Política de Protección de Datos Personales Softwaresystem Consulting Group

En cumplimiento de la Constitución de la República del Ecuador y la Ley Orgánica de Protección de Datos Personales (LOPDP), SOFTWARESYSTEM Consulting Group expide la presente Política de Protección de Datos Personales, con el objetivo de garantizar la integridad, disponibilidad, confidencialidad y seguridad de los datos personales de nuestros clientes, colaboradores y proveedores, conforme a los siguientes términos:

I.Datos del responsable encargado del tratamiento de datos personales

SOFTWARESYSTEM Consulting Group, con Ruc Nro. 17133066270001, ubicada en la calle Las Acacias, en la ciudad de Quito – Ecuador; representado Legalmente por el Ing. Gerardo Iván Cajamarca Méndez con correo electrónico contacto@softwaresystem-gc.com , quien actúa como responsable del tratamiento de datos personales.

II.Base legal del tratamiento de datos personales

SOFTWARESYSTEM Consulting Group realiza el tratamiento de datos personales de acuerdo con lo dispuesto en LOPDP y su reglamento; bajo el régimen de la presente política, y acorde a los principios establecidos en su artículo 10 que consagra los principios que toda empresa debe cumplir al tratar datos personales: juridicidad, lealtad, transparencia, finalidad, pertinencia, minimización, proporcionalidad, confidencialidad, calidad, exactitud, seguridad y responsabilidad proactiva y las bases legitimadoras del artículo 7 que establece los fundamentos legales que autorizan el tratamiento de datos personales; es decir, las razones válidas por las que una empresa puede recopilar y usar datos sin vulnerar los derechos del titular.

III.Alcance

Esta política aplica a todos los datos personales tratados por SOFTWARESYSTEM Consulting Group para la ejecución de sus actividades y cubre a:

  • Clientes: Que contraten o consulten los servicios de SOFTWARESYSTEM Consulting Group a través de cualquier canal: sitio web, redes sociales como, Facebook, WhatsApp, LinkedIn, correo electrónico o atención presencial. .
  • Trabajadores y Colaboradores: De SOFTWARESYSTEM Consulting Group.
  • Proveedores: Con quienes SOFTWARESYSTEM Consulting Group mantenga relaciones contractuales. .
  • Terceros: Cuyos datos personales sean accedidos en el marco de servicios especializados como auditoría informática, informática forense, ethical hacking y peritajes, los cuales serán tratados con estricta confidencialidad y exclusivamente bajo mandato contractual o judicial del cliente que encomienda el servicio.

SOFTWARESYSTEM Consulting Group realizara a las siguientes operaciones, siempre dentro del marco de la finalidad establecida: recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, elaboración, adaptación, modificación, eliminación, indexación, extracción, consulta, utilización, posesión, distribución, comunicación; o, cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

Todo el personal que acceda a datos personales en el ejercicio de sus funciones suscribirá un Acuerdo de Confidencialidad al momento de su incorporación, con vigencia indefinida incluso tras la terminación de la relación laboral o contractual.

Las categorías de datos tratados incluyen, según la finalidad: datos identificativos y de contacto, datos económicos y financieros, datos técnicos, datos sensibles aquellos que por su naturaleza especial merecen mayor protección, como datos de salud, biométricos, pasado judicial, entre otros, conforme al artículo 26 de la LOPDP, datos de geolocalización, y datos obtenidos en el contexto de servicios técnicos especializados.

IV.Finalidad del tratamiento

Las finalidades del tratamiento de datos personales que efectúa SOFTWARESYSTEM Consulting Group, incluyen.

A.CLIENTE 1. Consultoría en Protección de Datos Personales y delegado de Protección de datos personales Externo

SOFTWARESYSTEM Consulting Group presta servicios de asesoría y cumplimiento de la LOPDP, actuando como delegado de Protección de Datos Externo para otras organizaciones. En este contexto:

  • Se recopilan datos de identificación y contacto del representante legal y personal designado de la empresa cliente para gestionar la relación contractual y las comunicaciones del servicio.
  • En la ejecución del servicio, SOFTWARESYSTEM Consulting Group podrá acceder a datos personales de empleados, clientes o terceros de la organización contratante. En estos casos, SOFTWARESYSTEM Consulting Group actúa como Encargado del Tratamiento, es decir, trata datos por cuenta y bajo las instrucciones del cliente, quien es el responsable, con el exclusivo fin de implementar programas de cumplimiento, elaborar registros de actividades de tratamiento, políticas internas, formularios de consentimiento, contratos y demás herramientas exigidas por la LOPDP.
  • Toda información accedida en este servicio estará sujeta a un Acuerdo de Tratamiento de Datos (DPA) y a acuerdos de confidencialidad firmados antes del inicio del servicio.
2. Consultoría en Protección de Datos Personales y delegado de Protección de datos personales Externo
  • Durante la auditoría, SOFTWARESYSTEM Consulting Group puede acceder a sistemas, infraestructura tecnológica y eventualmente a datos personales almacenados en los entornos evaluados, siempre bajo mandato contractual escrito y en calidad de Encargado, con el único fin de evaluar controles, vulnerabilidades y el estado de cumplimiento normativo.
  • Los hallazgos que involucren datos personales de terceros serán presentados de forma anonimizada en los informes entregados al cliente, salvo que su identificación sea técnicamente indispensable y esté expresamente autorizada en el contrato.
3.Peritajes Informáticos
  • SOFTWARESYSTEM Consulting Group accede y analiza dispositivos, sistemas y datos digitales que pueden contener información personal de terceros, únicamente bajo mandato judicial o contractual expreso, con la finalidad de elaborar el dictamen pericial solicitado.
  • Todo dato personal accedido durante el peritaje será custodiado mediante cadena de custodia conforme a estándares forenses, no será divulgado a terceros no autorizados y no será utilizado para ningún fin distinto al encargo encomendado.
4.Ethical Hacking y Pruebas de Penetración
  • Durante la ejecución del servicio puede accederse a sistemas que contengan datos personales de empleados, clientes o terceros del cliente contratante. Dicho acceso se realizará exclusivamente dentro del alcance técnico definido en el Acuerdo de Alcance y Confidencialidad firmado previamente, con el único fin de identificar vulnerabilidades de seguridad.
  • Los datos personales a los que se acceda de forma incidental serán tratados con total confidencialidad. No serán copiados, divulgados ni conservados más allá del tiempo estrictamente necesario para documentar la vulnerabilidad detectada en el informe técnico.
  • Ningún servicio de ethical hacking será iniciado sin la firma previa del Acuerdo de Alcance y Autorización correspondiente.
5.Informática Forense
  • Se analiza evidencia digital que puede contener datos personales de terceros (correos electrónicos, archivos, registros de actividad, mensajes, entre otros), bajo mandato judicial o contractual, con el exclusivo fin de obtener, preservar y analizar evidencia digital para su uso en procesos legales o administrativos.
  • La cadena de custodia será mantenida de manera rigurosa durante todo el proceso. Los datos serán procesados únicamente por personal técnico habilitado, bajo estrictos acuerdos de confidencialidad.
  • Los informes periciales entregados al cliente o a la autoridad contendrán únicamente la información necesaria para el objeto del encargo.
6.Desarrollo de Software
  • En caso de que el desarrollo requiera acceso a bases de datos o entornos con datos personales reales, SOFTWARESYSTEM Consulting Group requerirá la anonimización o seudonimización de dichos datos previo al acceso, o en su defecto, la suscripción de un DPA que regule expresamente las condiciones de dicho acceso.
  • Los datos del cliente incorporados al software en desarrollo serán tratados conforme al contrato y devueltos o eliminados de forma segura a la finalización del proyecto.
7.Instalación de Redes
  • Se recopilan datos de identificación y contacto del cliente para la gestión del contrato y la coordinación técnica.
  • Durante la instalación, el personal técnico de SOFTWARESYSTEM Consulting Group puede acceder a instalaciones físicas y a información de configuración de red. Dicho acceso será estrictamente funcional y limitado al alcance técnico del servicio contratado.
  • Cualquier dato técnico o de configuración del cliente será tratado como información confidencial y no será divulgado a terceros.
8.Respaldo en la Nube
  • Los archivos y datos almacenados en las soluciones de respaldo pueden contener datos personales de clientes. SOFTWARESYSTEM Consulting Group actuará en todo momento como Encargado del Tratamiento y únicamente accederá a dichos datos en la medida estrictamente necesaria para la gestión técnica del servicio soporte, restauración, verificación de integridad.
9.Venta de Equipos Informáticos
  • Se recopilan datos de identificación y contacto del comprador para la gestión del pedido, emisión de cotización, prefactura y factura, entrega del equipo y atención de garantías.
  • Se recopilan datos financieros necesarios para la gestión del pago, en forma directa o a través de proveedores de pasarelas de pago debidamente autorizados y que cumplan con la normativa vigente.
  • Los datos serán conservados para el cumplimiento de garantías, obligaciones tributarias y eventuales reclamaciones contractuales conforme a los plazos establecidos en la sección V de esta política.
10.Comunicación Comercial y Marketing
  • Con el consentimiento previo del titular: envío de promociones, catálogos de servicios, boletines informativos y novedades del sector tecnológico, a través de los canales disponibles correo electrónico, WhatsApp, redes sociales.
  • El titular podrá revocar este consentimiento en cualquier momento, sin costo alguno y sin que ello afecte la relación contractual vigente, enviando su solicitud al correo indicado en la sección VIII de esta política.
11.Atención de consultas y medidas precontractuales
  • Gestionar las consultas, solicitudes de cotización e inquietudes planteadas por potenciales clientes a través del sitio web, redes sociales, correo electrónico o contacto directo, con el fin de brindar información sobre los servicios y formalizar una eventual contratación.
B.TRABAJADORES Y COLABORADORES

Los datos de trabajadores y colaboradores de SOFTWARESYSTEM Consulting Group serán utilizados para:

  • Proceso de reclutamiento, selección y vinculación laboral.
  • Gestión de nómina, pago de remuneraciones, beneficios de ley décimos, vacaciones, utilidades, horas suplementarias y extraordinarias.
  • Control de asistencia, gestión del horario laboral y control de acceso físico a instalaciones.
  • Capacitación, inducción, evaluación del desempeño y desarrollo profesional.
  • Gestión de acciones disciplinarias conforme al Reglamento Interno de Trabajo.
  • Comunicación de beneficios adicionales con prestadores de bienes y servicios.

La información sensible de los trabajadores datos de salud, biométricos, etc. será tratada de acuerdo con la LOPDP, procurando la disociación de información sensible cuando sea posible.

C.PROVEEDORES Y ALIADOS COMERCIALES
  • Datos de identificación y contacto para la gestión de la relación contractual, calificación como proveedores, pago y cumplimiento de obligaciones tributarias.
  • Verificación de referencias comerciales y antecedentes para los procesos de selección de proveedores.
  • Comunicaciones relacionadas con la ejecución del contrato y monitoreo de la prestación del servicio.
  • Gestión de obligaciones derivadas de la relación contractual con SOFTWARESYSTEM Consulting Group

V.Tiempo de Conservación

Los datos personales serán conservados únicamente por el tiempo necesario para el cumplimiento de la finalidad que motivó su recopilación y hasta la prescripción de las acciones legales correspondientes. Una vez cumplido el plazo, SOFTWARESYSTEM Consulting Group procederá con la eliminación segura, bloqueo o anonimización de los datos personales, de modo que no puedan ser recuperados.

siendo en la actualidad el tiempo legal de conservación, el siguiente:

MateriaPlazo de conservación
Datos contractuales y civiles acciones ordinarias, encargados del tratamiento10 + 1 = 11 años
Datos tributarios facturas, notas de venta, declaraciones7+1=8 años
Datos contables — libros de contabilidad y sus soportes6+1=7 años
Datos laborales — nómina, contratos, riesgos del trabajo, accidentes laborales10+1=11 años
Datos de peritajes y forense con mandato judicialHasta firmeza de la resolución judicial + 5 años
Informes de ethical hacking y auditoría técnicaDuración del contrato + 3 años
Datos de potenciales clientes sin contratación efectiva1 año desde el último contacto
Imágenes de videovigilancia30 días, salvo requerimiento legal o judicial
Currículos de aspirantes no seleccionados6 meses desde el cierre del proceso

Nota:La adquisición de un nuevo producto o servicio por parte del mismo cliente extiende el tiempo de almacenamiento de los datos relacionados, por constituir una nueva transacción independiente.

VI.Derechos de los Titulares de Datos Personales

En cumplimiento de los artículos 12 al 22 de la LOPDP que reconocen los derechos que toda persona tiene sobre sus propios datos personales y establecen la obligación de las empresas de garantizar su ejercicio, los titulares tienen los siguientes derechos:

  1. Acceso: Conocer si SOFTWARESYSTEM Consulting Group trata sus datos personales, obtener una copia y acceder a información sobre las finalidades, destinatarios y plazos de conservación.
  2. Rectificación y actualización: Solicitar la corrección de datos inexactos o incompletos, presentando los justificativos correspondientes.
  3. Supresión o eliminación: Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recopilados, cuando haya revocado su consentimiento o cuando el tratamiento sea contrario a la ley.
  4. Oposición: Oponerse al tratamiento de sus datos, especialmente cuando se realice con fines de marketing directo o con base en interés legítimo.
  5. Limitación del tratamiento: Solicitar la restricción del tratamiento cuando se impugne la exactitud de los datos o el tratamiento sea ilícito y el titular prefiera la restricción a la eliminación.
  6. Portabilidad: Recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y solicitar su transmisión a otro responsable cuando sea técnicamente posible.
  7. Revocatoria del consentimiento: Retirar el consentimiento dado en cualquier momento, sin efecto retroactivo sobre el tratamiento previamente realizado y sin que ello genere perjuicio alguno al titular.
  8. No ser objeto de decisiones automatizadas: Solicitar explicación motivada, presentar observaciones e impugnar decisiones basadas únicamente en tratamientos automatizados.

Para el ejercicio de sus derechos el interesado o titular de los datos personales, podrá hacer llenar la solicitud, adjuntando los documentos que acrediten su comparecencia al correo electrónico: contacto@softwaresystem-gc.com.

VII.Canal y Procedimiento para el ejercicio de los Derechos de Protección de Datos de Datos Personales

En caso de que el titular de los datos personales necesite realizar alguna comunicación o ejercer sus derechos sobre el tratamiento de sus datos personales, podrá hacerlo a través del siguiente contacto:

Datos de contacto de atenciónGerardo Cajamarca
Dependencia o área encargada de los asuntos de protección de datosProtección de Datos
Dirección físicaLas Acacias, cuidad de Quito-Ecuador
Dirección de correo electrónicocontacto@softwaresystem-gc.com

VIII.Consentimiento e Interés Legítimo del Tratamiento

SOFTWARESYSTEM-GC entiende el consentimiento no como un trámite formal, sino como una expresión genuina de la autonomía del titular sobre sus propios datos. Por ello, cuando el consentimiento constituye la base que legitima el tratamiento, este será siempre obtenido antes de cualquier recopilación de información, de forma completamente voluntaria y sin condicionamientos. El mecanismo utilizado es una casilla de verificación que se presenta desmarcada por defecto en los formularios correspondientes; únicamente el acto deliberado del titular de marcarla reflejará su aceptación libre e informada. Cada consentimiento quedará registrado en un repositorio auditable, de manera que SOFTWARESYSTEM Consulting Group pueda acreditar en todo momento, ante cualquier autoridad o tercero, que el tratamiento cuenta con respaldo válido.

El titular puede retirar su consentimiento en cualquier momento, de forma gratuita y sin necesidad de explicar sus razones, utilizando los canales indicados en la sección VIII de esta política. Este retiro no tendrá efectos retroactivos sobre el tratamiento ya realizado, ni interrumpirá las obligaciones contractuales que requieran del tratamiento de datos para su cumplimiento.

Es importante que el titular conozca que el consentimiento no es la única razón legal por la que SOFTWARESYSTEM Consulting Group puede tratar datos personales. La Ley Orgánica de Protección de Datos Personales, en su artículo 7, reconoce otras situaciones en que el tratamiento es completamente lícito sin que se requiera autorización expresa del titular. En el contexto específico de los servicios que SOFTWARESYSTEM Consulting Group presta, estas situaciones son especialmente relevantes:

Cuando SOFTWARESYSTEM Consulting Group actúa como perito informático o investigador forense dentro de un proceso judicial, el tratamiento de los datos encontrados en la evidencia digital se sustenta en el cumplimiento de una orden judicial, sin que sea posible ni necesario solicitar consentimiento a los titulares involucrados. Del mismo modo, cuando la empresa debe cumplir con obligaciones legales en materia tributaria, laboral o societaria, el tratamiento de los datos necesarios para ello es legítimo por mandato de la ley.

En la prestación de servicios como auditoría informática, ethical hacking o consultoría en protección de datos, el tratamiento se fundamenta en la ejecución del contrato suscrito con el cliente o en las medidas precontractuales previas a su firma, lo que constituye por sí solo una base legitimadora suficiente. Cuando en el desarrollo de estos servicios se acceda incidentalmente a datos de terceros, dicho acceso se ampara en el interés legítimo del cliente contratante, siempre que no prevalezcan los derechos fundamentales de los titulares afectados.

Finalmente, en situaciones excepcionales donde sea necesario actuar para proteger la vida, salud o integridad física de una persona, SOFTWARESYSTEM Consulting Group podrá tratar los datos estrictamente indispensables para atender dicha emergencia, con independencia de que exista o no consentimiento previo.

IX.Seguridad de la Información

Sabemos que, al entregarnos sus datos personales, nuestros clientes, colaboradores y proveedores están depositando en nosotros una confianza que no tomamos a la ligera. Cuidar esa información es, para SOFTWARESYSTEM Consulting Group, tan importante como el servicio mismo que prestamos.

Esto no es una declaración vacía. Trabajamos todos los días en un entorno donde los riesgos digitales son reales y constantes, y precisamente por eso aplicamos puertas adentro los mismos criterios de seguridad que llevamos a nuestros clientes. Protegemos los datos desde cuatro ángulos: nos aseguramos de que la información viaje y se guarde de forma segura; controlamos quién puede acceder a qué, de modo que nadie tenga más acceso del que realmente necesita; cuidamos también los espacios físicos donde se maneja información; y respaldamos todo ello con acuerdos y compromisos legales que vinculan a cada persona que forma parte de nuestro equipo.

Hablando de equipo: cualquier persona que trabaje con nosotros, ya sea empleado fijo, consultor o colaborador puntual, firma un compromiso de confidencialidad desde el primer día. Y ese compromiso no termina cuando termina el contrato. Se mantiene vigente para siempre, porque la información a la que se tuvo acceso no deja de ser sensible por el hecho de que la relación laboral haya concluido. Esto cobra especial relevancia en servicios como informática forense o ethical hacking, donde nuestro personal puede encontrarse con datos personales de personas que ni siquiera son clientes directos nuestros.

Si alguna vez ocurriera un incidente que pusiera en riesgo datos personales, no esperaremos ni ocultaremos nada. Actuaremos de inmediato para contener el problema, proteger a las personas afectadas y notificar a la Autoridad de Protección de Datos Personales del Ecuador dentro de los plazos establecidos

X.Modificaciones a la Política

La presente política será revisada con periodicidad, o con carácter extraordinario cuando se produzcan cambios normativos, resoluciones de la Autoridad de Protección de Datos Personales, o modificaciones sustanciales en los servicios o procesos de SOFTWARESYSTEM Consulting Group. Todas las actualizaciones serán publicadas en esta misma página web.