IMPLEMENTACIÓN LOPDP
POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES
CORPORACIÓN BUDAK S.A.
|
Campo |
Detalle |
|
Responsable del tratamiento |
CORPORACIÓN BUDAK S.A. |
|
RUC |
1792348137001 |
|
Representante legal |
LOZADA LOPEZ GERMAN BOLIVAR |
|
Domicilio |
Barrio Poder Judicial, calle Francisco de Orellana No. L-198 e intersección Hernando de Magallanes, edificio BUDAK S.A., bloque Torre B, segundo piso, referencia: Autopista General Rumiñahui entre Puente 2 y 3, parroquia Conocoto, cantón Quito, provincia de Pichincha. |
|
Versión |
1.0 |
|
Fecha de emisión |
Quito, 05 de junio de 2026 |
|
Código documental |
LOPDP-POL-01-BUDAK |
|
Estado |
Documento de implementación - versión principal |
Documento elaborado para uso institucional del responsable del tratamiento, dentro del proceso de implementación de la Ley Orgánica de Protección de Datos Personales.
CONTROL DOCUMENTAL
|
Elemento |
Descripción |
|
Documento |
Política de Tratamiento y Protección de Datos Personales |
|
Código |
LOPDP-POL-01-BUDAK |
|
Responsable |
CORPORACIÓN BUDAK S.A. |
|
Versión |
1.0 |
|
Fecha de emisión |
05 de junio de 2026 |
|
Periodicidad de revisión |
Anual o cuando existan cambios normativos, tecnológicos, operativos, contractuales o de tratamiento de datos personales. |
|
Ámbito de aplicación |
Trabajadores, ex trabajadores, candidatos, clientes, proveedores, visitantes, contratistas, encargados, terceros y demás titulares cuyos datos personales sean tratados por la Compañía. |
INTRODUCCIÓN
Mediante la presente Política de Tratamiento y Protección de Datos Personales, la Compañía establece los lineamientos jurídicos, técnicos, administrativos y organizativos aplicables al tratamiento de datos personales que realiza en el desarrollo de su actividad económica, en cumplimiento de la Ley Orgánica de Protección de Datos Personales, su Reglamento General y demás normativa ecuatoriana aplicable.
Esta Política se emite como parte del proceso de implementación LOPDP de la Compañía y tiene por finalidad informar a los titulares sobre la forma en que sus datos personales son recopilados, registrados, almacenados, consultados, utilizados, comunicados, conservados, bloqueados, eliminados o tratados por cualquier medio físico, digital, automatizado o no automatizado.
La Política aplica a datos personales tratados actualmente y a aquellos que la Compañía trate en el futuro, siempre dentro de finalidades determinadas, explícitas, legítimas y proporcionales a la operación real de la Compañía. Su aplicación alcanza a trabajadores, ex trabajadores, candidatos, clientes, prospectos, consumidores cuando corresponda, proveedores, representantes legales, contactos comerciales, funcionarios o delegados de entidades públicas, visitantes, contratistas, transportistas, asesores, encargados del tratamiento y cualquier persona natural cuyos datos sean tratados por la Compañía.
Para estos efectos, CORPORACIÓN BUDAK S.A., en adelante la "Compañía", es una sociedad domiciliada en la República del Ecuador, dedicada principalmente a fabricación y comercialización de productos de papel, útiles de escritorio, artículos de limpieza, productos de papelería, empaques, productos plásticos y venta de bienes relacionados, incluyendo gestión de clientes, ventas, facturación, cartera, logística, marketing, proveedores, talento humano, seguridad y salud ocupacional y sistemas.
Esta Política debe interpretarse de manera armónica con los demás documentos del sistema de protección de datos de la Compañía, incluyendo avisos cortos de privacidad, procedimiento de ejercicio de derechos ARCO+, formularios de solicitud, procedimiento de consentimiento informado y revocatoria, cláusulas laborales, cláusulas con proveedores y encargados, política de conservación y eliminación, protocolo de incidentes, política de seguridad de la información y lineamientos de uso de canales y repositorios.
1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO
|
Dato |
Información |
|
Responsable del tratamiento |
CORPORACIÓN BUDAK S.A. |
|
RUC |
1792348137001 |
|
Representante legal |
LOZADA LOPEZ GERMAN BOLIVAR |
|
Domicilio |
Barrio Poder Judicial, calle Francisco de Orellana No. L-198 e intersección Hernando de Magallanes, edificio BUDAK S.A., bloque Torre B, segundo piso, referencia: Autopista General Rumiñahui entre Puente 2 y 3, parroquia Conocoto, cantón Quito, provincia de Pichincha. |
|
Canales de atención de protección de datos |
datospersonales@corporacionbudak.com.ec. También se receptarán solicitudes escritas en el domicilio de la Compañía y por los canales corporativos oficialmente comunicados al titular. |
|
Calidad en la que actúa |
Responsable del tratamiento, en cuanto decide sobre las finalidades, medios esenciales, bases legitimadoras y condiciones principales del tratamiento de datos personales en el desarrollo de sus actividades. |
2. OBJETIVO DE LA POLÍTICA
La presente Política tiene como objetivo establecer los lineamientos bajo los cuales la Compañía trata y protege los datos personales en el desarrollo de su objeto y operación. Para ello, determina finalidades, bases legitimadoras, categorías de titulares, canales de captación, deberes del responsable, derechos de los titulares, reglas de conservación, mecanismos de atención, seguridad de la información y gestión de terceros o encargados del tratamiento.
La Política busca que todo tratamiento se realice de manera lícita, leal, transparente, segura, proporcional y documentada, evitando la recolección excesiva, la conservación indefinida no justificada, el uso de datos para finalidades incompatibles, el acceso no autorizado y la comunicación de datos personales sin base legitimadora.
3. ALCANCE Y ÁMBITO DE APLICACIÓN
Esta Política es aplicable a todos los tratamientos de datos personales realizados por la Compañía, por medios físicos, digitales, automatizados o no automatizados, en sus oficinas, establecimientos, operaciones, repositorios, sistemas, archivos físicos, canales de comunicación y plataformas tecnológicas.
Su cumplimiento es obligatorio para administradores, representantes, trabajadores, jefaturas, áreas operativas, proveedores, contratistas, encargados, subencargados, asesores, auditores, transportistas, agencias, proveedores tecnológicos y terceros que accedan a datos personales por cuenta o en relación con la Compañía.
Las áreas consideradas dentro del alcance operativo de esta Política incluyen, según corresponda a la operación real de la Compañía: ventas BUDAK, marketing, contabilidad BUDAK, compras, tesorería relacionada, logística, talento humano, seguridad y salud ocupacional, sistemas.
4. MARCO LEGAL
La presente Política se emite considerando la normativa ecuatoriana vigente en materia de protección de datos personales y demás normativa relacionada con la operación de la Compañía, incluyendo, de manera principal:
- Constitución de la República del Ecuador, especialmente el derecho a la protección de datos personales reconocido en el artículo 66 numeral 19.
- Ley Orgánica de Protección de Datos Personales - LOPDP.
- Reglamento General a la Ley Orgánica de Protección de Datos Personales.
- Normativa, directrices, resoluciones, guías e instrucciones emitidas por la Superintendencia de Protección de Datos Personales u autoridad competente.
- Normas laborales, tributarias, societarias, contables, mercantiles, de seguridad social, seguridad y salud ocupacional, contratación pública, defensa del consumidor, comercio electrónico y demás normativa aplicable según la finalidad del tratamiento.
Cuando existan modificaciones normativas, criterios regulatorios o instrucciones de autoridad que incidan en el tratamiento de datos personales, la Compañía actualizará esta Política y los documentos internos relacionados.
5. DEFINICIONES
Para efectos de esta Política se aplicarán las definiciones previstas en la LOPDP, su Reglamento y normativa concordante. Sin perjuicio de ello, para facilitar su comprensión se consideran especialmente las siguientes:
|
Término |
Definición operativa |
|
Dato personal |
Información que identifica o hace identificable a una persona natural, directa o indirectamente. |
|
Dato personal sensible |
Dato relativo a salud, discapacidad, datos biométricos, origen étnico, convicciones, vida sexual, orientación sexual, datos genéticos u otros cuya utilización indebida pueda generar discriminación o riesgo significativo para el titular. |
|
Titular |
Persona natural a quien corresponden los datos personales. |
|
Responsable del tratamiento |
Persona natural o jurídica que decide sobre la finalidad y medios esenciales del tratamiento. |
|
Encargado del tratamiento |
Persona natural o jurídica que trata datos personales por cuenta y bajo instrucciones del responsable. |
|
Tratamiento |
Cualquier operación sobre datos personales, como recolección, registro, almacenamiento, organización, consulta, uso, comunicación, transferencia, conservación, bloqueo, eliminación o destrucción. |
|
Base legitimadora |
Fundamento jurídico que habilita el tratamiento de datos personales, tales como consentimiento, contrato, obligación legal, interés legítimo, interés público o protección de intereses vitales. |
|
Vulneración de seguridad |
Evento que ocasione o pueda ocasionar destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales. |
|
Canal corporativo |
Medio físico o digital autorizado por la Compañía para recolectar, comunicar, almacenar o gestionar datos personales. |
6. PRINCIPIOS APLICABLES AL TRATAMIENTO
|
Principio |
Aplicación en la Compañía |
|
Juridicidad, lealtad y transparencia |
Todo tratamiento deberá contar con una base legitimadora válida y ser informado al titular de manera clara, comprensible y suficiente. |
|
Finalidad |
Los datos serán tratados únicamente para finalidades determinadas, explícitas, legítimas y compatibles con la relación existente con el titular. |
|
Pertinencia y minimización |
Solo se recopilarán los datos necesarios y adecuados para cumplir la finalidad correspondiente, evitando solicitudes excesivas o no justificadas. |
|
Exactitud y actualización |
La Compañía procurará mantener los datos exactos y actualizados, habilitando mecanismos de rectificación y actualización. |
|
Limitación del plazo de conservación |
Los datos serán conservados durante el tiempo necesario para la finalidad informada y por los plazos exigidos por obligaciones legales, contractuales, tributarias, laborales, contables o de defensa jurídica. |
|
Seguridad, integridad y confidencialidad |
La Compañía adoptará medidas razonables de seguridad física, lógica, organizativa y contractual para prevenir pérdida, uso indebido, acceso no autorizado, alteración o divulgación indebida. |
|
Responsabilidad proactiva |
La Compañía deberá demostrar, mediante políticas, matrices, procedimientos, registros, evidencias y controles, que adopta medidas efectivas de cumplimiento. |
7. DEBERES DE LA COMPAÑÍA COMO RESPONSABLE DEL TRATAMIENTO
La Compañía, en su calidad de responsable del tratamiento, asume los siguientes deberes, sin perjuicio de los demás previstos en la normativa aplicable:
- Garantizar al titular, en todo momento, el ejercicio efectivo de sus derechos sobre sus datos personales.
- Informar al titular sobre la finalidad, base legitimadora, destinatarios, conservación, canales de atención y demás condiciones relevantes del tratamiento.
- Tratar datos personales únicamente cuando exista una base legitimadora válida y una finalidad determinada, explícita y legítima.
- Solicitar y conservar soporte del consentimiento cuando el tratamiento se sustente en dicha base, evitando requerir consentimiento para tratamientos sustentados en contrato, ley o interés legítimo.
- Permitir el acceso a datos personales únicamente a personas autorizadas, conforme a perfiles, funciones y necesidad operativa.
- Implementar medidas de seguridad físicas, digitales, organizativas, jurídicas y contractuales acordes con la naturaleza de los datos y el nivel de riesgo.
- Rectificar o actualizar información incorrecta, incompleta o desactualizada cuando corresponda.
- Conservar los datos personales solo durante el tiempo necesario para la finalidad y por los plazos exigidos por normas aplicables o defensa de derechos.
- Gestionar, documentar y responder solicitudes, consultas, reclamos y ejercicio de derechos de los titulares.
- Gestionar incidentes y vulneraciones de seguridad conforme al protocolo interno, notificando a la autoridad y a los titulares cuando corresponda legalmente.
- Suscribir cláusulas, contratos o anexos de protección de datos con proveedores o encargados que traten datos por cuenta de la Compañía.
- Velar por el uso adecuado de datos de niños, niñas y adolescentes cuando sean tratados, especialmente en información de cargas familiares, beneficios laborales o relaciones de consumo que lo requieran.
- Evitar tratar datos personales controvertidos por el titular en los términos y alcance previstos por la ley.
- Capacitar y concientizar al personal sobre confidencialidad, seguridad, canales autorizados, incidentes y cumplimiento de esta Política.
8. RELACIÓN CON ENCARGADOS, PROVEEDORES Y TERCEROS
Para el cumplimiento de sus actividades, la Compañía podrá contratar o relacionarse con terceros que accedan o traten datos personales, tales como proveedores tecnológicos, auditores, asesores tributarios, contables, legales o laborales, bancos, aseguradoras, transportistas, couriers, agencias de marketing, proveedores de software, proveedores de cámaras o biométricos, médicos ocupacionales, laboratorios, contratistas, proveedores de seguridad, entidades públicas y otros terceros relacionados con la operación.
Cuando el tercero trate datos personales por cuenta y bajo instrucciones de la Compañía, deberá ser tratado como encargado del tratamiento y suscribirá un contrato, cláusula o anexo que establezca, como mínimo: objeto, duración, naturaleza, finalidad, tipo de datos, categorías de titulares, instrucciones del responsable, confidencialidad, medidas de seguridad, subencargos, asistencia en derechos, incidentes, devolución o eliminación de datos y prohibición de uso para fines propios no autorizados.
Cuando el tercero reciba datos como destinatario independiente por obligación legal, contractual o por su propia calidad de responsable, la comunicación deberá estar limitada a los datos necesarios para la finalidad y documentada en la matriz de terceros o registro correspondiente.
9. DERECHOS DE LOS TITULARES
Los titulares podrán ejercer, de forma gratuita y conforme a la normativa aplicable, los derechos reconocidos en materia de protección de datos personales. La Compañía garantizará el ejercicio de estos derechos a través de los canales señalados en esta Política y en los formularios de solicitud correspondientes.
|
Derecho |
Alcance |
|
Acceso |
Conocer si sus datos personales están siendo tratados y obtener información sobre las finalidades, categorías de datos, destinatarios, conservación y demás aspectos del tratamiento. |
|
Rectificación y actualización |
Solicitar la corrección de datos inexactos, incompletos, erróneos o desactualizados. |
|
Eliminación |
Solicitar la supresión de datos cuando se cumplan las condiciones legales y no exista obligación legal, contractual, contable, tributaria, laboral o de defensa que exija conservarlos. |
|
Oposición |
Oponerse al tratamiento cuando proceda legalmente, especialmente frente a tratamientos basados en interés legítimo o comunicaciones comerciales no deseadas. |
|
Anulación |
Solicitar la anulación del tratamiento cuando se configure una causal legal aplicable. |
|
Limitación o suspensión del tratamiento |
Solicitar la restricción temporal del tratamiento en los supuestos previstos por la normativa. |
|
Portabilidad |
Recibir o transmitir sus datos en formato estructurado, cuando el tratamiento se base en consentimiento o contrato y se realice por medios automatizados, siempre que no afecte derechos de terceros. |
|
No ser objeto de decisiones automatizadas |
Solicitar intervención humana, explicación o impugnación cuando exista una decisión basada únicamente en tratamientos automatizados que produzca efectos jurídicos o afecte significativamente al titular. |
|
Revocatoria del consentimiento |
Retirar el consentimiento otorgado cuando el tratamiento se sustente en esta base, sin afectar la licitud de los tratamientos realizados con anterioridad ni aquellos amparados en otra base legitimadora. |
10. CANALES Y MECANISMOS DE CAPTACIÓN DE DATOS PERSONALES
La Compañía podrá recopilar datos personales a través de diferentes canales, siempre que exista una base legitimadora y finalidad determinada. Entre los canales de captación se incluyen:
- documentos físicos, contratos, formularios, fichas, hojas de vida, actas, guías, órdenes de compra, facturas y soportes;
- correo electrónico corporativo;
- WhatsApp corporativo o canales de mensajería autorizados;
- sistemas contables, ERP, plataformas de facturación y sistemas internos;
- servidor NAS, carpetas compartidas, Drive, OneDrive o repositorios autorizados;
- sistemas de videovigilancia, biométricos y controles de acceso;
- formularios web, redes sociales, campañas, pauta digital o canales de marketing cuando correspondan;
- fuentes públicas permitidas por la ley y entidades públicas o privadas que entreguen información legítimamente.
En la operación específica de la Compañía, las fuentes y canales relevantes incluyen:
- clientes empresariales, distribuidores, consumidores o contactos comerciales cuando corresponda
- información obtenida mediante RUC y fuentes públicas permitidas como SRI cuando sea necesario para facturación o registro de cliente
- base general, Drive, ERP, sistema interno, WhatsApp corporativo y correo institucional
- expedientes físicos de facturación y archivo contable
- documentos laborales y de seguridad y salud ocupacional
11. LIMITACIÓN EN LA CAPTACIÓN Y CALIDAD DE LA INFORMACIÓN
La recolección de datos personales deberá limitarse a aquellos datos adecuados, pertinentes y necesarios para la finalidad correspondiente. Las áreas de la Compañía deberán evitar solicitar documentos o datos adicionales cuando la finalidad pueda cumplirse con información menos invasiva.
El titular deberá procurar entregar información veraz, completa, exacta y actualizada. La Compañía no será responsable por daños o errores derivados de información falsa, incompleta, inexacta o desactualizada entregada por el titular, sin perjuicio de facilitar los mecanismos de rectificación y actualización cuando corresponda.
Las áreas que reciban solicitudes de actualización, corrección o rectificación deberán canalizarlas conforme al procedimiento interno de derechos ARCO+ y, cuando sea posible, corregir operativamente el dato en el sistema o archivo correspondiente.
12. BASES LEGITIMADORAS PARA EL TRATAMIENTO
La Compañía tratará datos personales únicamente cuando exista una base legitimadora prevista en la LOPDP. La base aplicable dependerá de la finalidad, la categoría de datos, la relación con el titular y el riesgo del tratamiento.
|
Base legitimadora |
Aplicación práctica |
|
Consentimiento del titular |
Aplicable a tratamientos voluntarios, no necesarios para ejecutar una relación contractual, cumplir obligaciones legales o satisfacer un interés legítimo prevalente; por ejemplo, ciertas comunicaciones comerciales, uso de imagen para redes sociales o finalidades promocionales no indispensables. |
|
Ejecución de contrato o aplicación de medidas precontractuales |
Aplicable a selección de personal, contratación laboral, gestión de clientes, proveedores, cotizaciones, órdenes de compra, prestación de servicios, ventas, entregas, atención de reclamos y demás relaciones contractuales. |
|
Cumplimiento de obligación legal |
Aplicable a obligaciones tributarias, contables, societarias, laborales, seguridad social, seguridad y salud ocupacional, reportes a autoridades, requerimientos judiciales o administrativos y conservación documental obligatoria. |
|
Interés legítimo del responsable o de un tercero |
Aplicable cuando exista una finalidad legítima, necesaria y proporcionada, sin afectar indebidamente derechos del titular; por ejemplo, seguridad física, videovigilancia, prevención de fraude, defensa jurídica, gestión de incidentes, continuidad operativa y seguridad de la información. |
|
Protección de intereses vitales |
Aplicable en situaciones excepcionales de emergencia médica, seguridad, accidentes, incidentes o riesgos graves que requieran tratar datos para proteger la vida o integridad del titular o de terceros. |
|
Interés público o ejercicio de competencias públicas |
Aplicable cuando se atiendan requerimientos de autoridades, procesos de contratación pública, catálogo electrónico, entidades de control o demás supuestos habilitados por la ley. |
La Compañía evitará fundamentar en consentimiento aquellos tratamientos que sean necesarios para ejecutar contratos, cumplir obligaciones legales, gestionar la relación laboral, emitir facturas, realizar pagos, reportar información a autoridades, administrar seguridad y salud ocupacional, proteger instalaciones o ejercer defensa jurídica. En tales casos, la base será la que corresponda legalmente.
13. REVOCATORIA DEL CONSENTIMIENTO
Cuando el tratamiento se sustente en el consentimiento, el titular podrá revocarlo en cualquier momento mediante los canales habilitados por la Compañía. La revocatoria podrá ser total o parcial respecto de una o varias finalidades autorizadas.
La revocatoria no afectará la licitud de los tratamientos realizados antes de su recepción ni impedirá que la Compañía continúe tratando datos personales cuando exista otra base legitimadora, como cumplimiento de obligaciones legales, ejecución contractual, seguridad, interés legítimo, defensa jurídica o conservación documental obligatoria.
La Compañía garantizará mecanismos razonables para que la revocatoria sea tan sencilla como la forma en que se otorgó el consentimiento, especialmente en comunicaciones comerciales, uso de imagen y finalidades voluntarias.
14. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS Y FINALIDADES
Los datos personales podrán ser sometidos a operaciones de recolección, registro, almacenamiento, organización, conservación, consulta, uso, análisis, comunicación, transferencia, cotejo, actualización, bloqueo, eliminación, anonimización o destrucción, según corresponda a la finalidad y base legitimadora aplicable.
La Compañía tratará datos personales para las siguientes finalidades generales y específicas:
14.1. Gestión de candidatos, selección y contratación
-
- Recibir, analizar y conservar hojas de vida, cédulas, referencias, antecedentes, certificados, datos familiares, domicilios y demás documentos necesarios para procesos de selección.
- Evaluar perfiles, validar referencias, realizar entrevistas, gestionar comunicaciones de selección y adoptar decisiones precontractuales.
- Conservar información de candidatos durante el plazo definido en esta Política y eliminar o bloquear información cuando deje de ser necesaria.
14.2. Gestión laboral, nómina, beneficios y ex trabajadores
- Administrar contratos de trabajo, expedientes laborales, roles de pago, cuentas bancarias, beneficios, liquidaciones, finiquitos, sanciones, evaluaciones, capacitaciones, cargas familiares y obligaciones patronales.
- Reportar información ante IESS, MDT/SUT, SRI, autoridades laborales, bancos, aseguradoras, auditores, asesores y demás destinatarios legitimados.
- Gestionar comunicaciones laborales por canales corporativos, WhatsApp autorizado, correo, documentos físicos o digitales, siempre bajo reglas de confidencialidad y necesidad.
14.3. Seguridad y salud ocupacional
- Gestionar fichas ocupacionales, certificados médicos, incapacidades, accidentes, incidentes, permisos médicos, embarazo, discapacidad, vacunas, tipo de sangre, contactos de emergencia, entrega de EPP, capacitaciones e inspecciones.
- Cumplir obligaciones legales en materia de seguridad y salud ocupacional, prevención de riesgos, reportes a autoridades, protección de trabajadores, investigación de incidentes y trazabilidad de enfermedades profesionales.
- Separar y proteger la información médica o sensible mediante acceso restringido, archivo controlado y confidencialidad reforzada.
14.4. Clientes, ventas, facturación y atención
- Gestionar clientes, consumidores cuando corresponda, contactos comerciales, cotizaciones, pedidos, historial de compras, facturación, retenciones, notas de crédito, entrega de productos o servicios, reclamos, garantías y atención postventa.
- Usar datos de identificación, contacto, facturación, dirección, RUC/cédula, teléfonos, correos, representantes, administradores de contrato, funcionarios, historial de pagos y soportes necesarios.
- Coordinar internamente con ventas, contabilidad, tesorería, logística, calidad, gerencia y demás áreas que requieran la información para ejecutar la relación comercial.
14.5. Proveedores, compras y contratación de terceros
- Crear, evaluar, actualizar y gestionar proveedores, cotizaciones, órdenes de compra, contratos, cuentas bancarias, certificados, documentos societarios, RUC, cédulas, representantes legales, contactos, correos, teléfonos y direcciones.
- Realizar validaciones de proveedores, evaluaciones periódicas, controles de calidad, prevención de fraude, confirmación de datos bancarios, pagos y cumplimiento de obligaciones contractuales.
- Compartir información con tesorería, contabilidad, gerencia, logística, calidad, auditores, asesores externos, bancos o áreas internas cuando sea necesario.
14.6. Contabilidad, tesorería, auditoría y obligaciones legales
- Registrar transacciones de compra y venta, facturación, retenciones, declaraciones, anexos, libros contables, estados financieros, comprobantes de pago, certificados bancarios, pagos de nómina, cálculos actuariales y soportes tributarios.
- Cumplir obligaciones tributarias, contables, societarias, laborales, auditorías, reportes a autoridades, gestión bancaria, conciliación, aprobación y ejecución de pagos.
- Conservar respaldos documentales por los plazos establecidos en esta Política y normativa aplicable.
14.7. Logística, rutas, despacho y entregas
- Gestionar pedidos, guías, órdenes de despacho, actas entrega-recepción, hojas de ruta, comprobantes, fotografías, firmas, direcciones, teléfonos, contactos, ubicación o referencias para entrega.
- Coordinar entregas con transportistas internos, externos, courier, mensajería, retiros personales o clientes, compartiendo únicamente la información necesaria para la entrega.
- Gestionar devoluciones, entregas fallidas, cambios de dirección, reclamos y soportes de trazabilidad.
14.8. Marketing, comunicaciones comerciales e imagen
- Gestionar campañas, comunicaciones comerciales, redes sociales, pauta digital, artes, flyers, packaging, material institucional, bases comerciales, WhatsApp, correo, llamadas o canales similares.
- Utilizar datos para marketing únicamente cuando exista base legitimadora aplicable y se informe al titular sobre la posibilidad de oposición, baja o revocatoria cuando corresponda.
- Usar fotografías, videos, testimonios o imagen de trabajadores, clientes, proveedores o asistentes a eventos únicamente cuando exista soporte suficiente, finalidad informada y consentimiento cuando corresponda.
14.9. Videovigilancia, visitantes, seguridad física y áreas restringidas
- Adoptar medidas de seguridad para trabajadores, clientes, visitantes, proveedores, contratistas y terceros que ingresen o permanezcan en instalaciones de la Compañía.
- Prevenir, detectar, investigar y documentar incidentes, accesos no autorizados, pérdidas, hurtos, riesgos de seguridad, emergencias o incumplimientos de seguridad.
- Informar mediante letreros o avisos visibles la existencia de videovigilancia, finalidad, responsable, canales de ejercicio de derechos y demás elementos esenciales.
14.10. Biométricos y control de acceso
- Gestionar acceso a instalaciones, áreas restringidas, asistencia, seguridad física y control de ingreso o salida, cuando el uso de biométricos sea necesario, proporcional y justificado.
- Aplicar medidas reforzadas para datos biométricos, incluyendo acceso restringido, finalidad específica, conservación limitada, trazabilidad y prohibición de usos incompatibles.
- Informar al titular mediante avisos, cláusulas o documentos internos sobre el tratamiento, finalidad, base legitimadora y derechos aplicables.
14.11. Sistemas, seguridad de la información y continuidad operativa
- Crear, modificar, inactivar, administrar y controlar usuarios internos, correos, permisos, accesos, respaldos, logs, soportes, antivirus, firewall, VPN, NAS, ERP, cámaras, biométricos y repositorios.
- Prevenir incidentes de seguridad, pérdida de información, acceso indebido, suplantación, fraude, daño de equipos o fuga de información.
- Gestionar soporte tecnológico interno o de proveedores, siempre con acceso limitado, trazabilidad y confidencialidad.
14.12. Ventas BUDAK y gestión comercial
Registro de clientes, RUC, razón social, dirección, teléfono, correo, historial de pedidos, línea de artículos, precios, facturación, seguimiento comercial y coordinación de despacho.
14.13. Facturación y contabilidad de punto de venta o ventas corporativas
Registro de datos de facturación, retenciones, notas de crédito, comprobantes de pago, cierres de caja, reportes de ventas, información de clientes, proveedores y trabajadores.
14.14. Marketing y comunicaciones comerciales
Uso de bases comerciales separadas por empresa, campañas por WhatsApp, correo, redes sociales y pauta digital, uso de imágenes institucionales, flyers, artes, empaques y material promocional.
14.15. Logística y despacho
Preparación de guías, direcciones, teléfonos, contactos, rutas, firmas y soportes de entrega a clientes o destinatarios autorizados.
15. TRATAMIENTO DE DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES
La Compañía no tendrá como finalidad ordinaria tratar datos de niños, niñas y adolescentes, salvo cuando resulte necesario por la naturaleza de la relación laboral, contractual, de beneficios, cargas familiares, seguridad social, emergencias, relaciones de consumo o cualquier otra finalidad legítima. En tales casos, se aplicarán medidas reforzadas de protección y, cuando corresponda, se requerirá la autorización de su representante legal o la base legitimadora aplicable conforme a la normativa vigente.
Los datos de hijos, cargas familiares o dependientes de trabajadores se tratarán principalmente para cumplir obligaciones laborales, seguridad social, beneficios, emergencias, registros internos o requerimientos legales, evitando usos incompatibles o divulgación innecesaria.
16. TRATAMIENTO DE DATOS PERSONALES SENSIBLES
La Compañía reconoce que puede tratar datos personales sensibles, especialmente en materia laboral, salud ocupacional, discapacidad, embarazo, certificados médicos, accidentes, permisos médicos, enfermedades profesionales, datos biométricos, contactos de emergencia, cargas familiares con discapacidad o enfermedad y demás información que requiera protección reforzada.
El tratamiento de datos sensibles se realizará únicamente cuando exista base legitimadora suficiente, finalidad específica, necesidad y proporcionalidad. El acceso estará restringido al personal autorizado y deberá mantenerse separado del expediente general cuando sea recomendable por su naturaleza, especialmente en información médica o de salud ocupacional.
La Compañía no utilizará datos sensibles para finalidades discriminatorias, comerciales incompatibles o ajenas a la relación que motivó su recolección. Cualquier comunicación a terceros deberá responder a obligación legal, contrato, interés vital, autorización válida o finalidad legítima y necesaria.
17. CONSERVACIÓN, ARCHIVO, BLOQUEO, ELIMINACIÓN Y ANONIMIZACIÓN
La Compañía conservará los datos personales durante el tiempo necesario para cumplir la finalidad que originó su tratamiento y por los plazos exigidos por obligaciones legales, contractuales, tributarias, laborales, contables, societarias, administrativas, de auditoría o defensa jurídica. Vencidos los plazos aplicables, la información deberá eliminarse, anonimizarse o bloquearse de forma segura, según corresponda.
|
Categoría documental o finalidad |
Tiempo o criterio de conservación |
|
Hojas de vida de candidatos no contratados |
Durante el proceso de selección y hasta un (1) año posterior al cierre del proceso, salvo autorización para mantener el perfil por mayor tiempo o necesidad de defensa ante reclamos. |
|
Expediente laboral de trabajadores y ex trabajadores |
Durante la relación laboral y, luego de su terminación, por el plazo necesario para cumplimiento de obligaciones laborales, seguridad social, tributarias y defensa jurídica. Como regla interna mínima se conservará hasta siete (7) años, salvo que una norma exija un plazo mayor. |
|
Información de salud ocupacional, accidentes, certificados médicos, incapacidades, discapacidad, embarazo, enfermedades profesionales y seguridad industrial |
Durante el plazo necesario para cumplir obligaciones de seguridad y salud ocupacional, trazabilidad de enfermedades profesionales, auditorías, reportes regulatorios y defensa jurídica. Como regla interna se aplicará un plazo de hasta quince (15) años cuando corresponda por riesgo laboral o enfermedad profesional. |
|
Datos de clientes, contactos comerciales, ventas, pedidos, entregas, facturación, cobranza y reclamos |
Durante la relación comercial, contractual o de servicio y por el plazo necesario para obligaciones tributarias, contables, contractuales, atención de reclamos, auditoría y defensa jurídica. |
|
Datos de proveedores, representantes, cuentas bancarias, certificados, órdenes de compra, cotizaciones y contratos |
Durante la relación comercial o contractual y por el plazo necesario para obligaciones tributarias, contables, contractuales, auditoría, control interno, prevención de fraude y defensa jurídica. |
|
Videovigilancia |
Durante el tiempo estrictamente necesario para seguridad, prevención e investigación de incidentes. En caso de incidente, reclamo, investigación, auditoría o requerimiento de autoridad, la grabación podrá conservarse durante el plazo necesario para dicha finalidad. |
|
Biométricos y control de acceso |
Durante la relación laboral, contractual o de autorización de acceso que justifique su uso, y hasta que dejen de ser necesarios para control de acceso y seguridad, aplicando medidas reforzadas de seguridad. |
|
Marketing y comunicaciones promocionales |
Hasta que el titular revoque su consentimiento, solicite oposición, baja o exclusión de comunicaciones, o hasta que la base deje de ser pertinente y actualizada. |
|
Facturación, ventas, cierres de caja, reportes contables y soportes tributarios |
Al menos siete (7) años o durante el plazo legal aplicable para obligaciones tributarias, contables, contractuales o de auditoría. |
La conservación indefinida solo será admisible cuando exista una obligación legal o necesidad legítima debidamente justificada. Las áreas deberán evitar conservar documentos, copias, bases duplicadas, capturas, archivos de WhatsApp, correos, impresiones o respaldos personales cuando ya no sean necesarios.
18. TRANSFERENCIAS, COMUNICACIONES Y ACCESOS A DATOS PERSONALES
La Compañía podrá comunicar o transferir datos personales a terceros nacionales o internacionales únicamente cuando exista base legitimadora, finalidad determinada y garantías suficientes. Entre los destinatarios posibles se encuentran autoridades públicas, SRI, IESS, MDT/SUT, Superintendencias, entidades de control, entidades públicas contratantes, bancos, auditores, asesores tributarios, contables o legales, proveedores de software, proveedores tecnológicos, transportistas, couriers, aseguradoras, proveedores de salud ocupacional, agencias de marketing, empresas del grupo económico, clientes institucionales y encargados del tratamiento.
Las transferencias internacionales, de existir, deberán cumplir las condiciones previstas en la LOPDP y su Reglamento, incluyendo garantías adecuadas, cláusulas contractuales, evaluación de nivel de protección, consentimiento cuando corresponda u otra base habilitante. El uso de plataformas, nubes, correos, sistemas, hosting, soporte remoto o proveedores internacionales deberá documentarse en el inventario de activos, matriz de terceros y contratos correspondientes.
En todos los casos se aplicarán principios de minimización, confidencialidad, seguridad y trazabilidad, entregando únicamente la información necesaria para la finalidad respectiva.
19. SEGURIDAD DE LA INFORMACIÓN APLICADA A DATOS PERSONALES
La Compañía adoptará medidas técnicas, administrativas, físicas, organizativas, jurídicas y contractuales orientadas a proteger datos personales frente a pérdida, destrucción, alteración, uso indebido, acceso no autorizado, divulgación, tratamiento ilícito o incidentes de seguridad. Las medidas se aplicarán según el nivel de riesgo, naturaleza de los datos, volumen, sistemas utilizados y titulares involucrados.
Entre las medidas mínimas se encuentran:
- control de accesos por perfiles, roles y necesidad operativa;
- segregación razonable de funciones entre áreas que consultan, modifican, aprueban, descargan o eliminan información;
- uso preferente de cuentas corporativas, contraseñas individuales y prohibición progresiva de contraseñas compartidas;
- respaldo de información crítica y control de restauración por personal autorizado;
- antivirus, firewall, VPN, permisos de usuario y bloqueo de accesos externos no autorizados cuando corresponda;
- uso controlado de WhatsApp, correo electrónico, Drive, OneDrive, NAS, carpetas compartidas, impresoras y archivo físico;
- deber de confidencialidad de trabajadores, proveedores, encargados y terceros con acceso a datos personales;
- procedimiento de gestión de incidentes y vulneraciones de seguridad;
- letreros o avisos específicos para videovigilancia, biométricos, visitantes y áreas restringidas;
- contratos, anexos o cláusulas de protección de datos con proveedores que traten datos por cuenta de la Compañía.
La seguridad de datos personales se complementará con la Política Interna de Seguridad de la Información Aplicada a Datos Personales y con los Lineamientos de Uso de WhatsApp, correo, Drive, OneDrive, NAS, impresoras, carpetas compartidas y archivo físico emitidos dentro del sistema documental LOPDP de la Compañía.
20. INCIDENTES Y VULNERACIONES DE SEGURIDAD
Todo trabajador, proveedor, encargado, contratista o tercero que conozca una pérdida de documentos, envío equivocado de información, acceso indebido, fuga de datos, suplantación, phishing, daño de equipo, robo, eliminación accidental, divulgación no autorizada o cualquier evento que pueda comprometer datos personales, deberá comunicarlo de inmediato al responsable interno designado y al área de sistemas o gerencia, según corresponda.
La Compañía evaluará el incidente, determinará datos y titulares afectados, nivel de riesgo, medidas de contención, acciones correctivas, evidencias, responsables y, cuando corresponda, notificará a la Superintendencia de Protección de Datos Personales y a los titulares afectados conforme a la LOPDP, su Reglamento y procedimiento interno.
21. CANALES DE ATENCIÓN PARA CONSULTAS, RECLAMOS Y DERECHOS
Los titulares podrán presentar solicitudes, consultas, reclamos, revocatorias o ejercicio de derechos sobre sus datos personales a través de los siguientes canales oficiales de atención:
|
Canal / requisito |
Detalle |
|
Canal físico |
Barrio Poder Judicial, calle Francisco de Orellana No. L-198 e intersección Hernando de Magallanes, edificio BUDAK S.A., bloque Torre B, segundo piso, referencia: Autopista General Rumiñahui entre Puente 2 y 3, parroquia Conocoto, cantón Quito, provincia de Pichincha. |
|
Canal electrónico o corporativo |
datospersonales@corporacionbudak.com.ec. También se receptarán solicitudes escritas en el domicilio de la Compañía y por los canales corporativos oficialmente comunicados al titular. |
|
Contenido mínimo de la solicitud |
Nombre del titular, identificación, derecho que ejerce, descripción clara de la solicitud, datos de contacto para respuesta, documentos que acrediten identidad y, cuando corresponda, representación legal o autorización del titular. |
|
Documento sugerido |
Formulario de ejercicio de derechos ARCO+ emitido por la Compañía dentro de su sistema documental LOPDP. |
22. PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS
- Recepción de la solicitud por canal físico, electrónico o corporativo habilitado.
- Verificación de identidad del titular o de la representación invocada.
- Registro interno de la solicitud y clasificación del derecho ejercido.
- Revisión de áreas, sistemas, archivos físicos, repositorios, terceros o encargados involucrados.
- Análisis de procedencia, límites legales, conservación obligatoria, derechos de terceros, seguridad y confidencialidad.
- Emisión de respuesta motivada dentro de los plazos previstos por la normativa vigente. Como regla operativa interna se procurará responder en un plazo no mayor a quince (15) días, salvo solicitud incompleta, requerimiento de aclaración o supuesto legal que permita ampliación.
- Ejecución de la medida aprobada, como acceso, rectificación, actualización, eliminación, oposición, limitación, portabilidad, revocatoria o negativa motivada.
- Archivo de la solicitud, respuesta, evidencia y acciones ejecutadas para trazabilidad y responsabilidad proactiva.
Cuando la solicitud sea improcedente, afecte derechos de terceros, comprometa información confidencial, se refiera a datos que deben conservarse por obligación legal o resulte imposible de atender por razones justificadas, la Compañía emitirá una respuesta motivada.
23. MEDIO DE RESPUESTA
La Compañía responderá las solicitudes por medio físico, electrónico o cualquier otro canal suministrado por el titular para tal efecto, procurando usar un medio seguro y verificable. Cuando el titular proporcione más de un canal de respuesta, la Compañía podrá elegir el canal más adecuado para garantizar confidencialidad, trazabilidad y recepción efectiva.
En caso de solicitudes que involucren datos sensibles, documentos de identidad, certificados médicos, datos bancarios, datos de trabajadores o información confidencial, la Compañía podrá aplicar medidas adicionales de verificación antes de entregar información.
24. PERSONAS LEGITIMADAS PARA EJERCER DERECHOS O PRESENTAR RECLAMOS
- El titular de los datos personales.
- El representante legal del titular debidamente acreditado.
- Terceros autorizados por el titular, mediante documento suficiente.
- Causahabientes, cuando corresponda y puedan acreditar su calidad.
- Autoridades competentes, dentro del marco de sus atribuciones legales.
25. ACTUALIZACIÓN, CALIDAD Y DEPURACIÓN DE BASES DE DATOS
La Compañía procurará mantener sus bases de datos, archivos físicos, registros digitales, sistemas, reportes y documentos actualizados, exactos y completos. Para ello podrá realizar procesos de depuración, eliminación de duplicados, corrección de datos erróneos, inactivación de usuarios, revisión de accesos y actualización de información de clientes, proveedores, trabajadores y terceros.
Las áreas que identifiquen datos duplicados, erróneos, desactualizados, excesivos, sin finalidad vigente o almacenados en canales no autorizados deberán reportarlo para su corrección conforme al procedimiento interno correspondiente.
26. REGISTRO DE ACTIVIDADES, MATRICES Y EVIDENCIA DE CUMPLIMIENTO
La Compañía mantendrá, conforme a su sistema de implementación LOPDP, registros, matrices y evidencias que permitan demostrar responsabilidad proactiva. Entre ellos se incluyen Registro de Actividades de Tratamiento, inventario de activos de información, matriz de riesgos, matriz de brechas, matriz de terceros y encargados, matriz de bases legitimadoras, matriz de conservación, protocolos, formularios, actas de capacitación, avisos y documentos contractuales.
Cuando la autoridad competente determine mecanismos de registro nacional o actualización de bases, tratamientos o responsables, la Compañía procederá conforme a las obligaciones que resulten aplicables.
27. COMITÉ O RESPONSABLE INTERNO DE PROTECCIÓN DE DATOS
La Compañía podrá designar un responsable interno, comité o punto de contacto de protección de datos personales para coordinar la implementación, seguimiento, actualización, atención de derechos, incidentes, capacitación y mejora continua del sistema de protección de datos. Esta designación no sustituye las responsabilidades legales del responsable del tratamiento ni la eventual obligación de designar Delegado de Protección de Datos cuando legalmente corresponda.
Las áreas operativas deberán colaborar con dicho responsable interno o comité, especialmente en la identificación de tratamientos, gestión de solicitudes, incidentes, actualización de matrices, contratos con terceros, depuración de información y ejecución de medidas correctivas.
28. PROCEDIMIENTO PARA MODIFICACIONES DE ESTA POLÍTICA
Toda modificación a esta Política deberá responder a cambios normativos, regulatorios, tecnológicos, operativos, contractuales, organizativos, de riesgo o de tratamiento de datos personales. La modificación será revisada por gerencia, áreas involucradas y el responsable interno de protección de datos o comité designado, dejando constancia documental de la versión aprobada.
Las modificaciones serán comunicadas a los titulares por medios razonables según la naturaleza del cambio, tales como publicación interna, correo, aviso web, aviso físico, comunicación contractual, actualización de formularios o inclusión en canales corporativos.
29. VIGENCIA
La presente Política rige a partir de su aprobación y publicación interna o externa por la Compañía, y deja sin efecto cualquier disposición anterior que le sea contraria en materia de tratamiento y protección de datos personales.
Todo aspecto no previsto expresamente en esta Política se regirá por la Constitución de la República del Ecuador, la Ley Orgánica de Protección de Datos Personales, su Reglamento General, normativa emitida por la autoridad competente y demás disposiciones aplicables.
30. FORMULARIOS Y DOCUMENTOS RELACIONADOS
- Formulario de ejercicio de derechos ARCO+.
- Procedimiento de ejercicio de derechos ARCO+.
- Procedimiento de consentimiento informado y revocatoria.
- Avisos cortos de privacidad por canal y titular.
- Cláusula informativa laboral y anexo de consentimiento granular.
- Cláusulas contractuales para proveedores, encargados y terceros.
- Política de conservación, archivo, bloqueo, eliminación y anonimización.
- Protocolo de incidentes y vulneraciones de seguridad.
- Política interna de seguridad de la información aplicada a datos personales.
- Lineamientos de uso de WhatsApp, correo, Drive, OneDrive, NAS, impresoras, carpetas compartidas y archivo físico.
- Avisos y letreros de videovigilancia, biométricos, visitantes y áreas restringidas.
Los formularios deberán presentarse completos, firmados física o electrónicamente, acompañados del documento que acredite identidad y, cuando corresponda, la representación o autorización del titular.
APROBACIÓN
|
Campo |
Detalle |
|
Responsable del tratamiento |
CORPORACIÓN BUDAK S.A. |
|
Aprobación |
Representante legal / Gerencia General / órgano de administración correspondiente |
|
Fecha |
05 de junio de 2026 |
|
Versión aprobada |
1.0 |