Política de Privacidad y Protección de Datos Personales – DROPI S.A.S.

DROPI S.A.S. (en adelante, "DROPI", la "Compañía" o la "Plataforma") reconoce la importancia de la privacidad, la protección de los datos personales y la seguridad de la información, y asume el tratamiento de datos personales como una responsabilidad transversal de su operación.

La presente Política de Privacidad y Protección de Datos Personales (la "Política") tiene por objeto informar a los titulares la forma en que DROPI recopila, utiliza, almacena, conserva, protege y trata datos personales dentro de sus plataformas tecnológicas, herramientas digitales, aplicaciones, servicios y operaciones, de conformidad con la Constitución de la República del Ecuador (artículo 66, numeral 19), la Ley Orgánica de Protección de Datos Personales (la "LOPDP"), su Reglamento General y la normativa, resoluciones y lineamientos técnicos emitidos por la Superintendencia de Protección de Datos Personales (la "SPDP").

El uso de los servicios, plataformas, aplicaciones y herramientas tecnológicas de DROPI implica la lectura de la presente Política. La aceptación de la Política y el otorgamiento del consentimiento, cuando este constituya la base de legitimación aplicable, se realizan de forma diferenciada respecto de la aceptación de los Términos y Condiciones, conforme a lo previsto en la sección 10.

↑ Volver arriba

Responsable del Tratamiento: DROPI S.A.S.

RUC: 1793192992001

Domicilio: Galerías del Bosque, Av. Del Parque y Alonso de Torres, Quito, Ecuador.

Correo electrónico para asuntos de privacidad: atencion.ciudadano@dropi.com.ec

Teléfono: +593 9 8320 7050

↑ Volver arriba

DROPI ha designado un Delegado de Protección de Datos Personales (DPD), que actúa como punto de contacto para los titulares, para la Superintendencia de Protección de Datos Personales y para las consultas relacionadas con privacidad y protección de datos personales.

Delegado de Protección de Datos Personales: Raúl Riquelme C.

Correo electrónico: atencion.ciudadano@dropi.com.ec

El DPD ejerce funciones de asesoramiento, supervisión, coordinación y enlace en materia de protección de datos personales, sin asumir la calidad de Responsable del Tratamiento ni sustituir las obligaciones legales que corresponden a DROPI. La designación del DPD será comunicada a la Superintendencia de Protección de Datos Personales en los términos exigidos por la normativa aplicable.

↑ Volver arriba

DROPI opera exclusivamente como una plataforma tecnológica bajo modalidad Software as a Service (SaaS), que proporciona herramientas digitales, operativas, administrativas y logísticas destinadas a facilitar actividades comerciales desarrolladas por usuarios independientes.

DROPI no comercializa, distribuye, promociona ni vende directamente productos o servicios al consumidor final, no adquiere la propiedad de los bienes comercializados por terceros usuarios y no participa como parte en las relaciones comerciales celebradas entre usuarios, proveedores, compradores o consumidores. Las condiciones de venta, precios, promociones, disponibilidad, garantías, devoluciones, retractos, servicio postventa, cumplimiento tributario y demás obligaciones derivadas de dichas operaciones son definidas y ejecutadas exclusivamente por los respectivos usuarios y terceros que participan en cada transacción.

En consecuencia, los roles en el tratamiento de datos personales se distribuyen del siguiente modo:

• DROPI actúa como Responsable del Tratamiento respecto de los datos personales que recopila directamente para la prestación de sus servicios tecnológicos, la administración de cuentas, el soporte, la seguridad, la prevención de fraude, el cumplimiento normativo y demás finalidades propias de su actividad, descritas en la sección 8.
• DROPI actúa como Encargado del Tratamiento respecto de los datos personales que los usuarios incorporan, administran o gestionan dentro de la Plataforma para el desarrollo de sus propias actividades comerciales (incluyendo datos de sus clientes, compradores finales, prospectos o destinatarios). En estos casos, el usuario es el Responsable del Tratamiento y le corresponde determinar las finalidades, obtener las bases de legitimación necesarias e informar a sus titulares, mientras que DROPI se limita a tratar dichos datos conforme a las instrucciones del usuario y a las finalidades técnicas y operativas habilitadas por la Plataforma. Las condiciones de este encargo podrán formalizarse mediante el correspondiente acuerdo de tratamiento de datos.

La utilización de las herramientas tecnológicas de DROPI por parte de los usuarios no implica la transferencia a DROPI de la titularidad jurídica o económica de las operaciones comerciales realizadas por dichos usuarios, ni de las obligaciones legales, tributarias, comerciales, regulatorias o de protección al consumidor derivadas de las mismas.

↑ Volver arriba

DROPI trata los datos personales con sujeción a los principios reconocidos por la LOPDP, en particular:

• Juridicidad: el tratamiento se sustenta en una base de legitimación válida.
• Lealtad y transparencia: el tratamiento se realiza de forma lícita, leal e informada.
• Finalidad: los datos se tratan para finalidades determinadas, explícitas y legítimas.
• Pertinencia y minimización: se tratan únicamente los datos adecuados, pertinentes y limitados a lo necesario.
• Proporcionalidad: el tratamiento es idóneo y proporcional respecto de la finalidad perseguida.
• Confidencialidad: los datos se protegen frente a accesos o usos no autorizados.
• Calidad y exactitud: se procura mantener los datos exactos y actualizados.
• Conservación limitada: los datos se conservan por el tiempo necesario conforme a la sección 16.
• Seguridad: se adoptan medidas técnicas y organizativas apropiadas al riesgo.
• Responsabilidad proactiva (accountability): DROPI adopta y documenta medidas para demostrar el cumplimiento de la normativa.

↑ Volver arriba

DROPI podrá tratar, entre otros, los siguientes datos: nombres y apellidos; número de identificación; RUC; razón social; dirección; correo electrónico; número telefónico; información contractual; información tributaria; información logística; datos de autenticación; direcciones IP; identificadores de dispositivos; cookies; registros de acceso; logs de actividad; información de soporte y atención de usuarios; e información necesaria para el funcionamiento de la Plataforma.

DROPI aplica el principio de minimización y trata únicamente los datos necesarios para las finalidades informadas.

↑ Volver arriba

DROPI no realiza, dentro de sus operaciones ordinarias, tratamiento de datos sensibles ni datos biométricos, ni reconocimiento facial. En caso de que, de forma excepcional, resulte necesario tratar categorías especiales de datos, dicho tratamiento se sujetará a las condiciones reforzadas y bases de legitimación específicas exigidas por la LOPDP y su Reglamento General, adoptando garantías adicionales de seguridad y confidencialidad.

↑ Volver arriba

Los datos personales tratados por DROPI como Responsable podrán ser utilizados para: administración de cuentas; prestación de servicios tecnológicos; gestión de usuarios; soporte técnico; coordinación logística; cumplimiento contractual; facturación; cumplimiento tributario; prevención de fraude; gestión de seguridad informática; auditorías internas; continuidad operacional; mejora de servicios; estadísticas internas; gestión de riesgos; atención de requerimientos de autoridades competentes; gestión de incidentes de seguridad; atención de solicitudes relacionadas con derechos de protección de datos; protección del ecosistema tecnológico; y verificación del cumplimiento de los Términos y Condiciones.

DROPI no tratará los datos para finalidades incompatibles con aquellas para las cuales fueron recopilados, salvo que exista una nueva base de legitimación que lo habilite.

↑ Volver arriba

DROPI tratará datos personales únicamente cuando exista al menos una base de legitimación válida conforme a la LOPDP, entre ellas:

• Consentimiento del titular, libre, específico, informado e inequívoco, para una o varias finalidades determinadas.
• Ejecución de una relación contractual o precontractual en la que el titular es parte.
• Cumplimiento de una obligación legal aplicable a DROPI.
• Cumplimiento de obligaciones regulatorias o atención de requerimientos de autoridades competentes.
• Interés legítimo de DROPI o de un tercero, previa ponderación que verifique que no prevalecen los derechos y libertades del titular, en particular para prevención de fraude, seguridad de la información y protección del ecosistema.
• Protección de intereses vitales del titular o de otra persona.
• Tratamiento de datos que el titular ha hecho manifiestamente públicos, cuando corresponda.

Cuando el tratamiento se sustente en una base distinta del consentimiento, el ejercicio de la revocatoria no afectará la licitud de dicho tratamiento.

↑ Volver arriba

Cuando la base de legitimación aplicable sea el consentimiento, este se recabará de forma libre, específica, informada e inequívoca, mediante una manifestación de voluntad o una acción afirmativa clara del titular.

El consentimiento para el tratamiento de datos personales se solicitará de manera diferenciada respecto de la aceptación de los Términos y Condiciones de uso de la Plataforma, de modo que el titular pueda otorgarlo o negarlo de forma independiente. No se condicionará la prestación del servicio al otorgamiento de consentimientos que no resulten necesarios para su ejecución.

El titular podrá revocar su consentimiento en cualquier momento, de forma tan sencilla como fue otorgado, a través de los canales habilitados en la sección 21, sin que ello afecte la licitud del tratamiento previo ni de aquellos tratamientos sustentados en una base de legitimación distinta del consentimiento.

↑ Volver arriba

Los usuarios son los únicos responsables de la administración, custodia, confidencialidad y uso de sus credenciales de acceso a la Plataforma.

La información de identificación, facturación, datos tributarios, nombres, razones sociales, números de identificación, RUC, direcciones y demás antecedentes incorporados a la Plataforma son ingresados directamente por los usuarios mediante sus credenciales de acceso. Debido a la naturaleza tecnológica y automatizada de la Plataforma, DROPI no valida previamente ni verifica individualmente la titularidad, exactitud o legitimidad de cada dato ingresado por los usuarios.

Cada usuario declara y garantiza que toda información incorporada a la Plataforma ha sido obtenida y utilizada conforme a la legislación aplicable y que cuenta con las autorizaciones, consentimientos o bases de legitimación necesarias para su tratamiento. Cuando un usuario incorpore datos personales de terceros, actuará como Responsable del Tratamiento respecto de dichos datos y asumirá las obligaciones que tal calidad conlleva, manteniendo indemne a DROPI conforme a la sección correspondiente de los Términos y Condiciones.

Toda actividad realizada mediante las credenciales de un usuario se presumirá efectuada por dicho usuario, salvo evidencia técnica objetiva que demuestre una vulneración de seguridad atribuible directamente a DROPI.

↑ Volver arriba

Los servicios de DROPI no están dirigidos a menores de edad. En caso de que resulte necesario tratar datos personales de niñas, niños o adolescentes, dicho tratamiento se realizará conforme a la LOPDP y demás normativa ecuatoriana aplicable, atendiendo al interés superior del menor y con la intervención de quien ejerza la representación legal correspondiente cuando ello resulte exigible.

↑ Volver arriba

DROPI podrá utilizar cookies, registros de actividad, tecnologías analíticas y herramientas similares con la finalidad de garantizar el funcionamiento de la Plataforma, mantener sesiones activas, mejorar la experiencia de usuario, obtener estadísticas de uso, detectar incidentes de seguridad y prevenir actividades fraudulentas.

Cuando la utilización de cookies no estrictamente necesarias requiera consentimiento, este se recabará a través de los mecanismos habilitados al efecto. Los usuarios podrán, además, configurar sus navegadores para limitar o bloquear determinadas cookies.

↑ Volver arriba

DROPI podrá comunicar o poner a disposición datos personales a: proveedores tecnológicos; servicios cloud; operadores logísticos; empresas de mensajería; proveedores de autenticación; proveedores de servicios de pago; proveedores de soporte; auditores externos; asesores profesionales; empresas relacionadas; y autoridades competentes cuando exista obligación legal o requerimiento legítimo.

Cuando dichos terceros traten datos personales por cuenta de DROPI, lo harán en calidad de Encargados del Tratamiento, sujetos a instrucciones documentadas y a obligaciones contractuales de confidencialidad y seguridad, mediante los correspondientes acuerdos de tratamiento de datos que exijan garantías adecuadas conforme a la LOPDP y su Reglamento General.

↑ Volver arriba

Debido a la naturaleza global de los servicios tecnológicos utilizados por DROPI, determinados datos personales podrán ser almacenados, procesados o respaldados fuera del territorio ecuatoriano, incluyendo el tratamiento por proveedores de infraestructura cloud, soporte, seguridad y por sociedades relacionadas del grupo.

Toda transferencia o comunicación internacional de datos personales se realizará conforme a la LOPDP, sobre la base de alguno de los siguientes supuestos: (i) que el país u organización de destino ofrezca un nivel adecuado de protección; (ii) que existan garantías apropiadas, tales como cláusulas contractuales tipo, normas corporativas vinculantes u otros instrumentos jurídicamente exigibles reconocidos por la normativa; o (iii) que resulte aplicable alguna de las excepciones legalmente previstas. DROPI mantendrá documentación que acredite la base de la transferencia.

↑ Volver arriba

Los datos personales serán conservados durante el tiempo necesario para cumplir las finalidades para las cuales fueron recopilados y durante los plazos exigidos por obligaciones legales, regulatorias, contractuales, tributarias, de auditoría, seguridad, prevención de fraude o defensa jurídica.

DROPI mantiene criterios internos de conservación, bloqueo, anonimización o supresión de información. Finalizados los plazos aplicables, los datos serán eliminados, anonimizados o bloqueados, salvo que subsista una obligación legal o un interés legítimo que justifique su conservación restringida, en particular para la atención de reclamaciones, investigaciones, auditorías, procedimientos administrativos o judiciales, o requerimientos de autoridades competentes.

↑ Volver arriba

DROPI implementa medidas técnicas, administrativas y organizativas apropiadas al nivel de riesgo, destinadas a proteger los datos personales contra acceso no autorizado, pérdida, alteración, destrucción, divulgación indebida o tratamiento ilícito. Estas medidas podrán incluir controles de acceso, autenticación multifactor, cifrado, monitoreo, trazabilidad, respaldo de información, gestión de incidentes, acuerdos de confidencialidad y controles de seguridad informática.

DROPI podrá generar y conservar registros técnicos, eventos de trazabilidad, evidencias electrónicas, registros de autenticación, direcciones IP, logs de actividad y respaldos razonablemente necesarios para la operación de la Plataforma, la prevención de fraude, la gestión de incidentes, la protección del ecosistema, el cumplimiento normativo y la defensa jurídica de la Compañía, de sus usuarios y de terceros.

Considerando la naturaleza de Internet y de los sistemas tecnológicos, DROPI no puede garantizar la inexistencia absoluta de incidentes, sin perjuicio de implementar medidas razonables y proporcionales para reducir los riesgos existentes.

↑ Volver arriba

DROPI mantiene procedimientos para identificar, gestionar, contener, investigar, mitigar y documentar las vulneraciones de seguridad que puedan afectar datos personales.

Cuando una vulneración de seguridad de datos personales conlleve riesgo para los derechos y libertades de los titulares, DROPI la notificará a la Superintendencia de Protección de Datos Personales y, cuando corresponda, a los titulares afectados, en los términos, plazos, contenido y condiciones establecidos en la LOPDP y su Reglamento General.

↑ Volver arriba

DROPI no adopta decisiones que produzcan efectos jurídicos sobre los titulares, o que los afecten significativamente de modo similar, basadas exclusivamente en tratamientos automatizados sin intervención humana significativa. Los procesos automatizados de validación, prevención de fraude o gestión de riesgos que puedan derivar en medidas relevantes contemplan mecanismos de intervención humana y de revisión, conforme a la normativa aplicable.

↑ Volver arriba

Los titulares podrán ejercer, conforme a la LOPDP, los siguientes derechos:

• Acceso;
• Rectificación y actualización;
• Eliminación o supresión;
• Oposición;
• Suspensión del tratamiento;
• Portabilidad, cuando legalmente proceda;
• Revocatoria del consentimiento, cuando esta sea la base aplicable;
• Derecho a no ser objeto de decisiones automatizadas que produzcan efectos jurídicos o significativos, en los términos de la sección 19;
• Derecho a la información sobre el tratamiento; y
• Derecho a presentar reclamación ante la autoridad de control.

↑ Volver arriba

Los titulares podrán ejercer sus derechos mediante solicitud dirigida al correo electrónico atencion.ciudadano@dropi.com.ec, dirigida al Delegado de Protección de Datos Personales.

La solicitud deberá contener información suficiente para verificar la identidad del titular o de su representante legal y para permitir la adecuada gestión del requerimiento. DROPI podrá solicitar información adicional razonable a efectos de verificación.

DROPI atenderá las solicitudes dentro de los plazos previstos por la LOPDP y su Reglamento General. Cuando, por la complejidad o el número de solicitudes, no resulte posible atender el requerimiento dentro del plazo, DROPI informará al titular la prórroga que corresponda conforme a la normativa.

↑ Volver arriba

Sin perjuicio de los canales internos de atención, los titulares podrán presentar reclamaciones ante la Superintendencia de Protección de Datos Personales del Ecuador cuando consideren que sus derechos han sido vulnerados.

↑ Volver arriba

DROPI adopta medidas jurídicas, organizativas, técnicas y documentales destinadas a promover y demostrar el cumplimiento de la normativa de protección de datos personales. Estas medidas podrán incluir políticas y protocolos internos, registro de actividades de tratamiento, evaluaciones de impacto cuando resulten exigibles, procedimientos de seguridad y de gestión de incidentes, control de encargados, criterios de conservación, capacitación, gestión de riesgos y mecanismos de supervisión.

La presente Política forma parte del sistema corporativo de privacidad, protección de datos personales y seguridad de la información de DROPI.

↑ Volver arriba

DROPI podrá modificar la presente Política cuando existan cambios regulatorios, tecnológicos, operativos o comerciales que así lo requieran. La versión vigente será aquella publicada en el sitio web oficial de DROPI. Cuando las modificaciones sean sustanciales, DROPI procurará informarlas a través de los canales habilitados.

↑ Volver arriba

La presente Política se regirá por las leyes de la República del Ecuador, especialmente por la Ley Orgánica de Protección de Datos Personales, su Reglamento General y demás normativa aplicable.

DROPI S.A.S. – Ecuador. Todos los derechos reservados.

↑ Volver arriba