Política de Privacidad

IDIOMA ESPAÑOL

1.INTRODUCCIÓN
Debido a su estrecha relación con los derechos y libertades de los titulares, los datos personales tienen una protección legal especial y más fuerte en comparación con la información en general.
Además, desde una perspectiva complementaria, los datos personales son un recurso valioso para las empresas, al igual que otros activos, y, por lo tanto, deben ser protegidos adecuadamente.
La organización es consciente de que el tratamiento de datos personales conlleva riesgos tanto para los derechos y libertades de los titulares como para la consecución de sus objetivos. Por lo tanto, se compromete a gestionar adecuadamente estos riesgos adoptando una responsabilidad proactiva en
el cumplimiento de los requisitos de la normativa ecuatoriana de protección de datos personales. Es importante tener en cuenta que la protección de los datos personales no se limita a garantizar su confidencialidad, integridad y disponibilidad (seguridad de los datos personales).
Para lograr esto, es esencial que la protección de datos personales esté integrada en todos los comportamientos operativos y en la cultura organizacional de la empresa. Esto implica que todos los miembros de la organización deben comprometerse a tratar los datos personales siguiendo las
instrucciones proporcionadas por la empresa y cumpliendo con los requisitos normativos del régimen ecuatoriano, así como las necesidades y expectativas de las partes interesadas.
Como parte de la cultura organizacional, esta política debe ser aplicada por todo el personal que tenga una relación directa o indirecta con los datos personales de la empresa, incluyendo terceros o compañías que traten los datos personales de la empresa o tengan acceso a ellos.

2.TÉRMINOS Y DEFINICIONES
Los términos y definiciones aplicables para esta política serán los que constan a continuación:
● CRE: Constitución de la República del Ecuador
● Dato(s) personal(es): Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
● Datos personales o actividades de tratamiento de responsabilidad de la empresa: se refiere a los datos personales cuya finalidad y tratamiento es determinado por la empresa ya sea sola o conjuntamente con uno o varios responsables del tratamiento.
● Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
● Encargado del tratamiento: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trata datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
● LOPDP: Ley Orgánica de Protección de Datos Personales.
● Medidas (o controles) adecuadas y necesarias: Se entiende por tales aquellas aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole.
● Normativa ecuatoriana de protección de datos personales: Esta referencia hace alusión al conjunto de normas jurídicas que rigen la protección de datos personales en Ecuador. En lo principal: Constitución de la República; Ley Orgánica de Protección de Datos Personales;
Reglamento a dicha Ley; Directrices, Lineamientos y Regulaciones emitidas por la Autoridad Ecuatoriana de Protección de Datos Personales; y normativa sectorial aplicable.
● Partes interesadas (de la protección de datos personales): persona u organización que puede afectar, estar afectada o percibir que está afectada por una decisión o actividad vinculada a la protección de datos personales. Se trata particularmente de aquellas que generan un riesgo significativo a los objetivos de la organización si sus necesidades y expectativas no se cumplen.
● Responsable del tratamiento: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
● Seguridad de datos personales: seguridad de la información en el ámbito específico de información clasificada como datos personales.
● Titular de los datos (o interesado): Persona natural cuyos datos son objeto de tratamiento.
● Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento,
distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

3.POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
3.1. Alcance:
3.1.1. Esta política incluye en su alcance todas las actividades de tratamiento de datos personales que sean de responsabilidad de la empresa, sean estas ejecutadas directamente por colaboradores de la empresa, por encargados del tratamiento o cualquier tercero que tengan acceso a datos personales de responsabilidad de la empresa.
3.1.2. Esta política se aplica a todo el personal, incluido el personal temporal, y los contratistas, proveedores o terceros que traten datos personales de responsabilidad de la empresa o tengan acceso a ellos.
3.2. Objetivo:
Establecer lineamientos generales para garantizar la protección y el tratamiento adecuado de los datos personales conforme los requisitos de la normativa ecuatoriana de y las expectativas y necesidades de las partes interesadas.
3.3. Marco Normativo Interno de la Protección de Datos Personales
El marco normativo de seguridad de la Información está comprendido por políticas, directivas, estándares y procedimientos derivadas de la Política General de Protección de Datos Personales y que seguirán la siguiente clasificación jerárquica:
● Responsable de tratamiento de los datos personales.
● Delegado de la protección de datos personales
3.4. Sanciones Previstas por Incumplimiento:
El incumplimiento de las disposiciones establecidas en esta política será sancionado de acuerdo al reglamento interno.

4.PRINCIPIOS RECTORES DE LA PROTECCIÓN DE DATOS PERSONALES
Los siguientes principios regirán la implementación de la protección de datos personales y toda actividad de tratamiento de datos personales de responsabilidad de la empresa:
● Juridicidad, lealtad y transparencia: La empresa empleará todas las medidas y controles adecuados y necesarios para asegurar que los datos personales de su responsabilidad sean tratados a través de medios y para fines legítimos y con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la normativa ecuatoriana de protección de datos personales y la normativa de la empresa. Igualmente, la empresa implementará todos las medidas y controles adecuados y necesarios para que toda información o comunicación relativa a este tratamiento sea fácilmente accesible y fácil de entender para los titulares de datos personales. Para ello se utilizará en
todo momento un lenguaje sencillo y claro.
● Limitación de la finalidad: La empresa determinará, explicitará y comunicará al titular de los datos las finalidades del tratamiento. Estas finalidades siempre serán legítimas y ajustadas a la normativa ecuatoriana de protección de datos personales.
● Minimización de datos personales y su tratamiento y conservación: La empresa recogerá y tratará solamente los datos personales que sean estrictamente necesarios para la consecución de la finalidad perseguida en cada actividad de tratamiento. El tratamiento de datos igualmente se diseñará para recoger y usar la menor cantidad de datos y la menor cantidad de categoría de datos. El tratamiento de datos y acceso a los mismos se efectuará solo por los usuarios que sean estrictamente necesarios para la consecución de la finalidad del tratamiento. Los datos personales deberán conservarse solo por el tiempo que sea estrictamente necesario.
● Calidad de los datos: Los datos personales serán exactos y, si fuera necesario, actualizados.
● Responsabilidad proactiva y demostrada: La empresa se ajustará en todo momento a los requerimientos normativos de la normativa ecuatoriana de protección de datos personales y, además, la organización se esforzará en la medida de lo posible por adoptar buenas prácticas y estándares internacionales en la gestión y tratamiento de datos personales para asegurar un nivel mayor de protección respecto del mínimo exigido por la normativa aplicable. Igualmente, la empresa adoptará las medidas necesarias para poder demostrar el cumplimiento de la normativa ecuatoriana de protección de datos personales. La mejora continua será un elemento fundamental en el cumplimiento de las obligaciones de la normativa ecuatoriana de protección de datos personales por parte de la empresa.
● Seguridad de datos personales: La empresa implementará todas las medidas de seguridad adecuadas y necesarias para asegurar la confidencialidad, disponibilidad, integridad y resiliencia de los datos personales de su responsabilidad.
● Protección basada en riesgos: Las medidas y controles adecuados y necesarios para la protección y seguridad de datos personales se implementarán con base en un análisis del riesgo para derechos y libertades de los titulares que acarrean las actividades de tratamiento de datos personales de responsabilidad de la empresa. Para dicho efecto la organización tendrá identificados los datos personales que trata, qué actividades de tratamiento ejecuta y los sistemas y personas que intervienen en dicho tratamiento. En los casos en los que el riesgo para derechos y libertades sea considerado alto respecto de una o varias actividades de tratamiento, se llevará a cabo una Evaluación de Impacto del Tratamiento de Datos Personales conforme el artículo 42 de la LOPDP. En todo momento el proceso de gestión del riesgo de derechos y libertades se integrará y complementará con las prácticas internas de la empresa.

5.PROTECCIÓN DE DATOS PERSONALES POR DEFECTO Y DESDE EL DISEÑO
La empresa observará en todo momento su obligación de adoptar la protección de datos personales desde el diseño y por defecto. Para ello la empresa:
● Considerará las implicaciones de protección de datos personales y los riesgos para derechos y libertades en las primeras fases de concepción y diseño de todos sus proyectos y durante las fases de planificación e implementación. Esta obligación abarca también a todos los nuevos sistemas utilizados para el tratamiento de datos (“protección de datos desde el diseño”).
● Implementará todas las medidas adecuadas y necesarias para asegurar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines del tratamiento (“protección de datos por defecto”).

6.ESTRUCTURA ORGANIZACIONAL DE LA PROTECCIÓN DE DATOS PERSONALES
La implementación satisfactoria de la Política General de Protección de Datos Personales, y de las medidas que de ella se desprendan para el cumplimiento de las obligaciones de la normativa ecuatoriana de protección de datos, requiere la plena cooperación y la asistencia de todos los
colaboradores. Es imperativo, por lo tanto, que todo el personal sea consciente de los requisitos de protección de datos personales y opere de acuerdo a ellos. A los efectos de definir e implementar adecuados niveles de protección de datos personales, se ha designado:
• Un Delegado de protección de datos para toda la organización. Para cumplir con los requisitos de protección de datos personales se definen los siguientes roles:
6.1 Delegado de Protección de Datos Personales
El delegado ejercerá sus funciones según lo determinado en la normativa ecuatoriana de protección de datos personales y la descripción de la Posición de Delegado de Protección de Datos Personales, para contactarlo se pone a disposición el siguiente correo electrónico: protecciondatos@celco.com.ec
Las funciones básicas que ejercerá el Delegado de Protección de Datos Personales serán:
• Informar y asesorar a la empresa sobre sus obligaciones normativas en materia de Protección de Datos Personales.
• Monitorear y supervisar el cumplimiento de la normativa Protección de Datos Personales.
• Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación.
• Cooperar con la Autoridad Ecuatoriana de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales.
• Ser punto de contacto para los titulares para el ejercicio de los derechos reconocidos en la Ley Orgánica de Protección de Datos Personales.
• Reportar al más alto nivel ejecutivo y de decisión de la empresa sobre el ejercicio de sus funciones.
• Las demás que pudiera llegar a establecer la Autoridad Ecuatoriana de Protección de Datos Personales.

7.DIRECTRICES GENERALES PARA LA PROTECCIÓN DE DATOS PERSONALES
Las siguientes directrices regirán a la implementación de la Protección de Datos Personales:
● Estructura organizacional: la empresa designará formalmente un responsable interno de la protección de datos personales y comunicará internamente en la organización tal nombramiento. De igual manera, la empresa designará roles y responsabilidades de todo el personal que trate datos personales o tenga acceso a ellos. El rol de autoridad interna ejercido por el responsable organizacional no obstará el compromiso y las responsabilidades que
deben tener todos los miembros de la organización.
● Tratamiento legítimo de datos personales: La empresa se asegurará de conocer y cumplir con todas las leyes y regulaciones de protección de datos personales aplicables, así como las leyes y regulaciones internacionales cuando corresponda. El incumplimiento de estas disposiciones puede resultar en sanciones civil, penal y administrativa, lo cual incluyen multas, indemnizaciones y daños a la reputación de la organización. La organización adoptará
medidas para controlar y garantizar el cumplimiento de la normativa aplicable por parte de colaboradores y encargados del tratamiento; sin obstar las acciones legales que pudieran caber en contra de aquello por una inobservancia de las medidas indicadas por la empresa.
● Determinación previa de bases de legitimidad: La empresa observará en todo momento su obligación de identificar de manera previa las bases legales de legitimidad para cada actividad de tratamiento de datos personales en particular. Esta base de legitimidad se determinará en función de la normativa aplicable teniendo en cuenta las distinciones que dicha normativa efectúe en lo que respecta a las categorías de datos sensibles.
Cuando sea necesario, la empresa deberá asegurarse de obtener el consentimiento libre, específico, informado e inequívoco del titular de los datos antes de procesar sus datos personales y con las formalidades previstas en la ley. Deberá conservarse la evidencia necesaria de dicho consentimiento, en particular, de cuándo, cómo y de quién fue recolectado.
● Tratamiento de datos para finalidades distintas a las de la recogida inicial: finalidad La empresa sólo tratará datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente cuando estas finalidades nuevas sean compatibles con los fines de su recogida inicial. Para ello, la empresa considerará el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas
razonables del titular basadas en su relación con la empresa en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias que tiene el tratamiento posterior previsto para los titulares y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento posterior prevista.
● Implementación de los principios de protección de datos: Seguir los principios fundamentales de protección de datos personales tal como están determinados en la normativa aplicable y en la presente política.
● Gestión del deber de informar: La organización implementará medidas para cumplir con su obligación de informar y garantizar el referido derecho a los titulares de datos personales cuyos datos trate directamente o sean tratados por cuenta suya mediante un encargado del tratamiento.
La empresa se asegurará que las comunicaciones efectuadas para cumplir con tal deber cumplan con los principios de transparencia y lealtad y se efectúen en la forma y momentos determinados por la normativa aplicable.
● Limitación del plazo de conservación de los datos personales: La organización definirá plazos de conservación para los datos personales de modo que estos solo se conserven por el tiempo que sea estrictamente necesario. La definición de estos plazos se realizará en función del contexto específico del dato personal. Debe documentarse debidamente la justificación del plazo en cuestión atendiendo a las bases de legitimidad de tratamiento de
datos definidas en la normativa aplicable.
● Garantía de derechos de los titulares y atención reclamos: La empresa implementará medidas, procesos y asignará roles y responsabilidades para atender oportunamente las solicitudes de ejercicio de derechos y los reclamos planteados por los titulares de datos personales. La empresa observará los procedimientos, plazos y directrices establecidas en la normativa aplicable y por la autoridad de protección de datos personales para la atención a
los derechos reconocidos en la LOPDP:
1. Información (art. 12)
2. Acceso (art. 13)
3. Rectificación y actualización (art. 14)
4. Eliminación (art. 15)
5. Oposición (art. 16)
6. Portabilidad (art. 17)
7. Suspensión del tratamiento (art. 19)
8. Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas (art. 20)
9. Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas respecto de categorías especiales de datos    (art. 21)
10. Derecho a la anulación (CRE art. 92)

La organización implementará medidas de concientización al personal para la adecuada gestión de estas solicitudes o reclamos y también se asegurará que existan medidas efectivas de concientización y capacitación por parte del personal de los encargados del tratamiento que trata datos de responsabilidad de la empresa.
● Administración de Riesgos para Derechos y Libertades: Para cubrir los ámbitos de protección de datos personales se empleará el enfoque que exige la normativa ecuatoriana de protección de datos personales: riesgo para los derechos y libertades. Es decir, se considerará la probabilidad de que en el contexto del tratamiento de datos personales suceda un evento que pueda tener un impacto en derechos y libertades de los titulares de los datos
y/o un impacto social; y, con base en ello se implementarán las medidas adecuadas y necesarias.
● Competencia del personal en materia de protección de datos personales: El personal, ya sea permanente, temporal, o perteneciente a empresas proveedoras, deberá ser informado desde el momento de su ingreso de las responsabilidades y derechos en materia las obligaciones normativas para la protección de datos personales. Se capacitará con y para el fin de crear conciencia acerca de la importancia que adquiere este aspecto para la empresa.
● Gestión de incidentes de seguridad de datos personales: La empresa establecerá y socializará con el personal un plan de respuesta a incidentes de seguridad de datos personales que permita detectar, contener y resolver de manera eficiente cualquier incidente que involucre datos personales. La organización procurará tener un enfoque integral a la protección de los datos personales mediante la implementación de prácticas efectivas de
planificación, gestión, notificación y resolución de los incidentes.
Esto implica, en general, la creación de estrategias sólidas y planes detallados para prevenir y abordar cualquier amenaza o vulnerabilidad potencial en los sistemas de información, además, será fundamental gestionar de manera eficiente los recursos, procesos y personal para garantizar la continuidad de la seguridad. La organización deberá contar con protocolos de notificación claros y oportunos para informar a las partes interesadas y garantizar la
transparencia en la gestión de los eventos de seguridad y ser proactivo para resolver los problemas identificados y aprender de ellos, permitiendo así la mejora continua de la seguridad de la información y la protección de los datos personales.
● Conformidad con Leyes, Regulaciones y Normas Internas: Se deberá garantizar que las actividades de tratamiento de datos personales de responsabilidad de la empresa o en las que intervenga la empresa no provoquen infracciones o violaciones de leyes, regulaciones, ni de las obligaciones establecidas por estatutos, normas, reglamentos o contratos vigentes en cada ámbito de actuación.
● Verificación, evaluación del cumplimiento y mejora continua: La empresa deberá implementar procesos de Verificación, evaluación del cumplimiento y mejora continua para lo cual efectuará controles y auditorías periódicas a fin de examinar las medidas implementadas para protección de datos personales.

8.DERECHOS
El titular podrá ejercer en todo momento los derechos de acceso, rectificación y actualización, eliminación, suspensión y oposición respecto a los datos suministrados para cualquiera de los procedimientos y servicios dispuestos de CELCO Cía. Ltda., en los que se involucre sus datos.
Algunos de estos derechos se aplicarán en determinadas circunstancias:
• Información: tiene derecho a preguntar si estamos procesando sus datos y, en caso afirmativo, solicitar el acceso a sus datos personales. Esto le permite recibir una copia de los datos personales que tenemos sobre usted y otra relativa al tratamiento.
• Rectificación: tiene derecho a solicitar que se corrijan todos los datos personales incompletos o inexactos que tengamos sobre usted.
• Actualización: tiene derecho a solicitar que se actualicen todos los datos personales no vigentes que tengamos sobre usted. La obligación del titular de los datos es proporcionar datos actualizados para garantizar la veracidad de la información censal.
• Eliminación: no será posible la eliminación de la información debido a que su tratamiento se basa en una obligación legal que busca la satisfacción del interés general.
• Suspensión: tiene derecho a solicitar la suspensión del tratamiento únicamente cuando se cumpla que el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de estos. Las otras causales de suspensión no son invocables debido a que su tratamiento se basa en una obligación legal que busca la satisfacción del interés general.
• Oposición: No será posible la oposición de la información debido a que su tratamiento se basa en una obligación legal que busca la satisfacción del interés general.
• Portabilidad: No será posible la portabilidad de la información debido a que su tratamiento se basa en una obligación legal que busca la satisfacción del interés general y que solo se encuentra asignada a CELCO Cía. Ltda.

IDIOMA INGLÉS

1.INTRODUCTION
Due to its close relationship with the rights and freedoms of data subjects, personal data has special and stronger legal protection compared to information in general.
Moreover, from a complementary perspective, personal data is a valuable resource for businesses, just like other assets, and therefore must be properly protected.
The organization is aware that the processing of personal data entails risks both for the rights and freedoms of the data subjects and for the achievement of its objectives. Therefore, it is committed to properly managing these risks by taking proactive responsibility in
compliance with the requirements of Ecuadorian regulations on the protection of personal data. It is important to note that the protection of personal data is not limited to ensuring its confidentiality, integrity and availability (security of personal data).
To achieve this, it is essential that the protection of personal data is integrated into all operational behaviors and the organizational culture of the company. This implies that all members of the organization must commit to processing personal data in accordance with the
instructions provided by the company and complying with the regulatory requirements of the Ecuadorian regime, as well as the needs and expectations of the interested parties.
As part of the organizational culture, this policy must be applied by all personnel who have a direct or indirect relationship with the company’s personal data, including third parties or companies that process the company’s personal data or have access to it.

2. TERMS AND DEFINITIONS
The applicable terms and definitions for this policy shall be as follows:
● CRE: Constitution of the Republic of Ecuador
● Personal data(s): Data that identifies or makes identifiable a natural person, directly or indirectly.
● Personal data or processing activities under the responsibility of the company: refers to personal data whose purpose and processing is determined by the company either alone or jointly with one or more data controllers.
● Data Protection Officer: A natural person in charge of informing the controller or processor of their legal obligations in terms of data protection, as well as ensuring or supervising regulatory compliance in this regard, and of cooperating with the Personal Data Protection Authority, serving as a point of contact between the latter and the entity responsible for data processing.
● Data processor: a natural or legal person, public or private, public authority, or other body that alone or jointly with others processes personal data in the name and on behalf of a personal data controller.
● LOPDP: Organic Law on the Protection of Personal Data.
● Adequate and necessary measures (or controls): These are understood to be those accepted by the state of the art, whether they are organizational, technical or of any other nature.
● Ecuadorian regulations on the protection of personal data: This reference refers to the set of legal regulations that govern the protection of personal data in Ecuador. In the main: Constitution of the Republic; Organic Law on the Protection of Personal Data;
Regulations to the said Law; Guidelines, Guidelines and Regulations issued by the Ecuadorian Authority for the Protection of Personal Data; and applicable sectoral regulations.
● Stakeholders (of personal data protection): a person or organization that may affect, be affected or perceive to be affected by a decision or activity related to the protection of personal data. These are particularly those that pose a significant risk to the organization’s objectives if its needs and expectations are not met.
● Data controller: natural or legal person, public or private, public authority, or other body, which alone or jointly with others decides on the purpose and processing of personal data.
● Personal Data Security: Information security in the specific area of information classified as personal data.
● Data subject (or data subject): Natural person whose data is processed.
● Processing: Any operation or set of operations carried out on personal data, whether by automated, partially automated or non-automated technical procedures, such as: collection, collection, obtaining, recording, organization, structuring, conservation, custody, adaptation, modification, deletion, indexing, extraction, consultation, processing, use, possession, exploitation,
distribution, assignment, communication or transfer, or any other form of enabling access, comparison, interconnection, limitation, erasure, destruction and, in general, any use of personal data.

3. PERSONAL DATA PROTECTION POLICY
3.1. Scope:
3.1.1. This policy includes in its scope all personal data processing activities that are the responsibility of the company, whether they are carried out directly by the company’s collaborators, by data processors or any third party that has access to personal data under the company’s responsibility.
3.1.2. This policy applies to all staff, including temporary staff, and contractors, suppliers or third parties who process or have access to personal data under the responsibility of the company.
3.2. Objective:
Establish general guidelines to ensure the protection and adequate processing of personal data in accordance with the requirements of Ecuadorian regulations and the expectations and needs of interested parties.
3.3. Internal Regulatory Framework for the Protection of Personal Data
The regulatory framework for information security is comprised of policies, directives, standards and procedures derived from the General Policy on the Protection of Personal Data and which will follow the following hierarchical classification:
● Responsible for the processing of personal data.
● Personal Data Protection Officer
3.4. Penalties for Non-Compliance:
Failure to comply with the provisions established in this policy will be sanctioned in accordance with the internal regulations.

4. GUIDING PRINCIPLES FOR THE PROTECTION OF PERSONAL DATA
The following principles will govern the implementation of personal data protection and any personal data processing activity for which the company is responsible:
● Legality, fairness and transparency: The company will employ all appropriate and necessary measures and controls to ensure that the personal data of its responsibility are processed through legitimate means and for purposes and with strict adherence and compliance with the principles, rights and obligations established in the Ecuadorian regulations on the protection of personal data and the company’s regulations. Likewise, the company will implement all appropriate and necessary measures and controls so that any information or communication related to this processing is easily accessible and easy to understand for the holders of personal data. To this end, it will be used in
simple and clear language at all times.
● Limitation of the purpose: The company will determine, explain and communicate to the owner of the data the purposes of the processing. These purposes will always be legitimate and in accordance with Ecuadorian regulations on the protection of personal data.
● Minimization of personal data and its processing and storage: The company will collect and process only the personal data that is strictly necessary to achieve the purpose pursued in each processing activity. Data processing shall also be designed to collect and use the least amount of data and the least amount of data category. The processing of data and access to them will only be carried out by users who are strictly necessary to achieve the purpose of the processing. Personal data should be kept only for as long as is strictly necessary.
● Data quality: Personal data will be accurate and, if necessary, up-to-date.
● Proactive and demonstrated responsibility: The company will comply at all times with the regulatory requirements of the Ecuadorian regulations on the protection of personal data and, in addition, the organization will strive as far as possible to adopt good practices and international standards in the management and processing of personal data to ensure a higher level of protection than the minimum required by the applicable regulations. Likewise, the company will adopt the necessary measures to demonstrate compliance with Ecuadorian regulations on the protection of personal data. Continuous improvement will be a fundamental element in the company’s compliance with the obligations of Ecuadorian regulations on the protection of personal data.
● Security of personal data: The company will implement all appropriate and necessary security measures to ensure the confidentiality, availability, integrity and resilience of the personal data under its responsibility.
● Risk-based protection: The appropriate and necessary measures and controls for the protection and security of personal data will be implemented based on an analysis of the risk to rights and freedoms of the data subjects that the personal data processing activities of the company’s responsibility entail. To this end, the organization will have identified the personal data it processes, what processing activities it carries out and the systems and people involved in such processing. In cases where the risk to rights and freedoms is considered high with respect to one or more processing activities, an Impact Assessment of the Processing of Personal Data will be carried out in accordance with Article 42 of the LOPDP. At all times, the rights and freedoms risk management process will be integrated and complemented with the company’s internal practices.

5. PROTECTION OF PERSONAL DATA BY DEFAULT AND BY DESIGN
The company will at all times observe its obligation to adopt the protection of personal data by design and by default. To this end, the company will:
● Consider the personal data protection implications and risks to rights and freedoms in the early conception and design phases of all your projects and during the planning and implementation phases. This obligation also covers all new systems used for data processing (“data protection by design”).
● Implement all appropriate and necessary measures to ensure that, by default, only personal data that is necessary for each of the purposes of the processing (“default data protection”) is processed.

6. ORGANISATIONAL STRUCTURE OF PERSONAL DATA PROTECTION
The satisfactory implementation of the General Policy for the Protection of Personal Data, and the measures derived from it for compliance with the obligations of Ecuadorian data protection regulations, requires the full cooperation and assistance of all stakeholders.
Collaborators. It is imperative, therefore, that all staff are aware of the personal data protection requirements and operate in accordance with them. For the purpose of defining and implementing adequate levels of protection of personal data, the following have been designated:
• A Data Protection Officer for the entire organization. In order to comply with the requirements for the protection of personal data, the following roles are defined:
6.1 Personal Data Protection Officer
The delegate will exercise his/her functions as determined in the Ecuadorian regulations on the protection of personal data and the description of the Position of Personal Data Protection Officer, to contact him/her the following email is made available: protecciondatos@celco.com.ec
The basic functions to be performed by the Personal Data Protection Officer will be:
• Informing and advising the company on its regulatory obligations regarding Personal Data Protection.
• Monitor and supervise compliance with Personal Data Protection regulations.
• Advise on risk analysis, impact assessment and evaluation of security measures, and supervise their implementation.
• Cooperate with the Ecuadorian Authority for the Protection of Personal Data and act as a point of contact with said entity, in relation to issues related to the processing of personal data.
• To be a point of contact for the owners for the exercise of the rights recognized in the Organic Law on the Protection of Personal Data.
• Report to the highest executive and decision-making level of the company on the exercise of their functions.
• Any others that may be established by the Ecuadorian Authority for the Protection of Personal Data.

7. GENERAL GUIDELINES FOR THE PROTECTION OF PERSONAL DATA
The following guidelines will govern the implementation of Personal Data Protection:
● Organizational structure: the company will formally appoint an internal person responsible for the protection of personal data and will communicate such appointment internally within the organization. Similarly, the company will designate roles and responsibilities of all personnel who process personal data or have access to it. The role of internal authority exercised by the organizational leader will not hinder the commitment and responsibilities that
They must have all members of the organization.
● Legitimate processing of personal data: The company will ensure that it is aware of and complies with all applicable personal data protection laws and regulations, as well as international laws and regulations where applicable. Failure to comply with these provisions may result in civil, criminal, and administrative penalties, including fines, damages, and damage to the organization’s reputation. The organization will adopt
measures to control and ensure compliance with applicable regulations by collaborators and data processors; without precluding the legal actions that could be taken against it for failure to comply with the measures indicated by the company.
● Prior determination of legitimacy bases: The company will observe at all times its obligation to identify in advance the legal bases of legitimacy for each particular personal data processing activity. This basis of legitimacy will be determined on the basis of the applicable legislation, taking into account the distinctions made by those regulations with regard to the categories of sensitive data.
Where necessary, the company shall ensure that it obtains the free, specific, informed and unambiguous consent of the data subject before processing their personal data and with the formalities provided for by law. The necessary evidence of such consent shall be retained, in particular when, how and from whom it was collected.
● Processing of data for purposes other than those of the initial collection: purpose The company will only process personal data for purposes other than those for which it was initially collected when these new purposes are compatible with the purposes of its initial collection. To this end, the company will consider the context in which the data was collected, the information provided to the owner in that process and, in particular, the expectations
reasonable claims by the Data Controller based on his/her relationship with the Company in terms of its subsequent use, the nature of the personal data, the consequences of the planned further processing for the Data Subjects, and the existence of adequate safeguards in both the original processing operation and the planned subsequent processing operation.
● Implementation of data protection principles: Follow the fundamental principles of personal data protection as determined in the applicable regulations and in this policy.
● Management of the duty to inform: The organization will implement measures to comply with its obligation to inform and guarantee the aforementioned right to the holders of personal data whose data it processes directly or are processed on its behalf through a data processor.
The company will ensure that the communications made to comply with this duty comply with the principles of transparency and loyalty and are made in the manner and at the times determined by the applicable regulations.
● Limitation of the retention period of personal data: The organization will define retention periods for personal data so that it is only kept for as long as strictly necessary. The definition of these deadlines will be made according to the specific context of the personal data. The justification for the period in question must be duly documented in the light of the legitimate grounds for the processing of
data defined in the applicable regulations.
● Guarantee of rights of the owners and attention to claims: The company will implement measures, processes and assign roles and responsibilities to timely attend to requests for the exercise of rights and claims raised by the holders of personal data. The company will observe the procedures, deadlines and guidelines established in the applicable regulations and by the personal data protection authority for the attention to
the rights recognized in the LOPDP:
1. Information (Art. 12)
2. Access (Art. 13)
3. Rectification and updating (Art. 14)
4. Deletion (Art. 15)
5. Objection (Art. 16)
6. Portability (Art. 17)
7. Suspension of processing (Art. 19)
8. Right not to be subject to a decision based solely or partially on automated valuations (Art. 20)
9. Right not to be subject to a decision based solely or partially on automated assessments in respect of special categories of data (Art. 21)
10. Right to cancellation (CRE art. 92)

The organization will implement measures to raise awareness among personnel for the proper management of these requests or claims and will also ensure that there are effective measures of awareness and training by the personnel of the data processors who process data of the company’s responsibility.
● Risk Management for Rights and Freedoms: To cover the areas of personal data protection, the approach required by Ecuadorian regulations on the protection of personal data will be used: risk to rights and freedoms. In other words, the probability that in the context of the processing of personal data an event will occur that may have an impact on the rights and freedoms of the data subjects
and/or a social impact; and, based on this, the appropriate and necessary measures will be implemented.
● Competence of the staff in matters of personal data protection: Personnel, whether permanent, temporary, or belonging to supplier companies, must be informed from the moment they enter of the responsibilities and rights in terms of the regulatory obligations for the protection of personal data. They will be trained with and for the purpose of raising awareness about the importance of this aspect for the company.
● Management of personal data security incidents: The company will establish and socialize with staff a personal data security incident response plan that allows for the efficient detection, containment, and resolution of any incident involving personal data. The organization will strive to have a comprehensive approach to the protection of personal data through the implementation of effective data protection practices.
Planning, managing, reporting and resolving incidents.
This involves, in general, the creation of solid strategies and detailed plans to prevent and address any potential threats or vulnerabilities in information systems, in addition, it will be essential to efficiently manage resources, processes and personnel to ensure continuity of security. The organization shall have clear and timely reporting protocols in place to inform stakeholders and ensure that the
transparency in the management of security events and be proactive in resolving the problems identified and learning from them, thus enabling the continuous improvement of information security and the protection of personal data.
● Compliance with Laws, Regulations and Internal Rules: It must be ensured that the personal data processing activities under the responsibility of the company or in which the company intervenes do not cause infractions or violations of laws, regulations, or the obligations established by statutes, rules, regulations or contracts in force in each area of action.
● Verification, evaluation of compliance and continuous improvement: The company must implement processes of verification, evaluation of compliance and continuous improvement, for which it will carry out periodic controls and audits in order to examine the measures implemented for the protection of personal data.

8. RIGHTS
The owner may exercise at any time the rights of access, rectification and updating, elimination, suspension and opposition with respect to the data provided for any of the procedures and services provided by CELCO Cía. Ltda., in which their data is involved.
Some of these rights will apply in certain circumstances:
• Information: You have the right to ask whether we are processing your data and, if so, to request access to your personal data. This enables you to receive a copy of the personal data we hold about you and a copy of the processing.
• Rectification: You have the right to request that any incomplete or inaccurate personal data we hold about you be corrected.
• Updating: You have the right to request that all non-current personal data we hold about you be updated. The obligation of the data subject is to provide up-to-date data to ensure the veracity of the census information.
• Deletion: it will not be possible to delete the information because its processing is based on a legal obligation that seeks to satisfy the general interest.
• Suspension: you have the right to request the suspension of processing only when the data subject contests the accuracy of the personal data, while the controller verifies the accuracy of the data. The other grounds for suspension cannot be invoked because their processing is based on a legal obligation that seeks to satisfy the general interest.
• Opposition: It will not be possible to oppose the information because its processing is based on a legal obligation that seeks to satisfy the general interest.
• Portability: The portability of the information will not be possible due to the fact that its processing is based on a legal obligation that seeks to satisfy the general interest and that is only assigned to CELCO Cía. Ltda.