Política de Privacidad
AVISO DE PRIVACIDAD - SALUD
1. INTRODUCCIÓN Jurado Patiño Roberto Eduardo, RUC: 0914688924001 (en adelante, "el Responsable"), informa a los titulares de datos personales sobre las prácticas de tratamiento de datos personales y datos sensibles relacionados con la salud. El presente Aviso de Privacidad describe las finalidades, bases legales, destinatarios, medidas de seguridad y derechos que asisten a los titulares conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP) de la República del Ecuador. El Responsable se compromete a tratar la información con confidencialidad y a adoptar las medidas técnicas y organizativas razonables para protegerla frente a accesos no autorizados, pérdida, alteración o divulgación. La lectura de este Aviso es condición previa al suministro de datos sensibles relacionados con la salud; el tratamiento de dichos datos se sustenta en el consentimiento expreso del titular tal como se detalla en este documento.
2. FINES DEL TRATAMIENTO Los datos personales y datos sensibles recabados serán tratados con las siguientes finalidades: recopilación y gestión de información médica necesaria para la emisión de pólizas de salud, análisis de riesgo, gestión de siniestros y tramitación de reembolsos ante aseguradoras. Adicionalmente, se emplearán para validar identidad y datos de contacto del titular, comunicarse sobre gestiones administrativas y operativas relacionadas con la póliza y los siniestros, y para la conservación de la historia de las reclamaciones cuando sea necesario. Los datos podrán ser también utilizados, en la medida necesaria, para fines administrativos internos como facturación y cumplimiento de obligaciones legales y regulatorias vinculadas a la actividad aseguradora. En ningún caso se emplearán los datos para finalidades incompatibles con las aquí descritas sin obtener un nuevo consentimiento informado del titular.
3. BASE LEGAL DEL TRATAMIENTO El tratamiento de datos sensibles relativos a la salud se fundamenta en el Art. 7 numeral 1 de la LOPDP, consistente en el consentimiento expreso, libre, informado y específico del titular. Para datos identificativos y de contacto el tratamiento se realiza en tanto sea necesario para la ejecución de las finalidades descritas y en cumplimiento de obligaciones contractuales y legales aplicables. El Responsable solicitará el consentimiento por escrito o por medios electrónicos que permitan su verificación y registro; la negativa a otorgarlo impedirá la realización de las finalidades que requieren dichos datos sensibles. El titular podrá revocar el consentimiento en cualquier momento, con los efectos y procedimientos indicados en la sección correspondiente de este Aviso.
4. TIPOS DE TRATAMIENTO REALIZADOS Se realiza la recopilación, registro y almacenamiento de datos identificativos (nombres, cédula o documento de identificación), datos de contacto (dirección, teléfono, correo electrónico) y datos sensibles de salud (preexistencias, historias clínicas, certificados médicos, recetas, facturas médicas y otros documentos clínicos). Se efectúan tratamientos de análisis y clasificación de riesgo médico para la evaluación y tarificación de pólizas, así como la gestión operativa de siniestros y reembolsos frente a aseguradoras. También se realizan tratamientos de comunicación administrativa y notificación electrónica a los titulares y, cuando sea necesario, la conservación y archivo en sistemas internos para fines de gestión. Los tratamientos incluyen operaciones de acceso restringido, consulta, reproducción de documentos, transferencia a terceros autorizados y supresión cuando proceda conforme a la normativa aplicable.
5. TIEMPO DE CONSERVACIÓN No existe un plazo definido para la conservación de la información médica en los archivos del Responsable; sin embargo, la información será conservada mientras sea necesaria para cumplir con las finalidades indicadas y mientras existan obligaciones legales o regulatorias que así lo requieran. En caso de revocatoria del consentimiento, se procederá a la supresión o bloqueo de los datos cuando ello sea procedente y conforme a la normativa aplicable, salvo conservación residual obligatoria por mandato legal. El Responsable evaluará periódicamente la necesidad de conservación de los registros médicos y aplicará procedimientos internos para su revisión, supresión o anonimización cuando proceda. Cualquier periodo de conservación aplicable por requerimiento legal o contractual será comunicado al titular cuando así proceda y en la medida que ello sea exigible.
6. EXISTENCIA DE BASES DE DATOS Los datos personales objeto de tratamiento se incorporan a bases de datos de titularidad del Responsable, creadas y mantenidas para la gestión comercial y administrativa de productos y servicios de salud y de gestión de siniestros. Las bases de datos pueden encontrarse en sistemas informáticos internos del Responsable y en registros electrónicos que garantizan controles de acceso y trazabilidad de las operaciones. El Responsable garantiza la existencia de registros de tratamiento que permiten auditar el acceso y uso de los datos conforme a la LOPDP y a las políticas internas de privacidad. Los titulares tienen derecho a conocer la existencia de estas bases de datos y a solicitar acceso a la información personal que les concierne en los términos previstos por la ley.
7. ORIGEN DE LOS DATOS Los datos se obtienen principalmente del propio titular, mediante formularios, entrevistas médicas, autorización expresa, o mediante la entrega de documentación clínica y administrativa. Adicionalmente, algunos datos pueden provenir de terceros autorizados por el titular, tales como profesionales de la salud, clínicas, hospitales, o de aseguradoras cuando fuera necesario para la gestión de siniestros y reembolsos. En los casos en que la información se recoja de fuentes distintas al titular, el Responsable verificará la legitimidad de la obtención y comunicará al titular, cuando sea posible y exigible, el origen de los datos. El Responsable no obtendrá datos sensibles sin el consentimiento expreso del titular y sin cumplir los requisitos de información previa y verificable impuestos por la normativa.
8. TRATAMIENTOS ULTERIORES Cualquier tratamiento ulterior que sea incompatible con las finalidades inicialmente informadas requerirá de nuevo consentimiento expreso del titular, salvo cuando exista una base legal distinta que lo autorice. Si en el futuro se prevén finalidades adicionales (por ejemplo, estudios estadísticos anonimados, transferencias a nuevos asociados o integraciones tecnológicas), el Responsable informará oportunamente y solicitará el consentimiento correspondiente. Los tratamientos ulteriormente realizados estarán sujetos a los mismos estándares de seguridad y confidencialidad que los tratamientos originales y respetarán los derechos ARCO del titular. Dado el carácter sensible de la información de salud, cualquier uso distinto al contratado será objeto de evaluación de impacto y valoración previa de riesgos conforme a la normativa aplicable.
9. IDENTIDAD DEL RESPONSABLE El Responsable del tratamiento es: Jurado Patiño Roberto Eduardo, RUC: 0914688924001. Para efectos de comunicaciones relacionadas con la protección de datos, el titular podrá dirigirse al Responsable a través de los canales que el Responsable disponga y publique; se recomienda consignar en este Aviso la dirección física, correo electrónico y teléfono de contacto. El Responsable es quien define las finalidades y los medios del tratamiento, y asume las obligaciones de cumplir la LOPDP y las medidas de seguridad adecuadas. Cualquier consulta, duda o ejercicio de derechos por parte del titular deberá ser canalizada al Responsable, quien atenderá conforme a los procedimientos internos y a lo previsto por la ley.
10. DELEGADO DE PROTECCIÓN DE DATOS Si el Responsable ha designado un Delegado de Protección de Datos (DPD), el titular podrá dirigir a esa persona sus consultas y solicitudes vinculadas con el tratamiento de datos personales. En caso de no haberse designado DPD, las funciones de canalización de solicitudes ARCO y de privacidad serán atendidas por el área administrativa o de cumplimiento del Responsable. Se recomienda al titular solicitar al Responsable los datos de contacto del DPD o del área encargada para asegurar una comunicación directa y efectiva. El Responsable garantizará que la persona o área designada cuente con la capacitación y recursos necesarios para la gestión de solicitudes y cumplimiento de obligaciones legales.
11. TRANSFERENCIAS O COMUNICACIONES DE DATOS Los datos personales y sensibles podrán ser comunicados a aseguradoras y proveedores de servicios que requieran la información para evaluar riesgo, emitir pólizas, tramitar siniestros y procesar reembolsos, en la medida necesaria y con las salvaguardias correspondientes. Las transferencias se realizarán con base en contratos o acuerdos que establezcan obligaciones de confidencialidad y tratamiento conforme a la LOPDP, limitando el uso a la finalidad autorizada. Si fuera necesario transferir datos a autoridades públicas en virtud de mandatos legales o administrativos, dichas transferencias se llevarán a cabo conforme a lo exigido por la normativa aplicable. Cualquier transferencia internacional de datos requerirá las garantías adicionales previstas por la ley y, en su caso, el consentimiento informado del titular cuando la normativa lo exija.
12. CONSECUENCIAS DE LA ENTREGA O NEGATIVA DE DATOS La entrega de los datos identificativos y de contacto es necesaria para la correcta administración de la relación contractual y la comunicación entre las partes; la negativa a proporcionar dichos datos puede impedir la formalización o gestión de la póliza. La negativa a suministrar datos sensibles de salud impedirá al Responsable realizar la evaluación médica, la aceptación del riesgo y la emisión de la póliza o la tramitación de siniestros que requieran dicha información. El titular debe ser informado, antes de prestar su consentimiento, de las consecuencias de la negativa para que la decisión sea plenamente consciente y libre. En casos de datos incompletos o ausentes, el Responsable podrá requerir la información necesaria y suspender procedimientos hasta su obtención, sin perjuicio de las responsabilidades derivadas de la información falsa o incompleta.
13. EFECTOS DE DATOS ERRÓNEOS La existencia de datos inexactos, incompletos o desactualizados puede producir decisiones erróneas en la evaluación de riesgos, denegación indebida de coberturas, o problemas en la tramitación de siniestros y reembolsos. El titular deberá comunicar de forma oportuna cualquier modificación en sus datos personales o en su estado de salud y podrá ejercer sus derechos de rectificación para corregir errores. El Responsable adoptará medidas razonables para identificar y rectificar datos erróneos cuando tenga conocimiento de ellos, salvo que dicha rectificación resulte incompatible con obligaciones legales o con la integridad de procesos de investigación justificados. En caso de tratamientos ya realizados sobre bases erróneas, el Responsable documentará las correcciones y, cuando sea procedente, informará a terceros receptores sobre las rectificaciones realizadas.
14. REVOCATORIA DEL CONSENTIMIENTO El titular podrá revocar el consentimiento otorgado para el tratamiento de sus datos sensibles en cualquier momento, mediante solicitud dirigida al Responsable a través de los canales previstos. La revocatoria no afectará la licitud del tratamiento realizado con anterioridad a la misma, ni las obligaciones de conservación que impongan disposiciones legales aplicables. El procedimiento de revocatoria será atendido conforme a los mecanismos internos, y el Responsable informará al titular sobre las consecuencias prácticas de la revocatoria en relación con la prestación de servicios. La revocatoria será atendida en los plazos y condiciones que establece la LOPDP; para su efectiva tramitación el Responsable podrá requerir información adicional que permita autenticar la identidad del solicitante.
15. DERECHOS DEL TITULAR (ARCO) Los titulares de los datos personales tienen los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) respecto de sus datos tratados por el Responsable, en los términos y límites establecidos por la LOPDP. El derecho de acceso permite conocer qué datos se tratan, las finalidades, destinatarios y el origen de los datos cuando proceda; la rectificación permite corregir datos inexactos o incompletos. La cancelación implicará, cuando proceda, la supresión de los datos personales de las bases del Responsable, salvo las excepciones legales que impidan su eliminación inmediata; la oposición permite solicitar que no se continúe con determinados tratamientos por motivos legítimos. Para ejercer estos derechos el titular deberá presentar la solicitud correspondiente dirigida al Responsable y acompañar los documentos que permitan su identificación; las solicitudes serán atendidas conforme a la normativa y al procedimiento interno del Responsable.
16. PORTABILIDAD El titular podrá solicitar la portabilidad de sus datos personales en el formato y condiciones que determine la LOPDP, siempre que ello sea técnicamente viable y no vulnere derechos de terceros o secretividad profesional. La portabilidad se entenderá aplicable a aquellos datos que se encuentran bajo el control del Responsable y que puedan ser transmitidos de manera estructurada y de uso común. Las solicitudes de portabilidad serán evaluadas y atendidas conforme a las disposiciones legales, garantizando en todo caso la seguridad y confidencialidad de la información transferida. Cuando la portabilidad no sea procedente por razones técnicas, legales o de confidencialidad, el Responsable motivará la imposibilidad y propondrá alternativas razonables al titular.
17. VIGENCIA Este Aviso de Privacidad entra en vigencia a partir de su publicación por parte del Responsable y será aplicable mientras se mantenga el tratamiento de los datos conforme a las finalidades aquí descritas. El Responsable podrá actualizar o modificar este Aviso para adaptarlo a cambios normativos, operativos o tecnológicos; las versiones actualizadas serán comunicadas a los titulares mediante los canales que el Responsable considere apropiados. Para verificar la versión vigente del Aviso y los datos de contacto del Responsable y/o Delegado de Protección de Datos, el titular podrá solicitar la información a través de los canales oficiales del Responsable. Cualquier modificación no retroactiva se aplicará a partir de su publicación; las actuaciones realizadas con anterioridad seguirán sujetas a la versión del Aviso vigente en el momento del tratamiento. Nota: Para completar y publicar este Aviso en un documento definitivo, se recomienda incorporar la dirección física, correo electrónico y teléfono de contacto del Responsable y, en su caso, el nombre y contacto del Delegado de Protección de Datos. Asimismo, si el Responsable dispone de medidas de seguridad adicionales a las aquí mencionadas (por ejemplo: cifrado, control de accesos físico, registros de auditoría, copias de seguridad, políticas de retención), conviene detallarlas en el apartado correspondiente