1. AUDIOVITAL CIA. LTDA. (en adelante GAES)
En su calidad de Responsable del tratamiento de los datos personales obtenidos a través de su sitio web, GAES asume el compromiso ineludible de tutelar los derechos de sus usuarios, clientes y pacientes. Por lo tanto, todo tratamiento de datos personales —lo cual comprende recogida, registro, conservación, estructuración, comunicación, transferencia y supresión de datos— se ejecutará en estricta observancia de la Ley Orgánica de Protección de Datos Personales (LOPDP), promulgada el 26 de mayo de 2021, su Reglamento General y demás normativa técnica aplicable.
Como Responsables garantizamos la protección de la información y de los datos personales mediante la observancia irrestricta de los principios rectores de confidencialidad y seguridad de datos personales. Para tal efecto, y en cumplimiento del principio de responsabilidad proactiva y demostrada, la organización ha implementado y evalúa continuamente las medidas administrativas, técnicas, físicas, organizativas y jurídicas adecuadas al estado de la técnica y al nivel de riesgo. Estas salvaguardas están diseñadas de manera preventiva para impedir, mitigar y controlar vulneraciones, accesos no autorizados, alteraciones, pérdidas o destrucción indebida de los datos. Asimismo, otorgamos una protección reforzada al tratamiento de las categorías especiales de datos personales, en particular los datos sensibles y relativos a la salud, de este modo garantizamos el cumplimiento estricto de las exigencias legales pertinentes
1.1 Propósito
El propósito de este documento es describir la Política de Protección de Datos Personales de GAES, con la finalidad de proteger los datos personales de sus usuarios, colaboradores, pacientes, clientes y demás personas relacionadas con sus actividades, en cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador y otras normativas aplicables.
1.2 Alcance
El presente documento constituye la Política de Protección de Datos Personales de GAES, y su propósito cardinal es garantizar el efectivo ejercicio del derecho a la protección de datos personales y a la autodeterminación informativa de sus titulares, entre los cuales se comprendensus pacientes, clientes, usuarios, colaboradores, proveedores y terceros vinculados a sus actividades comerciales y audiológicas.
Apegados al principio de transparencia y del derecho a la información consagrados en la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador, este instrumento tiene por finalidad transparentar e informar de manera clara, precisa e inequívoca las condiciones bajo las cuales GAES ejecutará el tratamiento de los datos, las finalidades específicas de dicho tratamiento, los plazos de conservación, las medidas de seguridad implementadas y los mecanismos dispuestos para la tutela de los derechos de los titulares.
2. INFORMACIÓN GENERAL DE LA POLÍTICA
2.1 Responsable del Tratamiento de Datos
● AUDIOVITAL CIA. LTDA. (GAES)
● RUC: 1792129427001
● Representante Legal: B2B-EXECUTIVE PLANNING S.A.S.
● Dirección: Av. Orellana E11-160 y Wimpher. Edif. SCHUMAN
● Teléfono: (+593 -2) 022558709 2.2 Delegado de Protección de Datos (DPO) GAES tiene la obligación de designar un Delegado de Protección de Datos Personales conforme la Ley Aplicable, cuyos datos son:
● Nombre: Gilberto Alfonso Gutiérrez Perdomo
● Dirección Laboral: Av. Orellana E11-160 y Wimpher. Edif. SCHUMAN. Quito.
● Número de Teléfono: (+593 -2) 022558709
● Correo electrónico: protecciondatoslatam@amplifon.com Las funciones del Delegado de Protección de Datos Personales, conforme la Ley Aplicable son las siguientes:
● Informar al responsable del tratamiento sobre sus obligaciones legales.
● Promover y vigilar la eficacia y eficiencia de las medidas de seguridad de carácter técnico, físico, administrativo, organizativo y jurídico que se hubieren implementado en la organización.
● Asesorar y supervisar en la adopción de medidas de seguridad aplicables específicamente en las transferencias de datos personales.
● Notificar vulneraciones a otras entidades competentes, como la Agencia de Regulación y Control de las Telecomunicaciones, en los casos que la ley lo requiera.
● Desempeñar otras funciones encomendadas por el responsable o encargado, siempre que estén relacionadas con la protección de datos, no le exijan una preparación técnica diferente y no generen conflictos de interés con sus responsabilidades de supervisión.
● Supervisar el cumplimiento de la Ley Orgánica de Protección de Datos Personales, su reglamento y normativa conexa.
● Ser punto de contacto ante la Autoridad de Protección de Datos Personales.
● Asesorar y supervisar análisis de riesgos, evaluaciones de impacto y medidas de seguridad.
● Asesorar y supervisar la atención de los derechos de los titulares.
● Asesorar y supervisar la gestión de vulneraciones de seguridad y su notificación.
● Supervisar el cumplimiento de los registros de actividades de tratamiento.
2.3 Objetivo
El objetivo de la presente política es establecer un marco integral para la protección de los datos personales gestionados por GAES, garantizando la confidencialidad, disponibilidad e integridad de los datos, asegurando el cumplimiento de las leyes y normativas aplicables en materia de protección de datos.
Objetivos Específicos
● Garantizar la seguridad integral de la información por medio de la implementación de las medidas técnicas, organizativas, físicas, administrativas y jurídicas necesarias y adecuadas al estado de la técnica, para proteger la confidencialidad, integridad y disponibilidad de los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, pérdida o acceso no autorizado.
● Asegurar la gestión lícita del ciclo de vida del dato, mediante la administración correcta de los datos personales desde su recogida hasta su eliminación, bloqueo o anonimización segura, garantizando la estricta observancia de los principios rectores de pertinencia y minimización (recabar solo lo necesario) y conservación (almacenar solo por el tiempo indispensable).
● Proteger reforzadamente las categorías especiales de datos: garantizar el debido sigilo, secreto profesional y un nivel de seguridad superior en el tratamiento de los datos relativos a la salud de los pacientes (información audiológica y clínica), reconociendo su naturaleza de datos sensibles.
● Gestionar eficazmente las vulneraciones de seguridad, a través de la prevención, detección, minimización y control de los incidentes de seguridad, estableciendo 3 protocolos ágiles para actuar y cumplir con la obligación de notificación oportuna ante la Autoridad de Protección de Datos Personales y los titulares afectados, conforme a los plazos legales.
● Fomentar la Responsabilidad Proactiva y Demostrada, a través de la promoción de una cultura institucional de respeto a la privacidad, garantizando la protección de datos desde el diseño y por defecto en todos los nuevos procesos, productos y servicios audiológicos de GAES.
● Optimizar el servicio y la relación con los titulares; mediante la gestión de forma lícita, leal y transparente de las actividades comerciales, clínicas y administrativas de GAES, facilitando una comunicación efectiva con pacientes, clientes, colaboradores y terceros, y garantizando canales expeditos para la atención de sus derechos (acceso, rectificación, eliminación, oposición, etc.).
● Cumplir con el marco regulatorio, alineando todas las operaciones de la organización a las obligaciones establecidas en la Constitución de la República, la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento y las directrices emitidas por la Superintendencia de Protección de Datos Personales.
2.4 Justificación
La Política de Protección de datos personales encuentra su justificación en el mandato del artículo 66, numeral 19 de la Constitución de la República del Ecuador y en el artículo 1 de la Ley Orgánica de Protección de Datos Personales (LOPDP). Y su propósito es establecer e implementar un marco de cumplimiento sólido que garantice el ejercicio efectivo del derecho a la protección de datos personales de los titulares. Esto comprende asegurar de manera irrestricta su derecho de acceso y decisión sobre su información personal, así como su correspondiente protección frente a cualquier riesgo, operando en todo momento bajo el principio de responsabilidad proactiva y demostrada.
2.5 Principios del Tratamiento de Datos Personales
● Juridicidad: Los datos personales deben tratarse con estricto apego al cumplimiento de los principios, derechos y obligaciones establecidos en la Constitución del Ecuador, la LOPDP y demás normas que las autoridades competentes emitan en la materia.
● Lealtad: El tratamiento de datos personales debe ser leal, es decir, que el titular debe tener claro que sus datos son tratados a través de medios o para fines lícitos y leales.
● Transparencia: La información o comunicación relativa al tratamiento deberá ser accesible y fácil de entender para el titular, con un lenguaje sencillo y claro.
● Finalidad: Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular. El tratamiento de datos personales con fines distintos a aquellos que hayan sido recogidos inicialmente solo debe permitirse cuando dicho tratamiento sea compatible con los fines de su recogida inicial.
● Minimización de los datos: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad de tratamiento.
● Proporcionalidad del tratamiento: El tratamiento de datos debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma de las categorías especiales de datos.
● Conservación: Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Se establecerán plazos para su supresión o revisión periódica, los datos personales no deben ser conservados más de lo necesario para los fines para los cuales los datos personales son tratados.
● Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, no deben tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento.
● Calidad y exactitud: Los datos personales objeto de tratamiento deben ser exactos, íntegros, precisos completos, comprobables, claros; y, de ser el caso, debidamente actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen los datos personales que sean inexactos con respecto a los fines para los que se tratan.
● Seguridad de datos personales: El responsable o encargado de tratamiento de datos personales deberá implementar medidas de seguridad adecuadas y necesarias, sean estas organizativas, técnicas o de cualquier otra índole para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad; atendiendo la naturaleza de los datos de carácter personal al ámbito y contexto.
● Responsabilidad proactiva: El responsable del tratamiento de datos personales deberá implementar mecanismos para la protección de datos personales, en cumplimiento de los principios, derechos y obligaciones establecidos en la Ley Orgánica de Protección de Datos Personales; para lo cual podrá valerse de estándares, mejores prácticas, esquemas de autorregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado para los fines.
2.6 Categorías de Datos Personales Tratados
A. Datos Personales Estándar (Pacientes, Clientes y Proveedores):
● Datos Identificativos y de contacto: Nombres y apellidos, cédula de identidad/ciudadanía o pasaporte, dirección de domicilio, número de teléfono, correo electrónico, sexo, nacionalidad y edad.
● Datos Financieros y económicos: Información bancaria para cobros, pagos, facturación o gestión de reembolsos, historial de transacciones comerciales. B. Datos Personales Estándar (Candidatos y Colaboradores):
● Datos sociolaborales y académicos: Nivel de instrucción, títulos profesionales, historial académico, experiencia laboral, profesión, cargo, datos de nómina, evaluación de desempeño y referencias personales/comerciales.
● Datos del entorno familiar: Estado civil y datos de cargas familiares (exclusivamente para cumplimiento de obligaciones laborales y de seguridad social). C. Categorías Especiales de Datos Personales: Toda vez que el giro de negocio de GAES es prestar soluciones audiológicas, aplicamos un nivel de protección reforzado a la siguiente información:
● Datos relativos a la Salud: Información clínica, resultados de audiometrías, diagnósticos auditivos, antecedentes médicos, prescripción de audífonos y cualquier otra información que revele el estado de salud física del paciente.
● Datos Sensibles: Datos biométricos (como huella dactilar o imagen facial) utilizados de manera excepcional para fines de identificación y/o seguridad.
● Datos de grupos de atención prioritaria: Datos personales y de salud correspondientes a niñas, niños, adolescentes y/o personas con discapacidad (pacientes).
● Datos Crediticios: Información para evaluar la capacidad de pago y solvencia patrimonial en caso de otorgamiento de crédito directo para la adquisición de productos audiológicos.
2.7 Finalidades del Tratamiento
GAES declara que los datos personales de sus pacientes, clientes, administradores, colaboradores, proveedores, accionistas y usuarios de sus plataformas digitales, serán tratados única y exclusivamente para finalidades determinadas, explícitas y legítimas. En el ejercicio de sus actividades clínicas, operativas, regulatorias y comerciales orientadas a brindar soluciones audiológicas, GAES tratará los datos personales para las siguientes finalidades principales:
● Coordinación y Prestación de servicios de salud audiológica: Agendamiento de citas, apertura y actualización de registro clínico, elaboración de diagnósticos, adaptación de audífonos y seguimiento médico continuo.
● Gestión administrativa y comercial: Facturación, gestión de cobros, atención de consultas o reclamos, y relacionamiento jurídico con proveedores y contratistas.
● Gestión de Talento Humano: Ejecución de procesos de reclutamiento, selección, contratación, pago de nómina y cumplimiento estricto de obligaciones laborales y de seguridad social.
● Cumplimiento Normativo: Atención a requerimientos de autoridades judiciales o administrativas, y cumplimiento de obligaciones legales, contables y tributarias vigentes.
El detalle exhaustivo de las bases de legitimación y las operaciones técnicas aplicadas a cada una de estas finalidades se encuentra documentado a nivel interno en el ANEXO 1 “Cuadro de Inventario de Actividades de Tratamiento” de GAES, en apego al principio de responsabilidad proactiva y demostrada.
En el uso de su sitio web y plataformas digitales, GAES podrá emplear cookies y tecnologías similares con fines técnicos, analíticos y de mejora en la experiencia del usuario.
En el tratamiento de datos derivado del uso de cookies no esenciales se realizará únicamente previo consentimiento libre, específico, informado e inequívoco del titular, recabado mediante mecanismos claros de aceptación o rechazo.
El detalle sobre los tipos de cookies utilizadas, su finalidad, tiempo de conservación y opciones de gestión se encuentra disponible en https://www.gaes.ec/politica-de-cookies
2.8 Consecuencias de la entrega, negativa o inexactitud de los datos personales
En estricto cumplimiento del derecho a la información consagrado en la LOPDP, GAES informa a los titulares que la entrega y requerimiento de sus datos personales será obligatoria exclusivamente cuando estos resulten estrictamente necesarios para el cumplimiento de las finalidades clínicas, audiológicas, laborales, regulatorias o comerciales descritas en la presente Política, así como para la ejecución de obligaciones legales o contractuales. En tales supuestos, la negativa a proporcionar la información requerida imposibilitará la adecuada prestación de los servicios de salud audiológica, la formalización de relaciones contractuales o el cumplimiento de los procesos institucionales.
Cuando los datos no sean indispensables para dichas finalidades, su entrega será de carácter estrictamente facultativo.
En observancia del principio de calidad y exactitud, el titular es responsable de que la información proporcionada sea veraz, íntegra, precisa y se encuentre debidamente actualizada. El suministro de datos erróneos, incompletos o inexactos afectará la calidad del diagnóstico, la prestación del servicio audiológico o el adecuado desarrollo de la gestión administrativa y contractual. Todo ello, sin perjuicio del derecho irrenunciable del titular a solicitar la rectificación o actualización de sus datos en cualquier momento conforme a la normativa aplicable.
2.9 Bases legitimadoras del tratamiento
El tratamiento de datos personales por parte de GAES es legítimo y lícito cuando se cumple una de las siguientes condiciones:
a) Por consentimiento del titular para una o varias finalidades específicas.
b) En cumplimiento de una obligación legal.
c) Por orden judicial.
d) En cumplimiento de una obligación realizada en interés público, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a 8 la materia, principios de la Ley Orgánica de Protección de Datos Personales, y criterios de legalidad, proporcionalidad y necesidad.
e) Para la ejecución de medidas precontractuales por pedido del titular o para el cumplimiento de obligaciones contractuales.
f) Para proteger intereses vitales del titular o de otra persona natural.
g) Para satisfacer un interés legítimo.
Cuando el tratamiento de datos personales se fundamente en el interés legítimo de GAES, este se sustentará previa y obligatoriamente en la realización de un ejercicio de ponderación documentado, que evalúe el equilibrio entre dicho interés y expectativas del titular de los datos. Los resultados de este análisis de ponderación formarán parte del sistema interno de cumplimiento y estarán disponibles para la Autoridad de Protección de Datos Personales cuándo sean requeridos, en cumplimiento del principio de responsabilidad proactiva demostrada.
2.10 Tipos de tratamiento
En el marco de las finalidades descritas en la presente Política, GAES ejecutará diversas operaciones de tratamiento sobre los datos personales, en estricto cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y demás normativa conexa. Dicho tratamiento, ya sea que se realice mediante procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, comprenderá operaciones tales como: la recogida, recopilación, registro, organización, estructuración, conservación, custodia, utilización y procesamiento de los datos. Asimismo, incluirá la limitación, anonimización, supresión o destrucción segura de la información una vez que se haya cumplido la finalidad que justificó su tratamiento, o cuando la ley así lo disponga.
Todas estas operaciones se realizarán siempre dentro de los límites de las finalidades previamente establecidas. Para ello, y con base en el análisis de riesgos, GAES aplicará las salvaguardas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas para garantizar la seguridad de la información. Toda operación se ejecutará en irrestricta observancia de los principios rectores de juridicidad, proporcionalidad, pertinencia y minimización de datos personales, y responsabilidad proactiva y demostrada
2.11 Medidas de seguridad y Bases de datos en las que reposan los datos personales
Los datos personales tratados por GAES constan en bases de datos o ficheros físicos y/o digitales, administrados directamente por la empresa o a través de sistemas tecnológicos provistos por terceros debidamente autorizados, quienes actuarán en estricta calidad de encargados del tratamiento. Dichas bases de datos comprenderán, entre otras, historiales clínicos y audiológicos, registros administrativos, laborales, comerciales, contractuales, de seguridad, de control de accesos y de gestión de plataformas digitales institucionales.
Estas bases de datos serán gestionadas con estricto apego a las finalidades legítimas, determinadas y explícitas establecidas en la presente Política. En irrestricta observancia del principio de seguridad de datos personales, GAES implementará y mantendrá las medidas administrativas, técnicas, físicas, organizativas y jurídicas adecuadas y necesarias para proteger los datos personales frente a cualquier riesgo, amenaza o vulnerabilidad, garantizando en todo momento la confidencialidad, integridad y disponibilidad de la información, de conformidad con la Ley Orgánica de Protección de Datos Personales (LOPDP) y demás normativa conexa.
2.12 Origen de los datos personales
Los datos personales tratados por GAES podrán tener un origen directo o indirecto. En la mayoría de los casos, la información es recopilada de forma directa del titular a través de formularios físicos o digitales, plataformas electrónicas, procesos de agendamiento clínico, evaluación audiológica, contratación, uso de aplicativos o mediante la interacción directa con GAES, sus encargados del tratamiento o terceros autorizados.
Excepcionalmente, los datos podrán ser obtenidos de forma indirecta a través de terceros (tales como médicos derivantes, entidades del Sistema Nacional de Salud, compañías de seguros) o extraídos de fuentes accesibles al público. En estos supuestos, GAES garantiza que dicha obtención estará amparada en una base de legitimación válida conforme al artículo 7 de la LOPDP. Tratándose de información clínica o audiológica, al ser datos de categoría especial (salud), su tratamiento se sujetará estrictamente a las excepciones establecidas en el artículo 26 de la ley.
Asimismo, GAES asegura que el tratamiento será compatible con las finalidades legítimas previamente establecidas y cumplirá con el deber de informar al titular sobre este origen indirecto dentro de los plazos y condiciones que exige la normativa aplicable.
2.13 Transferencias, Comunicaciones y Encargados de Tratamiento
En estricto cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP), GAES diferencia jurídicamente el flujo de la información de sus pacientes, clientes y colaboradores bajo las siguientes reglas:
1. Acceso a datos por parte de Encargados (Proveedores tecnológicos): Conforme al artículo 34 de la LOPDP, no se considerará transferencia o comunicación el acceso a datos personales por parte de proveedores tecnológicos o terceros que presten un 10 servicio a GAES. Estos actuarán estrictamente en calidad de encargados del tratamiento, amparados en un contrato legal escrito que garantice que procesarán la información únicamente bajo las instrucciones documentadas de GAES. Para ello, deberán implementar las mismas medidas administrativas, técnicas, físicas, organizativas y jurídicas exigidas a nuestra institución.
2. Transferencia o Comunicación a Terceros (Destinatarios): GAES podrá transferir o comunicar datos personales a terceros independientes (tales como: autoridades competentes, entidades públicas, o compañías aseguradoras) únicamente cuando exista una base de legitimación válida conforme al artículo 7 de la LOPDP. Tratándose de información clínica y audiológica, al ser datos de categoría especial (salud), su transferencia a aseguradoras u otros destinatarios requerirá obligatoriamente del consentimiento explícito, previo e informado del paciente. Al recibir la información, dichos terceros actuarán como responsables independientes del tratamiento.
3. Transferencias Internacionales de Datos: Para el cumplimiento de sus finalidades operativas, GAES podrá realizar transferencias internacionales de datos hacia otras entidades del grupo Amplifon u otros destinatarios en el exterior principalmente a Chile e Italia. Dichas transferencias se ejecutarán exclusivamente hacia jurisdicciones que cuenten con una declaratoria de nivel adecuado de protección emitida por la Autoridad de Protección de Datos Personales del Ecuador; o, en su defecto, amparadas en el uso de garantías adecuadas, cláusulas contractuales o Normas Corporativas Vinculantes.
En todas las operaciones de flujo de información, GAES aplicará el principio de responsabilidad proactiva y demostrada, asegurando que los datos personales sean utilizados exclusivamente para las finalidades legítimas y proporcionales que justificaron su tratamiento.
2.14 Derechos de los Titulares de Datos
En estricta observancia de la Ley Orgánica de Protección de Datos Personales (LOPDP), GAES garantiza a los titulares de los datos el ejercicio gratuito de los siguientes derechos:
● Derecho a la Información: Ser informado conforme a los principios de lealtad y transparencia, de forma previa a la recolección de sus datos, sobre las finalidades del tratamiento, la base legal, el tiempo de conservación, la existencia de bases de datos, los destinatarios de transferencias, y los mecanismos y medios para hacer efectivos sus derechos, entre otros aspectos exigidos por la ley. 11 ● Derecho de Acceso: Conocer y obtener gratuitamente de GAES acceso a todos sus datos personales objeto de tratamiento, sin necesidad de presentar justificación alguna. GAES atenderá este requerimiento en un plazo máximo de quince (15) días.
● Derecho de Rectificación y Actualización: Solicitar la corrección o actualización de sus datos personales cuando estos sean inexactos o incompletos. Para tal efecto, el titular deberá presentar los justificativos correspondientes, y GAES atenderá la solicitud en el plazo de quince (15) días.
● Derecho de Eliminación: Exigir la supresión de sus datos personales cuando el tratamiento no cumpla con los principios legales, ya no sea necesario para la finalidad, o el titular revoque su consentimiento, siempre y cuando no exista una obligación legal de conservación u otra excepción prevista en la ley. GAES ejecutará métodos seguros para suprimir, hacer ilegibles o irreconocibles los datos en un plazo de quince (15) días.
● Derecho de Oposición: Negarse al tratamiento de sus datos personales, especialmente cuando estos sean utilizados para fines de mercadotecnia directa o cuando se justifique en una situación personal concreta (salvo que la ley disponga lo contrario o existan motivos legítimos imperiosos que prevalezcan). Esta solicitud será atendida en el plazo de quince (15) días.
● Derecho a la Suspensión del Tratamiento: Obtener la limitación temporal del uso de sus datos cuando: 1) el titular impugne la exactitud de los mismos, mientras GAES la verifica; 2) el tratamiento sea ilícito y el titular prefiera la limitación en lugar de la supresión; 3) GAES ya no necesite los datos, pero el titular los requiera para la formulación, ejercicio o defensa de reclamaciones; o 4) el titular se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos de GAES prevalecen sobre los del titular.
● Derecho a la Portabilidad: Recibir de GAES sus datos personales en un formato compatible, actualizado, estructurado, común, interoperable y de lectura mecánica, o solicitar su transferencia a otro responsable, siempre que el tratamiento se efectúe por medios automatizados y esté fundamentado en el consentimiento o en el cumplimiento de un contrato.
● Derecho a no ser objeto de decisiones automatizadas: A no ser sometido a una decisión basada única o parcialmente en valoraciones producto de procesos automatizados (incluida la elaboración de perfiles) que produzcan efectos 12 jurídicos o atenten contra sus derechos. El titular podrá solicitar una explicación motivada, presentar observaciones e impugnar dicha decisión ante GAES.
2.15 Responsabilidades de la Política
2.15.1 Evaluación y Mejora Continua del Sistema de Protección de Datos
En estricto cumplimiento del principio de responsabilidad proactiva y demostrada, las políticas y el sistema de gestión de protección de datos de GAES serán objeto de revisión, evaluación y valoración continua y permanente. El objetivo es garantizar la eficacia y efectividad de las medidas administrativas, técnicas, físicas, organizativas y jurídicas implementadas frente a los riesgos identificados. Para ello, la organización revisará y evaluará periódicamente lo siguiente:
● La efectividad de las políticas y controles, medidas a través de la naturaleza, frecuencia e impacto de las vulneraciones a la seguridad de los datos personales (incidentes) registradas.
● El nivel de cumplimiento y alineación con la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento, las regulaciones emitidas por la Superintendencia de Protección de Datos Personales (SPDP) y demás normativas aplicables.
● La correcta ejecución de las obligaciones legales y regulatorias, con especial énfasis en la protección reforzada de las categorías especiales de datos (datos de salud clínica y audiológica).
● El nivel de adherencia del talento humano a las prácticas de privacidad, el deber de confidencialidad y la aplicación de la protección de datos desde el diseño y por defecto.
2.15.2 Comité de Protección de Datos (o Alta Dirección)
Como órgano de gobierno corporativo, es responsable de liderar y respaldar la estrategia de cumplimiento, coordinando de forma directa con el Delegado de Protección de Datos (DPD) y garantizando en todo momento la independencia de este último en el ejercicio de sus funciones. Sus responsabilidades principales incluyen:
● Aprobar, madurar y administrar las políticas, directrices y lineamientos internos de protección de datos personales aplicables a todas las sucursales, procesos y áreas operativas de GAES a nivel nacional.
● Garantizar que la protección de datos personales sea un eje transversal en la planificación de la información, asegurando que se integre desde las fases iniciales de cualquier nuevo proyecto o servicio audiológico.
● Facilitar y asegurar la provisión de los recursos económicos, tecnológicos y humanos necesarios para ejecutar la gestión de riesgos, las evaluaciones de impacto y garantizar el correcto y libre desempeño de las funciones del DPD.
● Fomentar una cultura institucional de respeto a la privacidad, así como promover el conocimiento y la capacitación continua del personal sobre sus obligaciones en el tratamiento de datos personales.
● Revisar los reportes de gestión, auditorías o iniciativas presentados por el DPD y las áreas técnicas, a fin de adoptar decisiones estratégicas que aseguren la mejora continua y el cumplimiento frente a la Autoridad de Protección de Datos Personales. Los miembros que conformarán el comité son:
● Gerencia General
● Responsable de Recursos Humanos
● Responsable de Tecnologías de la Información – sistemas-
● Responsable de Marketing
● Director Médico
● Responsable Jurídico
● El Oficial de Integridad y Cumplimiento
Este comité se reúne semestralmente para:
● Revisar todo el conocimiento concerniente a la protección de datos personales.
● Examinar y aprobar políticas nuevas o modificadas de la protección de datos personales.
● Revisar estándares nuevos o modificados de la protección de datos personales.
● Revisar el estatus actual de la seguridad de la protección de datos de GAES.
● Revisar, monitorear y evaluar los incidentes de protección de datos personales dentro de GAES.
● Aprobar y subsecuentemente revisar las iniciativas de protección de datos 14 personales.
● Desempeñar otras actividades necesarias de administración de la protección de datos personales de alto nivel.
El Delegado de Protección de Datos, en las limitaciones de sus funciones definido por la Ley Aplicable, podrá actuar como consultor del Comité de Protección de Datos Personales.
2.16 Reclamos y Consultas
Los titulares de los datos personales podrán presentar sus solicitudes, reclamos o consultas para el ejercicio de sus derechos (acceso, rectificación, actualización, eliminación, oposición, suspensión, portabilidad y a no ser objeto de decisiones automatizadas) de forma gratuita a través de los siguientes canales físicos y digitales puestos a disposición por GAES:
● Canal Electrónico: Remitiendo una comunicación o solicitud formal mediante correo electrónico dirigido directamente a nuestro Delegado de Protección de Datos Personales (DPD) a la dirección: protecciondatoslatam@amplifon.com.
● Canal Físico: Presentando una petición por escrito en nuestras oficinas principales, ubicadas en la Av. Orellana E11-160 y Wimpher, Edif. SCHUMAN.
● Canal Telefónico (para consultas): Comunicándose al número institucional (+593 -2) 022558709.
Toda solicitud deberá contener:
● Nombres y apellidos del Titular y/o su representante;
● Lo que se pretende consultar o reclamar;
● Dirección física, electrónica y teléfono de contacto del Titular y/o su representante;
● Número de identificación correspondiente.
● Dato personal objeto de reclamo
●Los derechos de consulta y reclamo podrán ser ejercidos de la siguiente forma:
o A nombre propio: Puede ejercer su derecho directamente realizando la consulta o reclamo en relación con los datos almacenados en nuestras bases de datos y/o archivos. 15
o A través de representante: Puede ejercer su derecho a través de un representante legal. Si se llegare a presentar la solicitud por parte de una persona que no fuese el titular de la información personal, sin cumplir con la presentación del documento idóneo que sustente la representación, ésta se tendrá como no presentada y no se dará respuesta a dicho requerimiento.
o Ejercicio del derecho de menores de edad: Los menores de 15 años deberán ejercer su derecho de consulta o reclamo de datos personales a través de quien acredite su representación legal mediante la documentación correspondiente.
GAES atenderá y ejecutará el requerimiento dentro del plazo máximo de quince (15) días para solicitudes relativas al ejercicio de los derechos de acceso, rectificación, actualización, eliminación y oposición, y en un término de diez (10) días para la contestación general de requerimientos, quejas o reclamaciones directas.
Sin menoscabo de lo indicado, el titular de los datos personales podrá ejercer sus derechos previstos en la Ley a través de un requerimiento dirigido a la Autoridad de Protección de Datos Personales del Ecuador, cuando considere que el tratamiento de sus datos personales vulnera derechos y garantías reconocidas en la Constitución Política del Ecuador, la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento general.
2.17 Retiro del Consentimiento
El titular de los datos personales tiene el derecho inalienable a revocar su consentimiento en cualquier momento, de forma gratuita y sin necesidad de presentar justificación alguna.
Para garantizar la efectividad de este derecho, GAES pone a disposición del titular mecanismos ágiles que garantizan celeridad, eficiencia y eficacia, a través de un procedimiento sencillo, similar al empleado para recabar el consentimiento inicial.
La revocatoria del consentimiento no tendrá efectos retroactivos; por lo tanto, el tratamiento realizado antes de revocar el consentimiento se mantendrá lícito y plenamente válido. Asimismo, la revocación del consentimiento para finalidades accesorias (como mercadotecnia o publicidad) no condicionará ni suspenderá la prestación de los servicios clínicos audiológicos o la ejecución del contrato principal. En estos supuestos, GAES podrá continuar con el tratamiento de los datos personales estrictamente necesarios siempre que se sustenten en otras bases de legitimación válidas y distintas al consentimiento (tales como el cumplimiento de una obligación legal, la ejecución de 16 medidas contractuales o el interés legítimo), de conformidad con el artículo 7 de la LOPDP.
3. DESCRIPCIÓN DE LA POLÍTICA.
3.1. Generalidades 3.1.1.
Creación de Políticas de Protección de Datos Personales
El Comité de Protección de Datos (o Alta Dirección) establece las directrices estratégicas y operativas orientadas a proteger de manera integral la información que se encuentra en poder de GAES. Esto se ejecuta mediante la asignación estructurada de roles y responsabilidades, la correcta clasificación de la información y la estricta observancia de los pilares fundamentales de la seguridad de la información: confidencialidad, integridad y disponibilidad. La presente política garantiza el cumplimiento irrestricto de la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento y las resoluciones de la Superintendencia de Protección de Datos Personales (SPDP).
Dicho cumplimiento comprende la implementación de controles estrictos de acceso, la gestión diligente frente a cualquier vulneración de la seguridad de los datos personales, y la aplicación de un nivel de protección reforzado para las categorías especiales de datos personales, en particular los datos relativos a la salud audiológica. Asimismo, el marco normativo interno contempla programas de capacitación continua del talento humano, procesos de revisión, monitoreo, auditoría periódica y la determinación de responsabilidades por incumplimiento. Todo ello respaldado por la implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas adecuadas al nivel de riesgo, fundamentándose en los siguientes objetivos y principios rectores:
● Asegurar permanentemente la confidencialidad, integridad y disponibilidad de las categorías especiales de datos personales (información clínica, audiológica y datos sensibles) frente a accesos no autorizados, alteraciones o pérdidas.
● Garantizar la protección de los activos de información críticos que se encuentren en poder de GAES mediante la aplicación del principio de protección de datos desde el diseño y por defecto en todos sus procesos.
● Exigir la estricta observancia del deber de sigilo, confidencialidad y secreto profesional por parte de todos los colaboradores, directivos y terceros (encargados) frente a los datos y recursos tecnológicos confiados a ellos.
● Identificar, evaluar, mitigar y controlar continuamente los riesgos que amenacen los activos de información que se encuentren en poder de GAES, aplicando 17 rigurosamente el principio de responsabilidad proactiva y demostrada.
● Consolidar una cultura organizacional orientada al cumplimiento normativo y reforzar los valores éticos fundamentales de GAES, promoviendo el respeto absoluto a la privacidad y autodeterminación informativa de sus pacientes y colaboradores.
3.1.2. Revisión de Políticas de Protección de Datos Personales
En estricto cumplimiento del principio de responsabilidad proactiva y demostrada, y de la obligación legal de aplicar e implementar procesos de verificación, evaluación y valoración periódica, las Políticas de Protección de Datos Personales de GAES serán revisadas continuamente. El propósito es asegurar la conformidad regulatoria, garantizar la protección reforzada de los derechos de los titulares y mantener el irrestricto alineamiento con las directrices de la Superintendencia de Protección de Datos Personales (SPDP).
Para el efecto, GAES revisará y evaluará de forma permanente lo siguiente:
● La eficiencia, eficacia y efectividad de las medidas administrativas, técnicas, físicas, organizativas y jurídicas implementadas frente a los riesgos identificados.
● La efectividad de las políticas, demostrada y medida a través de la naturaleza, frecuencia e impacto de las vulneraciones de la seguridad de los datos personales que llegaren a registrarse.
● Los costos de aplicación de las medidas de seguridad integral frente a la naturaleza (datos de salud audiológica), el volumen, el alcance, el contexto y los fines del tratamiento.
● El efecto de los cambios en el "estado de la técnica" (evolución tecnológica) y los impactos resultantes sobre la confidencialidad, integridad y disponibilidad de la información, exigiendo la actualización de los análisis de riesgos y evaluaciones de impacto cuando corresponda.
● La cobertura integral y el cumplimiento de las obligaciones legales y regulatorias previstas en la LOPDP, su Reglamento General y resoluciones conexas.
● El nivel de capacitación, concientización y adherencia del talento humano de GAES respecto a la cultura de privacidad, la protección de datos desde el diseño 18 y por defecto, y el estricto cumplimiento del deber de confidencialidad y secreto profesional.
3.1.3. Comunicación de las Políticas de Protección de Datos Personales Existentes, Nuevas y Modificadas
En estricto cumplimiento de los principios de transparencia y lealtad, las Políticas de Protección de Datos Personales de GAES estarán a disposición de todos los colaboradores y directivos a través del portal web institucional https://www.gaes.ec/ u otro medio interno apropiado para su socialización.
Todo el personal será informado y notificado de manera oportuna cada vez que se creen, modifiquen o actualicen las políticas, directrices o estándares de control, garantizando su lectura y obligatoria observancia.
3.1.4. Capacitación en Protección de Datos Personales
En observancia del principio de responsabilidad proactiva y demostrada, es responsabilidad de la Dirección de Talento Humano, en coordinación con el Delegado de Protección de Datos Personales (DPD), proveer capacitaciones y formación continua a todos los colaboradores de GAES.
Estas capacitaciones dotará al personal de los conocimientos técnicos y jurídicos requeridos para comprender el tratamiento adecuado de los datos personales (con especial énfasis en los datos sensibles de salud audiológica), aplicar la protección de datos desde el diseño y por defecto, y asumir su responsabilidad individual frente al cumplimiento de los controles internos. Los instrumentos y canales para la ejecución de los programas de capacitación y concientización incluirán, de manera no limitativa:
● Charlas magistrales y talleres prácticos (presenciales o virtuales).
● Módulos de capacitación formal en plataformas de aprendizaje corporativo (e learning).
● Folletos, trípticos, boletines informativos y mensajes de correo electrónico institucional.
● Campañas visuales y carteleras en oficinas institucionales.
3.2. Política de Protección de Datos Personales
Todo el personal de GAES suscribirá obligatoriamente un contrato o acuerdo de confidencialidad y manejo adecuado de datos personales. La observancia estricta de la seguridad de la información y el mantenimiento del secreto profesional respecto a la información clínica son condiciones ineludibles de la relación laboral, la violación, negligencia o postergación de las responsabilidades y estándares documentados en las Políticas de Protección de Datos Personales constituirá una falta grave, sujeta a la aplicación de acciones disciplinarias que podrán incluir la terminación de la relación laboral, sin perjuicio de las responsabilidades civiles, administrativas y penales correspondientes. Tal como está detallado en el Reglamento interno de trabajo.
Respecto a los proveedores o terceros (no empleados) que presten servicios y tengan acceso a datos personales institucionales, estos actuarán estrictamente en calidad de encargados del tratamiento. Para ello, deberán suscribir un contrato de encargo de tratamiento, obligándose a implementar las mismas medidas administrativas, técnicas, físicas, organizativas y jurídicas de seguridad exigidas a GAES, y a tratar los datos única y exclusivamente bajo las instrucciones documentadas de la empresa.
3.2.1. Transferencia de Datos
GAES podrá comunicar o transferir datos personales a terceros, a nivel nacional o internacional, única y exclusivamente cuando se cumplan los principios de finalidad y proporcionalidad, bajo las siguientes condiciones establecidas en la Ley Orgánica de Protección de Datos Personales (LOPDP):
● Comunicaciones Nacionales (Destinatarios): La comunicación de datos a terceros requerirá una base de legitimación válida y el consentimiento previo e informado del titular. Tratándose de información clínica y audiológica (datos de salud), dicho consentimiento deberá ser explícito. Excepcionalmente, no se requerirá el consentimiento cuando la transferencia sea obligatoria por mandato legal, por orden de autoridad administrativa o judicial competente, o para solucionar una urgencia que implique intereses vitales del paciente.
● Transferencias Internacionales: En caso de que GAES requiera transferir datos fuera del territorio ecuatoriano (incluyendo a otras entidades del grupo Amplifon), lo hará de conformidad con el Capítulo IX de la LOPDP. Para ello, verificará que el país u organización de destino cuente con un nivel adecuado de protección declarado por la Autoridad de Protección de Datos Personales. En su defecto, la transferencia se realizará amparada en la implementación de garantías 20 adecuadas, Normas Corporativas Vinculantes, o mediante el consentimiento explícito del titular tras haber sido debidamente informado sobre los posibles riesgos de dicha transferencia.
● Seguridad y Garantías: En toda transferencia o comunicación, GAES verificará que el tercero receptor implemente las medidas administrativas, técnicas, físicas, organizativas y jurídicas exigidas por la normativa ecuatoriana para garantizar un nivel de seguridad equivalente y salvaguardar la confidencialidad, integridad y disponibilidad de la información.
3.2.2. Medidas de Seguridad
En estricto cumplimiento del principio de seguridad y de las obligaciones dispuestas en la Ley Orgánica de Protección de Datos Personales (LOPDP), GAES implementará, mantendrá y evaluará de forma continua las medidas administrativas, técnicas, físicas, organizativas y jurídicas adecuadas para proteger los datos personales (con especial nivel de protección sobre la información clínica y datos de salud) contra cualquier riesgo, amenaza, vulnerabilidad, acceso no autorizado, pérdida, alteración o destrucción.
Estas medidas se fundamentan en el análisis de riesgos y el estado de la técnica, e incluyen:
● Medidas de Seguridad Física: Establecimiento de perímetros de seguridad y control estricto de acceso físico a las instalaciones de GAES donde se almacenen y traten datos personales. Implementación de zonas críticas, mediante la restricción del acceso físico a las salas de servidores y archivos clínicos. Limitación del acceso a la información confidencial únicamente a personas autorizadas basadas en el principio de "necesidad de conocer". Implementación de protocolos de gestión documental para la custodia y protección de soportes, y procedimientos para la destrucción física segura de activos de información una vez cumplido su plazo de conservación.
● Medidas de Seguridad Técnica (Digital): Implementación de sistemas de identificación y autenticación robustos, asignando roles y perfiles de acceso específicos. Mantenimiento de registros de actividad (logs) que permitan garantizar la trazabilidad de accesos a los sistemas. Ejecución periódica de gestión de parches de seguridad y vulnerabilidades. Aplicación de medidas de protección como el cifrado o seudonimización de bases de datos sensibles. Contar con un sistema de respaldos (backups) y desarrollar un Plan de Recuperación ante Desastres (PRD) y de Continuidad TIC que garantice la resiliencia y la disponibilidad permanente de los servicios de GAES ante incidentes o vulneraciones de la seguridad.
● Medidas Organizativas y Administrativas: Ejecución de programas de formación y concientización periódica dirigida al personal sobre buenas prácticas de protección de datos desde el diseño y por defecto. Supervisión, evaluación y revisión continua de la eficacia de las medidas a través de auditorías internas y gobernanza institucional.
● Medidas Jurídicas: Suscripción obligatoria de acuerdos de estricta confidencialidad y secreto profesional con todos los colaboradores, así como la formalización de contratos de encargo de tratamiento con proveedores y terceros autorizados.
3.2.3. Conservación de Datos
En irrestricto cumplimiento del principio de conservación establecido en el artículo 10, literal i) de la Ley Orgánica de Protección de Datos Personales (LOPDP), GAES conservará los datos personales durante un tiempo no mayor al estrictamente necesario para el cumplimiento de las finalidades clínicas, audiológicas, administrativas, regulatorias, laborales y comerciales descritas en la presente Política, o mientras subsista la relación jurídica y de prestación de servicios que dio origen al tratamiento.
Adicionalmente, los datos podrán conservarse bloqueados o archivados durante los plazos específicos establecidos en la normativa aplicable, tales como la obligación legal de conservación de historiales clínicos audiológicos dispuesta por la autoridad sanitaria nacional, el cumplimiento de deberes tributarios o de seguridad social, y para la formulación, ejercicio o defensa de eventuales reclamaciones o responsabilidades administrativas, contractuales o judiciales.
Para garantizar que los datos no se conserven más tiempo del necesario, GAES aplicará plazos y procedimientos para su revisión periódica. Una vez cumplidas las finalidades del tratamiento y transcurridos los plazos legales correspondientes, GAES procederá a la eliminación segura, bloqueo o anonimización de los datos personales, conforme a sus procedimientos internos y a lo dispuesto imperativamente en la LOPDP y su Reglamento.
El tratamiento de información clínica de nuestros pacientes se sujeta al Reglamento de Información Confidencial en Sistema Nacional de Salud, en el cual se considera que el archivo de historias clínicas es un área restringida, con acceso limitado solo a personal de salud autorizado, donde se guardan de manera ordenada, accesible y centralizada todas las historias clínicas que se manejan en el establecimiento. Se denomina activo cuando cuenta con historias activas, esto es con registros de hasta cinco años atrás y se denomina pasivo cuando almacena aquellas que tienen más de cinco años sin registros, tomando en 22 cuenta la última atención al paciente; en virtud de lo cual la información clínica será conservada por al menos diez años. En cuanto a la información laboral y fiscal el tratamiento se conservará hasta siete años de conformidad con la normativa laboral y fiscal respectiva. En aquellos casos de registros de videovigilancia se conservará de treinta a noventa días.
4. REVISIÓN Y ACTUALIZACIÓN
Esta política será revisada y actualizada periódicamente para asegurar su cumplimiento con las normativas vigentes y las mejores prácticas en protección de datos.
5. ACCIONES DISCIPLINARIAS
La estricta observancia de las Políticas de Protección de Datos Personales es de carácter obligatorio para todos los colaboradores, directivos y terceros encargados que presten servicios a GAES.
La falta de cumplimiento, negligencia o inobservancia de estas directrices constituirá una falta muy grave y resultará en la aplicación de acciones disciplinarias inmediatas, de conformidad con el Reglamento Interno de Trabajo de GAES.
Adicionalmente, dependiendo de la gravedad de la infracción o si el incumplimiento deriva en una vulneración de la seguridad de los datos personales, el infractor estará sujeto a las responsabilidades administrativas, civiles y penales contempladas en la Ley Orgánica de Protección de Datos Personales (LOPDP), el Código Orgánico Integral Penal (COIP) y demás normativa ecuatoriana aplicable.
Todo ello, sin perjuicio del derecho legal de repetición que GAES ejercerá frente al responsable directo en caso de que la organización deba asumir sanciones, multas o indemnizaciones por su negligencia.
6. CONTROL DE CAMBIOS
Fecha: 16/12/2025
Delegado de Protección de Datos: Gilberto Alfonso Gutiérrez Perdomo
7. DISPOSICIÓN FINAL
La presente Política fue conocida y aprobada por el Directorio de GAES (Audiovital Cía. Ltda.) en sesión extraordinaria efectuada el 16 de diciembre de 2025.
CERTIFICO que la Política de Protección de Datos Personales fue aprobada por el Directorio de GAES el día 16 de diciembre del año 2025.
Fecha: 6/12/2025
Delegado de Protección de Datos: Gilberto Alfonso Gutiérrez Perdomo
La presente Política fue conocida y aprobada por el Directorio de GAES (Audiovital Cía. Ltda.) en sesión extraordinaria efectuada el 16 de diciembre de 2025.
CERTIFICO que la Política de Protección de Datos Personales fue aprobada por el Directorio de GAES el día 16 de diciembre del año 2025.
El Usuario acepta que el uso de este Sitio y de los servicios y materiales incluidos en el mismo, son libres y voluntarios, y que dichos usos y sus consecuencias son de exclusiva responsabilidad de la persona usuaria.
El usuario gozará de todos los derechos que le reconoce la legislación ecuatoriana.
La persona usuaria se compromete a seguir las instrucciones impartidas por GAES sobre el uso del Sitio.
El usuario se obliga a utilizar el Sitio, en forma correcta, lícita y sólo para fines de información personal, no pudiendo hacer uso de este para fines comerciales o que puedan dañar en cualquier forma la reputación de GAES.
La persona usuaria manejará, la información, servicios, datos o contenido del sitio en las formas permitidas por la ley, absteniéndose de darles un uso que sea contrario a la moral, las buenas costumbres o el orden público.
El usuario se compromete a que los datos e información aportados en los formularios de registro del sitio web son veraces y lícitos.
El usuario notificará a GAES cualquier hecho relacionado con el uso indebido de la información registrada en dichos formularios.
El Usuario responderá de los daños y perjuicios de todo tipo, directos o indirectos, que GAES, otros Usuarios o terceros puedan sufrir como consecuencia de la infracción, por parte del Usuario, de cualquiera de los términos a que éste se obliga mediante los presentes Términos y Condiciones de Uso, o de la infracción a las normas vigentes aplicables.
