POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES - Medikaluah

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

MEDIKALUAH SERVICIOS MÉDICOS Y ESTÉTICA AVANZADA S.A.S. es una Compañia legalmente constituida en el Ecuador, cuyo principal objetivo es brindar servicios de salud de forma integral, especialmente en el ámbito de la medicina estética y áreas relacionadas. Presta servicios en diversas ramas de la medicina y la estética, siempre regida por principios de la mas alta confidencialidad, calidad, seguridad y eficiencia en la atención a sus Clientes.

Con motivo de la promulgación de la Ley Orgánica de Protección de Datos Personales en el Ecuador, la Compañía, en procura de cumplir con las disposiciones de dicho cuerpo normativo, ha visto la necesidad de implementar un conjunto de componentes técnicos  que regulen los diversos procedimientos y políticas relativas a protección de datos personales interno, debido a lo cual promulga el presente instrumento.

CAPÍTULO I

GENERALIDADES

1.1. Objeto

La presente Política de Protección de Datos Personales tiene como objeto establecer los principios, directrices y procedimientos para el adecuado uso y tratamiento de los datos personales que son usados y tratados por MEDIKALUAH SERVICIOS MÉDICOS Y ESTÉTICA AVANZADA S.A.S., en adelante la “Compañía”, en cumplimiento de la Ley Orgánica de Protección de Datos Personales (en adelante LOPDP), su Reglamento General y demás normativa conexa aplicable en nuestro país.

1.2. Ámbito de Aplicación

Esta política es de aplicación obligatoria para todo el personal de la Compañía, incluyendo directivos, empleados, personal administrativo, personal médico, cosmiatras, contratistas, proveedores y cualquier otra persona que, en el ejercicio de sus funciones o en virtud de una relación contractual de cualquier naturaleza, tenga acceso o realice uso o tratamiento de datos personales en nombre y por cuenta de la Compañía.

Esta política es aplicable a todos los datos personales, incluidos los datos sensibles, recolectados en cualquier formato (físico o digital), en el desarrollo de las actividades propias de la prestación del servicio.

1.3. Compromiso

La Compañía se compromete a implementar políticas, sistemas, controles internos, etc., con la finalidad de garantizar la protección de los datos personales de sus pacientes, colaboradores, proveedores y cualquier otro titular de datos, respetando su privacidad y sus derechos fundamentales, conforme a la Constitución de la República del Ecuador y la normativa vigente aplicable en este ámbito.

CAPÍTULO II

DEFINICIONES

Para los efectos de la presente política, y de conformidad con la Ley Orgánica de Protección de Datos Personales y su Reglamento General, se entenderá por:

  • Dato Personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
  • Datos Sensibles: Datos relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
  • Datos de Salud: Datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención de salud, que revelen información sobre su estado de salud. Esto incluye información pasada, presente o futura.
  • Titular: Persona natural cuyos datos son objeto de tratamiento.
  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, autoridad pública u otro organismo, que sola o junto con otros decide sobre la finalidad y el tratamiento de los datos personales. Para el caso de esta política, el responsable del tratamiento es la Compañía.
  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, autoridad pública u otro organismo que, solo o conjuntamente con otros, trate datos personales en nombre y por cuenta de un responsable de tratamiento de datos personales.
  • Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
  • Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por la que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.
  • Vulneración de la Seguridad de los Datos Personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.
  • Anonimización: Aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.
  • Pseudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Sin perjuicio de las definiciones aquí plasmadas, serán aplicables todas aquellas constantes en la LOPDP, su Reglamento General y cualquier normativa conexa vigente.

CAPÍTULO III

PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

La Compañía aplicará y garantizará el cumplimiento de los siguientes principios en todo tratamiento de datos personales:

  • Principio de Juridicidad: Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidos en la Constitución, los instrumentos internacionales, la LOPDP, su Reglamento y la demás normativa y jurisprudencia aplicable.
  • Principio de Lealtad: El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.
  • Principio de Transparencia: El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender, utilizándose un lenguaje sencillo y claro.
  • Principio de Finalidad: Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular. No podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la LOPDP.
  • Principio de Pertinencia y Minimización: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
  • Principio de Proporcionalidad: El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma de las categorías especiales de datos.
  • Principio de Calidad y Exactitud: Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para suprimir o rectificar sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
  • Principio de Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la LOPDP.
  • Principio de Conservación: Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento, salvo las obligaciones legales de conservación ampliada.
  • Principio de Seguridad de los Datos Personales: Los responsables y encargados de tratamiento deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza o vulnerabilidad, atendiendo a la naturaleza de los datos personales, al ámbito y al contexto.
  • Principio de Responsabilidad Proactiva: El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la LOPDP, pudiendo valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales u otros mecanismos adecuados.
  • Principio de Aplicación Favorable al Titular: En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.

Los principios antes referidos se aplicarán sin perjuicio de otros principios constantes en la LOPDP, su reglamento y demás normativa pertinente vigente.

CAPÍTULO IV

CONSERVACIÓN DE DATOS PERSONALES

4.1. Plazos de Conservación

Los datos personales serán conservados por la Compañía durante el tiempo necesario para cumplir con las finalidades para las cuales fueron recolectados, usados y tratados, debiendo considerar la obligación legal de conservación ampliada, sin perjuicio de que, previa solicitud del titular y aprobación del ente rector, se realice la anonimización o pseudonimización de los datos del titular, cuando ello sea procedente.

4.2. Conservación de Historias Clínicas

De manera específica, y atendiendo a la normativa de salud y de protección de datos en Ecuador, las historias clínicas y la información de salud contenida en ellas serán conservadas hasta por un período de quince (15) años contados a partir de la fecha de la última atención brindada al paciente. Este plazo puede ser ampliado si existe una obligación legal adicional, una finalidad de archivo de interés público, histórico o científico, o para el ejercicio o la defensa de reclamaciones.

4.3. Disposición Final de los Datos

Una vez cumplido el plazo de conservación y siempre que no exista una obligación legal o interés legítimo que justifique una conservación mayor, los datos personales serán suprimidos, bloqueados o anonimizados de forma segura, garantizando que no puedan ser recuperados o asociados a un titular identificado o identificable.

CAPÍTULO V

DERECHOS DEL TITULAR DE LOS DATOS PERSONALES

El titular de los datos personales, en virtud de la LOPDP, tiene los siguientes derechos, que la Compañía garantizará y facilitará en su ejercicio, sin perjuicio de que pudieren existir otros derechos aplicables:

  • Derecho de Acceso: Obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, acceder a sus datos personales y a la información relativa al tratamiento (finalidades, categorías de datos, destinatarios, plazo de conservación, etc.).
  • Derecho de Rectificación y Actualización: Obtener la rectificación y actualización de los datos personales inexactos o incompletos que le conciernan.
  • Derecho de Eliminación (Supresión): Obtener la eliminación de sus datos personales cuando ya no sean necesarios para la finalidad para la que fueron recogidos, haya retirado su consentimiento, o el tratamiento sea ilícito, entre otros supuestos. Este derecho está sujeto a las excepciones previstas en la ley, especialmente respecto de datos de salud y obligaciones legales de conservación.
  • Derecho de Oposición: Oponerse al tratamiento de sus datos personales en determinadas circunstancias, considerando que la oposición al tratamiento de ciertos datos podría incidir en la adecuada prestación del servicio de salud.
  • Derecho a la Portabilidad: Recibir los datos personales que le incumben, que haya facilitado a la Compañía, en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados, en los casos previstos en la LOPDP.

5.1. Procedimiento para el Ejercicio de Derechos

Los titulares podrán ejercer sus derechos mediante una solicitud escrita dirigida a la Compañía, mediante el formulario preestablecido que esta tenga para el efecto. Este requerimiento será presentado a través de los canales habilitados por la Compañía:

  • De forma electrónica a través de formulario de portal web
  • Mediante la entrega física del formulario en las instalaciones de la Compañía.

Estos derechos pueden ser ejercidos exclusivamente por el titular de los datos personales o por su representante, previa verificación de la documentación que acredite la facultad legal para el ejercicio de estos derechos en representación de una tercera persona.

Los mecanismos adecuados de acreditación incluyen, entre otros:

  • Verificación de filiación mediante cédula de ciudadanía (por ejemplo, en casos de menores de edad), y/o
  • Escrituras públicas de poder general o especial en las que se otorgue expresamente dicha facultad.

De forma excepcional, y previo análisis del caso concreto, se podrá aceptar una carta poder simple para el ejercicio de estos derechos, cuando ello resulte razonable y proporcione las garantías suficientes.

Una vez presentada la solicitud, esta será remitida al Responsable o Delegado de Protección de Datos Personales designado por la Compañía, quien, previo análisis, deberá atender la solicitud en un plazo no mayor a quince (15) días, aceptándola o negándola de forma motivada, indicando las razones legales que respalden la decisión.

CAPÍTULO VI

TRATAMIENTO DE DATOS PERSONALES

6.1. Datos Obtenidos y Finalidad Específica de la Recolección

La Compañía recolecta, usa y trata datos personales de diversas categorías, siendo finalidad específica de la recolección y tratamiento la prestación de servicios integrales de salud y medicina estética, así como servicios complementarios. A continuación, se detallan algunas categorías y finalidades, de manera ejemplificativa:

  • Datos de Identificación: Nombres, apellidos, cédula/pasaporte, fecha de nacimiento, nacionalidad, estado civil, dirección, teléfono, correo electrónico, etc.
    Finalidad: Identificación del paciente, creación y gestión de la historia clínica, comunicación para citas, envío de resultados, emergencias, facturación, cumplimiento de obligaciones legales, entre otras.
  • Datos de Contacto de Emergencia: Nombres, apellidos, relación y teléfono de contacto.
    Finalidad: Notificación a familiares o contactos designados en situaciones de emergencia o necesidad de información urgente.
  • Datos de Salud (Datos Sensibles): Antecedentes médicos, historial clínico, diagnósticos, tratamientos, exámenes, medicación, alergias, enfermedades preexistentes, hábitos de vida, información biométrica o genética cuando aplique.
    Finalidad: Prestación adecuada de servicios de atención médica y estética, diagnóstico, tratamiento, seguimiento, gestión de la historia clínica, facturación de servicios, cumplimiento de obligaciones legales en materia de salud.
  • Datos Financieros/Económicos: Información de seguros médicos, datos bancarios para pagos o reembolsos.
    Finalidad: Gestión de pagos, facturación a seguros, reembolsos, cumplimiento de obligaciones tributarias.
  • Datos de Facturación: RUC, razón social, dirección fiscal.
    Finalidad: Emisión de comprobantes de venta y cumplimiento de obligaciones tributarias.
  • Datos de Imagen/Video: Grabaciones de cámaras de seguridad en áreas comunes.
    Finalidad: Seguridad de las instalaciones, del personal y de los pacientes, prevención de delitos.
  • Registro fotográfico de antes y después: toma de fotografías y archivo.
    Finalidad:     Llevar un control de evolución de los tratamientos de los pacientes
  • Datos Laborales (para personal de la Compañía): Información de identificación, historial laboral, datos de contacto, información bancaria, datos de salud para exámenes ocupacionales.
    Finalidad: Gestión de la relación laboral, cumplimiento de obligaciones en materia laboral y de seguridad social, entre otras.

Todas las categorías y finalidades se señalan a manera de ejemplificación.

6.2. Medios para Recabar los Datos

La Compañía puede recabar datos personales a través de:

  • Provistos por el titular: Formularios de ingreso, historias clínicas, entrevistas médicas, consultas, consentimientos informados y otros medios de contacto.
  • Provistos por terceros autorizados: Representantes legales de menores o personas incapaces, u otros autorizados.
  • Sistemas automatizados: Cámaras de videovigilancia en áreas comunes.
  • Sitio web / Plataformas digitales: Formularios de contacto, agendamiento de citas en línea u otros formularios electrónicos.

CAPÍTULO VII

CONSENTIMIENTO Y REVOCATORIA

7.1. Requisitos del Consentimiento

El tratamiento de datos personales por parte de la Compañía se realizará, de forma general y en la medida de lo posible, mediante el consentimiento libre, específico, informado e inequívoco del titular, sin perjuicio de los supuestos de tratamiento legítimo sin consentimiento previstos en la LOPDP, especialmente en el ámbito de la salud.

7.2. Revocatoria del Consentimiento

El titular tiene derecho a revocar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento previo. Para revocar el consentimiento, el titular deberá presentar la solicitud correspondiente a la Compañía, a través de los canales establecidos en el Capítulo V.

La revocatoria no implicará la eliminación de los datos cuyo tratamiento sea necesario para el cumplimiento de obligaciones legales o para la formulación, ejercicio o defensa de reclamaciones, conforme la LOPDP.

CAPÍTULO VIII

TRATAMIENTO DE DATOS SENSIBLES

La Compañía trata de manera recurrente datos personales sensibles, especialmente datos clínicos de pacientes, datos de menores de edad y datos de personas con discapacidad, debido a los servicios que brinda.

Por ello, la Compañía:

  • Trata dichos datos considerando en todo momento el consentimiento explícito del titular o su representante, para una o varias finalidades específicas, salvo en los casos de excepción previstos en la LOPDP (por ejemplo, situaciones de grave riesgo para la vida o integridad del paciente).
  • Implementa medidas de seguridad reforzadas para la protección de estos datos, dada su especial naturaleza.
  • Conserva la información de historias clínicas por los plazos legales ampliados, aún cuando se haya cumplido la finalidad para la cual fueron recabados los datos.
  • Implementará, una vez emitida y vigente la normativa técnica correspondiente, procesos de anonimización y/o pseudonimización de datos, cuando concurran las condiciones legales y previa autorización de la Autoridad correspondiente.

CAPÍTULO IX

TRANSFERENCIA Y COMUNICACIÓN DE DATOS A TERCEROS

9.1. Transferencia y Comunicación Nacional de Datos

La Compañía podrá comunicar o transferir datos personales a terceros dentro del territorio ecuatoriano en distintos casos, por ejemplo:

  • Requerimiento del Titular o su Representante: Envío de copias de historias clínicas u otros documentos a médicos tratantes, previa autorización del titular y suscripción de los descargos correspondientes.
  • Cumplimiento de Obligación Legal: Presentación de historias clínicas u otros documentos a requerimiento de autoridad judicial, sanitaria u otra autoridad competente.
  • Prestación de Servicios Conexos: Envío de datos a laboratorios, centros de diagnóstico por imagen, proveedores de servicios complementarios necesarios para la atención y prestación del servicio.
  • Interés Público o Intereses Vitales: Comunicación a autoridades de salud u otras instituciones cuando así lo exija la normativa de salud pública, o cuando sea necesario para proteger la vida o integridad del titular.

La Compañía realizará antes de cualquier comunicación o transferencia una valoración individual y circunstancial de cada caso, determinando la necesidad y proporcionalidad de la transferencia, así como el mecanismo idóneo para garantizar cumplimiento de la LOPDP.

9.2. Transferencia y Comunicación Internacional de Datos

Podrán darse supuestos de transferencia internacional de datos personales, por ejemplo, para el análisis especializado de pruebas o exámenes en centros ubicados en otros países, o para el uso de plataformas tecnológicas que alojen información en el exterior.

En estos casos, la Compañía observará, entre otros:

  • Transferencia preferente a países con nivel de protección adecuado, según lo disponga la Autoridad.
  • Implementación de garantías adecuadas cuando se transfieran datos a países sin nivel adecuado declarado, tales como cláusulas contractuales, acuerdos de protección de datos, etc.
  • Obtención de consentimiento explícito del titular o su representante cuando la LOPDP así lo exija, previa información sobre los riesgos de la transferencia.

CAPÍTULO X

ACCESO A TERCEROS

Cuando terceros (por ejemplo, proveedores de servicios informáticos, mantenimiento de sistemas, plataformas de agenda o historias clínicas) requieran acceso a datos personales de la Compañía, dicho acceso:

  • No será indiscriminado,
  • Se limitará a lo estrictamente necesario para la prestación del servicio,
  • Estará regulado mediante instrumentos legales específicos (acuerdos de encargo de tratamiento, cláusulas contractuales de confidencialidad y seguridad, etc.), exigiéndose el cumplimiento irrestricto de la LOPDP.

CAPÍTULO XI

RESPONSABILIDAD PROACTIVA

La Compañía asume el cumplimiento del principio de responsabilidad proactiva, lo que implica adoptar un enfoque preventivo en la protección de datos personales:

  • Implementación de Medidas Técnicas y Organizativas: Diseñadas a la realidad de MEDIKALUAH, incluyendo políticas de orden administrativas y técnicas y procedimientos internos, manuales, controles de acceso, cifrado, uso de autenticación multifactor, entre otros.
  • Evaluaciones de Impacto: Cuando el tratamiento de datos personales, especialmente de datos sensibles, entrañe alto riesgo para los derechos de los titulares, se realizarán evaluaciones de impacto relativas a la protección de datos.
  • Capacitación Constante: Al personal de la Compañía en materia de protección de datos personales.
  • Auditorías y Revisiones Periódicas: Internas y, cuando aplique, externas, para verificar la eficacia y actualización de las políticas y procedimientos.

CAPÍTULO XII

ACTUACIÓN EN CASO DE VULNERACIONES DE SEGURIDAD DE DATOS PERSONALES

12.1. Definición de Vulneración

Se considera vulneración de la seguridad de los datos personales toda violación de la seguridad que ocasione la destrucción, pérdida total o parcial, alteración accidental o ilícita de datos personales a cargo de la Compañía, o la comunicación o acceso no autorizados a dichos datos.

12.2. Procedimiento de Actuación

En caso de detectarse una vulneración, la Compañía:

  • Detectará y Contendrá el incidente a la brevedad posible.
  • Investigará la causa, el tipo de datos afectados, número de titulares involucrados y posibles consecuencias.
  • Notificará a la Autoridad de Protección de Datos Personales dentro del plazo legal aplicable, cuando la vulneración pueda implicar un riesgo para los derechos y libertades de las personas.
  • Comunicará a los Titulares afectados cuando la vulneración entrañe un alto riesgo, salvo que exista una causa de exoneración prevista en la LOPDP.
  • Adoptará Medidas Correctivas y Preventivas para evitar la repetición del incidente.

CAPÍTULO XIII

REVISIÓN Y ACTUALIZACIÓN DE LA POLÍTICA

Esta Política de Protección de Datos Personales será revisada periódicamente y actualizada según sea necesario para asegurar su adecuación a los cambios normativos, directrices de la Autoridad de Protección de Datos Personales, avances tecnológicos y operaciones internas de la Compañía.

Suscrito,

KARLA LUCIA ABRIL HINOJOSA
PRESIDENTA

MARCELO JOSE TORAL ROURA
GERENTE GENERAL

MEDIKALUAH SERVICIOS MÉDICOS Y ESTÉTICA AVANZADA S.A.S