Hospitalización: 07 2 459 555 - Consultorios: 07 2 459 553
hospital-del-rio

Bienvenidos al Mayor Centro Médico Hospitalario del Austro, Bienvenidos a las Mejores Manos.
Welcome to the Major Hospital Medical Center of the Southern Region

Ley de Protección de Datos Personales



Hospital del Rio HOSPIRIO S.A.

 

Hospital del Río Hospirío S.A., es una empresa legalmente constituida en el Ecuador, cuyo principal objetivo es el brindar servicios de salud de forma integral, por lo que, esta presta servicios en las diversas ramas de la medicina, siempre regidos por principios de calidad y eficiencia en la atención a sus usuarios.

 

Con motivo de la promulgación de la Ley Orgánica de Protección de Datos Personales en el Ecuador, la Compañía, en procura de cumplir con las disposiciones de dicho cuerpo normativo, ha visto la necesidad de implementar un conjunto de normas que regulen los diversos procedimientos y políticas relativas a protección de datos, dentro de la institución, en razón de lo cual, promulga el presente instrumento.

 

 

CAPÍTULO I

GENERALIDADES

 

1.1. Objeto

La presente Política de Protección de Datos Personales tiene como objeto establecer los principios, directrices y procedimientos para el adecuado tratamiento de los datos personales que son tratados por Hospital del Río Hospirío S.A., en adelante la "Compañía", en cumplimiento de la Ley Orgánica de Protección de Datos Personales (en adelante LOPDP), su Reglamento General y demás normativa conexa aplicable en nuestro país.

 

1.2. Ámbito de Aplicación

Esta política es de aplicación obligatoria para todo el personal de la Compañía, incluyendo directivos, empleados, personal administrativo, personal médico, contratistas, proveedores y cualquier otra persona que, en el ejercicio de sus funciones o en virtud de una relación contractual de cualquier naturaleza, tenga acceso o realice tratamiento de datos personales en nombre y por cuenta de la Compañía. Esta política es aplicable a todos los datos personales, incluidos los datos sensibles, recolectados en cualquier formato (físico o digital), en el desarrollo de las actividades propias de la institución.

 

1.3. Compromiso

La Compañía se compromete a garantizar la protección de los datos personales de sus pacientes, colaboradores, proveedores y cualquier otro titular de datos, respetando su privacidad y sus derechos fundamentales, conforme a la Constitución de la República del Ecuador y la normativa vigente aplicable a este ámbito.

 

CAPÍTULO II

DEFINICIONES

Para los efectos de la presente política, y de conformidad con la Ley Orgánica de Protección de Datos Personales y su Reglamento General, se entenderá por:

 

-Dato Personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.

 

-Datos Sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

 

-Datos de Salud: Datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención de salud, que revelen información sobre su estado de salud. Esto incluye información pasada, presente o futura.

 

-Titular: Persona natural cuyos datos son objeto de tratamiento.

 

-Responsable del Tratamiento: Persona natural o jurídica, pública o privada, autoridad pública u otro organismo, que solo o junto con otros decide sobre la finalidad y el tratamiento de los datos personales. Para el caso de esta política, el responsable del tratamiento es la Compañía.

 

-Encargado del Tratamiento: Persona natural o jurídica, pública o privada, autoridad pública u otro organismo que, solo o conjuntamente con otros, trate datos personales nombre y por cuenta de un responsable de tratamiento de datos personales.

 

-Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

 

-Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

-Vulneración de la Seguridad de los Datos Personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.

 

-Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.

 

-Pseudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada identificable.

 

Sin perjuicio de las definiciones aquí plasmadas, serán aplicables todas aquellas constantes en la Ley Orgánica de Protección de Datos Personales, su Reglamento General y cualquier normativa conexa.

 

CAPÍTULO III

PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

 

La Compañía aplicará y garantizará el cumplimiento de los siguientes principios en todo tratamiento de datos personales:

 

-Principio de Juridicidad: Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.

 

-Principio de Lealtad: El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.

 

-Principio de Transparencia: El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.

 

-Principio de Finalidad: Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.

 

-Principio de Pertinencia y Minimización: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento

 

-Principio de Proporcionalidad: El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos.

 

-Principio de Calidad y Exactitud: Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

 

-Principio de Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.

 

-Principio de Conservación: Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento.

 

-Principio de Seguridad de los Datos Personales: Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.

 

-Principio de Responsabilidad Proactiva: El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.

 

-Principio de Aplicación favorable al titular: En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.

Los principios antes referidos se aplicarán sin perjuicio de que, durante el tratamiento, se apliquen otros principios constantes en la LOPDP, su reglamento y demás normativa pertinente.

 

CAPÍTULO IV

CONSERVACIÓN DE DATOS PERSONALES

 

4.1. Plazos de Conservación

Los datos personales serán conservados por la Compañía durante el tiempo necesario para cumplir con las finalidades para las cuales fueron recolectados y tratados, debiendo considerar la obligación legal de conservación ampliada, sin perjuicio de que, previa solicitud del titular y aprobación del ente rector se realice la anonimización o pseudonimización de los datos del titular.

 

4.2. Conservación de Historias Clínicas

De manera específica, y atendiendo a la normativa de salud y de protección de datos en Ecuador, las historias clínicas y la información de salud contenida en ellas, serán conservadas hasta por un período temporal de quince (15) años contados a partir de la fecha de la última atención brindada al paciente. Este plazo puede ser ampliado si existe una obligación legal adicional, una finalidad de archivo de interés público, histórico o científico, o para la formulación, el ejercicio o la defensa de reclamaciones.

 

4.3. Disposición Final de los Datos

Una vez cumplido el plazo de conservación y siempre que no exista una obligación legal o interés legítimo que justifique una conservación mayor, los datos personales serán suprimidos, bloqueados o anonimizados de forma segura, garantizando que no puedan ser recuperados o asociados a un titular identificado o identificable. La Compañía establecerá procedimientos específicos para la revisión periódica y la eliminación segura de los datos.

 

CAPÍTULO V

DERECHOS DEL TITULAR DE LOS DATOS PERSONALES

 

El titular de los datos personales, en virtud de la LOPDP, tiene los siguientes derechos, que la Compañía garantizará y facilitará su ejercicio, sin perjuicio de que pudieren existir otros derechos de plena aplicabilidad y vigencia en normativa relativa a protección de datos personales.

 

Derecho de Acceso: El titular tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a sus datos personales y a la información relativa al tratamiento (finalidades, categorías de datos, destinatarios, plazo de conservación, etc.).

Derecho de Rectificación y Actualización: El titular tiene derecho a obtener del responsable del tratamiento la rectificación y actualización de los datos personales inexactos o incompletos que le conciernan.

 

Derecho de Eliminación (Supresión): El titular tiene derecho a obtener del responsable del tratamiento la eliminación de sus datos personales cuando estos ya no sean necesarios para la finalidad que fueron recogidos, haya retirado su consentimiento, o el tratamiento sea ilícito, entre otros supuestos. Este derecho está sujeto a las excepciones previstas en la ley, especialmente en lo que respecta a datos de salud y obligaciones legales de conservación, como a todo tipo de excepción prevista en la LOPDP y demás normativa conexa.

 

Derecho de Oposición: El titular tiene derecho a oponerse al tratamiento de sus datos personales en determinadas circunstancias, debiendo considerar que la oposición al tratamiento de un determinado o determinados datos personales podría devenir en una inadecuada prestación del servicio de salud, entre otras consecuencias adversas.

 

Derecho a la Portabilidad: El titular tiene derecho a recibir los datos personales que le incumben, que haya facilitado a la Compañía, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida la Compañía, cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados. Este derecho podrá ser ejercido en los casos previstos en la LOPDP y de conformidad con el reglamento que para el efecto sea expedido por el ente rector.

 

5.1. Procedimiento para el Ejercicio de Derechos

Los titulares podrán ejercer sus derechos mediante una solicitud escrita dirigida a la Compañía, mediante el formulario preestablecido que posee la institución para el efecto. Este requerimiento necesariamente será presentado a través de los canales habilitados por la Compañía de forma electrónica (a través del correo electrónico: [email protected]) o mediante la entrega física del formulario entregado. Cabe señalar que estos derechos pueden ser ejercidos ya sea por el titular de los datos personales o bien, a través de su representante, quien podrá hacer ejercicio de estos derechos previa verificación de la documentación que acredite la facultad legal para el ejercicio de este derecho en representación de una tercera persona.

 

Los mecanismos adecuados de acreditación serán únicamente a través de verificación de filiación a través de la cédula de ciudadanía (en casos de menores de edad cuyos datos se traten en la Compañía) o en su defecto, a través de escrituras públicas de poder general, o poder especial en las que textualmente se otorgue dicha facultad al compareciente.

 

De forma conjunta se presentará el formulario debidamente suscrito por el titular o el representante, una copia de la cédula del titular o el representante y el titular en los casos correspondientes.

Solo de forma excepcional y previo análisis del caso en particular se podrá aceptar que para el ejercicio de estos derechos se presente una carta poder que no haya sido revestida de las solemnidades que posee una escritura pública.

 

Una vez que sea presentada la solicitud correspondiente, esta será entregada al Encargado del Tratamiento de Datos Personales designado por la Compañía (mediante el procedimiento interno correspondiente), quien previo el análisis de la solicitud y la documentación con la que cuente, deberá atender la solicitud en un plazo no mayor a 15 días. La solicitud podrá ser aceptada o negada, siempre con la debida motivación de las razones y causas legales que impidan su aceptación.

 

CAPÍTULO VI

TRATAMIENTO DE DATOS PERSONALES

 

6.1. Datos Obtenidos y Finalidad Específica de la Recolección

La Compañía recolecta y trata datos personales de diversas categorías, siendo la finalidad específica de la recolección y tratamiento la de la prestación de servicios integrales de salud en las diversas áreas de la medicina, sea a través de la prestación de servicios de salud, como también a través de servicios complementarios a este. A continuación, se detallan las categorías de datos y sus finalidades, sin perjuicio de que, en casos y supuestos específicos, puedan ser tratados otros tipos o categorías de datos no contemplados en este documento, considerando para ello siempre la autorización del titular (salvo las excepciones legales vigentes):

 

  1. Datos de Identificación: tales como nombres, apellidos, número de cédula/pasaporte, fecha de nacimiento, nacionalidad, estado civil, dirección, teléfono, correo electrónico, etc.

 

Finalidad: Identificación del paciente, creación y gestión de la historia clínica, comunicación para citas, resultados de exámenes, emergencias, facturación, cumplimiento de obligaciones legales, entre otras.

 

  1. Datos de Contacto de Emergencia: Nombres, apellidos, relación y teléfono de contactos en caso de emergencia.

 

Finalidad: Notificación a familiares o contactos designados en situaciones de emergencia o necesidad de información urgente, entre otras.

 

  1. Datos de Salud (Datos Sensibles): Antecedentes médicos, historial clínico, resultados de exámenes de laboratorio e imagen, diagnósticos, tratamientos, medicación, información sobre alergias, enfermedades preexistentes, hábitos de vida (ej., tabaquismo, alcoholismo), información genética, información biométrica (si aplica para fines de identificación o seguridad), entre otros.

 

Finalidad: Prestación adecuada de servicios de atención médica, diagnóstico, tratamiento, seguimiento, gestión de la historia clínica, facturación de servicios médicos, cumplimiento de obligaciones legales relacionadas con la salud en el ámbito público y privado, entre otras.

 

  1. Datos Financieros/Económicos: Información de seguros médicos, datos bancarios para pagos o reembolsos.

 

Finalidad: Gestión de pagos por servicios, facturación a seguros, reembolsos, cumplimiento de obligaciones tributarias, entre otras.

 

  1. Datos de Facturación: RUC, razón social, dirección fiscal.

 

Finalidad: Emisión de comprobantes de venta, cumplimiento de obligaciones tributarias, entre otras.

 

  1. Datos de Imagen/Video: Grabaciones de cámaras de seguridad en áreas comunes.

 

Finalidad: Seguridad de las instalaciones, personal y pacientes, prevención de delitos, entre otras.

 

  1. Datos Laborales (para personal que trabaja en la Compañía): Información de identificación, historial laboral, datos de contacto, información bancaria, datos de salud (para exámenes ocupacionales).

 

Finalidad: Gestión de la relación laboral, cumplimiento de obligaciones legales en materia laboral y de seguridad social, entre otras.

 

Todas las categorías y las finalidades que se señalan se lo hacen a manera de ejemplificación.

 

6.2. Medios para Recabar los Datos

La Compañía puede recabar datos personales a través de los siguientes medios:

 

Provistos por el titular: son entregados de forma directa, mediante formularios de ingreso, historias clínicas, entrevistas médicas, consultas, consentimientos informados y en general, cualquier medio por el cual puedan recabarse datos.

 

Provistos por terceros autorizados: por ejemplo, en las situaciones en las que menores de edad o personas incapaces ante la ley requieran la prestación del servicio de salud y concurran acompañados de sus representantes legales, quienes entregarán los datos correspondientes a través de los medios señalados con antelación.

 

Sistemas automatizados: Cámaras de videovigilancia en áreas comunes de las instalaciones. Si bien estos medios se encuentran implementados con fines de seguridad, de forma permanente obtienen datos de carácter personal, por lo que, en los diversos lugares de la institución se incorporarán los diversos avisos que correspondan.

 

Sitio web/Plataformas digitales: como por ejemplo a través de formularios de contacto, agendamiento de citas online, entre otros.

 

CAPÍTULO VII

CONSENTIMIENTO Y REVOCATORIA

 

7.1. Requisitos del Consentimiento

El tratamiento de datos personales por parte de la Compañía se realizará, de forma general y en la medida de lo posible, mediante el consentimiento libre, específico, informado e inequívoco del titular. No obstante, es necesario considerar que, existen casos particulares previstos en la Ley Orgánica de Protección de Datos Personales plenamente aplicables al ámbito de la salud, en los cuales el tratamiento de datos personales no requerirá del consentimiento previo del titular.

 

Como se ha señalado con antelación, el consentimiento deberá ser otorgado por el titular de los datos personales, sin embargo, en casos específicos, este será otorgado por el representante del titular.

 

7.2. Revocatoria del Consentimiento

El titular de los datos personales tiene derecho a revocar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento realizado de forma previa a la revocación.

 

Para revocar el consentimiento, el titular deberá presentar la solicitud correspondiente a la Compañía, a través de los canales establecidos en el Capítulo V de este instrumento.

 

La revocatoria del consentimiento no implicará la eliminación de los datos personales cuyo tratamiento sea necesario para el cumplimiento de una obligación legal o para la formulación, el ejercicio o la defensa de reclamaciones, todo de conformidad con la Ley Orgánica de Protección de Datos Personales.

 

CAPÍTULO VIII

TRATAMIENTO DE DATOS SENSIBLES

 

En el marco de la Ley Orgánica de Protección de Datos Personales, existen varias categorías de datos personales cuyo tratamiento reviste una mayor protección, esto en razón de su sensibilidad; dentro de estas categorías especiales de datos personales se encuentran previstos los datos relativos a la salud de personas, datos de menores de edad y personas con discapacidad, entre otros, mismos que de forma recurrente son tratados en la Compañía, en razón de los servicios que se brindan en esta.

 

Por lo señalado, la Compañía trata dichos datos personales considerando en todo momento el consentimiento explícito otorgado por el titular o su representante para el tratamiento de dichos datos sensibles para una o varias finalidades específicas. Esto no obsta que, para aquellos casos en los que existe imposibilidad para recabar la autorización del titular o su representante y, al encontrarse en situaciones que ponen en grave riesgo la vida e integridad del paciente, conforme lo permite la LOPDP en su Art. 26.

 

La Casa de Salud implementará medidas de seguridad reforzadas para la protección de los datos sensibles, dada su especial naturaleza.

 

Tratamiento de Datos de Salud

Conforme se expresó en líneas que antecede, los datos de salud son una categoría especial de datos sensibles, previstos en la LOPDP y su tratamiento en la Compañía se rige por principios de confidencialidad, privacidad y seguridad reforzados.

 

No obstante lo señalado, la Compañía mantiene obligaciones legales vigentes de conservación ampliada, por lo que, toda la información recaba y constante en historias clínicas debe ser guardada durante este período temporal, pese al cumplimiento de la finalidad para el cual fueron recabados los datos.

 

Conforme lo establece la LOPDP, una vez que se emita el reglamento correspondiente, que permita cumplir procesos de anonimización y pseudonimización, previa solicitud del titular de los datos personales o su representado y, con la autorización de la Autoridad correspondiente se realizarán los procedimiento de anonimización y pseudonimización para la conservación de los datos personales, cumpliendo el instructivo que la Compañía emita para el efecto y que se encuentre debidamente aprobado por el ente rector.

 

CAPÍTULO IX

TRANSFERENCIA Y COMUNICACIÓN DE DATOS A TERCEROS

 

10.1. Transferencia y Comunicación Nacional de Datos

La Compañía podrá comunicar o transferir datos personales a terceros dentro del territorio ecuatoriano en algunos casos como los ejemplificados a continuación:

 

Requerimiento del Titular o su Representante: Pueden existir un sin número de situaciones en las cuales el titular del tratamiento de datos personales o su representante requieran que los datos sean transferidos a terceras personas, por lo que, al mediar el consentimiento se lo podrá hacer previa suscripción de los documentos de descargo correspondientes. Por ejemplo, en aquellos casos en los que se debe enviar copia de la historia clínica y demás documentación correspondiente para la tramitación de cobertura de seguros privados.

 

Cumplimiento de Obligación Legal: Engloba a aquellas situaciones en las que por imperio de la norma resulta indispensable la transferencia o comunicación de los datos personales. Un claro ejemplo de las múltiples situaciones que podrían darse es el requerimiento de presentación de una historia clínica cuando por orden judicial se requiere la presentación de esta documentación que contiene datos sensibles. Para dicha transferencia no se requiere consentimiento, pues basta la orden judicial debidamente notificada.

 

Prestación de Servicios Conexos: Otra de las situaciones comunes es que, a efecto de complementar el servicio de salud brindado y poder hacerlo de forma integral, se requiera la transferencia de datos personales a servicios conexos o complementarios, por ejemplo, en aquellos casos que se necesita enviar los datos personales a laboratorios especializados.

 

Interés Público: Existen situaciones en las cuales, la Autoridad de Salud Pública u otras instituciones del estado, por razones de interés público, en el ámbito de la salud pública, como por ejemplo durante una pandemia, requieren la entrega de información sensible.

 

Intereses Vitales del Titular: De igual manera, existen situaciones en las cuales no es posible o se dificulta el obtener el consentimiento del titular o su representante y, debido a la situación en la que se encuentra el titular se deben tomar acciones que precautelen su vida e integridad, se realizará la comunicación o transferencia de datos personales.

 

Si bien se ejemplifican varias situaciones en las cuales se realiza transferencia o comunicación de datos personales a terceras personas, podrán existir otras situaciones en las cuales se debe ejecutar dicha comunicación o transferencia, dependiendo de las circunstancias concretas, razón por la cual, la Compañía, antes de cualquier comunicación o transferencia, realizará una valoración individual y circunstancial de cada caso, determinando la verdadera necesidad de comunicar o transferir los datos personales, determinando la implementación del mecanismo idóneo que permita el cumplimiento de los dispuesto en la LOPDP para la transferencia o comunicación de datos.

 

10.2. Transferencia y Comunicación Internacional de Datos

Para el cumplimiento de la finalidad de la institución, es necesario considerar también que existen en muchas ocasiones circunstancias en las que sea indispensable llevar a cabo la transferencia internacional de datos personales, por ejemplo, en casos en los que por el avance tecnológico sea necesario enviar pruebas de laboratorio obtenidas en la Compañía, para un análisis internacional que permita contar con resultados óptimos al no contar con un equipo determinado en el país.

 

En este tipo de situaciones, que en muchos casos provienen también del requerimiento propio del titular o su representante, es necesario enviar los datos personales de forma internacional, por lo que, en cumplimiento de lo dispuesto en la LOPDP, previo a realizar el envío se deben cumplir los siguientes estándares que permitan asegurar un nivel adecuado de protección de datos personales:

 

Países con Nivel de Protección Adecuado: Conforme lo señala la LOPDP, en principio los datos personales deben ser transferidos únicamente a países o jurisdicciones que, la Autoridad de Protección de Datos Personales haya declarado que ofrecen un nivel adecuado de protección de datos personales.

 

Garantías Adecuadas: No obstante lo señalado en el párrafo que antecede, existen casos específicos en los cuales resulta indispensable la transferencia o comunicación internacional en casos en los cuales se deba enviar la información a países o jurisdicciones que no hayan sido declaradas con un nivel adecuado de protección por parte de la Autoridad, por lo que, para proceder con esta transferencia o comunicación, el responsable o su encargado, deben ofrecer garantías adecuadas para el titular, que permitan cumplir con la normativa vigente.

 

Consentimiento Explícito: Para los casos detallados con antelación se solicitará en todo momento el consentimiento explícito del titular o su representante, previa información sobre los posibles riesgos de dicha transferencia, a efecto de dotar al titular o su representante con todos los insumos que permitan toma una decisión adecuada y debidamente fundamentada.

 

Empero las especificaciones realizadas a circunstancias específicas de transferencia internacional de datos, es necesario destacar que también existen otras circunstancias previstas en la LOPDP en las cuales podrá llevarse a cabo dicha transferencia, cumpliendo siempre lo dispuesto en la ley y su reglamento.

 

CAPÍTULO X

ACCESO A TERCEROS

 

Una de las formas de tratamiento de datos personales que prevé la LOPDP es el acceso que pueden tener terceras personas a los datos con los que cuenta la Compañía, evidentemente, dicho acceso no será indiscriminado, sino que se lo realizará siempre en el marco de lo previsto en la norma y en el cumplimiento específico de las finalidades de la prestación de los servicios que brinda la Compañía.

 

Por ejemplo, como parte del acceso a datos personales que puede darse en la institución, se encuentra el acceso que tendrá proveedores de servicios informáticos, en el marco de los cuales resulte indispensable el acceso a una base de datos específica de la Compañía, por lo que, de forma previa a este acceso, no obstante la ley facultar y tutelar este mecanismo de tratamiento, la Compañía suscribirá los instrumentos legales pertinentes, que garantice una adecuada protección de los datos constantes en la base a la cual tendrán acceso. Es necesario reiterar que, todo tipo de acceso que brinde la Compañía a datos específicos o bases de datos será siempre en todo momento para el cumplimiento de finalidades específicas de los servicios que esta brinda y siempre limitando el acceso a aquellos datos que sean estrictamente indispensables para la prestación de un adecuado servicio de salud.

 

En razón de los instrumentos legales con los que cuente la Compañía, esta exigirá en todo momento a todos los terceros que tuvieren acceso a datos personales la suscripción de acuerdos de confidencialidad y tratamiento de datos que establezcan en los que se prevean sus responsabilidades y principalmente sus obligaciones en materia de protección de datos, incluyendo la aplicación de medidas de seguridad y el cumplimiento irrestricto de la LOPDP.

 

 

CAPÍTULO XI

RESPONSABILIDAD PROACTIVA

 

Como parte del cumplimiento de la LOPDP, la Compañía asume el cumplimiento del principio de responsabilidad proactiva, lo que implica adoptar un enfoque preventivo en la protección de datos personales. Para ello, se compromete a:

 

Implementar Medidas Técnicas y Organizativas: es decir, buscará siempre implementar medidas de seguridad que sea diseñadas de forma específica para la institución, como por ejemplo, el ejecutar medidas de anonimización o pseudonimización para la conservación ampliada de datos personales, mediante la elaboración de manuales internos y posterior aprobación por el ente rector; la implementación y cumplimiento de estas medidas estarán siempre orientados a garantizar la protección de los datos desde el diseño y por defecto, considerando la naturaleza y categorías de datos personales que son tratados en la Compañía.

 

Realizar Evaluaciones de Impacto: cuando el tratamiento de datos personales, especialmente de datos sensibles entrañen un alto riesgo para los derechos de los titulares de estos datos y cuando así sea resuelto, la Compañía ejecutará evaluaciones de impacto relativas a la protección de datos.

 

Capacitación constante: ejecutará capacitaciones dirigidas al personal que trabaja en la Compañía, a efecto que el personal posea conocimientos suficientes en materia de protección de datos y se mantenga actualizado con las constantes reformas y promulgación de normativa conexa, garantizando un adecuado tratamiento de datos personales.

 

Auditorías y Revisiones Periódicas: Realizar auditorías internas y externas, así como revisiones periódicas de sus políticas y procedimientos de protección de datos para asegurar su eficacia y actualización.

 

 

CAPÍTULO XII

ACTUACIÓN EN CASO DE VULNERACIONES DE SEGURIDAD DE DATOS PERSONALES

 

15.1. Definición de Vulneración

Se considera vulneración de la seguridad de los datos personales toda violación de la seguridad que ocasione la destrucción, pérdida total o parcial o alteración accidental o ilícita de datos personales a cargo de la Compañía, o la comunicación o acceso no autorizados a dichos datos.

 

15.2. Procedimiento de Actuación

En caso de detectar una vulneración de la seguridad de los datos personales, la Compañía seguirá el siguiente procedimiento:

 

  1. Detección y Contención: Identificar a la brevedad la vulneración y, a través del personal correspondiente, determinar su alcance y aplicar medidas inmediatas para contener o detener el incidente y con ello minimizar su impacto.

 

  1. Investigación: Realizará una investigación exhaustiva para determinar la causa de la vulneración, el responsable de la vulneración, el tipo de datos afectados, el número de titulares involucrados y las posibles consecuencias de la vulneración.

 

  1. Notificación a la Autoridad de Protección de Datos Personales: Notificará la vulneración a la Autoridad de Protección de Datos Personales una vez tenga conocimiento de esta y a más tardar dentro de los cinco (5) días siguientes, contados a partir desde la fecha en la que se tuvo conocimiento y constancia de la vulneración, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas naturales. Como parte de la notificación, se incluirá la información requerida por la LOPDP y demás que en su momento requiera el ente rector.

 

  1. Comunicación a los Titulares: si la vulneración de la seguridad de los datos personales entraña un alto riesgo para los derechos y libertades de los titulares, en aquellas circunstancias en las que aplique, la Compañía comunicará la vulneración a los titulares afectados, de forma clara y concisa, dentro del término previsto para el efecto en la LOPDP, informando sobre la naturaleza de la vulneración, las medidas adoptadas y las posibles recomendaciones para mitigar los efectos adversos. Esta comunicación no será necesaria si se han adoptado medidas de protección adecuadas (ej., cifrado), o si la Casa de Salud ha tomado medidas posteriores que aseguren que el alto riesgo ya no se materializará, o si supusiera un esfuerzo desproporcionado; como en cualquier otra situación eximente que se encontrare prevista en la Ley, su reglamento o demás normativa conexa.

 

  1. Medidas de Mitigación y Prevención: Implementará las medidas correctivas necesarias para subsanar la vulneración y adoptará acciones preventivas para evitar futuras ocurrencias de incidentes similares.

 

CAPÍTULO XIII

REVISIÓN Y ACTUALIZACIÓN DE LA POLÍTICA

 

Esta Política de Protección de Datos Personales será revisada periódicamente y actualizada según sea necesario para asegurar su adecuación a los cambios en la normativa legal, las directrices de la Autoridad de Protección de Datos Personales, los avances tecnológicos y las operaciones internas de la Compañía.

 

Sin perjuicio de todo lo dispuesto en el presente instrumento, la Compañía Hospital del Río Hospirío S.A., se compromete a dar fiel cumplimiento a los dispuesto en este documento, como a su vez, a la Ley Orgánica de Protección de Datos Personales, su reglamento general y, en general, cualquier tipo de normativa conexa o relacionada a materia de protección de datos personales.

 

El presente instrumento es de obligatorio cumplimiento desde la fecha de su promulgación.

 

Dado y firmado en la ciudad de Cuenca, a 1 de agosto de 2025.

 

 

Ing. José A. Borrero Maldonado

GERENTE

HOSPITAL DEL RÍO HOSPIRÍO S.A.

 

 

 

 

Descargar Política de Protección de Datos Personales.

Para descargar las políticas de cookies, de clic aquí

Cómo llegar
Location
Programa en las Mejores Manos
"In the Best Hands" Program
Casos de Éxito
Success Stories
Noticias
News
Nuestros Pacientes
Our Patients
Convenios y Seguros
Health Insurance
Unidad de Fertilidad
Fertility

Términos y Condiciones de Uso  |  Política de Cookies  |  Ley de Protección de Datos Personales
Derechos Reservados del Hospital Universitario del Río | 2026
Hospitalización: 07 2 459 555 - Consultorios: 07 2 459 553