Campus Virtual FIG


POLÍTICA GENERAL DE PROTECCIÓN DE DATOS PERSONALES

FUNDACIÓN PARA PROMOVER LAS FINANZAS INCLUSIVAS Y LA GOBERNANZA - FIG



V. 01-dic25



Contenido

CONSIDERACIONES GENERALES
1. OBLIGATORIEDAD Y ÁMBITO DE APLICACIÓN
2. DEFINICIONES
3. PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSONALES
4. DERECHOS DE LOS TITULARES DE LOS DATOS
5. CATEGORÍAS ESPECIALES DE DATOS PERSONALES
   • Datos de menores
   • Datos sensibles
   • Datos de imagen
   • Tratamiento de datos personales sensibles
6. DEL CONSENTIMIENTO DEL TITULAR
7. INFORMACIÓN A LOS TITULARES DE LOS DATOS PERSONALES
   • Participantes en la Plataforma de Educación Financiera
   • Representantes de otras entidades relacionadas y contrapartes institucionales
   • Personas que asisten a ferias, expoferias y eventos
   • Socios fundadores y miembros de órganos de gobierno
   • Tratamiento de datos de trabajadores, pasantes y postulantes
   • Tratamiento de los proveedores, consultores y aliados
   • Comunicaciones y marketing
8. ENCARGADOS DEL TRATAMIENTO Y DESTINATARIOS
9. BASES DE DATOS Y MEDIOS DE CONSERVACIÓN
10. RIGEN DE LOS DATOS CUANDO NO SE HAYAN OBTENIDO DIRECTAMENTE DEL TITULAR
11. EJERCICIO DE DERECHOS DE LOS TITULARES
12. IDENTIDAD Y DATOS DE CONTACTO DEL RESPONSABLE DE TRATAMIENTO
13. MEDIDAS DE SEGURIDAD
14. RESPONSABILIDAD PROACTIVA Y EVALUACIÓN PERIÓDICA
15. PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO
16. VIGENCIA Y ACTUALIZACIÓN

CONSIDERACIONES GENERALES

El artículo 92 de la Constitución de la República del Ecuador reconoce a toda persona el derecho a conocer la existencia, acceder, actualizar, rectificar, eliminar o anular los datos personales que consten en archivos o bases de datos públicos o privados, así como a ser informada sobre el uso, finalidad, origen, destino y tiempo de conservación de dicha información.

La Ley Orgánica de Protección de Datos Personales (en adelante, LOPDP), publicada en el Registro Oficial 5to Suplemento No. 459 de 26 de mayo de 2021, tiene por objeto garantizar el ejercicio de este derecho y regula principios, derechos, obligaciones y mecanismos de tutela en materia de tratamiento de datos personales. El artículo 47 de la LOPDP establece, entre otras obligaciones del responsable, la de implementar políticas de protección de datos personales afines al tratamiento que realiza.

El Reglamento General de la LOPDP, aprobado mediante Decreto Ejecutivo No. 904 y publicado en el Registro Oficial Suplemento No. 435 de 13 de noviembre de 2023, desarrolla los procedimientos y requisitos para la adecuada aplicación de la Ley.

La FUNDACIÓN PARA PROMOVER LAS FINANZAS INCLUSIVAS Y LA GOBERNANZA - FIG (en adelante, la Fundación o FIG) está comprometida con el respeto de los derechos de las personas cuyas datos trata, en especial de quienes participan en sus programas de educación financiera, sus eventos y proyectos, así como de sus socios fundadores, aliados, consultores, proveedores y demás contrapartes. En cumplimiento de la LOPDP, su Reglamento y la normativa complementaria, la Fundación adopta la presente Política General de Protección de Datos Personales, de aplicación obligatoria en todas las actividades que impliquen tratamiento de datos personales.

Esta Política se complementa con el Registro de Actividades de Tratamiento, la matriz de riesgos y los demás procedimientos internos de protección de datos personales que la Fundación implemente.

1. OBLIGATORIEDAD Y ÁMBITO DE APLICACIÓN

Esta Política es de estricto cumplimiento para:

  • Los socios fundadores y miembros de los órganos de gobierno de la Fundación.
  • Las personas que, a cualquier título, presten servicios a la Fundación (trabajadores, consultores, asesores, proveedores, aliados, encargados del tratamiento).
  • El personal que administre la plataforma de educación financiera y las herramientas tecnológicas asociadas.
  • Cualquier tercero que trate datos personales por cuenta de la Fundación o en nombre de esta.

En los casos en que no exista vínculo laboral, las obligaciones derivadas de esta Política se incorporarán mediante cláusulas contractuales específicas o acuerdos de encargo de tratamiento, según corresponda.

El incumplimiento de las obligaciones derivadas de esta Política podrá generar responsabilidad contractual o extracontractual frente a la Fundación y frente a los titulares de los datos personales, sin perjuicio de las sanciones administrativas que pueda imponer la Autoridad de Protección de Datos Personales.

2. DEFINICIONES

Para efectos de este documento se tendrán en cuenta las siguientes definiciones, la mayoría de ellas establecidas en el artículo 4 de la LOPDP. En particular, las siguientes:

  • Autoridad de Protección de Datos Personales: Hace referencia a la Superintendencia de Protección de Datos Personales.
  • Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.
  • Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente. Por ejemplo: nombre, cédula de identidad, dirección, correo electrónico, número de teléfono, estado civil, datos de salud, huella dactilar, salario, bienes, estados financieros, etc.
  • Datos sensibles: Datos relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
  • Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.
  • Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en conjunto con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento, como aliado o proveedor.
  • Responsable del tratamiento: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
  • Titular: Persona natural cuyos datos son objeto de tratamiento.
  • Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.
  • Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
  • Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.

Las demás definiciones de la LOPDP y su Reglamento se consideran aplicables, aunque no se transcriban en esta Política.

3. PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSONALES

El tratamiento de datos personales debe realizarse respetando las normas generales y especiales sobre la materia y para actividades permitidas por la LOPDP. En el desarrollo, interpretación y aplicación de la presente política, se aplicarán de manera armónica e integral los principios establecidos en el artículo 10 de la LOPDP, entre ellos:

  • Juridicidad: Los datos se tratarán con estricto apego a la Constitución, la LOPDP, su Reglamento y demás normativa aplicable.
  • Lealtad y transparencia: Los titulares serán informados de manera clara y accesible sobre las finalidades del tratamiento, la identidad del responsable, los destinatarios, plazos de conservación y sus derechos.
  • Finalidad: Los datos se tratarán únicamente para fines determinados, explícitos y legítimos, informados al titular. No se utilizarán para finalidades distintas o incompatibles, salvo que exista una nueva base de legitimación conforme a la LOPDP.
  • Minimización y pertinencia: Se recogerán solo los datos estrictamente necesarios para las finalidades declaradas.
  • Proporcionalidad: El tratamiento será adecuado, necesario y no excesivo en relación con los fines perseguidos, especialmente cuando involucre datos sensibles o categorías especiales.
  • Calidad y exactitud: Los datos serán mantenidos exactos, completos y actualizados; cuando se detecten inexactitudes, se corregirán o eliminarán sin dilación.
  • Conservación limitada: Los datos se conservarán solo por el tiempo necesario para cumplir la finalidad del tratamiento y las obligaciones legales aplicables.
  • Seguridad: Se implementarán medidas técnicas, organizativas, físicas y jurídicas adecuadas para prevenir accesos no autorizados, pérdida, alteración o destrucción de los datos.
  • Responsabilidad proactiva y demostrada: La Fundación mantendrá evidencias de las medidas adoptadas para cumplir la normativa y revisará periódicamente sus mecanismos de cumplimiento.

4. DERECHOS DE LOS TITULARES DE LOS DATOS

Las personas cuyos datos personales sean tratados por la Fundación pueden ejercer los derechos reconocidos en la LOPDP, entre ellos:

  • Información: Derecho a ser informado conforme los principios de lealtad y transparencia sobre todos los aspectos indicados en el artículo 12 LOPDP.
  • Acceso: Obtener confirmación de si se están tratando o no sus datos personales; recibir una copia de todos sus datos personales que estén siendo procesados, salvo las excepciones definidas por la legislación pertinente (por ejemplo, información comercial confidencial, o información que vulneraría demasiado los derechos de privacidad de un tercero); o solicitar información sobre el intercambio de sus datos personales con otras organizaciones. (art. 13 LOPDP)
  • Rectificación y actualización: Derecho a la rectificación y actualización de sus datos personales inexactos o incompletos. (arts. 14 y 18 LOPDP)
  • Eliminación: Derecho a que se suprima sus datos personales (arts. 15 y 18 LOPDP)
  • Oposición: Derecho a oponerse al tratamiento de sus datos personales en circunstancias particulares y a menos que exista una razón específica por la que la oposición no sea válida. (arts. 16 y 18 LOPDP)
  • Portabilidad: El titular tiene el derecho a recibir sus datos personales en un formato compatible, actualizado, estructurado, común, interoperable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables. (arts. 17 y 18 LOPDP)
  • Suspensión del tratamiento: Derecho a la suspensión del tratamiento de los datos. (art. 19 LOPDP)
  • No ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas: Derecho a oponerse, pedir explicaciones y solicitar la revisión humana de las decisiones basadas exclusivamente en un tratamiento automatizado de datos que afecten a sus intereses (art. 20 LOPDP).

El procedimiento para el ejercicio de estos derechos se detalla en el apartado 11 de esta Política.

5. CATEGORÍAS ESPECIALES DE DATOS PERSONALES

Datos de menores

En principio, los programas y plataformas de educación financiera de la Fundación están dirigidos a personas mayores de edad, usuarias de servicios financieros de cooperativas y otras entidades. Si por la naturaleza de un programa se requiriera incluir a niños, niñas o adolescentes, la Fundación:

  • Solicitará el consentimiento del representante legal del menor y, cuando proceda, el asentimiento del adolescente;
  • Aplicará medidas reforzadas de minimización, seguridad y confidencialidad; y
  • Limitará las finalidades estrictamente a las actividades educativas previstas.

En caso de recibir datos de menores sin base legal suficiente, la Fundación procederá a su eliminación segura.

Datos sensibles

En ciertos formularios de la plataforma de educación financiera o en proyectos específicos, la Fundación puede recoger datos sensibles (por ejemplo, autodefinición étnica, género, u otros indicadores de inclusión financiera). En estos casos:

  • Se informará de forma clara y previa el carácter sensible de estos datos.
  • Se recabará el consentimiento explícito del titular, salvo que concurra otra base de legitimación prevista en el artículo 26 de la LOPDP.
  • Las finalidades se limitarán, en principio, a fines estadísticos, de investigación o de diseño de programas de inclusión financiera, con la debida seudonimización o anonimización siempre que sea posible.
  • Se aplicarán medidas de seguridad reforzadas y de acceso restringido.

Datos de imagen

En el contexto de eventos, ferias y actividades de difusión (incluida la Expoferia de Finanzas Digitales y Negocios Inclusivos), la Fundación puede recoger imágenes (fotografías o videos) de las personas participantes. El tratamiento de estas imágenes tendrá por finalidad documentar actividades institucionales, fines informativos y de rendición de cuentas, y, en su caso, difusión en medios institucionales.

La Fundación informará sobre este tratamiento en los canales pertinentes (carteles, avisos en formularios, etc.) e incluirá opciones razonables para que los titulares manifiesten su oposición cuando el tratamiento no resulte indispensable.

Tratamiento de datos personales sensibles

De conformidad con el artículo 26 de la LOPDP está prohibido el tratamiento de datos personales sensibles salvo que concurra alguna de las siguientes circunstancias: a) El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificándose claramente sus fines.; b) El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad y protección social; c) El tratamiento es necesario para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento; d) El tratamiento se refiere a datos personales que el titular ha hecho manifiestamente públicos; e) El tratamiento se realiza por orden de autoridad judicial. f) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular; g) Cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la LOPDP.

6. DEL CONSENTIMIENTO DEL TITULAR

El consentimiento es una de las bases de legitimación del tratamiento, especialmente cuando se trata de:

  • Comunicaciones comerciales y de marketing.
  • Compartir datos con auspiciantes de la Expoferia y con determinados aliados.
  • Tratamiento de datos sensibles.
  • Determinados usos de la información en la plataforma de educación financiera, más allá de lo estrictamente necesario para la formación y cumplimiento de obligaciones legales de las cooperativas y de la Fundación.

Cuando el tratamiento se base en el consentimiento, este deberá ser:

  • Libre, sin vicios del consentimiento.
  • Específico, respecto de las finalidades y medios del tratamiento.
  • Informado, cumpliendo con el principio de transparencia.
  • Inequívoco, de manera que no existan dudas sobre el alcance de la autorización.

La Fundación utilizará mecanismos de consentimiento apropiados al canal utilizado (formularios en línea, casillas de aceptación en la plataforma de educación financiera, formularios de registro en la Expoferia, etc.) y conservará evidencia suficiente de las autorizaciones otorgadas.

El titular podrá revocar parcial o totalmente su consentimiento en cualquier momento, mediante los canales indicados en esta Política. La revocatoria no afectará la licitud del tratamiento basado en el consentimiento previo a su retiro, ni impedirá el tratamiento que sea necesario para cumplir obligaciones legales o contractuales vigentes.

7. INFORMACIÓN A LOS TITULARES DE LOS DATOS PERSONALES

En virtud del artículo 12 de la LOPDP, la Fundación informa a los titulares sobre las principales finalidades del tratamiento según el tipo de relación que mantengan con la organización:

Participantes en la Plataforma de Educación Financiera

La Fundación trata los datos personales de las personas usuarias de la plataforma de educación financiera (campus virtual) con las siguientes finalidades, entre otras:

  • Gestionar el acceso a la plataforma, cursos, contenidos y evaluaciones.
  • Registrar la participación, progreso, resultados de aprendizaje y certificaciones.
  • Elaborar reportes e indicadores para las cooperativas u otras entidades que contratan el servicio de educación financiera, de conformidad con los acuerdos suscritos y la normativa aplicable (incluidas obligaciones ante organismos de control).
  • Generar estadísticas anonimizadas para fines de evaluación de impacto, diseño de programas y reportes a entidades públicas competentes, como la Superintendencia de Economía Popular y Solidaria (SEPS), cuando corresponda.
  • En su caso, y con consentimiento específico, enviar información sobre actividades, programas y contenidos de la Fundación o de aliados, así como compartir ciertos datos con dichas entidades para fines previamente informados al titular.
  • Gestionar consultas, reclamos y solicitudes relacionadas con la plataforma.
  • La base legal del tratamiento puede ser, según el caso: la ejecución de un contrato con la entidad que contrata la plataforma; el cumplimiento de obligaciones legales; el interés legítimo ponderado de la Fundación o de la cooperativa; o el consentimiento explícito del titular, especialmente para usos adicionales y tratamiento de datos sensibles.

Representantes de otras entidades relacionadas y contrapartes institucionales

Los datos de contacto y, en su caso, datos profesionales de representantes de cooperativas, entidades públicas, aliados y otras organizaciones con las que la Fundación se relaciona se tratarán para:

  • Gestionar la relación institucional y los proyectos de educación financiera u otros programas.
  • Coordinar actividades, eventos, talleres y acciones de seguimiento.
  • Cumplir obligaciones contractuales y de rendición de cuentas.
  • Enviar información relevante sobre los programas de la Fundación, en el marco de la relación existente.

Personas que asisten a ferias, expoferias y eventos

En el registro en línea y/o presencial de la Expoferia de Finanzas Digitales y Negocios Inclusivos y otros eventos similares, la Fundación recolecta, entre otros, datos de identificación y contacto (nombre, número de cédula, número de teléfono móvil, cargo, correo electrónico, ciudad, edad).

Estos datos se utilizarán para:

  • Gestionar el registro, acceso y participación en el evento.
  • Generar informes estadísticos y de evaluación del evento.
  • Enviar información relacionada con el evento, encuestas de satisfacción y futuras actividades de la Fundación.
  • Compartir los datos con auspiciantes, consultores aliados y proveedores de comunicación únicamente cuando el titular lo haya autorizado de forma específica y clara, y para las finalidades informadas (por ejemplo, envío de información comercial o de productos y servicios financieros).

En todo caso, se informará de manera expresa cuando la Fundación vaya a entregar bases de datos o listados de participantes a auspiciantes y aliados, y se ofrecerá la posibilidad de no autorizar dicha comunicación sin que ello impida la participación en el evento, salvo que los datos sean indispensables por razón de seguridad o logística.

Socios fundadores y miembros de órganos de gobierno

Los datos personales de los socios fundadores y de los miembros de los órganos de gobierno de la Fundación se tratarán para:

  • Cumplir las obligaciones legales y estatutarias en materia de gobierno corporativo, libros y papeles de la Fundación.
  • Gestionar convocatorias, reuniones, actas y demás actos sociales.
  • Facilitar la comunicación interna sobre decisiones y proyectos.

Tratamiento de datos de trabajadores, pasantes y postulantes

Si en el futuro la Fundación FIG incorpora trabajadores, pasantes u otras personas bajo relación de dependencia o colaboración similar, los datos personales que se recojan en procesos de selección, contratación y gestión del vínculo (incluyendo, entre otros, hojas de vida, formularios, contratos, comunicaciones y anexos) se tratarán exclusivamente para la administración de la relación laboral o precontractual y para el cumplimiento de las obligaciones legales que de ella se deriven.

En particular, la Fundación tratará estos datos para gestionar los procesos de selección y reclutamiento, formalizar y ejecutar los contratos correspondientes, administrar la relación laboral o de pasantía (incluidos aspectos de recursos humanos, comunicación interna, evaluación y desarrollo), cumplir con las obligaciones en materia de seguridad social, seguridad y salud en el trabajo, prevención de riesgos laborales, obligaciones tributarias y de prevención de lavado de activos y financiamiento de delitos, así como para atender requerimientos de autoridades competentes o disposiciones judiciales que resulten aplicables.

Los datos de postulantes que no sean seleccionados se conservarán únicamente por el tiempo razonablemente necesario para atender futuros procesos de reclutamiento o para la defensa de eventuales reclamaciones, conforme a los plazos y criterios de conservación establecidos en esta Política, tras lo cual serán eliminados o anonimizados de manera segura.

Tratamiento de los proveedores, consultores y aliados

Los datos de proveedores, consultores y aliados (incluidos quienes facturan servicios a la Fundación) se tratarán para:

  • Gestionar las relaciones comerciales y de colaboración.
  • Evaluar, contratar y pagar bienes y servicios.
  • Verificar la idoneidad profesional y, cuando corresponda, realizar debida diligencia básica.
  • Cumplir obligaciones contables, tributarias y administrativas.
  • Documentar y supervisar las obligaciones de confidencialidad y protección de datos personales cuando actúen como encargados del tratamiento.

Comunicaciones y marketing

Con el consentimiento del titular, la Fundación podrá enviarle comunicaciones informativas y, en su caso, promocionales sobre programas de educación financiera, eventos, oportunidades de formación, contenidos educativos u otras iniciativas afines a su misión.

El titular podrá oponerse o revocar en cualquier momento este tipo de comunicaciones, sin que ello afecte otras relaciones que mantenga con la Fundación.

8. ENCARGADOS DEL TRATAMIENTO Y DESTINATARIOS

La Fundación podrá apoyarse en encargados del tratamiento para ejecutar determinadas operaciones, tales como:

  • Hosting y administración de la plataforma de educación financiera (por ejemplo, proveedores de servicios en la nube, administradores de Moodle).
  • Proveedores de herramientas de comunicación, mensajería o marketing.
  • Proveedores de servicios tecnológicos y de soporte.
  • Proveedores de servicios de comunicación y medios durante la Expoferia y otros eventos.

Estos encargados tratarán los datos exclusivamente conforme a instrucciones documentadas de la Fundación, con medidas de seguridad adecuadas, sin utilizarlos para fines propios y con la obligación de notificar incidentes de seguridad y respetar las condiciones de devolución o eliminación de datos al término de la relación.

Asimismo, la Fundación podrá comunicar datos personales a terceros destinatarios (por ejemplo, cooperativas, entidades de control, auspiciantes u organizaciones aliadas) cuando:

Exista una obligación legal;

  • El tratamiento sea necesario para ejecutar un contrato o programa al que el titular se ha incorporado;
  • El titular haya prestado su consentimiento específico y previo para ello.
  • Cuando existan transferencias internacionales de datos, la Fundación observará los requisitos y garantías establecidos en la LOPDP y su Reglamento.

Cuando existan transferencias internacionales de datos, la Fundación observará los requisitos y garantías establecidos en la LOPDP y su Reglamento.

9. BASES DE DATOS Y MEDIOS DE CONSERVACIÓN:

Los datos personales tratados por la Fundación se almacenan principalmente en soportes digitales, incluyendo:

  • La plataforma de educación financiera y los sistemas asociados.
  • Herramientas de gestión de relaciones con cooperativas y contrapartes.
  • Bases de datos de registro de participantes en eventos y ferias.
  • Sistemas contables y de facturación.
Excepcionalmente, pueden existir archivos físicos (contratos, actas, listados de asistencia) que serán custodiados bajo condiciones de seguridad adecuadas.


Los datos personales se conservarán durante el tiempo estrictamente necesario para cumplir las finalidades para las cuales fueron recogidos y para atender las obligaciones legales, contractuales o de control que resulten aplicables.

Con carácter orientativo, la Fundación conservará:

  • Los datos vinculados a la participación en programas de educación financiera mientras dure el programa o la relación con la entidad que contrata el servicio, y por el tiempo adicional necesario para atender requerimientos de las entidades de control y los plazos de prescripción de posibles reclamaciones.
  • Los datos utilizados con fines de comunicación comercial mientras exista una relación con la Fundación o hasta que la persona titular revoque su consentimiento u opte por no recibir más comunicaciones.

Los plazos específicos de conservación para cada actividad de tratamiento se documentan en el Registro de Actividades de Tratamiento de la Fundación. Transcurridos los plazos aplicables, se procederá a la eliminación, anonimización o bloqueo de los datos, según corresponda y de conformidad con la normativa vigente.

10. ORIGEN DE LOS DATOS CUANDO NO SE HAYAN OBTENIDO DIRECTAMENTE DEL TITULAR:

Los únicos datos personales que no son obtenidos directamente del titular son recolectados de fuentes de acceso público o bases de datos de naturaleza pública o de entidades estatales.

11. EJERCICIO DE DERECHOS DE LOS TITULARES

Los titulares podrán ejercer sus derechos de protección de datos personales mediante solicitud dirigida a la Fundación a través de los siguientes canales:

  • Correo electrónico: [email protected]
  • Dirección física: De las Alondras N46-86 y Los Cactus / Quito

La solicitud deberá contener, al menos:

  • Nombres y apellidos del titular, número de documento de identidad y un medio de contacto para notificaciones.
  • Descripción clara del derecho que desea ejercer (acceso, rectificación, eliminación, oposición, portabilidad, etc.) y de los datos a los que se refiere.
  • Documentos que acrediten la identidad del titular o, en su caso, la representación legal.

La Fundación atenderá las solicitudes dentro de los plazos establecidos en la LOPDP y su Reglamento, para ello utiliza su Reglamento de atención de Derechos ARCO+. Si fuera necesario aclarar o completar la solicitud, se requerirá al titular una sola vez y se suspenderán los plazos mientras se recibe la información complementaria.

La Fundación podrá conservar determinados datos cuando exista una obligación legal, o cuando sean necesarios para la defensa de sus derechos frente a posibles reclamaciones, observando en todo caso los principios de minimización y conservación limitada.

12. IDENTIDAD Y DATOS DE CONTACTO DEL RESPONSABLE DE TRATAMIENTO

Identidad: Finanzas Inclusivas y Gobernanza - FIG - RUC: 1793042171001
Dirección: De las Alondras N46-86 y Los Cactus / Quito
Correo electrónico: [email protected]

13. MEDIDAS DE SEGURIDAD

La Fundación implementa medidas de seguridad técnicas, organizativas, físicas y jurídicas orientadas a preservar la confidencialidad, integridad y disponibilidad de los datos personales, en función de la naturaleza de la información y de los riesgos identificados.

Entre otras, se contemplan medidas tales como:

  • Control de acceso lógico a sistemas y plataformas.
  • Gestión de contraseñas y autenticación.
  • Uso de canales cifrados y, cuando sea aplicable, cifrado de almacenamiento.
  • Procedimientos de copia de seguridad y recuperación ante incidentes.
  • Instrucciones y compromisos de confidencialidad para socios, consultores y encargados que accedan a datos personales.
  • Revisión periódica de incidentes y vulneraciones de seguridad, con medidas correctivas y de mejora continua.

En caso de producirse una vulneración de la seguridad que pueda afectar los derechos de los titulares, la Fundación actuará conforme a la LOPDP y su Reglamento, evaluando la necesidad de notificar a la Autoridad y a los titulares afectados.

14. RESPONSABILIDAD PROACTIVA Y EVALUACIÓN PERIÓDICA

La Fundación adopta un enfoque de responsabilidad proactiva, lo que implica:

  • Documentar las actividades de tratamiento en el Registro de Actividades de Tratamiento.
  • Realizar análisis de riesgos y, cuando corresponda, Evaluaciones de Impacto en Protección de Datos (EIPD) para tratamientos de alto riesgo.
  • Revisar y actualizar periódicamente esta Política, los procedimientos asociados y las medidas de seguridad.
  • Impulsar acciones de capacitación y sensibilización en protección de datos personales para socios, consultores y personal que tenga acceso a datos.

La Fundación podrá apoyarse en estándares, mejores prácticas, esquemas de certificación u otros mecanismos reconocidos, siempre que resulten adecuados a la naturaleza de sus tratamientos y a los riesgos identificados.

15. PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

En el diseño y actualización de la plataforma de educación financiera, de los formularios de registro de eventos (incluida la Expoferia) y de nuevos proyectos o herramientas, la Fundación integrará la protección de datos personales desde el inicio, considerando:

  • La naturaleza, ámbito y finalidades del tratamiento.
  • Los riesgos potenciales para los derechos de las personas.
  • El estado de la técnica y la proporcionalidad de las medidas.

Por defecto, la Fundación limitará el tratamiento a los datos estrictamente necesarios para cada finalidad específica, restringirá los accesos a quienes requieran los datos para el desempeño de sus funciones y definirá plazos de conservación ajustados al principio de minimización.

16. VIGENCIA Y ACTUALIZACIÓN

La presente Política fue aprobada por el órgano competente de la Fundación FIG en fecha 1 de enero de 2026 y entra en vigencia a partir de esa fecha.

La Política será revisada periódicamente, y al menos cuando se produzcan cambios relevantes en la normativa aplicable, en los tratamientos que realiza la Fundación o en los riesgos asociados. Toda modificación sustancial será comunicada por los canales institucionales pertinentes.