- POLÍTICA DE PRIVACIDAD
CRECERMED CÍA. LTDA.
CRECERMED CÍA. LTDA. (en adelante, CRECERMED), en cumplimiento de la Ley Orgánica de Protección de Datos Personales del Ecuador, informa a los pacientes, padres, madres o representantes legales (en adelante, los Titulares), sobre el tratamiento de sus datos personales, en especial datos de salud y datos de niños, niñas y adolescentes.
Responsable del tratamiento
- Razón social: CRECERMED CÍA. LTDA.
- Dirección: Isla Isabela N43-205
- Teléfono: 02 225 1529
- Correo electrónico: facturacion@crecermed.com
- CRECERMED es responsable de decidir sobre la finalidad y el tratamiento de los datos personales.
Identificación del Delegado de Protección de Datos Personales
Si necesita contactarse con el Delegado de Protección de Datos Personales, en adelante (DPO) puede hacerlo a través de la siguiente dirección:
- Nombre del DPO: María José Peñaherrera Zumárraga
- Domicilio: Av. 12 de octubre N26-48 y Lincoln
- Correo electrónico: protecciondedatos@crecermed.com
- Teléfono: 023810950
Definiciones
a. Dato personal: dato que identifica o hace identificable a una persona natural, directa o indirectamente.
b. Colaboradores: Personas naturales que prestan servicios a CRECERMED bajo relación laboral o contractual.
e. Encargado del Tratamiento: Persona natural o jurídica que trata datos personales por cuenta de CRECERMED.
g. Proveedores: Personas naturales o representantes de personas jurídicas que brindan bienes o servicios a CRECERMED.
h. Prospectos: Personas interesadas en los servicios ofrecidos por CRECERMED.
i. Responsable: Persona jurídica que decide la finalidad y los medios del tratamiento de datos personales.
j. Titular: Persona natural cuyos datos son objeto de tratamiento.
Obtención de datos personales
CRECERMED obtiene datos personales de niños, niñas, adolescentes, representantes legales y demás titulares a través de los siguientes medios:
• Gestión de servicios médicos: Durante la apertura y manejo de la ficha médica pediátrica.
• Procesos de atención directa: En la atención médica, aplicación de vacunas, realización de exámenes diagnósticos y seguimiento clínico.
• Interacción administrativa: Al agendar citas médicas, procesar información para facturación, o entrega de documentos médicos.
• Relaciones contractuales: A través de la información provista por colaboradores, postulantes y proveedores en el ejercicio de sus funciones o procesos de selección.
• Consentimiento directo: Mediante la entrega voluntaria
Categoría de datos personales que se tratan
CRECERMED trata los siguientes datos personales:
a) Datos de identificación y contacto
•Nombres y apellidos
•Número de cédula o documento de identidad
•Fecha de nacimiento
•Dirección
•Teléfonos
•Correo electrónico
b) Datos de representantes legales
•Nombres y apellidos
•Número de cédula
•Datos de contacto
•Información necesaria para facturación
•Datos médicos relevantes.
c) Datos de salud (datos sensibles)
•Historia clínica
•Antecedentes médicos
•Signos vitales, medidas antropométricas y evolución médica
•Libre ta salud , carnet y registro de vacunas
•Resultados de exámenes médicos y diagnósticos
•Imágenes o registros médicos relacionados con la atención
Finalidad del tratamiento
Los datos personales son tratados únicamente para las siguientes finalidades:
•Apertura y gestión de la ficha médica
•Prestación de servicios de atención médica pediátrica
•Aplicación y control de vacunas
•Realización y análisis de exámenes diagnósticos
•Seguimiento clínico del paciente
•Agendamiento y recordatorio de citas médicas o vacunas
•Cumplimiento de obligaciones legales y sanitarias
•Elaboración de estadísticas médicas internas, de forma anonimizada.
CRECERMED no utiliza los datos personales para fines comerciales, publicitarios o de mercadeo.
Tratamiento de datos de niños, niñas y adolescentes
CRECERMED presta servicios médicos pediátricos, por lo que trata datos personales de niños, niñas y adolescentes, siempre respetando el interés superior del niño.
El tratamiento de estos datos se realiza:
•Con el consentimiento expreso e informado de los padres, madres o representantes legales
•Conforme a la legislación ecuatoriana vigente
Base legal del tratamiento
El tratamiento de los datos personales por parte de CRECERMED se realiza sobre la base de las siguientes legitimaciones previstas en la normativa aplicable:
•El consentimiento del titular o de su representante legal cuando corresponda;
•La ejecución de la relación contractual o precontractual relacionada con la prestación de servicios médicos;
•El cumplimiento de obligaciones legales y regulatorias aplicables al responsable del tratamiento; y
•La protección de intereses vitales del titular o la prestación de servicios de salud. En el caso de datos sensibles, incluyendo datos relativos a la salud y datos de niños, niñas y adolescentes, su tratamiento se realizará únicamente cuando sea estrictamente necesario para la prestación de servicios médicos y conforme a las condiciones establecidas en la normativa de protección de datos personales.
Compartición de datos y terceros
CRECERMED podrá comunicar o compartir datos personales cuando ello sea necesario para el cumplimiento de las finalidades descritas en la presente política y de conformidad con la normativa aplicable. En particular, los datos podrán ser compartidos con:
•Profesionales y entidades de salud: médicos, especialistas, laboratorios clínicos u otros centros médicos cuando sea necesario para la prestación adecuada de servicios de salud.
•Proveedores de servicios: terceros que prestan servicios al responsable, tales como proveedores tecnológicos, administrativos o de gestión, quienes actuarán en calidad de encargados del tratamiento y tratarán los datos personales únicamente conforme a las instrucciones de CRECERMED.
•Autoridades competentes: entidades públicas, autoridades regulatorias o administrativas cuando la comunicación de los datos sea requerida en virtud de una obligación legal o regulatoria.
En todos los casos, CRECERMED adoptará las medidas necesarias para garantizar que los terceros que accedan a los datos personales mantengan la confidencialidad de la información y cumplan con las obligaciones establecidas en la normativa de protección de datos personales.
Conservación, almacenamiento y seguridad de la información
Los datos personales serán conservados únicamente durante el tiempo necesario para cumplir con las finalidades para las cuales fueron recopilados, así como para atender obligaciones legales, regulatorias o contractuales aplicables a CRECERMED, particularmente aquellas relacionadas con la prestación de servicios de salud y la conservación de información clínica. Una vez cumplidas dichas finalidades o vencidos los plazos legales de conservación, los datos serán eliminados, anonimizados o bloqueados de manera segura, salvo que deban mantenerse por un periodo adicional para el ejercicio o defensa de derechos en procesos administrativos o judiciales.
Los datos personales son almacenados en sistemas físicos y digitales que cuentan con medidas de seguridad administrativas, técnicas y organizativas, orientadas a prevenir accesos no autorizados, pérdida o uso indebido de la información.
Derechos de los titulares
Los Titulares de sus datos personales pueden solicitar a CRECERMED, el ejercicio de sus derechos de conformidad con la normativa en materia de protección de datos.
Los derechos ejercibles son los que se indican a continuación:
a. Acceso: El Titular por sus propios derechos, cuando corresponda, o a través de sus representantes legales, puede solicitar a CRECERMED información sobre sus datos personales y el tratamiento realizado sin mediar justificación, siempre y cuando esta solicitud sea razonable y sin constituir abuso del derecho.
b. Rectificación y actualización: El titular de los datos personales puede solicitar que se modifiquen o actualicen sus datos personales.
c. Eliminación: El titular de los datos puede solicitar la eliminación de datos personales que CRECERMED posea, siempre que dichos datos personales ya no sean necesarios para las finalidades de uso.
d. Oposición: El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:
• Cuando no se afecten derechos y libertades fundamentales de terceros, la ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley.
• Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa; el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines.
• Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, previsto en el artículo 7 de la LOPDP, y se justifique en una situación concreta personal del titular, siempre que una ley no disponga lo contrario.
e. Suspensión del tratamiento: El Titular puede solicitar el cese temporal del tratamiento de sus datos cuando:
• Impugne la exactitud de los datos personales conservados.
• Se presuma que el tratamiento realizado es ilícito.
• CRECERMED ya no necesite los datos personales para los fines del tratamiento, pero el titular los necesite para la formulación, el ejercicio o la defensa de reclamaciones.
• Si el Usuario considera que el tratamiento no está justificado en razones de interés legítimo o público. En este caso, se deberá determinar si dicho tratamiento efectivamente se encuentra legitimado en las bases indicadas.
No ser objeto de una decisión basada en valoraciones automatizadas: Oponerse, pedir explicaciones y solicitar la revisión humana de las decisiones basadas exclusivamente en un tratamiento total o parcialmente automatizado de datos personales que afecten a los intereses del titular, con las limitaciones determinadas en la LOPDP.
Ejercicio de derechos y contacto
Para ejercer sus derechos o realizar consultas, solicitudes o reclamos, los titulares pueden comunicarse a través de:
• Correo electrónico: protecciondedatos@crecermed.com
• Dirección física: Isla Isabela N43-205
CRECERMED atenderá las solicitudes dentro de los plazos establecidos por la ley.
Vigencia y cambios en el aviso de privacidad
Este Aviso de Privacidad se mantendrá vigente mientras CRECERMED trate datos personales. Cualquier cambio relevante será informado a través de los canales habituales de comunicación.
Declaración final
Al entregar sus datos personales y utilizar los servicios de CRECERMED, el titular o su representante legal declara haber sido informado sobre el tratamiento de sus datos conforme al presente Aviso de Privacidad.
- Política de Protección de Datos Personales
CRECERMED CÍA. LTDA.
Objetivo
Establecer los lineamientos internos para el tratamiento adecuado, seguro y confidencial de los datos personales que maneja CRECERMED CÍA. LTDA., en cumplimiento de la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP), considerando la naturaleza pediátrica de los servicios de salud y la capacidad operativa de la empresa.
Marco Normativo
La presente política se fundamenta en la normativa vigente en materia de protección de datos personales, así como en estándares internacionales de seguridad de la información y privacidad, de aplicación complementaria. Entre ellos:
2.1 Normativa nacional
• Ley Orgánica de Protección de Datos Personal (LOPDP), que establece los principios, derechos, obligaciones y responsabilidades aplicables al tratamiento de datos personales.
• Reglamentos, lineamientos y resoluciones emitidas por la Superintendencia de Protección de Datos Personales (SPDP), que desarrollen o complementen las disposiciones de la LOPDP y resulten aplicables al responsable del tratamiento.
2.2 Estándares internacionales
• ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información, que define controles y buenas prácticas para la protección y gestión segura de la información.
• ISO/IEC 27701 – Sistema de Gestión de la Privacidad, como extensión de la ISO/IEC 27001, que establece controles específicos para la gestión y protección de datos personales.
AlcanceEsta política es de cumplimiento obligatorio para:
•Personal de la organización.
•Médicos y profesionales de la salud que prestan servicios
•Personal administrativo y contable
•Proveedores de tecnología y soporte IT
•Proveedores de servicios médicos.
•Cualquier persona que tenga acceso, directo o indirecto, a datos personales tratados por CRECERMED
Definiciones
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
• Aviso de Privacidad: Comunicación escrita generada por el Responsable del tratamiento, mediante la cual se le informa al titular acerca de la existencia de las Políticas que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que La empresa realiza con sus datos personales.
• Base de Datos Personales: Conjunto organizado de datos personales que son objeto de tratamiento, automatizado o no, independientemente del soporte, sea físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
• recha de seguridad de datos personales: Cualquier evento, situación o vulnerabilidad que cause o tenga el potencial de causar la destrucción, pérdida, alteración, acceso no autorizado o divulgación indebida de datos personales, afectando o pudiendo afectar su confidencialidad, integridad o disponibilidad.
• Datos personales: Cualquier información relativa a una persona física identificada o identificable.
• Datos sensibles: son los datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
• Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
• Encargado del tratamiento: Persona física o jurídica facultada por un instrumento jurídico o expresamente autorizada por el responsable del tratamiento para el tratamiento de los datos personales.
• Responsable del tratamiento: Persona física o jurídica que decide sobre el tratamiento de los datos personales.
• Titular: Persona a la que pertenecen los datos personales.
• Tratamiento: La recopilación, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción para acceder, almacenar, manejar, intercambiar, reenviar, explotar, transferir o disponer de cualquier otro modo de datos personales.
• Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al Titular, Responsable o Encargado del Tratamiento.
Principios
El tratamiento de los datos personales en La empresa se rige por los siguientes principios:
5.1. Juridicidad: Se encuentra prohibida la recopilación de datos personales por medios fraudulentos, desleales o ilícitos. La empresa debe recopilar, procesar y almacenar datos personales en ejercicio de las actividades indicadas en su objeto social, y dentro del curso normal de sus actividades.
5.2. Finalidad: Los datos personales deben ser recopilados por La empresa para una finalidad determinada, explícita y lícita. El Tratamiento de dichos datos personales no se extenderá a una finalidad distinta o adicional a la establecida de manera inequívoca como tal al momento de su recopilación o incompatible con aquella que motivó su obtención. La finalidad y uso del tratamiento se especifica en las políticas de privacidad y avisos de privacidad aplicables a los datos personales sujetos a Tratamiento. Todo tratamiento adicional a las finalidades principales de tratamiento será
debidamente informado al Titular de los Datos Personales, y se solicitará el consentimiento por separado, cualquiera sea la categoría de tratamiento.
5.3. Proporcionalidad: Todo tratamiento de datos personales realizado por La empresa deberá ser adecuado, relevante y no excesivo a la finalidad para la que hubiesen sido recopilados. La empresa podrá solicitar la recopilación de datos sensibles, respecto de los cuáles determinará expresamente la finalidad y proporcionalidad de dicho tratamiento en las Políticas y Avisos de Privacidad respectivos; y además cumplirá con solicitar el consentimiento informado y por escrito para el Tratamiento de Datos Sensibles.
5.4. Calidad y exactitud: La información sujeta a tratamiento debe ser veraz, exacta y, en la medida de lo posible, actualizada, necesaria, pertinente y adecuada respecto de la finalidad para la que fue recopilada. Dicha información se conservará solo por el tiempo necesario para cumplir con la finalidad del Tratamiento, lo cual deberá estar especificado en cada Aviso de Privacidad.
5.5. Seguridad de los datos personales: La empresa cuenta con una Política de Seguridad de la Información en la que se detallan las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de la información y de los datos personales.
5.6. Responsabilidad proactiva: La empresa garantizará el cumplimiento de lo dispuesto en la presente Política, siendo capaz de demostrarlo ante el Titular y a la Autoridad de Protección de Datos Personales.
5.7. Transparencia: Toda información o comunicación relativa a tratamiento de datos por parte de La empresa deberá utilizar un lenguaje sencillo y claro, y ser fácilmente accesible. Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la LOPDP, su reglamento y demás normativas atinentes a la materia.
5.8. Pertinencia y Minimización de Datos Personales: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del Tratamiento.
5.9. Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento.
5.10. Aplicación favorable al titular: En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al Titular de dichos datos.
5.11. Lealtad: El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.
RESPONSABILIDADES, SUPERVISIÓN Y RENDICIÓN DE CUENTAS
La implementación y el cumplimiento de esta política es responsabilidad de todas las personas que forman parte de CRECERMED. Para ello coordinará las acciones necesarias para aplicar las medidas aquí establecidas y garantizar la correcta difusión de esta política entre su personal, de manera que se asegure su observancia. La estructura de supervisión y rendición de cuentas de CRECERMED en materia de protección de datos personales está conformada por los siguientes actores clave.
6.1. Delegado de Protección de Datos
Las principales actividades serán las siguientes:
• Proporcionar asesoramiento, apoyo y capacitación en materia de protección de datos y la presente política;
• Recibir notificaciones de filtración de datos y solicitudes y/o quejas de los Titulares de los datos;
• Fomentar activamente que los actores pertinentes adopten medidas encaminadas al cumplimiento de esta política;
• Coordinar las diferentes gestiones según sea necesario en virtud de la presente política.
• Atender a auditorías y requerimientos de protección de datos personales.
• Verificar y monitorear el cumplimiento de la política de protección de datos personales.
6.2. Seguridad de la Información
• La empresa en cumplimiento a esta política ejecutará las siguientes actividades:
• Proporcionar orientación sobre prácticas y políticas que ayuden a mitigar los riesgos relacionados con el procesamiento de datos personales;
• Asesorar en la definición y aplicación de controles técnicos y organizativos apropiados para la protección de los datos personales;
• Supervisar la implementación de medidas de seguridad de la información aplicables al ciclo de vida de los datos personales (recolección, almacenamiento, transmisión, acceso, eliminación);
• Coordinar y gestionar las pruebas periódicas de seguridad, incluyendo pruebas de vulnerabilidad y ejercicios de respuesta a incidentes;
• Colaborar con el Delegado de Protección de Datos en la evaluación y gestión de incidentes de seguridad que afecten datos personales;
• Asegurar el mantenimiento y actualización de los registros de incidentes de seguridad;
• Promover una cultura de seguridad de la información a través de iniciativas de concienciación y capacitación complementarias.
6.3. Gerente General o Representante Legal de la Compañía:
El Gerente General de la mano con un equipo especializado en sistemas y seguridad de la información será el encargado de realizar las siguientes actividades:
• Revisar, autorizar y aprobar las políticas, procedimientos, formatos y demás documentos vinculados a la gestión de protección de datos personales;
• Validar y aprobar los planes de acción y las medidas de remediación frente a incidentes de seguridad de datos personales;
• Asegurar el respaldo institucional para la adecuada gestión de la protección de datos personales y la seguridad de la información.
• Incorporar los principios y requisitos de protección de datos personales en los procesos y proyectos de CRECERMED;
• Asegurar que las iniciativas de transformación, automatización y mejora de procesos consideren el cumplimiento de esta política;
• Apoyar en la documentación y actualización de procesos en relación con la gestión y tratamiento de datos personales;
• Participar en la identificación y evaluación de riesgos de seguridad de la información en los proyectosque impliquen tratamiento de datos personales.
6.4.
Analista de Talento Humano (RRHH)
Las principales actividades serán las siguientes:
• Coordinar los programas de formación y sensibilización en materia de protección de datos personales y seguridad de la información para los colaboradores, los cuales serán impartidos por el DPO en apoyo con el área de Seguridad de la Información;
• Asegurar la inclusión de cláusulas y compromisos de confidencialidad y protección de datos en los documentos laborales pertinentes;
• Colaborar con el DPO en la gestión y respuesta frente a solicitudes de ejercicio de derechos por parte de los Titulares que involucren datos personales del personal.
• Autorizar y aprobar las políticas, procedimientos, formatos y demás documentos vinculados a la gestión de protección de datos personales;
• Validar y aprobar los planes de acción y las medidas de remediación frente a incidentes de seguridad de datos personales;
• Asegurar el respaldo institucional para la adecuada gestión de la protección de datos personales y la seguridad de la información.
DERECHOS
7.1. Derechos Garantizados
La empresa tiene la obligación de garantizar los derechos de los Titulares cuyos datos trata, de conformidad con la LOPDP, según se describen a continuación:
7.1.1. Información
Al recopilar los datos personales del Titular de los datos, la La empresa debe, por escrito, y de manera entendible con un lenguaje que sea comprensible, informar al Titular de los datos respecto de lo siguiente:
a. Finalidades específicas con las que se procesarán los datos personales
b. Base legal para el tratamiento;
c. Tipos de tratamiento;
d. Tiempo de conservación;
e. La existencia de una base de datos en la que constan sus datos personales;
f. El origen de los datos personales cuando no se hayan obtenido directamente del titular;
g. Otras finalidades y tratamientos ulteriores;
h. Identidad y datos de contacto del Responsable;
i. Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;
j. La importancia de que el Titular de los datos proporcione información precisa y completa;
k. Cualquier consecuencia de la negativa o el rehusarse a proporcionar los datos personales solicitados;
l. La posibilidad de revocar el consentimiento;
m. La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas;
n. Mecanismos para hacer efectivo su derecho de portabilidad;
o. Cómo presentar una reclamación ante la Autoridad de Protección de Datos Personales;
p. La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles
7.1.2. Acceso
A solicitud del Titular de los datos, éste tiene derecho a conocer y obtener gratuitamente de la La empresa, acceso a todos sus datos personales y a la información detallada en el Art.12 de la Ley Orgánica de Protección de Datos Personales.
7.1.3. Rectificación y Actualización
El Titular de los datos podrá solicitar la rectificación o actualización de los datos personales que son inexactos o incompletos. Cuando un Titular de datos solicita la rectificación o actualización de sus datos personales, la La empresa deberá solicitar la prueba relativa a la inexactitud o al carácter incompleto de estos datos.
7.1.4.
Eliminación
El Titular tiene derecho a que la La empresa elimine sus datos cuando el tratamiento: no cumpla con los principios establecidos en la LOPDP, sea innecesario para cumplir una finalidad o dicha finalidad ya se haya cumplido, se haya vencido el plazo de conservación, afecte derechos fundamentales del Titular, el Titular revoque su consentimiento, o cuando exista obligación legal para eliminar los datos.
7.1.5. Oposición
El Titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:
• No se afecten derechos y libertades fundamentales de terceros, la ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley;
• El tratamiento de datos personales tenga por objeto la mercadotecnia directa; el Titular tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines;
• Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, y se justifique en una situación concreta personal del Titular, siempre que una ley no disponga lo contrario.
• La La empresa dejará de tratar los datos personales en estos casos, salvo que acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del Titular, o para la formulación, el ejercicio o la defensa de reclamaciones.
7.1.6. Suspensión
El Titular tiene derecho a que la La empresa suspenda el tratamiento de sus datos cuando: el Titular impugne la exactitud de los datos mientras la La empresa los verifica; el tratamiento sea ilícito; la La empresa ya no necesite los datos, pero el Titular sí para formular o ejercer reclamaciones; cuando el Titular se oponga al tratamiento de sus datos de salud mientras se verifica si los motivos legítimos prevalecen sobre los del Titular.
En caso de que la La empresa rechace la solicitud de oposición de tratamiento y el Titular recurra por dicha decisión a la Autoridad de Datos Personales, se extenderá la suspensión del tratamiento hasta la resolución del procedimiento administrativo.
7.1.7. Portabilidad
El Titular tiene derecho a recibir de la La empresa, sus datos personales en un formato compatible, actualizado, estructurado, común, interoperable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables.
Para que proceda este derecho el Titular debe haber consentido el tratamiento de sus datos, el tratamiento se debe realizar por medios automatizados, el tratamiento comprende un volumen relevante de datos del Titular, o el tratamiento es necesario para ejercer derechos y cumplir obligaciones del responsable, encargado o Titular en materia de derecho laboral y seguridad social.
7.1.8. No ser objeto de decisiones basadas en valoraciones automatizadas
El Titular tiene derecho a no ser sometido a una decisión basada única o parcialmente en valoraciones que sean producto de procesos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales.
El Titular puede solicitar a la La empresa explicación motivada sobre decisiones que ha tomado como responsable, presentar observaciones respecto de la decisión, solicitar criterios de valoración e información sobre los tipos de datos utilizados, e impugnar la decisión tomada por el responsable.
7.2. Atención a las Solicitudes de Ejercicio de Derechos
La empresa ha designado un canal para atender las solicitudes de ejercicio de derechos de los Titulares. Para hacer efectivos sus derechos, los Titulares de la La empresa, podrán ejercer sus derechos a través de los siguientes canales enviando su solicitud directamente a la La empresa a la que se quiere contactar por el siguiente medio: [facturacion@crecermed.com]
Las solicitudes de información sobre el acceso, corrección o eliminación de datos personales o sobre una oposición, deberán ser realizadas por el Titular de datos o su representante legal autorizado, o, en el caso de un menor de edad, por un padre o tutor legal.
Las solicitudes podrán ser presentadas al correo electrónico [colocar correo] destinado por CRECERMED para atender las solicitudes de ejercicio de derechos de los titulares y al correo del Delegado de Protección de datos [correo] de la empresa, en concordancia con el “Procedimiento para atender solicitudes de ejercicio de derechos”.
8.1. Titulares
CRECERMED recopila y trata datos personales de titulares de su información de carácter personal. CRECERMED a través de sus diferentes áreas ha identificado los siguientes grupos de titulares:
• Clientes
• Colaboradores – excolaboradores
• Proveedores
• Visitantes y usuarios
8.2. Categoría de datos personales tratados
CRECERMED trata, entre otros, los siguientes datos:
a) Datos de pacientes (niños, niñas y adolescentes)
• Datos de identificación
• Datos de representantes legales
• Datos de salud (historias clínicas, antecedentes, vacunas, exámenes, imágenes, audios yevolución médica u otros
b) Datos de personal y médicos
• Datos de identificación
• Información laboral, profesional y contractual
• Datos bancarios para pagos
• Datos de salud ocupacional, cuando aplique
c) Datos de proveedores
• Información de contacto
• Información contractual, comercial y de pago
8.3. Legitimación para el Tratamiento de Datos
La empresa realiza el tratamiento de datos personales de manera legítima conforme a las bases legales establecidas en las LOPDP conforme a las siguientes condiciones:
8.3.1. Consentimiento: la La empresa deberá requerir el consentimiento previo, libre, expreso, inequívoco e informado del Titular para poder tratar sus datos personales, en aquellos casos previstos en la Ley Orgánica de Protección de Datos Personales.
Para ello, la empresa se encargará de obtener el consentimiento de los Titulares a través de formularios físicos y digitales, declaraciones de autorización y mediante casillas en las plataformas oficiales de la La empresa, de acuerdo con cada finalidad de tratamiento. En los casos en que el Tratamiento de Datos Personales esté legitimado por alguna norma o se encuentre dentro de alguna excepción en la ley, la La empresa cumplirá con el deber de informar a los Titulares de los Datos personales, sobre las condiciones de dicho tratamiento.
8.3.2. Cumplimiento de una obligación legal;
8.3.3. Por orden judicial;
8.3.4. Por una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;
8.3.5. Para la ejecución de medidas precontractuales a petición del Titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, Encargado del tratamiento de datos personales o por un Tercero legalmente habilitado;
8.3.6. Intereses vitales: será lícito el tratamiento de datos personales si es necesario para proteger un interés esencial para la vida del titular o de otra persona, como epidemias o situaciones de emergencia humanitaria.
8.3.7. Fuentes de acceso público: para tratamiento de datos personales que consten en bases de datos de acceso público;
8.3.8. Interés legítimo del responsable de Tratamiento o de Terceros.
6. 10. SEGURIDAD DE DATOS PERSONALES
10.1 Medidas de Seguridad
CRECERMED ha adoptado medidas jurídicas, físicas, técnicas y administrativas para garantizar la seguridad del tratamiento de los datos personales dentro de esta.
10.1.1 Medidas de seguridad jurídicas
a. Inclusión de cláusulas de protección de datos en los futuros contratos a celebrar con proveedores en los que se involucre un tratamiento de datos.
b. Inclusión de cláusulas respecto al tratamiento de datos personales en los contratos celebrados con colaboradores y representantes legales.
c. Celebración de adendas respecto al tratamiento de datos personales en los contratos celebrados previamente con colaboradores y proveedores.
d. Celebración de acuerdos de confidencialidad con colaboradores que deban encargarse del tratamiento de datos personales.
e. Celebración de acuerdos de encargo de tratamiento de datos con aquellos proveedores con los que se ha identificado un tratamiento de datos personales.
f. Inclusión de avisos respecto al tratamiento de datos personales dirigido hacia los titulares en caso de que se vaya a capturar información referente a sus datos personales.
g. Obtención del consentimiento previo para la transferencia de datos personales, en caso de que sea requerido, al capturar la información de los colaboradores y/o representantes legales.
h. Elaboración de matrices de encargo con proveedores con los que se haya establecido dicho acuerdo.
i. Elaboración de procedimientos de evaluación de impacto de protección de datos en virtud de la normativa vigente.
j. El mantener las políticas de privacidad de forma accesible en los medios de comunicación, tales como la página web de CRECERMED.
k. Habilitación de un correo electrónico únicamente para el ejercicio de los derechos de los titulares respecto a sus datos personales (rectificación, eliminación, etc.).
10.1.2 Medidas de seguridad técnicas y físicas
a. Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados.
b. Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones.
c. Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware.
d. Gestionar las comunicaciones, medios de almacenamiento y operaciones de los recursos informáticos en el tratamiento de datos personales.
e. Prevenir el acceso no autorizado al perímetro de CRECERMED, sus instalaciones físicas, áreas críticas, recursos e información.
f. Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de CRECERMED, recursos e información.
g. Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico, que pueda salir de las instalaciones de CRECERMED.
h. Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz que asegure su disponibilidad, integridad y funcionalidad.
10.1.3 Medidas de seguridad administrativas y organizativas
a. Definición de directrices estratégicas en materia de seguridad de activos, alineadas a las atribuciones de las dependencias o entidades.
b. Establecimiento de controles para evitar violaciones a la normatividad vigente, o la política de seguridad interna u obligaciones contractuales.
c. Establecimiento de controles internos y externos a través de los cuales se gestione la seguridad de activos.
d. Establecimiento de controles orientados a que el personal conozca el alcance de sus responsabilidades respecto a la protección de datos personales y seguridad de los activos de información, antes, durante y al finalizar la relación laboral.
e. Implementación de controles enfocados a la gestión de incidentes presentes y futuros que puedan afectar la integridad, confidencialidad y disponibilidad de la información.
f. Evaluar y supervisar regularmente a los proveedores de servicios que tienen acceso a datos personales y asegurar de que cumplan con los mismos estándares de protección de datos que CRECERMED.
Confidencialidad
Toda persona que tenga acceso a datos personales está obligada a:
• Mantener confidencialidad permanente
• No divulgar información sin autorización
• No utilizar los datos para fines personales o no autorizados
Esta obligación subsiste incluso después de finalizar la relación laboral o contractual.
Acceso a la información y control de usuarios
• El acceso a los sistemas se otorga según funciones y roles.
• Se procurará el uso de credenciales individuales.
Uso excepcional de usuarios compartidos
En los sistemas donde, por limitaciones operativas u otras no sea posible asignar credenciales individuales CRECERMED aplicará controles compensatorios, tales como:
• Asignación de responsabilidades por turno o función
• Registro interno del uso del usuario compartido
• Restricción del acceso únicamente a personal autorizado
• Supervisión periódica del uso
Cada persona que utilice un usuario compartido será responsable por las acciones realizadas durante su uso.
Uso de dispositivos personales (BYOD)
Se permite el uso de dispositivos personales (celulares y laptops) para acceder a información de CRECERMED solo si:
• El dispositivo cuenta con clave de acceso
• No es compartido con terceros
• Se bloquea cuando no está en uso
• Se cierra sesión al finalizar la actividad
Está prohibido almacenar historias clínicas o información médica sensible en dispositivos personales sin autorización expresa.
Uso de WhatsApp y medios electrónicos
CRECERMED utiliza WhatsApp Business y otros medios electrónicos como canales de comunicación con pacientes y representantes.
Excepción por solicitud del titular
CRECERMED podrá enviar historias clínicas, certificados o documentos médicos por WhatsApp u otros medios electrónicos cuando el titular o su representante legal lo solicite expresamente, previa advertencia de los riesgos asociados a dicho canal.
En estos casos:
• Se dejará constancia de la solicitud y confirmación del titular
• Se enviará únicamente la información solicitada
• Se adoptarán medidas razonables para evitar errores de envío
TRATAMIENTO DE DATOS PERSONALES POR PARTE DE PROVEEDORES
a. Verificación de la información que se podrá compartir
Una vez se ha realizado la selección del proveedor que prestará un servicio a CRECERMED, el área que esté gestionando el proceso de contratación deberá gestionar que el “Formulario de Creación o Actualización de Proveedores” sea completado con la información requerida.
Si en el formato “Formulario de Creación o Actualización de Proveedores” se identificó que sí existirá un tratamiento de datos, se deberá completar el anexo del formato para identificar las categorías de datos que podrán comunicarse.
Si se identificó que existirá un tratamiento de datos por parte de un proveedor, se deberá registrar la información del proveedor en la “Matriz de Proveedores Críticos”.
b. Análisis de la relación de tratamiento de datos personales: figuras aplicables
Para la identificación de proveedores considerados como encargados de tratamiento, se toma en cuenta los siguientes criterios:
1) ¿El proveedor para prestar el servicio accede o recoge datos personales de clientes o colaboradores CRECERMED?
2) ¿Se comparten o transfieren bases datos de CRECERMED a otras empresas para el cumplimiento de un servicio bajo las instrucciones expresas de CRECERMED? ¿CRECERMED decide sobre el tratamiento de datos personales que se dará?
En caso de que CRECERMED decida sobre el tratamiento que se dará a los datos personales, la relación que existirá es de Encargo de tratamiento y se deberá suscribir con el proveedor un “Contrato de encargo de tratamiento de datos personales”.
En caso de que no se decida sobre el tratamiento de los datos personales debido a que se contrata un servicio, pero no se puede decidir sobre las actividades que realizarán, es decir, no se dirigirán las operaciones, la figura aplicable será una relación de “Comunicación” o “Transferencia de datos”.
Bajo esta figura, la regla general es que se debe solicitar el consentimiento de los titulares para poder compartir la información.
CRECERMED solo compartirá datos personales con terceros cuando sea necesario para la prestación del servicio o por obligación legal, incluyendo:
• Médicos y profesionales de la salud
• Laboratorios y centros de diagnóstico
• Proveedores tecnológicos
• Autoridades de salud competentes
Todo tercero deberá mantener confidencialidad y usar los datos únicamente para la finalidad autorizada.
TRANSFERENCIA DE DATOS PERSONALES
14.1 Transferencias Locales
14.1.1 Condiciones generales
CRECERMED puede transferir datos personales a terceros con la condición de que dicha transferencia se regule por medio del instrumento jurídico adecuado, y que el tercero proporcione un nivel de protección de datos igual o superior a esta Política.
Teniendo en cuenta los posibles riesgos de protección de datos que implican las transferencias a terceros, CRECERMED debe prestar especial atención a los siguientes principios básicos de esta Política:
a. La transferencia se basa en una o más bases legítimas;
b. La transferencia es para uno o más propósitos específicos y legítimos;
c. Los datos personales que se van a transferir son adecuados, pertinentes, necesarios y no excesivos en relación con el o los propósitos para los que se están transfiriendo;
d. El Titular de los datos ha sido informado, ya sea en el momento de la recolección, o con posterioridad, sobre la transferencia de sus datos personales;
e. El tercero respete la confidencialidad de los datos personales que le son transferidos por parte de CRECERMED. Con el fin de garantizar y respetar la confidencialidad, los datos personales deben ser archivados y almacenados de manera que sean accesibles sólo al personal autorizado y transferidos sólo a través del uso de medios de comunicación protegidos.
f. El tercero mantiene un alto nivel de seguridad de datos que protege los datos personales contra el riesgo de destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícita/ilegítima.
14.1.2. Acuerdos de Transferencia de Datos
A menos que existan motivos suficientes para no hacerlo, previo a la transferencia de datos personales a un tercero, se debe firmar un acuerdo de transferencia de datos, o, en su caso, incorporar cláusulas de protección de datos dentro de los acuerdos más amplios, sobre todo cuando la transferencia de datos personales sea extensiva, repetida, o estructural, es decir, cuando el mismo tipo o tipos de datos se comparten con el tercero para el mismo propósito durante un determinado periodo de tiempo.
Los acuerdos de la transferencia de datos deberían, entre otros:
a. Abordar el o los objetivos para la transferencia de datos, los elementos de datos específicos a ser transferidos, así como las medidas de protección y seguridad de datos a ser puestos en marcha;
b. Requerir que el tercero se comprometa a que sus medidas de protección y seguridad de datos están de acuerdo con esta Política y la normativa vigente en materia de protección de datos; y
c. Estipular los mecanismos de consulta, supervisión, rendición de cuentas y revisión para monitorear la transferencia por la vigencia del contrato.
14.2. Transferencia a Entidades Públicas o de Control
En circunstancias apropiadas, CRECERMED puede transferir datos personales a entidades públicas o de control. Estas transferencias pueden ser solicitadas por las instituciones o cortes, o por iniciativa propia de CRECERMED. Las transferencias pueden estar relacionadas con personas sujetas a una investigación por supuestos delitos, o en relación con la o las víctimas o testigo(s) de estos.
Por lo anterior, CRECERMED sólo podrá cooperar con dicha solicitud y la transferencia de datos personales a un organismo nacional encargado de hacer cumplir la ley o a un tribunal nacional si se cumplen las siguientes condiciones:
a. La transferencia es necesaria para fines de la detección, prevención, investigación o enjuiciamiento de un delito grave, en particular, con el fin de evitar un riesgo inmediato y sustancial para la seguridad y protección de un individuo o del público;
b. El organismo encargado de hacer cumplir la ley o el tribunal que la solicita es competente en relación con la detección, prevención, investigación o enjuiciamiento del delito en cuestión;
c. La transferencia ayudará sustancialmente al organismo encargado de hacer cumplir la ley o al tribunal en la consecución de estos fines y que los datos personales no pueden de otra manera ser obtenidos de otras fuentes;
d. La transferencia no interfiere de manera desproporcionada con el derecho a la privacidad u otros derechos humanos de un Titular de datos o de otra persona de interés; y
e. En el caso de datos relacionados con víctimas y testigos, que se haya obtenido su consentimiento a la transferencia.
14.3. Transferencias Internacionales
Las transferencias internacionales conforme a nuestra legislación podrán efectuarse a países, organizaciones y personas jurídicas, bajo las siguientes directrices:
a) Cuando la Autoridad de Protección de Datos declare a países, organizaciones y personas jurídicas con el nivel adecuado de protección.
b) Cuando el responsable o encargado del tratamiento de datos ofrezca garantías adecuadas para el titular.
c) Cuando existan normas corporativas vinculantes entre empresas de un grupo empresarial.
d) Cuando exista autorización de la Autoridad de Protección de Datos para realizar las transferencias.
e) Para todos los casos no contemplados anteriormente, se podrá realizar transferencia internacional de datos si es que:
1. Los datos personales son requeridos para el cumplimiento de competencias institucionales;
2. El Titular otorgó su consentimiento explícito a la transferencia o comunicación propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias o comunicaciones internacionales, debido a la ausencia de una resolución de nivel adecuado de protección y de garantías adecuadas;
3. La transferencia internacional tiene como finalidad el cumplimiento de una obligación legal o regulatoria;
4. La transferencia internacional de datos personales es necesaria para la ejecución de un contrato entre el Titular y el Responsable del tratamiento de datos personales, o para la ejecución de medidas de carácter precontractual adoptadas a solicitud del titular;
5. La transferencia es necesaria por razones de interés público;
6. La transferencia internacional es necesaria para la colaboración judicial internacional;
7. La transferencia internacional es necesaria para la cooperación dentro de la investigación de infracciones;
8. La transferencia internacional es necesaria para el cumplimiento de compromisos adquiridos en procesos de cooperación internacional entre Estados;
9. Se realizan transferencias de datos en operaciones bancarias y bursátiles;
10. La transferencia internacional de datos personales es necesaria para la formulación, el ejercicio o la defensa de reclamaciones, acciones administrativas o jurisdiccionales y recursos; y,
La transferencia internacional de datos personales es necesaria para proteger intereses vitales del interesado u otras personas, cuando el Titular esté física o jurídicamente incapacitado para dar su consentimiento.
Conservación de la información
Los datos personales se conservarán únicamente durante el tiempo necesario para cumplir su finalidad y las obligaciones legales aplicables al sector salud.
Gestión de incidentes de seguridad
Ante una posible pérdida, acceso no autorizado o uso indebido de datos personales, el personal deberá:
1. Informar de inmediato al Responsable Interno de Protección de Datos
2. Evitar la difusión del incidente
3. Colaborar en la contención y análisis del evento
CRECERMED evaluará la necesidad de notificar a la Autoridad de Protección de Datos y a los titulares afectados, conforme a la ley.
Notificación de Brechas de Seguridad: La notificación de brechas de seguridad debe ser realizada de conformidad con los lineamientos descritos en el Procedimiento de Notificación de Brechas de Seguridad de Datos Personales.
Capacitación y concientización
CRECERMED promoverá acciones básicas de capacitación interna para el personal con acceso a datos personales, priorizando la protección de datos de salud y de menores de edad.
Incumplimiento
El incumplimiento de esta política podrá dar lugar a medidas disciplinarias, responsabilidades contractuales y otras acciones conforme a la normativa vigente.
Vigencia, revisipon y actualizaciones
La presente política entra en vigencia a partir de su aprobación y deberá ser revisada cada dos (2) años o cuando existan cambios en las operaciones de CRECERMED que impacten en el Tratamiento de Datos Personales, con la finalidad de determinar lo siguiente:
a. La existencia de nuevas categorías de Tratamiento de Datos Personales, con el objetivo de analizar el flujo de los datos, aprobar los avisos o políticas de privacidad correspondientes e inscribir la base de datos que corresponda.
b. Actualizar la relación de Encargados de tratamiento, con el propósito de actualizar los avisos o políticas de privacidad, así como, actualizar y solicitar las modificaciones de las bases de datos que correspondan.
c. Verificar si existen cambios de proveedores respecto de los flujos transfronterizos de datos para actualizar el listado de receptores internacionales y los avisos o políticas de privacidad cuando corresponda.
d. Verificar que todos los proveedores o Encargados de Tratamiento tengan suscrito un contrato de tratamiento de datos por encargo.
Toda modificación sustancial de esta política tendrá que ser comunicada previamente a los Titulares por medio de mecanismos eficientes, tales como documentos que contengan las condiciones específicas del Tratamiento de Datos Personales, la página web de CRECERMED y/o correos electrónicos. Por modificación sustancial se entienden, entre otras, las siguientes situaciones:
a. Modificación en la identificación del área o persona encargada de atender las consultas y reclamos.
b. Modificación evidente de las finalidades que puedan afectar las bases de legitimación del tratamiento.
c. Modificación evidente de los receptores de los datos personales en los casos de transferencia, sobre todo en los casos de flujos transfronterizos de datos.
