LOPDP Condominio - Ley Orgánica de Protección de Datos Personales
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
CONJUNTO HOSPITAL UNIVERSITARIO DEL RÍO
Conjunto Hospital Universitario del Río, es una persona jurídica legalmente constituida en el Ecuador, cuyo principal objetivo es la administración de un bien inmueble en el cual funciona un Hospital, consultorios médicos, locales comerciales, etc., en gran parte de los cuales se tratan datos personales.
Con motivo de la promulgación de la Ley Orgánica de Protección de Datos Personales en el Ecuador, el Conjunto, en procura de cumplir con las disposiciones de dicho cuerpo normativo, ha visto la necesidad de implementar un conjunto de normas que regulen los diversos procedimientos y políticas relativas a protección de datos personales, dentro de la institución, en razón de lo cual, promulga el presente instrumento.
CAPÍTULO I
GENERALIDADES
1.1. Objeto
La presente Política de Protección de Datos Personales tiene como objeto establecer los principios, directrices y procedimientos para el adecuado tratamiento de los datos personales que son tratados al interior del Conjunto Hospital Universitario del Río, en adelante el "Conjunto", en cumplimiento de la Ley Orgánica de Protección de Datos Personales (en adelante LOPDP), su Reglamento General y demás normativa conexa aplicable en nuestro país.
1.2. Ámbito de Aplicación
Esta política es de aplicación obligatoria para todo el personal del Conjunto, incluyendo directivos, empleados, personal administrativo, contratistas, proveedores y cualquier otra persona que, en el ejercicio de sus funciones o en virtud de una relación contractual de cualquier naturaleza, tenga acceso o realice tratamiento de datos personales en nombre y por cuenta del Conjunto. Esta política es aplicable a todos los datos personales, incluidos los datos sensibles, en cualquier formato (físico o digital), tratados en el desarrollo de las actividades propias del Conjunto.
De manera adicional, es de obligatoria aplicación por parte de los profesionales médicos que brindan sus servicios y mantienen consultorios médicos al interior del Conjunto, mismos que, si bien tienen la obligación de observar y cumplir el indicado cuerpo normativo en su práctica profesional al interior de sus consultorios, lo cual constituye su responsabilidad personal, deben también observarla en las labores que gestionen en áreas comunes del mismo.
Por último, es también, de obligatoria aplicación para el Hospital que funciona al interior del mismo, el cual debe mantener su política de protección de datos personales que guarde coherencia absoluta con la presente política y la normativa vigente aplicable.
1.3. Compromiso
El Conjunto se compromete a garantizar la protección de los datos personales de los pacientes, profesionales médicos, colaboradores, proveedores y cualquier otro titular de datos personales, respetando su privacidad y sus derechos fundamentales, conforme a la Constitución de la República del Ecuador y la normativa vigente aplicable.
De manera adicional se compromete en motivar al personal médico que mantiene sus consultorios se implemente y respete la indicada normativa al interior de sus consultorios y de manera obligatoria en sus áreas comunales.
CAPÍTULO II
DEFINICIONES
Para los efectos de la presente política, y de conformidad con la LOPDP y su Reglamento General, se entenderá por:
Dato Personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
Datos Sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
Datos relativos a Salud: Datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención de salud, que revelen información sobre su estado de salud. Esto incluye información pasada, presente o futura.
Titular: Persona natural cuyos datos personales son objeto de tratamiento.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, autoridad pública u otro organismo que, solo o junto con otros decide sobre la finalidad y el tratamiento de los datos personales. Para el caso de esta política, el responsable del tratamiento es el Conjunto.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, autoridad pública u otro organismo que, solo o junto con otros, trate datos personales a nombre y por cuenta del responsable del tratamiento de datos personales.
Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.
Vulneración de la Seguridad de los Datos Personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.
Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.
Pseudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada identificable.
Sin perjuicio de las definiciones aquí plasmadas, serán aplicables todas aquellas constantes en la LOPDP, su Reglamento General y cualquier normativa conexa.
CAPÍTULO III
PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES
El Conjunto aplicará y garantizará el cumplimiento de los siguientes principios en todo tratamiento de datos personales:
Principio de Juridicidad: Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la LOPDP, su Reglamento y la demás normativa y jurisprudencia aplicable.
Principio de Lealtad: El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.
Principio de Transparencia: El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.
Principio de Finalidad: Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular, no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.
Principio de Pertinencia y Minimización: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
Principio de Proporcionalidad: El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos personales.
Principio de Calidad y Exactitud: Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros y, de ser el caso, debidamente actualizados, de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
Principio de Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.
Principio de Conservación: Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento.
Principio de Seguridad de los Datos Personales: Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.
Principio de Responsabilidad Proactiva: El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales, es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.
Principio de Aplicación favorable al titular: En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.
Los principios antes referidos se aplicarán sin perjuicio de que, durante el tratamiento, se apliquen otros principios constantes en la LOPDP, su reglamento y demás normativa pertinente.
CAPÍTULO IV
CONSERVACIÓN DE DATOS PERSONALES
4.1. Plazos de Conservación
Los datos personales serán conservados por el Conjunto durante el tiempo necesario para cumplir con las finalidades para las cuales fueron recolectados y tratados, debiendo considerar la existencia de obligaciones legales de conservación ampliada, sin perjuicio de que puedan ser adoptadas medidas tales como la anonimización o pseudonimización de los datos personales del titular para evitar su identificación o reidentificación.
4.2. Disposición Final de los Datos Personales
Una vez cumplido el plazo de conservación y siempre que no exista una base legitimadora que justifique una conservación mayor, los datos personales serán suprimidos, bloqueados o anonimizados de forma segura, garantizando que no puedan ser recuperados o asociados a un titular identificado o identificable. El Conjunto establecerá procedimientos específicos para la revisión periódica y la eliminación segura de los datos personales.
CAPÍTULO V
DERECHOS DEL TITULAR DE LOS DATOS PERSONALES
El titular de los datos personales, en virtud de la LOPDP, tiene los siguientes derechos, que el Conjunto garantizará y facilitará su ejercicio, sin perjuicio de que pudieren existir otros derechos de plena aplicabilidad y vigencia en normativa relativa a protección de datos personales.
Derecho de Acceso: El titular tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a sus datos personales y a la información relativa al tratamiento (finalidades, categorías de datos personales, destinatarios, plazo de conservación, etc.).
Derecho de Rectificación y Actualización: El titular tiene derecho a obtener del responsable del tratamiento la rectificación y actualización de los datos personales inexactos o incompletos que le conciernan.
Derecho de Eliminación (Supresión): El titular tiene derecho a obtener del responsable del tratamiento la eliminación de sus datos personales cuando estos ya no sean necesarios para la finalidad que fueron recogidos, haya retirado su consentimiento, o el tratamiento sea ilícito, entre otros supuestos. Este derecho está sujeto a las excepciones previstas en la ley y demás normativa conexa.
Derecho de Oposición: El titular tiene derecho a oponerse al tratamiento de sus datos personales en determinadas circunstancias, debiendo considerar que la oposición al tratamiento de un determinado o determinados datos personales podría devenir en una inadecuada prestación del servicio de salud, entre otras consecuencias adversas.
Derecho a la Portabilidad: El titular tiene derecho a recibir los datos personales que le incumben, que haya facilitado al Conjunto, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el Conjunto, cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados. Este derecho podrá ser ejercido en los casos previstos en la LOPDP y de conformidad con el reglamento que para el efecto sea expedido por el ente rector.
5.1. Procedimiento para el Ejercicio de Derechos
Los titulares podrán ejercer sus derechos mediante una solicitud escrita dirigida al Conjunto, mediante el formulario preestablecido, definido para el ejercicio de los derechos. Este requerimiento necesariamente será presentado a través de los canales habilitados por el Conjunto de forma electrónica (a través del correo electrónico: [email protected]) o mediante la entrega física del formulario preestablecido. Cabe señalar que estos derechos pueden ser ejercidos ya sea por el titular de los datos personales o bien, a través de su representante, quien podrá hacer ejercicio de estos derechos previa verificación de la documentación que acredite la facultad legal para el ejercicio de este derecho en representación de una tercera persona.
Los mecanismos adecuados de acreditación serán únicamente a través de verificación de filiación mediante la cédula de ciudadanía (en casos de menores de edad cuyos datos personales se traten en el Conjunto) o en su defecto, a través de escrituras públicas de poder general, o poder especial en las que textualmente se otorgue dicha facultad al compareciente.
De forma conjunta se presentará el formulario debidamente suscrito por el titular o el representante, una copia de la cédula del titular o el representante y el titular en los casos correspondientes.
Solo de forma excepcional y previo análisis del caso en particular se podrá aceptar que para el ejercicio de estos derechos se presente una carta poder que no haya sido revestida de las solemnidades que posee una escritura pública.
Una vez que sea presentada la solicitud correspondiente, esta será analizada por el Delegado de Protección de Datos Personales designado por el Conjunto quien, una vez analizada la solicitud y emitido su criterio, previo cumplimiento del procedimiento interno, coordinará para que el Representante Legal atienda la solicitud en un plazo no mayor a 15 días. La solicitud podrá ser aceptada o negada, siempre con la debida motivación de las razones y causas legales que impidan su aceptación.
CAPÍTULO VI
TRATAMIENTO DE DATOS PERSONALES
6.1. Datos Personales Obtenidos y Finalidad Específica de la Recolección
El Conjunto recolecta y trata datos personales de diversas categorías, siendo la finalidad específica de la recolección y tratamiento la de la prestación de servicios relacionados con la administración de la propiedad horizontal del inmueble, vinculados en todo momento con la prestación de servicios integrales de salud en las diversas áreas del inmueble.
A continuación, se detallan algunas de las categorías de datos personales y sus finalidades, sin perjuicio de que, en casos y supuestos específicos, puedan ser tratados otros tipos o categorías de datos personales no contemplados en este documento, considerando para ello siempre la autorización del titular (salvo las excepciones legales vigentes):
Datos de Identificación: tales como nombres, apellidos, número de cédula/pasaporte, fecha de nacimiento, nacionalidad, estado civil, dirección, teléfono, correo electrónico, etc. datos que pueden recibirse y tratarse por parte del personal del Conjunto y cuya utilización se limita exclusivamente a aspectos como otorgamiento de turnos, atención organizada de pacientes, cumplimiento de normativa tributaria y de ninguna manera podrá ser divulgado o entregado a terceros.
Datos de Contacto de Emergencia: Nombres, apellidos, relación y teléfono de contactos en caso de emergencia.
Datos de Salud (Datos Sensibles): Antecedentes médicos, historial clínico, resultados de exámenes, diagnósticos, tratamientos, medicación, información biométrica (si aplica para fines de identificación o seguridad), entre otros, necesarios para una correcta atención médica y cuyo tratamiento solamente se orienta a permitir que la misma se logre de la manera más eficiente.
Datos Financieros/Económicos: Información de seguros médicos, datos bancarios para pagos o reembolsos, necesarios como parte del tratamiento médico y cuya finalidad se limita a los aspectos señalados .
Datos de Facturación: RUC, razón social, dirección fiscal.
Datos de Imagen/Video: Grabaciones de cámaras de seguridad en áreas comunales. Las cámaras de seguridad instaladas en las áreas comunales del inmueble realizan grabaciones de video, los cuales serán conservados en la memoria interna de estos equipos durante un período de 30 días, aproximadamente, transcurridos estos, se eliminan automáticamente dichas grabaciones; para efectos de seguridad, previo a la eliminación de dichas grabaciones, se podrán extraer estas para su conservación en un servicio de almacenamiento local, en determinadas circunstancias. Dicho almacenamiento cumple con medidas de seguridad adecuadas, que permiten una correcta conservación de los datos personales, siendo la finalidad de dicho tratamiento de datos de imagen, los aspectos vinculados a la seguridad del paciente o sus familiares, la verificación de un trato adecuado a los pacientes y en general el cuidar el orden al interior del Conjunto, en sus áreas comunales exclusivamente. Dichas cámaras no serán instaladas en áreas sensibles, en las que pudiere atentarse contra la intimidad de las personas.
Datos Laborales (para personal que trabaja en el Conjunto): Información de identificación, historial laboral, datos de contacto, información bancaria, datos de salud (para exámenes ocupacionales).
Todas las categorías y las finalidades que se señalan se lo hacen a manera de ejemplificación.
6.2. Medios para Recabar los Datos Personales
El Conjunto puede recabar datos personales a través de los siguientes medios:
Provistos por el titular: son entregados de forma directa por el titular.
Provistos por terceros autorizados: entregados a través del representante del titular, en casos en los que por situaciones determinadas el titular no pueda entregar sus datos personales.
Sistemas automatizados: Cámaras de videovigilancia en áreas comunales de las instalaciones del Conjunto. Si bien estos medios se encuentran implementados con fines de seguridad, de forma permanente obtienen datos de carácter personal, por lo que, en las diversas áreas se han incorporado los diversos avisos que correspondan.
Los datos personales podrán ser recabados por cualquier medio, sea de forma física o digital, mediante la entrega de información verbal o de manera escrita e incluso, a través de correos electrónicos, formularios digitales, etc.
CAPÍTULO VII
CONSENTIMIENTO Y REVOCATORIA
7.1. Requisitos del Consentimiento
El tratamiento de datos personales por parte del Conjunto se realizará, de forma general y en la medida de lo posible, mediante el consentimiento libre, específico, informado e inequívoco del titular. No obstante, es necesario considerar que, existen casos particulares previstos en la LOPDP, en los cuales el tratamiento de datos personales no requerirá del consentimiento previo del titular.
Como se ha señalado con antelación, el consentimiento deberá ser otorgado por el titular de los datos personales, sin embargo, en casos específicos, este será otorgado por el representante del titular.
7.2. Revocatoria del Consentimiento
El titular de los datos personales tiene derecho a revocar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento realizado de forma previa a la revocación.
Para revocar el consentimiento, el titular deberá presentar la solicitud correspondiente al Conjunto, a través de los canales establecidos en el Capítulo V de este instrumento.
La revocatoria del consentimiento no implicará la eliminación de los datos personales cuyo tratamiento sea necesario para el cumplimiento de una obligación legal o para la formulación, el ejercicio o la defensa de reclamaciones, todo de conformidad con la LOPDP.
CAPÍTULO VIII
TRATAMIENTO DE DATOS SENSIBLES
En el marco de la LOPDP, existen varias categorías de datos personales cuyo tratamiento reviste una mayor protección, esto en razón de su sensibilidad; dentro de estas categorías especiales de datos personales se encuentran previstos los datos relativos a la salud de personas, datos biométricos, entre otros, mismos que eventualmente pueden ser tratados en el Conjunto, por necesidades específicas.
Por lo señalado, el Conjunto trata dichos datos personales procurando en todo momento el consentimiento explícito otorgado por el titular o su representante para el tratamiento de dichos datos sensibles, para una o varias finalidades específicas. Esto no obsta que, para aquellos casos en los que existe imposibilidad para recabar la autorización del titular o su representante y, al encontrarse en situaciones que permitan el tratamiento de datos personales sin necesidad del consentimiento, los trate siempre de conformidad con la LOPDP.
El Conjunto propenderá a la implementación de medidas de seguridad reforzadas para la protección de los datos sensibles que pudiere llegar a tratar, dada su especial naturaleza.
CAPÍTULO IX
TRANSFERENCIA Y COMUNICACIÓN DE DATOS PERSONALES A TERCEROS
10.1. Transferencia y Comunicación Nacional de Datos Personales
El Conjunto podrá comunicar o transferir datos personales a terceros dentro del territorio ecuatoriano en algunos casos como los ejemplificados a continuación:
Requerimiento del Titular o su Representante: en los supuestos en los que el Titular o su Representante requieran la transferencia o comunicación de sus datos personales a terceras personas, por lo que, para este efecto siempre debe mediar el consentimiento correspondiente y se realizará dicha transferencia o comunicación previa suscripción de los documentos de descargo correspondientes.
Cumplimiento de Obligación Legal: Engloba a aquellas situaciones en las que por imperio de la norma resulta indispensable la transferencia o comunicación de los datos personales, para finalidades específicas, determinadas en los diversos cuerpos normativos vigentes. Para dicha transferencia no se requiere el consentimiento del titular.
Interés Público: Existen situaciones en las cuales, la Autoridad de Salud Pública u otras instituciones del estado, por razones de interés público, en el ámbito de la salud pública, como por ejemplo durante una pandemia, requieren la entrega de información sensible.
Si bien se ejemplifican varias situaciones en las cuales se realiza transferencia o comunicación de datos personales a terceras personas, podrán existir otras situaciones en las cuales se debe ejecutar dicha comunicación o transferencia, dependiendo de las circunstancias concretas, razón por la cual, el Conjunto, antes de cualquier comunicación o transferencia, realizará una valoración individual y circunstancial de cada caso, en conjunto con su Delegado de Protección de Datos Personales, determinando la verdadera necesidad de comunicar o transferir los datos personales, determinando la implementación del mecanismo idóneo que permita el cumplimiento de los dispuesto en la LOPDP y normativa específica vigente para para la transferencia o comunicación de datos personales.
10.2. Transferencia y Comunicación Internacional de Datos Personales
Para el cumplimiento de finalidades específicas, es necesario considerar también que eventualmente podrán existir circunstancias en las que sea indispensable llevar a cabo la transferencia internacional de datos personales.
En este tipo de situaciones, que en muchos casos provienen también del requerimiento propio del titular o su representante, es necesario enviar los datos personales de forma internacional, por lo que, en cumplimiento de lo dispuesto en la LOPDP y el reglamento relativo a este tipo de tratamiento que se encuentre vigente, previo a realizar el envío se deben cumplir los siguientes estándares que permitan asegurar un nivel adecuado de protección de datos personales:
Países con Nivel de Protección Adecuado: Conforme lo señala la LOPDP, en principio los datos personales deben ser transferidos únicamente a países o jurisdicciones que, la Autoridad de Protección de Datos Personales haya declarado que ofrecen un nivel adecuado de protección de datos personales.
Garantías Adecuadas: No obstante lo señalado en el párrafo que antecede, existen casos específicos en los cuales resulta indispensable la transferencia o comunicación internacional en casos en los cuales se deba enviar la información a países o jurisdicciones que no hayan sido declaradas con un nivel adecuado de protección por parte de la Autoridad, por lo que, para proceder con esta transferencia o comunicación, el responsable o su encargado, deben ofrecer garantías adecuadas para el titular, que permitan cumplir con la normativa vigente.
Consentimiento Explícito: Para los casos detallados con antelación se solicitará en todo momento el consentimiento explícito del titular o su representante, previa información sobre los posibles riesgos de dicha transferencia, a efecto de dotar al titular o su representante con todos los insumos que permitan toma una decisión adecuada y debidamente fundamentada.
Empero las especificaciones realizadas a circunstancias específicas de transferencia internacional de datos personales, es necesario destacar que también existen otras circunstancias previstas en la LOPDP o normativa específica vigente, A en las cuales podrá llevarse a cabo dicha transferencia, cumpliendo siempre lo dispuesto en la ley y su reglamento.
CAPÍTULO X
ACCESO A TERCEROS
Una de las formas de tratamiento de datos personales que prevé la LOPDP es el acceso que pueden tener terceras personas a los datos personales con los que cuenta el Conjunto, el cual no será indiscriminado, sino que se lo realizará siempre en el marco de lo previsto en la norma y en el cumplimiento específico de las finalidades de la prestación de los servicios que este brinda.
En todo momento en el que sea requerido el acceso de terceras personas a las bases de datos del Conjunto en las que se encuentren datos personales, se lo hará de forma limitada, únicamente en los casos en los que sea estrictamente requerido y siempre en cumplimiento de los diversos principios previstos en la LOPDP. En todo momento se adoptarán medidas de seguridad de diversos tipos que garanticen una adecuada conservación de los datos personales.
Se propenderá en todo momento que, para acceder a dichos datos personales se hayan adoptado las medidas necesarias, como la suscripción de acuerdos de confidencialidad y encargo de tratamiento de datos personales, anonimización de los datos personales u otros necesarios para dicho tratamiento.
Dichos instrumentos legales que exija el Conjunto a terceras personas que tuvieren acceso a datos personales propenderán a la estricta confidencialidad no solo de la información general, sino específicamente a los datos personales; en estos se establecerán las responsabilidades y obligaciones de estas terceras personas en materia de protección de datos personales, incluyendo la aplicación de medidas de seguridad y el cumplimiento irrestricto de la LOPDP.
CAPÍTULO XI
RESPONSABILIDAD PROACTIVA
Como parte del cumplimiento de la LOPDP, el Conjunto asume el cumplimiento del principio de responsabilidad proactiva, lo que implica adoptar un enfoque preventivo en la protección de datos personales. Para ello, se compromete a:
Implementar Medidas Técnicas y Organizativas: es decir, buscará siempre implementar medidas de seguridad que sea diseñadas de forma específica para el Conjunto, como por ejemplo, el ejecutar medidas de anonimización o pseudonimización para la conservación de datos personales; la implementación y cumplimiento de estas medidas estarán siempre orientados a garantizar la protección de los datos personales desde el diseño y por defecto, considerando la naturaleza y categorías de datos personales tratados.
Realizar Evaluaciones de Impacto: cuando el tratamiento de datos personales, especialmente de datos sensibles entrañen un alto riesgo para los derechos de los titulares de estos datos y cuando sea indispensable, el Conjunto ejecutará, a más de un análisis de riesgos, evaluaciones de impacto relativas a la protección de datos personales.
Capacitación constante: ejecutará capacitaciones dirigidas al personal que trabaja en el Conjunto, a efecto que el personal posea conocimientos suficientes en materia de protección de datos personales y se mantenga actualizado con las constantes reformas y promulgación de normativa conexa, garantizando un adecuado tratamiento de datos personales.
Revisiones Periódicas: Realizar revisiones periódicas de sus políticas, procedimientos y documentos relativos a tratamiento de datos personales, para asegurar su eficacia, actualización y cumplimiento de la normativa vigente.
CAPÍTULO XII
ACTUACIÓN EN CASO DE VULNERACIONES DE SEGURIDAD DE DATOS PERSONALES
15.1. Definición de Vulneración
Se considera vulneración de la seguridad de los datos personales toda violación de la seguridad que ocasione la destrucción, pérdida total o parcial o alteración accidental o ilícita de datos personales a cargo del Conjunto, o la comunicación o acceso no autorizados a dichos datos.
15.2. Procedimiento de Actuación
En caso de detectar una vulneración de la seguridad de los datos personales, el Conjunto seguirá el siguiente procedimiento:
Detección y Contención: Identificar a la brevedad la vulneración y, a través del personal correspondiente, determinar su alcance y aplicar medidas inmediatas para contener o detener el incidente y con ello minimizar su impacto.
Investigación: Realizará una investigación exhaustiva para determinar la causa de la vulneración, el responsable de la vulneración, el tipo de datos personales afectados, el número de titulares involucrados y las posibles consecuencias de la vulneración.
Notificación a la Autoridad de Protección de Datos Personales: Notificará la vulneración a la Autoridad de Protección de Datos Personales una vez tenga conocimiento de esta y a más tardar dentro de los cinco (5) días siguientes, contados a partir desde la fecha en la que se tuvo conocimiento y constancia de la vulneración, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas naturales. Como parte de la notificación, se incluirá la información requerida por la LOPDP y demás que en su momento requiera el ente rector.
Comunicación a los Titulares: si la vulneración de la seguridad de los datos personales entraña un alto riesgo para los derechos y libertades de los titulares, en aquellas circunstancias en las que aplique, el Conjunto comunicará la vulneración a los titulares afectados, de forma clara y concisa, dentro del término previsto para el efecto en la LOPDP, informando sobre la naturaleza de la vulneración, las medidas adoptadas y las posibles recomendaciones para mitigar los efectos adversos. Esta comunicación no será necesaria si se han adoptado medidas de protección adecuadas o si se ha tomado medidas posteriores que aseguren que el alto riesgo ya no se materializará, o si supusiera un esfuerzo desproporcionado; como en cualquier otra situación eximente que se encontrare prevista en la Ley, su reglamento o demás normativa conexa.
Medidas de Mitigación y Prevención: Implementará las medidas correctivas necesarias para subsanar la vulneración y adoptará acciones preventivas para evitar futuras ocurrencias de incidentes similares.
CAPÍTULO XIII
REVISIÓN Y ACTUALIZACIÓN DE LA POLÍTICA
Esta Política de Protección de Datos Personales será revisada periódicamente y actualizada según sea necesario para asegurar su adecuación a los cambios en la normativa legal, las directrices de la Autoridad de Protección de Datos Personales, los avances tecnológicos y las operaciones internas del Conjunto.
Sin perjuicio de todo lo dispuesto en el presente instrumento, el Conjunto se compromete a dar fiel cumplimiento a los dispuesto en este documento, como a su vez, a la Ley Orgánica de Protección de Datos Personales, su reglamento general y, en general, cualquier tipo de normativa conexa o relacionada a materia de protección de datos personales.
El presente instrumento es de obligatorio cumplimiento desde la fecha de su promulgación.
Dado y firmado en la ciudad de Cuenca, a 01 de Agosto de 2025
Ing. Vinicio Serrano Maldonado
ADMINISTRADOR
CONJUNTO HOSPITAL UNIVERSITARIO DEL RÍO