top of page
POLÍTICA INTEGRAL DE PRIVACIDAD, PROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN CETAD 12 PASOS

1. OBJETO

La presente Política Integral tiene por objeto establecer el marco normativo interno que regula el tratamiento de los datos personales y la seguridad de la información que utiliza GUSTAVO ESTUARDO, con Registro Único de Contribuyentes No. 0103331203001 (en adelante 12 PASOS), garantizando la confidencialidad, integridad, disponibilidad y trazabilidad de los datos personales, así como el respeto al derecho fundamental a la protección de datos de los Titulares, en cumplimiento de la normativa vigente y del principio de responsabilidad proactiva.

2. ALCANCE

Esta Política es de aplicación obligatoria para 12 PASOS, su órgano de administración, personal bajo relación de dependencia, prestadores de servicios, proveedores, encargados y subencargados del tratamiento, así como para toda persona natural o jurídica que intervenga, directa o indirectamente, en cualquier fase del tratamiento de datos personales o en el acceso a los sistemas de información de El Responsable, con independencia del medio, formato o soporte utilizado.

3. DEFINICIONES

Para efectos de esta Política, se aplicarán las definiciones previstas en la normativa de protección de datos personales vigente, así como las siguientes:

  • Datos personales: Información que identifica o hace identificable a una persona natural.

  • Datos personales sensibles: Datos personales que revelan información relativa a la salud física o mental, consumo de sustancias, diagnósticos, tratamientos, historias clínicas, evaluaciones psicológicas o psiquiátricas, así como cualquier información cuyo tratamiento indebido pueda generar discriminación o afectar gravemente los derechos del Titular.

  • Datos de salud: Datos personales relacionados con el estado físico o mental de una persona, incluida la prestación de servicios de salud, que revelen información sobre su condición médica, diagnósticos, tratamientos, evolución terapéutica o historial clínico.

  • Titular: Persona natural cuyos datos personales son objeto de tratamiento.

  • Grupos de atención prioritaria: Personas adolescentes y otros grupos en situación de vulnerabilidad cuyos datos personales requieren un nivel reforzado de protección.

  • Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales.

  • Responsable del tratamiento: : El responsable del tratamiento es el señor GUSTAVO ESTUARDO Valencia Córdova, , en su calidad de titular y operador del establecimiento CETAD 12 PASOS, quien decide sobre las finalidades y los medios del tratamiento de los datos personales.

  • Encargado del tratamiento: Persona natural o jurídica que trata datos personales por cuenta del Responsable.

  • Sistemas de información: Conjunto de recursos tecnológicos, aplicaciones, redes, bases de datos y archivos físicos o digitales utilizados para el tratamiento de datos personales.

  • Incidente de seguridad: Evento que compromete o puede comprometer la confidencialidad, integridad, disponibilidad o trazabilidad de los datos personales.

4. MARCO NORMATIVO

El tratamiento de datos personales y la gestión de la seguridad de la información se rigen por la Constitución de la República del Ecuador, la Ley Orgánica de Protección de Datos Personales, su Reglamento General, las resoluciones y lineamientos emitidos por la autoridad de control competente y demás normativa aplicable.

5. PRINCIPIOS RECTORES

El tratamiento de datos personales se realizará conforme a los principios de licitud, lealtad, transparencia, finalidad, proporcionalidad, minimización de datos, exactitud, confidencialidad, seguridad, responsabilidad proactiva y privacidad desde el diseño y por defecto.

6. ROLES Y RESPONSABILIDADES

La máxima autoridad de 12 PASOS es responsable de aprobar esta Política, asignar los recursos necesarios y garantizar su cumplimiento.

El Responsable del tratamiento, quien será el representante legal del CETAD 12 pasos, asegura que los datos personales sean tratados conforme a la normativa vigente y a las finalidades informadas a los Titulares.

El Delegado de Protección de Datos Personales supervisa el cumplimiento normativo, asesora a El Responsable, atiende las solicitudes de los Titulares, coordina auditorías, gestiona incidentes de seguridad y actúa como punto de contacto con la Superintendencia de Protección de Datos Personales y con los Titulares.

El personal, prestadores de servicios y proveedores actúan como Encargados del tratamiento, estando obligados a cumplir esta Política, custodiar la información, mantener la confidencialidad y tratar los datos únicamente conforme a las instrucciones de El Responsable.

7. GOBERNANZA DE DATOS Y REGISTROS

El Responsable implementa un modelo de gobernanza de datos basado en la trazabilidad, documentación y control de todas las actividades de tratamiento.

Se mantendrá un registro actualizado de las actividades de tratamiento que identifique las finalidades, bases legales, categorías de datos, plazos de conservación, responsables, encargados y medidas de seguridad aplicables.

Toda comunicación o transferencia de datos personales a terceros será documentada, incluyendo la finalidad, base legal y destinatario correspondiente.

Los encargados del tratamiento deberán suscribir los acuerdos contractuales correspondientes y no podrán subcontratar sin autorización previa y documentada del Responsable.

PROVEEDORES TECNOLÓGICOS Y ENCARGADOS DEL TRATAMIENTO

Los proveedores tecnológicos, prestadores de servicios y terceros que traten datos personales por cuenta de CETAD 12 PASOS actuarán en calidad de Encargados del tratamiento.

Su vinculación estará sujeta a:

a) Acuerdos contractuales escritos, que definan obligaciones de confidencialidad, seguridad, uso limitado de los datos y prohibición de tratamientos no autorizados.
b) Implementación de medidas técnicas y organizativas adecuadas, acordes al nivel de riesgo del tratamiento y a la naturaleza de los datos de salud.
c) Prohibición de subcontratación sin autorización previa y documentada del Responsable.
d) Obligación de colaborar en la gestión de incidentes de seguridad y en auditorías cuando corresponda.

El Responsable del tratamiento podrá supervisar y exigir el cumplimiento de estas obligaciones en cualquier momento.

8. CLASIFICACIÓN, CONSERVACIÓN Y CICLO DE VIDA DE LA INFORMACIÓN

La información será clasificada según su nivel de sensibilidad en información confidencial, interna o pública controlada, aplicándose medidas de seguridad acordes a cada nivel.

Los datos personales se conservarán únicamente durante el tiempo necesario para cumplir la finalidad que motivó su tratamiento o durante los plazos legales aplicables.

En el caso de historias clínicas y documentación de salud, los datos se conservarán durante los plazos legales de conformidad a la Ley Organica de la Salud y aplicables al sector salud o mientras resulte necesario para garantizar la continuidad del tratamiento, el cumplimiento normativo o la defensa jurídica de 12 PASOS.

Cumplida la finalidad o el plazo legal, los datos serán bloqueados y posteriormente anonimizados o eliminados mediante procedimientos seguros.

8.1. CONSERVACIÓN, BLOQUEO, ANONIMIZACIÓN Y ELIMINACIÓN DE LA INFORMACIÓN

Una vez cumplida la finalidad o el plazo de conservación, los datos serán:

a) Bloqueados, cuando deban mantenerse exclusivamente para fines legales o probatorios.
b) Anonimizados, cuando su conservación tenga fines estadísticos o de mejora interna sin identificación del Titular.

c) Eliminados, mediante procedimientos seguros y verificables, cuando no exista obligación legal de conservación.

9. FINALIDAD DEL TRATAMIENTO

Los datos personales serán tratados exclusivamente para finalidades determinadas, explícitas y legítimas, previamente informadas al Titular, relacionadas con los procesos asistenciales, terapéuticos, administrativos, contractuales, operativos, de cumplimiento normativo, seguridad de la información y defensa jurídica de El Responsable, conforme a la base legal aplicable en cada caso.

En el caso de datos personales sensibles y datos de salud, las finalidades se limitarán estrictamente a la prestación de servicios de salud, continuidad terapéutica y obligaciones legales.

Los datos clínicos no serán utilizados para fines comerciales, publicitarios, promocionales ni de marketing, ni directa ni indirectamente.

10. TRATAMIENTO DE DATOS SENSIBLES Y DATOS DE SALUD

12 PASOS realiza el tratamiento de datos personales sensibles, en particular datos de salud física y mental, consumo problemático de sustancias, diagnósticos, historias clínicas, evaluaciones y evolución terapéutica de pacientes adultos y adolescentes.

Este tratamiento se sujeta a medidas reforzadas de protección, que incluyen:

a) Acceso restringido únicamente al personal autorizado según su rol.
b) Deber de confidencialidad reforzado, incluso después de finalizada la relación laboral o contractual.
c) Separación lógica y/o física de la información clínica respecto de otros datos administrativos.
d) Prohibición expresa de usos incompatibles con la finalidad asistencial.

11. MEDIDAS DE SEGURIDAD

El Responsable implementa medidas técnicas, organizativas y jurídicas adecuadas al nivel de riesgo del tratamiento, orientadas a prevenir accesos no autorizados, pérdida, alteración o divulgación indebida de datos personales.

Estas medidas incluyen, entre otras, control de accesos basado en roles, cifrado de la información, respaldos periódicos, autenticación segura, protección contra software malicioso, controles de seguridad física, gestión de proveedores, capacitación continua y supervisión permanente de los sistemas de información.

Asimismo, se establecen restricciones específicas para la impresión, descarga, reproducción o reenvío de información clínica, así como mecanismos de trazabilidad y control de accesos a sistemas y archivos físicos.

11.1 CONTROL DE ACCESOS POR ROLES Y TRAZABILIDAD

CETAD 12 PASOS implementa mecanismos de control de accesos basados en roles y funciones, garantizando que cada persona acceda únicamente a la información estrictamente necesaria para el desempeño de sus actividades.

Estos controles se aplican tanto a:

  • Sistemas digitales, mediante credenciales individuales, perfiles de acceso y registros de actividad;

  • Archivos físicos, mediante custodia controlada, restricción de ingreso y registro de préstamos o consultas.

Se mantiene trazabilidad de accesos, modificaciones y consultas sobre la información clínica y sensible, así como restricciones específicas para la impresión, copia, reproducción o divulgación de dichos datos.

 

12. PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO

Los procesos, sistemas y formularios de El Responsable se diseñan para recolectar únicamente los datos estrictamente necesarios y se configuran, por defecto, con el mayor nivel de protección de la privacidad.

13. GESTIÓN DE RIESGOS Y EVALUACIONES DE IMPACT0

El Responsable mantendrá un sistema continuo de gestión de riesgos en materia de protección de datos personales, realizando evaluaciones periódicas y, cuando corresponda, evaluaciones de impacto, con el fin de identificar, analizar y mitigar riesgos que puedan afectar los derechos de los Titulares.

14. GESTIÓN DE INCIDENTES DE SEGURIDAD

Todo incidente real o sospechado que afecte a los datos personales deberá ser reportado de manera inmediata al Delegado de Protección de Datos Personales.

El Responsable documentará los hechos, adoptará medidas correctivas y notificará a la autoridad de control y, cuando corresponda, a los Titulares, dentro de los plazos legales.

15. DERECHOS DE LOS TITULARES

El Responsable garantiza el ejercicio de los derechos de acceso, rectificación, eliminación, oposición, portabilidad, limitación del tratamiento y a no ser objeto de decisiones automatizadas.

Las solicitudes deberán presentarse por los canales habilitados y serán atendidas dentro de los plazos legales, dejando constancia documentada de su gestión.

16. ACCESO A INFORMACIÓN POR FAMILIARES, REPRESENTANTES O TERCEROS 

El acceso a datos personales y datos de salud por parte de familiares, representantes legales o terceros se permitirá únicamente cuando exista consentimiento expreso del Titular, representación legal debidamente acreditada o mandato de autoridad competente.

En ningún caso se entregará información clínica por solicitudes verbales, informales, redes sociales o mensajería instantánea.

Toda entrega de información será debidamente documentada.

17. TRANSFERENCIA DE DATOS 

Las transferencias de datos personales a terceros o a otros países solo se realizarán cuando exista base legal o consentimiento válido del Titular y se garanticen niveles adecuados de protección.

18. USO DE CANALES DIGITALES, REDES SOCIALES Y MENSAJERIA

CETAD 12 PASOS utiliza canales digitales y redes sociales, incluidos Instagram, Facebook, TikTok, YouTube, página web, chat web, exclusivamente con fines informativos, institucionales y de orientación general.

Estos canales no constituyen medios oficiales para la recepción, gestión o intercambio de datos personales sensibles ni información clínica, tales como historias clínicas, diagnósticos, evaluaciones, tratamientos o cualquier información relacionada con la salud física o mental de los pacientes.

En consecuencia:

a) CETAD 12 PASOS no solicita ni requiere el envío de datos de salud o información clínica a través de dichos medios.

b) Toda atención clínica, evaluación o gestión de información sensible se realizará únicamente por los canales formales y seguros definidos por el establecimiento.
c) En caso de que un usuario o tercero remita voluntariamente datos sensibles por estos medios, CETAD 12 PASOS adoptará medidas razonables de contención y redirección, sin incorporar dicha información a los sistemas clínicos ni asumir responsabilidad por el uso de canales no autorizados.

Los canales digitales contarán con avisos de privacidad visibles, advirtiendo que no deben utilizarse para compartir datos sensibles y señalando los canales formales habilitados para la atención correspondiente.

19. CONFIDENCIALIDAD

Toda la información tratada por El Responsable tiene carácter confidencial. El deber de reserva subsiste aun después de finalizada la relación laboral o contractual.

20. AUDITORIA Y MEJORA CONTINUA

El Responsable realizará auditorías periódicas para verificar el cumplimiento de esta Política y de la normativa aplicable, implementando acciones correctivas y preventivas que aseguren la mejora continua del sistema de protección de datos personales y seguridad de la información.

21. PROCEDIMIENTO INTERNO DE GESTIÓN DE INCIDENTES DE SEGURIDAD

CETAD 12 PASOS implementa el presente procedimiento interno para la gestión de incidentes de seguridad de datos personales, especialmente datos sensibles y datos de salud, con el fin de proteger los derechos de los pacientes y cumplir con la normativa vigente.

1. Detección y reporte: Todo incidente real o sospechado que afecte o pueda afectar datos personales deberá ser reportado de manera inmediataal Delegado de Protección de Datos Personales por cualquier miembro del personal, prestador de servicios o proveedor que tenga conocimiento del hecho.

2. Registro del incidente El Delegado de Protección de Datos Personales registrará el incidente, dejando constancia de su naturaleza, fecha, datos comprometidos y medidas iniciales adoptadas.

3. Contención y mitigación Se adoptarán de forma inmediata las medidas necesarias para contener el incidente, evitar su propagación y reducir el impacto, incluyendo el bloqueo de accesos, aseguramiento de información clínica y corrección de fallas detectadas.

4. Evaluación del riesgo El Delegado evaluará si el incidente representa un riesgo para los derechos y libertades de los titulares, considerando especialmente si se han visto comprometidos datos de salud o información de pacientes adolescentes.

5. Notificación: Cuando corresponda, el Responsable del tratamiento notificará el incidente a la Superintendencia de Protección de Datos Personales y, de ser necesario, a los titulares de los datos, dentro de los plazos legales.

6. Cierre y medidas preventivas Concluida la gestión del incidente, se documentarán las acciones adoptadas y se implementarán medidas correctivas o preventivas para evitar su repetición.

22. VIGENCIA Y ACTUALIZACION

La presente Política entrará en vigor a partir de su aprobación por la autoridad competente de El Responsable y permanecerá vigente mientras no sea modificada o actualizada.

bottom of page