especializados. Lo mismo se aplicará a los Encargados del tratamiento de datos, en el marco del encargo
dado por el responsable. Se realizarán las evaluaciones de impacto sobre el tratamiento e implementarán medidas de seguridad desde el diseño y por defecto, y se solicitará que los encargados mantengan un nivel óptimo y adecuado de la seguridad de la información.

CLÁUSULA NOVENA: NOTIFICACIÓN TRAS LA VULNERACIÓN

MEDILUX implementará todas las medidas técnicas, organizativas y de cualquier otra índole para minimizar los riesgos, amenazas y vulnerabilidades; será especialmente diligente en el mantenimiento de la seguridad de su información propia y de sus encargados y controlará que, en todos los procesos, desde el diseño, origen y por defecto, tenga un nivel adecuado de protección. En el caso de que MEDILUX detecte una vulneración a la seguridad de su información que pueda conllevar un riesgo a los
derechos fundamentales y libertades individuales de los titulares, activará el protocolo establecido previamente para el efecto y realizará una notificación a cada uno de los titulares y a las autoridades de control correspondientes, considerando lo establecido en el artículo 46 de la LOPDP.

Se considera que existe un riesgo a los derechos fundamentales y libertades individuales
de los titulares, en los siguientes casos:

i. Cuando los datos fueron destruidos, ya no existen o no están disponibles de una forma que sea de utilidad para el responsable del tratamiento;
ii. Cuando los datos personales han sido alterados, corrompidos o dejan de estar completos;
iii. Cuando el responsable del tratamiento ha perdido el control o el acceso a los datos, o ya no obran en su poder; o,
iv. Cuando el tratamiento no ha sido autorizado o es ilícito, lo cual incluye la divulgación de datos personales o el acceso por parte de destinatarios que no están autorizados a recibir o acceder a los datos o cualquier otra forma de tratamiento que se ejecuta contrariando las disposiciones de la Ley.

CLÁUSULA DÉCIMA: CONSERVACIÓN DE LOS DATOS

Los datos personales tendrán distintos plazos de conservación dependiendo del tipo de relación entre el responsable y el Titular. Este plazo de conservación siempre tendrá relación con las finalidades para las cuales se recogieron y con la justificación de su tratamiento. En las relaciones de carácter contractual se mantendrán los datos personales durante toda la relación contractual y por un plazo posterior, de conformidad con la normativa aplicable, en particular con relación a los plazos de prescripción de acciones.
Una vez concluido el plazo de conservación MEDILUX procederá a la eliminación, pseudonimización o anonimización de los datos personales.

CLÁUSULA DÉCIMA PRIMERA: CONFIDENCIALIDAD DE LA INFORMACIÓN PERSONAL

MEDILUX no venderá, intercambiará, alquilará o compartirá la Información Personal del Titular excepto en las formas establecidas en esta Política. Sin perjuicio de ello, el Titular consiente en forma expresa que MEDILUX transfiera total o parcialmente la Información Personal a cualquiera de las sociedades vinculadas con MEDILUX a cualquier título y en el momento, forma y condiciones que estime pertinente.
MEDILUX protegerá la privacidad de la Información Personal. Sin perjuicio de ello, puede suceder que, en virtud de órdenes judiciales, cuando se encuentre permitido por ley, o en caso de prevención de lavado de activos o financiamiento del terrorismo, MEDILUX revele la Información Personal a las autoridades o terceras partes sin el consentimiento del Titular.

CLÁUSULA DÉCIMA SEGUNDA: DERECHOS DEL TITULAR Y EJERCICIO DE LOS DERECHOS DEL TITULAR

MEDILUX garantiza el cumplimiento de los derechos garantizados a los titulares de datos personales en la LOPDP, para ello mantiene procedimientos internos adecuados para la recepción, análisis y resolución de los requerimientos de los titulares, así como un permanente control que permita verificar el cumplimiento de sus derechos, en relación a los Derechos de Acceso, Rectificación y Actualización, Eliminación, Oposición y Portabilidad, y demás, para ello se tomarán en cuenta las siguientes
estipulaciones:
i. Derecho de Acceso: el o los titulares de datos personales, o sus representantes legales, cuyos datos sean objeto de tratamiento por parte de MEDILUX tienen derecho a conocer y a obtener, gratuitamente todos sus datos personales y los detalles del tratamiento de dichos datos, sin necesidad de presentar justificación alguna. MEDILUX pone a su disposición el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO)” y garantiza que una vez recibido dicho formulario será atendido dentro del plazo de quince (15) días, siempre y cuando se encuentre toda la información necesaria o sea aclarada la solicitud.
ii. Derecho de rectificación y actualización: el o los titulares de datos personales cuyos datos sean objeto de tratamiento por parte de MEDILUX, o sus representantes legales, tienen derecho a la rectificación y actualización de sus datos personales inexactos o incompletos. Para el ejercicio de este derecho MEDILUX pone a su disposición el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO)”, que contiene un campo donde el o los titulares deberán presentar los justificativos de su solicitud. MEDILUX garantiza una respuesta dentro en un plazo de quince (15) días.
iii. Derecho de eliminación: los datos personales podrán ser eliminados, a petición del titular o titulares en los casos establecidos en la LOPDP, para ello MEDILUX pone a disposición de los titulares el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO)” y garantiza una respuesta a estas solicitudes en el plazo de quince (15) días de recibida la solicitud por parte del titular.
iv. Derecho de oposición: el o los titulares de datos personales cuyos datos sean objeto de tratamiento por parte de MEDILUX tienen derecho a oponerse al tratamiento de sus datos en los casos establecidos en la LOPDP, para ello MEDILUX pone a disposición de los titulares el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO)” y garantiza una respuesta a estas
solicitudes en el plazo de quince (15) días de recibida la solicitud por parte del titular.
v. Derecho de portabilidad: el o los titulares de datos personales cuyos datos sean objeto de tratamiento por parte de MEDILUX tienen derecho a recibir sus datos personales en un formato compatible, actualizado, estructurado, común, interoperable y de lectura mecánica, preservando sus características; o, mediante expresa solicitud del titular, a transferir a otro nuevo responsable del tratamiento de datos cuando fuera técnicamente posible, siempre y cuando se cumpla una de las condiciones establecidas en la Ley. Para ello MEDILUX pone a disposición de los titulares el Formulario de solicitud del Derecho a la Portabilidad.
vi. Derecho a la suspensión del tratamiento: el o los titulares de datos personales cuyos datos sean objeto de tratamiento por parte de MEDILUX tienen derecho a obtener del responsable del tratamiento la suspensión del tratamiento de los datos, cuando: se impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos; el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso; el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; y, cuando el interesado se haya opuesto al tratamiento en virtud del artículo 31 de la LOPDP, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado. Para ello MEDILUX pone a disposición de los titulares el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO)” y garantiza una respuesta a estas solicitudes en el plazo de quince (15) días de recibida la solicitud por parte del titular.
vii. Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas: el o los titulares de datos personales cuyos datos sean objeto de tratamiento por parte de MEDILUX tienen derecho a no ser sometidos a una decisión basada única o parcialmente en valoraciones que sean producto de procesos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales. Para ello MEDILUX pone a disposición de los titulares el “Formulario para el ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO)” y garantiza una respuesta a estas solicitudes en el plazo de quince (15) días de recibida la solicitud por parte del titular.
viii. Revocatoria de consentimiento: en caso de otorgarse el consentimiento para el tratamiento de los datos personales, la decisión de revocarlo será mediante el proceso establecido por MEDILUX, los formularios para los ejercicios de los derechos se pueden encontrar en la página web, y se los debe remitir a la siguiente dirección de correo electrónico, solicitud@sodigsa.com.

El ejercicio de los derechos estará sujeto a un análisis por parte de MEDILUX, para determinar si la solicitud de ejercicio de derechos es procedente o no, de lo cual se comunicará al titular en los términos y formas previstas en la Ley y su Reglamento.

CLÁUSULA DÉCIMA TERCERA: TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

En caso de transferencia internacional de datos, MEDILUX se cerciorará que sea efectuada a jurisdicciones que tutelen la protección y privacidad de datos personales.
MEDILUX no comunicará dichos datos a terceros, salvo cuando sea necesario para gestionar los procesos y servicios de MEDILUX. En particular, sólo tendrán acceso a los datos personales aquellos terceros a los que MEDILUX haya encomendado una prestación de servicios. Asimismo, MEDILUX podrá comunicar sus datos a sucursales y filiales, e igualmente para efectos de almacenar información en bases de datos locales y/o extranjeras.
En caso de que se tenga que realizar transferencias de datos a terceros países que pueden estar localizados en jurisdicciones que no necesariamente comprenden los mismos estándares de protección que Ecuador, MEDILUX adoptará las medidas adecuadas para garantizar una protección adecuada a los datos personales de acuerdo con la LOPDP.
Los destinatarios estarán sujetos a las mismas obligaciones y medidas de seguridad, técnicas y legales descritas en la LOPDP, normativa secundaria y resoluciones emitidas por la Autoridad de Protección de Datos

CLÁUSULA DÉCIMA CUARTA: LEGISLACIÓN APLICABLE Y RESOLUCION DE CONFLICTOS

Este informativo se encuentra regulado por la legislación ecuatoriana y, en particular, por la Ley Orgánica de Protección de Datos Personales, su Reglamento y demás normativa secundaria aplicable

CLÁUSULA DÉCIMA QUINTA: ACTUALIZACIÓN DE ESTA POLÍTICA

Esta política podrá actualizarse en cualquier momento. Así mismo, en virtud del artículo 76 de la LOPDP esta política podrá ser modificada una vez que la Autoridad de Protección de Datos emita las directrices para el diseño y contenido de la política de tratamiento de datos personales.

CLÁUSULA DÉCIMA SEXTA: CONSENTIMIENTO

El titular deja constancia de su aceptación, sin reserva ni condicionamiento alguno, de las declaraciones y compromisos que aquí se contienen. En particular, acepta y aprueba de forma expresa, libre, específica, inequívoca e informada el manejo de sus datos por parte de MEDILUX, en la forma y con los alcances que se detallan en este documento

CLÁUSULA DÉCIMA SÉPTIMA: DATOS DE CONTACTO DEL RESPONSABLE

Nombre: DESARROLLO E INTEGRACIÓN DE PROCESOS DIGITALES
SODIG S.A.
RUC: 1391879628001
Representante Legal: Josselyn Andrea Arévalo Cusme
Dirección: Av. Amazonas y Río Palora
Correo electrónico: solicitud@sodigsa.com
Teléfonos: 096 740 0689 / 02243 3412