Política de Protección de Datos Personales de LEXIS

1. Introducción y Alcance

La presente Política Interna de Protección de Datos Personales (en adelante, la “Política”) establece los lineamientos, principios y procedimientos que guían el tratamiento de datos personales realizado por LEXIS S.A; su objetivo es garantizar que el tratamiento de la información de clientes, colaboradores, proveedores y demás titulares se realice en estricto cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP), asegurando su licitud, confidencialidad, integridad y disponibilidad.

Los titulares podrán revisar esta Política en cualquier momento a través de los canales oficiales de LEXIS. Asimismo, se reconoce y acepta que LEXIS tiene la facultad de actualizar o modificar la Política en función de cambios legales, regulatorios o de cumplimiento. Dichas modificaciones serán publicadas en el portal web oficial de la empresa y, en caso de que afecten de manera sustancial los derechos de los titulares, se solicitará nuevamente su consentimiento expreso mediante la aceptación de la versión actualizada de la Política.

2. Definiciones

• Dato Personal: Información que identifica o hace identificable a una persona natural.

• Dato Sensible: Información cuya utilización indebida pueda afectar la intimidad o generar discriminación (salud, orientación sexual, origen étnico, creencias religiosas, ideología, etc.).

• Titular: Persona natural cuyos datos personales son tratados.

• Responsable del Tratamiento: LEXIS S.A., quien determina la finalidad y medios del tratamiento.

• Encargado del Tratamiento: Persona natural o jurídica que trata datos por cuenta de LEXIS.

• Derechos ARCO+P: Acceso, Rectificación, Cancelación, Oposición, Portabilidad y otros reconocidos por la LOPDP.

3. Categorías de Datos que Recolectamos

LEXIS no recolecta datos sensibles, únicamente datos personales generales, estrictamente necesarios para la prestación de servicios y cumplimiento legal:

• Datos de Identificación: nombres y apellidos, número de cédula/RUC

• Datos de Contacto: correo electrónico, número de teléfono, dirección física.

• Datos Contractuales y Transaccionales: información de suscripción, facturación, medios de pago, historial de transacciones.

• Datos de Acceso y Uso: credenciales de ingreso a plataformas, registros de actividad y trazabilidad.

4. Finalidad del Tratamiento

Los datos son recolectados y tratados para:

• Gestión contractual: registro de clientes, validación de identidad, generación de contratos y facturación.

• Prestación de servicios: habilitar acceso a plataformas y contenidos digitales, soporte técnico y gestión de incidencias.

• Comunicaciones comerciales: envío de actualizaciones, novedades legislativas y jurisprudenciales, promociones y eventos (con opción de exclusión).

• Cumplimiento legal: obligaciones tributarias, regulatorias y de conservación documental.

• Prevención de fraudes y control interno: verificación de accesos, auditorías de trazabilidad y seguridad de la información.

5. Sujetos Obligados y Responsabilidades Internas

• Responsable del Tratamiento (LEXIS S.A.): determina la finalidad y los medios del tratamiento de datos personales.

• Encargados del Tratamiento: terceros contratados que procesan datos por cuenta de LEXIS, bajo contratos con cláusulas de confidencialidad y seguridad.

• Colaboradores: todo el personal de LEXIS con acceso a datos está obligado a cumplir estrictamente esta Política y a firmar acuerdos de confidencialidad.

• Proveedores: deben cumplir con los mismos estándares de protección de datos que LEXIS, contar con certificaciones de seguridad de la información y permitir auditorías de cumplimiento cuando se requiera.

6. Tiempo de Conservación de los Datos

LEXIS conserva los datos personales únicamente durante el tiempo necesario para cumplir la finalidad para la que fueron recolectados y durante el plazo exigido por obligaciones legales, regulatorias o contractuales. Cumplido el plazo, los datos son eliminados o anonimizados de forma segura, aplicando procedimientos de borrado definitivo en todas las bases activas y respaldos.

Los plazos específicos son:

• Sector Público: los datos se conservan por un período de siete (7) años, en cumplimiento de las exigencias normativas ecuatorianas relacionadas con auditorías y control en instituciones estatales, así como para garantizar trazabilidad de los servicios contratados.

• Sector Privado: la información es eliminada cinco (5) años después de que la cuenta haya sido calificada como inactiva, salvo que el propio usuario solicite su eliminación antes de ese plazo.

Adicionalmente, ciertos registros vinculados a auditorías y evaluaciones internas o externas de cumplimiento podrán conservarse por un período mínimo de siete años, de acuerdo con las políticas de control de LEXIS y en línea con las mejores prácticas internacionales.

7. Derechos de los Titulares (ARCO+P)

De conformidad con la Ley Orgánica de Protección de Datos Personales (LOPDP), LEXIS garantiza a los titulares el pleno ejercicio de los siguientes derechos, conocidos como derechos ARCO+P:

1. Acceso: El titular tiene derecho a conocer, obtener y solicitar información sobre si sus datos personales están siendo tratados, acceder a ellos y obtener detalles sobre el origen, la finalidad y los usos que se les están dando.

2. Rectificación y Actualización: El titular puede solicitar que se modifiquen o actualicen sus datos personales cuando estos sean inexactos, incompletos o hayan cambiado.

3. Eliminación (Supresión u Olvido): El titular puede solicitar la eliminación de sus datos personales cuando ya no sean necesarios para las finalidades que motivaron su tratamiento, cuando haya retirado su consentimiento o cuando el tratamiento sea ilícito.

4. Suspensión (Limitación del Tratamiento): El titular puede pedir el cese temporal del tratamiento de sus datos en los siguientes casos:

   1. Cuando impugne la exactitud de sus datos, mientras el responsable verifica dicha exactitud.

   2. Cuando el tratamiento sea ilícito y, en lugar de la eliminación, el titular solicite la limitación de su uso.

   3. Cuando el responsable ya no necesite tratar los datos, pero el titular los requiera para la formulación, el ejercicio o la defensa de reclamaciones.

5. Oposición: El titular puede negarse al tratamiento de sus datos personales, en los siguientes casos:

   1. Cuando no se afecten derechos y libertades fundamentales de terceros y la ley lo permita. 

   2. Frente al uso de sus datos con fines de mercadotecnia directa, incluyendo la elaboración de perfiles.

   3. Cuando exista un interés legítimo del responsable, pero el titular justifique una situación concreta que respalde su oposición, siempre que la ley no disponga lo contrario.

6. Portabilidad: El titular tiene derecho a recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin impedimento.

7. No ser objeto de decisiones basadas únicamente en valoraciones automatizadas: El titular puede oponerse, pedir explicaciones y solicitar revisión humana de decisiones que se adopten de manera exclusiva mediante tratamiento automatizado de sus datos, incluidas decisiones de perfilamiento, cuando estas afecten significativamente sus intereses.

8. Ser Notificado: El titular debe ser informado de manera clara y oportuna en caso de que ocurra una violación de seguridad que implique un alto riesgo para sus derechos y libertades.
   Los titulares podrán ejercer cualquiera de estos derechos a través del formulario oficial en línea disponible en el portal de LEXIS: Formulario de Derechos ARCO+P, o escribiendo directamente al correo atencionclientes@lexis.com.ec.

    

8. Seguridad y Transferencia de Datos

LEXIS administra los datos personales bajo un Programa Integral de Seguridad de la Información, que aplica medidas técnicas, organizativas y jurídicas para garantizar la confidencialidad, integridad y disponibilidad de la información.

1. Gestión de Datos: Los datos recolectados se centralizan en sistemas internos y bases de datos que permiten la trazabilidad de accesos, registros de auditoría y control por perfiles de usuario. Solo se almacenan los datos estrictamente necesarios, conforme a los principios de minimización y proporcionalidad. La gestión se realiza bajo controles de roles diferenciados, evitando accesos no autorizados.

2. Almacenamiento de Datos: Los datos personales se alojan en infraestructuras seguras, con redundancia y copias de respaldo periódicas. Los respaldos se almacenan de forma cifrada y se someten a procesos de revisión mensual para garantizar su disponibilidad y exactitud. La información de autenticación de usuarios (ej. credenciales) se administra mediante un sistema propio de control de identidad (LAAS), con medidas reforzadas de seguridad y trazabilidad.

3. Medidas de Seguridad Implementadas:

   1. Controles de acceso: basados en el principio de menor privilegio y autenticación multifactor obligatoria.

   2. Cifrado de datos: protección durante transmisión y almacenamiento.

   3. Segmentación de redes y firewalls: aislamiento de bases de datos en entornos privados virtuales (VPC) y reglas específicas de tráfico.

   4. Monitoreo y auditoría: registros de accesos y actividades en sistemas internos, pruebas de penetración e informes de auditorías externas periódicas.

   5. Continuidad del negocio: planes de recuperación ante desastres y redundancia tecnológica.

4. Eliminación segura de medios: borrado definitivo o destrucción física de dispositivos que almacenen datos sensibles.

5. Acceso Restringido: Actualmente, solo personal autorizado y específicamente designado en las áreas Comercial, Financiera y de Tecnología puede acceder a la información, bajo credenciales individuales e intransferibles y con políticas de reseteo periódico de contraseñas.

6. Evaluaciones y Auditorías: LEXIS realiza auditorías internas semestrales y externas anuales sobre sus sistemas de tratamiento de datos, incluyendo trazabilidad de accesos y medidas de seguridad. Se aplican pruebas de “hacking ético” al menos una vez al año para detectar vulnerabilidades y reforzar los controles.

9. Información de Contacto

Para consultas, solicitudes o ejercicio de derechos, los titulares pueden contactarnos en: atencionclientes@lexis.com.ec

10. Actualizaciones y Modificaciones a la Política

La presente Política será revisada periódicamente y adaptada en función de: 

• Cambios en la legislación o normativa vigente.

• Resoluciones emitidas por la Superintendencia de Protección de Datos Personales (SPDP).

• Necesidades internas de mejora continua.

LEXIS publicará cualquier actualización en su sitio web y notificará oportunamente a los titulares cuando corresponda.