POLÍTICA CORPORATIVA DE PROTECCIÓN DE DATOS KASANACORP CIA. LTDA.

  1. OBJETIVO Y ALCANCE

La presente política establece los lineamientos para el tratamiento de datos personales por parte de KASANACORP Cía. Ltda., garantizando el respeto a los derechos de los titulares y el cumplimiento de lo que dispone la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento. Esta política es de cumplimiento obligatorio para todos los colaboradores, proveedores y encargados que interactúen con datos recolectados a través de las tiendas físicas de la compañía, así como de nuestro sitio web, de e-commerce, redes sociales y cualquier punto de venta.

  1. FUNDAMENTACIÓN JURÍDICA

Esta política se fundamenta en los siguientes instrumentos:

  • Constitución de la República del Ecuador
  • Ley Orgánica de Protección de Datos Personales (LOPDP
  • Reglamento a la LOPDP
  • Código Orgánico de la Salud
  • Ley Orgánica de Telecomunicaciones
  • Resolución Nro. 050-DPE-CGAJ-2025 de la Defensoría del Pueblo.
  1. DEFINICIONES Y ABREVIATURAS
    • Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.
    • Dato genético: Dato personal único relacionado a características genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre la fisiología o salud de un individuo.
    • Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
    • Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
    • Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
    • Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
    • Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
    • Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
    • Titular: Persona natural cuyos datos son objeto de tratamiento.
    • Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales
  1. PRINCIPIOS RECTORES

KASANACORP Cía. Ltda. responsable con el derecho de toda persona de controlar la información que comparte con terceros, así como el derecho a que esta se utilice de forma apropiada. Por este motivo, en cumplimiento de su objeto social respeta los principios establecidos en la legislación, siendo estos:

  • Principio de legalidad: El tratamiento de la Información se realizará conforme a lo establecido en la Ley, demás normativa y jurisprudencia aplicable. Se encuentra prohibida la recopilación de información por medios fraudulentos, desleales o ilícitos.
  • Principio de consentimiento: KASANACORP no podrá tratar información si no cuenta con el consentimiento previo, expreso, inequívoco y libre de su titular, salvo las excepciones legales.
  • Principio de finalidad: La información debe ser recopilada para una finalidad determinada, explícita, lícita, legítima y comunicada al titular. El tratamiento de dichos datos no se extenderá a una finalidad distinta a la establecida de manera inequívoca como tal al momento de su recopilación o incompatible con aquella que motivó su obtención.
  • Principio de proporcionalidad: Todo tratamiento de la Información realizado por KASANACORP deberá ser adecuado, necesario, oportuno, relevante y no excesivo a la finalidad para la que la Información hubiese sido recopilada o a la naturaleza misma, de las categorías especiales de datos.
  • Principio de calidad: La Información a ser tratada debe ser veraz, exacta, íntegra, precisa, completa, comprobable, clara, y, en la medida de lo posible, actualizada, necesaria, pertinente y adecuada respecto de la finalidad para la que fue recopilada. Dicha Información deberá conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento o por los plazos señalados en la normativa vigente. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
  • Principio de seguridad: KASANACORP y los terceros que actúen como encargados del tratamiento de bases de datos personales de KASANACORP deberán adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de la Información y proteger los datos personales frente a cualquier riesgo, amenaza o vulnerabilidad. Estas deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de la Información que se trate.
  • Principio de nivel de protección adecuado: En el caso de que KASANACORP realice transferencias internacionales de la Información, deberá garantizar un nivel suficiente de protección o por lo menos equiparable a lo establecido en la Ley.
  • Principio de Lealtad: El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines ilícitos o desleales.
  • Principio de Transparencia: Toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro. Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la ley, su reglamento y demás normativa atinente a la materia.
  • Principio de pertinencia y minimización de datos personales: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
  • Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la ley. Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.
  • Principio de conservación: Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en esta norma. Sin perjuicio de lo dicho la información consignada por un titular, referente a los productos y servicios que preste KASANACORP deberá ser conservada por los plazos señalados en el Código de la Salud.
  • Principio de responsabilidad proactiva y demostrada: El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas,  códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento. El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales. El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley.
  • Principio de aplicación favorable al titular: En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, se interpretará en el sentido más favorable al titular de dichos dato
  1. TRATAMIENTO DE DATOS SENSIBLES

En cumplimiento con la resolución No. 59-19-IN/24 de la Corte Constitucional, KASANACORP reconoce que la información sobre hábitos de consumo de productos naturales asociados a dolencias o condiciones médicas constituye datos sensibles. Por ello:

  1. Se requerirá consentimiento expreso, libre, específico e informado antes de cualquier tratamiento de datos de salud.
  2. No se condicionará la venta de un producto a la entrega de datos sensibles que no sean indispensables para la seguridad del paciente/cliente.
  1. BASE DE DATOS DE KASANCORP

Teniendo en cuenta las exigencias planteadas por la legislación en materia de protección de datos personales, KASANACORP cuenta con los siguientes bases de datos a ser registradas ante la Autoridad de Protección de Datos Personales:

BASE DE DATOS

PLAZO DE CONSERVACIÓN

TRABAJADORES

10 años, de acuerdo con la evaluación con el custodio de la información

CLIENTES

10 años, luego de finalizada la relación contractual

PROVEEDORES

10 años, luego de finalizada la relación contractual

 

  1. TRATAMIENTO DE DATOS PERSONALES EN KASANA
  • La información recopilada de los clientes, de consumidores finales y proveedores se trata a efectos de formalizar nuestra relación contractual y/o comercial con los mismos y ejecutar nuestra prestación de productos y servicios o la contratación de productos y servicios necesarios para la ejecución del objeto social de KASANACORP. Adicionalmente, utilizamos esta información con el fin de prestar servicios de mantenimiento y modificación técnica, facturación, entre otros, perfilación del cliente, venta de cartera, marketing, promociones, ofertas, análisis, estadística, entre otros.
  • La información recopilada sobre los postulantes a puestos de trabajo se utilizará para gestionar su candidatura a los puestos de trabajo ofrecidos por KASANACORP.
  • La información recopilada sobre los trabajadores se utilizará para gestionar la relación laboral que sostienen con KASANACORP, y la seguridad social.
  • La información recopilada sobre proveedores se utilizará para gestionar una eventual relación comercial o contractual, su relación comercial de prestación de servicios o comercialización de bienes a favor de KASANACORP.
  • La información recopilada por medio de nuestros sistemas de videovigilancia será utilizada a fin de preservar la seguridad de los establecimientos, bienes muebles e infraestructura.
  • La información recopilada por medio de nuestras bitácoras de acceso será utilizada a fin de preservar la seguridad de los establecimientos, bienes muebles e infraestructura mediante un control formal de accesos físicos en las instalaciones de KASANACORP de proveedores, clientes, trabajadores y demás visitantes.
  • La información recopilada en los diversos cursos o congresos que dicta o promociona KASANACORP, lo que incluye imágenes, fotografías, serán utilizados con fines promocionales.
  • En el caso que el titular de los datos personales haya dado su consentimiento para recibir contactos de naturaleza comercial y publicitaria, se le enviará encuestas de satisfacción, información de nuestros servicios, invitaciones a eventos, entre otros. Estos contactos se realizan principalmente a través de correo electrónico y eventualmente por call center.
  1. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN
  • KASANACORP contará con un procedimiento sencillo y gratuito de atención de los derechos de los titulares de la información contemplados en la Ley, entre ellos el derecho de información, acceso, actualización, inclusión, rectificación, supresión, impedir el suministro, oposición y portabilidad, entre otros.
  • KASANACORP realizará las acciones necesarias para informar al titular de la Información sobre los derechos conferidos por la legislación, atendiendo de manera oportuna y dentro de los plazos establecidos todas las solicitudes y requerimientos relacionados con dichos derechos.
  • En los procesos de atención de derechos de titulares de la Información se aplicarán las siguientes directrices:
  • La supresión o rectificación de la Información no procederá cuando ello afecte derechos o intereses legítimos de KASANACORP o cuando exista una obligación legal de conservación de la Información.
  • KASANACORP podrá rechazar determinados requerimientos cuando la divulgación de la información pueda comprometer u obstaculizar actuaciones judiciales o administrativas en curso.
  • Los titulares de los derechos podrán iniciar sus solicitudes por medio de una comunicación a la siguiente dirección de correo electrónico: kasanacomunicaciones@gmail.com del delegado de protección de datos, debiendo destacar que cualquier trámite lo podrá realizar en las oficinas de KASANACORP

9. TRANSFERENCIAS DE LA INFORMACIÓN

La información objeto de tratamiento por parte de KASANACORP sólo podrá ser cedida o transferida a terceros para el cumplimiento de los fines relacionados con el interés legítimo del cedente y del cesionario, siempre que cuenten con el consentimiento previo, expreso, libre, inequívoco e informado del titular de la Información. Dicho consentimiento no será requerido en los supuestos permitidos por la normativa en materia de protección de datos personales.

  1. ESPECIFICACIONES PARA E-COMMERCE Y REDES SOCIALES
    • Consentimiento en Canales Digitales
  • E-commerce: La aceptación de los términos y condiciones debe incluir una casilla de verificación (checkbox) independiente para la política de privacidad. No se permiten casillas pre-marcadas.
  • Marketing (Art. 82 Ley de Telecomunicaciones): El uso de datos para promociones comerciales requiere autorización previa. Se incluirá siempre un mecanismo de «Opt-out» (claro y fácil para retirar el consentimiento) en cada comunicación.
    • Política de Cookies y Rastreo

Conforme a los estándares de la Superintendencia de Protección de Datos, el portal web de KASANACORP implementará:

  • Nivel de Privacidad Alto por Defecto: Solo se activarán cookies técnicas necesarias para el carrito de compras [Art. 60 del Reglamento a la LOPDP].
  • Gestor de Preferencias: El usuario podrá aceptar o rechazar manualmente cookies de personalización, análisis o publicidad.
    • Redes Sociales (Facebook, Instagram, TikTok, etc.)

KASANACORP actúa como co-responsable del tratamiento junto con las plataformas. Se prohíbe la descarga y almacenamiento masivo de datos de seguidores en bases de datos locales sin una base legítima adicional. Las imágenes de clientes o testimonios solo podrán publicarse con autorización por escrito, conforme a la Resolución No. 2064-14-EP/21 de la Corte Constitucional, que protege la expectativa razonable de privacidad sobre la propia imagen.

  1. MEDIDAS DE SEGURIDAD Y NOTIFICACIÓN

En virtud del Artículo 37 de la LOPDP, KASANACORP implementará:

  • Cifrado de datos en la pasarela de pagos.
  • Anonimización de datos para reportes estadísticos de ventas.
  • Contratos de confidencialidad con empresas de mensajería y marketing [Art. 41 del Reglamento a la LOPDP].
  • Protocolo de Brechas: En caso de filtración, se notificará a la Autoridad en un término de 5 días y a los afectados en 3 días si existe riesgo para sus derechos [Art. 43 y 46 de la LOPDP].
  • En el caso de que KASANACORP encargue el tratamiento de una o varias de sus bases de datos a una tercera persona natural o jurídica, o permita el acceso de terceros a sus bases de datos para la prestación algún servicio en específico, se realizará previo a la suscripción de un contrato en el cual claramente se establezca el alcance de ese tratamiento, garantizando las partes la confidencialidad y el tratamiento de los datos personales según las finalidades aceptadas por el o los titulares.
  1. ELIMINACIÓN DE LA INFORMACIÓN

KASANACORP procederá a eliminar la información de sus registros una vez que haya finalizado el tratamiento de la Información, se haya cumplido con el principio de finalidad, y no exista mandato legal o razón que justifique la conservación de la información. Alternativamente, se podrá aplicar procesos de disociación o equivalentes cuando por alguna razón comercial, de estadística o de análisis de mercado se justifique la conveniencia de conservar la información. KASANACORP definirá oportunamente los procedimientos respectivos que resulten necesarios para la eliminación de la Información.

  1. REGISTRO Y RESPONSABILIDAD PROACTIVA

KASANACORP cumplirá con la obligación de registrar sus bases de datos ante el Registro Nacional de Protección de Datos Personales, detallando las finalidades, tiempos de conservación y medidas de seguridad técnicas adoptadas [Art. 51 de la LOPDP].

  1. DIFUSIÓN Y CUMPLIMIENTO DE LA POLÍTICA

KASANACORP procurará:

  • Que se cumpla con lo dispuesto en la presente Política;
  • Hacer conocer, observar y respetar la presente Política por parte del Gerente de KASANACORP, sus socios, así como de todo el personal que trabaja para ella, así como proveedores y en general cualquier persona natural o jurídica que tenga acceso a las bases de datos de KASANACORP
  • . Publicar la presente Política en la página web empresarial; y
  • Dar a conocer la modificación o actualización de esta política por cualquiera de los canales físicos o virtuales que mantenga a disposición.

 

 

Mi carrito
Categorías