Política de Protección de Datos Personales
Versión v1.0 – Fecha: 31/12/2025
STRATEGIC THRUSTS SOLUCIONES INTEGRALES EN TECNOLOGIA S.A. (“STRATEGIC”) es una sociedad ecuatoriana legalmente constituida. En el marco de su oferta de soluciones tecnológicas incluyendo la provisión del servicio de plataformas tecnológicas orientadas a la gestión y operación de seguridad, transporte y legalización digital de transacciones en entornos escolares y empresariales en adelante denominadas como “Plataformas B” refiriéndose de forma global o particularmente a BSCHOOL, BCOMPANY o BLEGAL, implementados sobre infraestructura Cloud y/o INHOUSE (infraestructura instalada en el cliente), STRATEGIC realiza operaciones de tratamiento de datos personales necesarias para la prestación, soporte y mejora continua de sus productos y servicios, incluyendo la disponibilidad de servicios continuos o recurrentes. Por ello, y como parte de su Sistema de Gestión de Seguridad de la Información (SGSI), adopta la presente Política para asegurar un tratamiento lícito, transparente y seguro de los datos personales conforme a la LOPDP vigente en Ecuador y alineado con controles de ISO/IEC 27001 e ISO/IEC 27701, bajo la supervisión de su Delegado de Protección de Datos Personales designado.
La presente Política de Protección de Datos Personales tiene por objeto informar de manera clara y accesible cómo STRATEGIC trata los datos personales de titulares que interactúan con la empresa. La política aplica a todos los procesos y áreas de la compañía, incluidos el área administrativa, comercial, operaciones, infraestructura tecnológica, control y seguimiento, gerencia y cualquier otra unidad que recolecte o utilice datos personales. Comprende a empleados, colaboradores, candidatos, clientes, proveedores, usuarios de las plataformas BSCHOOL y BCOMPANY, socios estratégicos, visitantes del sitio web (https://strategic.ec, https://www.bschool-global.com/), usuarios de las plataformas tecnológicas diseñadas para la interacción automática de sistemas (API) de los diferentes productos y cualquier persona natural cuyos datos sean tratados por STRATEGIC.
Este documento forma parte integral del Sistema de Gestión de Seguridad de la Información (SGSI) de la organización y sigue los lineamientos de las normas ISO/IEC 27001 y ISO/IEC 27701, así como lo establecido en la Constitución de la República del Ecuador , la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento, así como la demás normativa vinculada. Su cumplimiento es obligatorio para todo el personal de STRATEGIC y para los proveedores que actúan como encargados del tratamiento.
3. Responsable del tratamiento de datos personales
STRATEGIC THRUSTS SOLUCIONES INTEGRALES EN TECNOLOGIA S.A. (en adelante STRATEGIC) es la compañía responsable del tratamiento de los datos personales que recopila y gestiona en el desarrollo de sus actividades. Tiene el Registro Único de Contribuyentes (RUC), número 1792310423001 y tiene como representante legal a Hugo Alexander Chamba Vozmediano. Su domicilio fiscal se encuentra en las calles Gregorio Flor N12-289 y Feliciano Checa, Quito, Ecuador. Para fines de contacto institucional el correo electrónico es seguimiento@strategic.ec y el teléfono de contacto es: 0992560320 4. Delegado de Protección de Datos Personales
STRATEGIC designa como Delegado de Protección de Datos Personales (DPD) a Josué Andrés Castillo Escobar, quien funge como punto de contacto para consultas, reclamaciones y ejercicio de derechos relacionados con la protección de datos. El DPD puede ser contactado a través del correo electrónico lopd@strategic.ec, o al número 0963682923 y en la dirección señalada anteriormente.
5. Marco normativo aplicable
La política se basa en la legislación ecuatoriana vigente y en estándares internacionales, entre ellos:
Constitución de la República del Ecuador (artículos 66.19 y 92), que reconocen el derecho a la protección de datos personales. Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento. Normas ISO/IEC 27001 e ISO/IEC 27701 sobre gestión de la seguridad y de la privacidad de la información. Normativa laboral, tributaria, comercial y educativa aplicable a las actividades de STRATEGIC. Otras resoluciones y directrices emitidas por la Autoridad de Protección de Datos Personales y organismos competentes. Para efectos de esta política se utilizan los siguientes conceptos:
Titular Persona natural cuyos datos personales son objeto de tratamiento. Dato personal: Información que identifica o hace identificable a una persona, de manera directa o indirecta. Por ejemplo: nombres, cédula, correo electrónico, número telefónico, geolocalización, datos financieros, datos de salud, datos biométricos. Dato sensible: Datos relacionados con la esfera más íntima (etnia, orientación sexual, salud, biometría, creencias religiosas o políticas, origen sindical, etc.). Su tratamiento requiere medidas reforzadas y justificación legal expresa. Tratamiento: Cualquier operación realizada sobre datos personales, automatizada o no, como la recolección, registro, organización, conservación, modificación, consulta, uso, comunicación, transferencia o eliminación. Responsable del tratamiento: Persona natural o jurídica que decide sobre la finalidad y medios del tratamiento (en este caso STRATEGIC). Encargado del tratamiento: Persona natural o jurídica que trata datos personales por cuenta del responsable. Delegado de Protección de Datos (DPD): Persona designada por el responsable para supervisar el cumplimiento de la LOPDP y servir de punto de contacto con los titulares y la autoridad competente. Consentimiento: Manifestación libre, específica, informada e inequívoca del titular mediante la cual autoriza el tratamiento de sus datos personales. 7. Principios y bases legales de legitimación
STRATEGIC se compromete a observar los principios establecidos en la LOPDP y en los estándares internacionales, entre el
Licitud y lealtad: Los datos se tratarán de manera lícita y justa, de acuerdo con la ley y sin engaños. Transparencia: Se informará al titular sobre todos los aspectos relevantes del tratamiento, conforme al artículo 12 de la LOPDP. Finalidad y minimización: Los datos se recabarán con fines determinados, explícitos y legítimos y solo se utilizarán para esos fines, recogiendo la cantidad mínima necesaria. Exactitud: Se adoptarán medidas razonables para que los datos sean exactos y estén actualizados. Limitación de conservación: Los datos se conservarán únicamente el tiempo necesario para cumplir con las finalidades establecidas y las obligaciones legales. Integridad y confidencialidad: Se protegerán los datos mediante medidas técnicas, organizativas y jurídicas adecuadas para evitar el acceso no autorizado, la alteración o la pérdida. Responsabilidad proactiva: STRATEGIC demostrará el cumplimiento de la normativa mediante políticas, procedimientos y evidencias. Las bases legales que legitiman el tratamiento de datos por parte de STRATEGIC incluyen:
Consentimiento del titular: otorgado de forma previa e informada. Ejecución de relaciones contractuales: gestión precontractual y contractual con empleados, clientes, proveedores y socios. Cumplimiento de obligaciones legales o judiciales: incluidas las obligaciones tributarias, laborales, de seguridad social y de seguridad de la información. Interés legítimo del responsable: previa evaluación de proporcionalidad, por ejemplo, para garantizar la seguridad de las instalaciones o mejorar servicios. Protección de intereses vitales: del titular o de otra persona, como la vida e integridad física. 8. Categorías de datos tratados.
En función de sus operaciones, STRATEGIC trata las siguientes categorías de datos personales:
Datos de identificación y contacto: nombres, apellidos, cédula o pasaporte, RUC, fecha de nacimiento, dirección, correo electrónico y teléfonos de contacto. Datos laborales y académicos: cargo, área, formación, experiencia profesional, evaluaciones de desempeño y, para usuarios de las “Plataformas B”, datos de afiliación a instituciones educativas o empresas. Datos de salud y seguridad ocupacional: registros médicos necesarios para cumplir obligaciones en materia de seguridad y salud en el trabajo; datos relacionados con licencias o incapacidades. Datos biométricos e imágenes: fotografías utilizadas para credenciales de acceso y gestión en las “Plataformas B”, imágenes captadas por cámaras de videovigilancia (CCTV) y biometría de usuarios (empleados, padres de familia, estudiantes y personas relacionadas, definidas en los procesos internos de los clientes y usuarios de las “Plataformas B”) para control de jornada y/o acceso. Datos de geolocalización: coordenadas GPS y registros de planificación y ejecución de rutas de transporte escolar y empresarial para garantizar la seguridad de los pasajeros. Datos de navegación: información de uso del sitio web y plataformas (cookies, logs, direcciones IP), conforme a la política de cookies. En el caso de datos sensibles (salud, biometría) y de datos de menores de edad, STRATEGIC aplica un análisis de proporcionalidad, minimización y medidas de seguridad reforzadas. Para los menores se requiere autorización del representante legal y se respeta el interés superior del niño.
9. Finalidades del tratamiento
Los datos personales se tratan exclusivamente para las finalidades legítimas asociadas a las actividades de STRATEGIC. A continuación, se detallan por áreas:
9.1 Área Administrativa y Recursos Humanos
Gestión de personal: reclutamiento y selección de candidatos; administración de contratos laborales; control de asistencia y jornada; remuneraciones, beneficios sociales y liquidaciones; salud y seguridad ocupacional. Cumplimiento de obligaciones legales: afiliación al IESS y sistemas de seguridad social; reportes al Ministerio de Trabajo y al Servicio de Rentas Internas (SRI); atención de requerimientos de autoridades laborales y de protección de datos. Captación y prospección de clientes (leads): registrar y calificar potenciales clientes a partir de referidos, bases de datos públicas, eventos y formularios web. Negociación y gestión de ofertas comerciales: administrar las oportunidades de venta desde la calificación hasta el cierre; elaborar proformas y contratos; responder consultas y ajustar precios; gestionar la facturación y cobros; seguimiento postventa. Gestión de proveedores y adquisiciones: evaluar y seleccionar proveedores, gestionar cotizaciones y contratos, verificar cumplimiento de requisitos legales y de calidad. Estudios de campo para soluciones tecnológicas: levantar información técnica en colegios y empresas con fines de diseño e instalación de equipos de control de acceso y soluciones de transporte. 9.3 Área de Operaciones (“Plataformas B”)
Activación y parametrización de plataformas: registro de usuarios administradores y parametrización inicial de las plataformas. Mantenimiento de plataformas y bases de datos: administración, soporte y monitoreo de la infraestructura tecnológica (servidores, bases de datos, redes) para garantizar la disponibilidad, integridad y confidencialidad de la información. - Recepción y gestión de incidentes reportados por usuarios;
- Actualización de datos a petición de los clientes siempre y cuando la solicitud venga de administradores de la plataforma siguiendo los procesos internos para el envío y recepción de información sensible trabajando exclusivamente con el personal designado para este fin por las Instituciones Educativas y/o Empresas contratantes.
Seguimiento y mejora continua: análisis de datos históricos para optimizar los servicios y procesos internos y del cliente. 9.4 Área de Infraestructura Tecnológica y Desarrollo
Gestión de seguridad y transporte escolar y empresarial: administración de datos de estudiantes, padres, pasajeros y conductores para control de accesos y rutas; monitoreo de geolocalización y tiempos de recorrido; emisión de comprobantes electrónicos, de ser el caso, de acuerdo con las plataformas contratadas por el cliente. Corrección de errores de software y desarrollo: investigación y solución de incidencias en las plataformas; desarrollo de nuevas funcionalidades; acceso controlado a bases de datos de prueba y producción; uso de datos anonimizados cuando es posible. Gestión de cuentas y accesos internos: creación, modificación y eliminación de cuentas de usuario de empleados en los sistemas internos, asegurando el control de accesos y la vigencia de credenciales. 9.5 Área de Control y Seguimiento
Control de personal: registrar asistencia, horarios, permisos, ausencias y vacaciones de colaboradores para asegurar el cumplimiento de políticas internas. Auditoría de procesos y cumplimiento operacional: monitorear y validar el cumplimiento de tareas, procedimientos y políticas; elaborar informes de hallazgos y acciones correctivas; medir el rendimiento de áreas y la efectividad de medidas correctivas. 9.6 Gerencia y Dirección Estratégica
Toma de decisiones estratégicas y relación con clientes clave: análisis de información de alto nivel para establecer objetivos comerciales, financieros y de expansión; gestionar relaciones con clientes de alto valor. Representación legal y gestión de riesgos corporativos: atender requerimientos de autoridades, investigar incidentes o brechas, responder a reclamaciones legales; supervisar la gestión de riesgos de seguridad de la información. Gestión del talento ejecutivo y financiamiento corporativo: selección y evaluación de personal clave; administración de datos financieros, contables y societarios. 9.7 Otras finalidades legítimas
Comunicación e información institucional: envío de boletines, avisos de seguridad, novedades de productos, invitaciones a eventos y encuestas de satisfacción. Seguridad física y lógica: controles de acceso, videovigilancia, registro de visitantes y videograbaciones para proteger a las personas, instalaciones y activos. Cumplimiento de auditorías y control interno: verificación de conformidad con normativa interna y externa; prevención y detección de fraudes; fiabilidad de la información financiera y operativa. Cumplimiento de obligaciones tributarias y contables: emisión de facturas, retenciones y reportes al SRI; gestión de pagos y cobros. Los datos no serán utilizados para fines distintos a los aquí descritos. En caso de requerir un tratamiento ulterior, se informará al titular y se obtendrá la base legal correspondiente.
STRATEGIC recaba datos personales de las siguientes fuentes:
Información proporcionada directamente por los titulares: a través de formularios físicos y digitales, contratos, correos electrónicos, llamadas telefónicas, reuniones, encuestas, eventos, sitios web y aplicaciones móviles. Instituciones educativas y empresas clientes: datos de estudiantes, padres, colaboradores y pasajeros que utilizan los servicios de las “Plataformas B”, suministrados por las instituciones educativas y/o empresas en virtud de los contratos suscritos. Bases de datos públicas y registros oficiales: información obtenida del Servicio de Rentas Internas (SRI), Instituto Ecuatoriano de Seguridad Social (IESS), Sistema Único de Trabajo (SUT) y otras entidades gubernamentales para verificar la identidad y cumplimiento de obligaciones legales. Sistemas internos de STRATEGIC: bases de datos operacionales de todas las áreas, logs de sistemas, registros de asistencia y plataformas de monitoreo. Proveedores y aliados estratégicos: datos derivados de los servicios prestados (por ejemplo, consultoría de privacidad, digitación de documentos, contabilidad, servicios de hosting, transporte y catering), siempre en el marco de los contratos de encargo correspondientes. Interconexión de plataformas tecnológicas: información que es enviada a nuestras plataformas tecnológicas y de servicios mediante una API (Interfaz de Programación de Aplicaciones), por autorización de los clientes (instituciones educativas y/o empresas), a través de sus propios sistemas de información o mediante plataformas tecnológicas de terceros utilizadas por los clientes, independientemente del modelo tecnológico operativo que utilicen para este fin. 11. Encargados, destinatarios y terceros
STRATEGIC solo comparte datos personales con terceros cuando es estrictamente necesario para cumplir las finalidades descritas o las obligaciones legales. Los principales destinatarios y encargados son:
Proveedores de servicios de tecnología y nube: Amazon Web Services (AWS), Google Cloud Platform (GCP), servidores de hosting, servidores de bases de datos, servicios de CRM y ERP, donde se alojan aplicaciones y datos de las plataformas; estos proveedores actúan como encargados de tratamiento y garantizan la confidencialidad y seguridad mediante acuerdos contractuales y medidas técnicas. Entidades financieras y bancarias: para la gestión de nómina, pagos a proveedores y recepción de pagos de clientes. Instituciones públicas: IESS, SRI, SUT, Ministerio de Trabajo y demás autoridades administrativas o judiciales, en cumplimiento de obligaciones legales o requerimientos fundamentados. Proveedores de servicios profesionales: consultoras de privacidad y seguridad de la información, servicios de digitación de documentos, contabilidad y auditoría externa. Clientes institucionales (colegios y empresas): quienes pueden consultar los datos de usuarios que utilizan las “Plataformas B” dentro de su ámbito de responsabilidad. Otras plataformas tecnológicas de clientes (colegios y empresas): bajo autorización del propietario responsable de la información, se pueden transferir datos desde nuestras plataformas tecnológicas hacia plataformas tecnológicas de los clientes y/o de terceros contratados por nuestros clientes, utilizando mecanismos tecnológicos seguros (API). Todos los encargados de tratamiento celebran contratos con cláusulas específicas de confidencialidad, seguridad y transferencia local e internacional de datos, conforme a la LOPDP y las normas ISO.
12. Transferencias internacionales de datos
STRATEGIC opera sus plataformas en infraestructura de nube proporcionada principalmente por Amazon Web Services (AWS) y Google Cloud Platform (GCP). Esto implica que algunos datos pueden ser almacenados o procesados en servidores situados fuera del Ecuador. En estos casos:
Se aplican salvaguardas contractuales y técnicas, incluyendo acuerdos de procesamiento de datos (Data Processing Agreement) y cláusulas de transferencia basadas en la LOPDP y estándares internacionales. Se evalúa la idoneidad de la jurisdicción de destino, privilegiando países con niveles adecuados de protección de datos y proveedores reconocidos internacionalmente. Se seudoanonimizan o anonimizan los datos sensibles antes de transferirlos, cuando es aplicable. Se informa al titular sobre la existencia de transferencias internacionales y se solicita su consentimiento expreso cuando la ley lo exija. STRATEGIC no vende ni comercializa datos personales a terceros. Todas las transferencias se limitan a los fines aquí descritos y se realizan bajo estricto cumplimiento de la normativa.
13. Conservación y eliminación de datos
Los datos personales se conservarán únicamente durante el tiempo necesario para cumplir las finalidades del tratamiento y las obligaciones legales, contractuales o administrativas. En general, se aplican los siguientes criterios de conservación:
Datos laborales: se conservan durante la vigencia de la relación laboral y por un plazo adicional de hasta cinco (5) años después de su terminación, para atender reclamaciones laborales y obligaciones legales. Datos contractuales de clientes y proveedores: se conservan durante la relación comercial y hasta siete (7) a diez (10) años después de su finalización, en atención a obligaciones tributarias y mercantiles. Registros de leads y datos comerciales: se conservan mientras se mantenga la relación comercial y mientras exista interés legítimo en el servicio; en caso contrario, se anonimizarán o eliminarán. Datos operacionales de las “Plataformas B”: se conservan mientras dure el contrato con la institución educativa o empresa y se eliminan o anonimizan una vez culminado el vínculo contractual, salvo que la ley establezca un periodo distinto. Videos de vigilancia (CCTV): se conservan como regla general durante 30 días, salvo incidentes de seguridad que justifiquen un periodo mayor o un requerimiento de autoridad competente. Copias de seguridad y respaldos: STRATEGIC mantiene backups cifrados de sus sistemas y bases de datos; estos respaldos se conservarán según los ciclos de retención definidos en el SGSI y se eliminarán de manera segura una vez cumplida su finalidad. Una vez vencidos los periodos de conservación, los datos se eliminarán, bloquearán o anonimizarán mediante procesos de borrado seguro, de acuerdo con la política interna de eliminación y destrucción de soportes (por ejemplo, borrado seguro definido por el proveedor de nube o herramientas como GPG para cifrado y eliminación segura).
14. Seguridad de la información
STRATEGIC cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) alineado con las normas ISO/IEC 27001 e ISO/IEC 27701, que incluye políticas, procedimientos y controles para proteger los datos personales durante todo su ciclo de vida. Entre las principales medidas se encuentran:
Gobernanza y evaluación de riesgos: identificación y análisis de riesgos de privacidad; realización de Evaluaciones de Impacto a la Protección de Datos (EIPD) en tratamientos de alto riesgo, como biometría y geolocalización. Gestión de identidades y accesos: asignación de perfiles y permisos basados en roles; autenticación robusta; uso de contraseñas seguras y autenticación multifactor cuando aplica. Cifrado y seudoanonimización: cifrado de la información en tránsito (mediante HTTPS, VPN, GPG) y en reposo (almacenamiento cifrado en NAS y servicios de nube); seudoanonimización de datos sensibles en bases de datos y respaldos. Segregación de ambientes y control de cambios: separación de entornos de desarrollo, pruebas y producción; controles de cambio y despliegue para evitar accesos rno autorizados. Registro de eventos y monitoreo: bitácoras de acceso y auditoría; monitoreo continuo de sistemas para detección temprana de incidentes; pruebas de penetración y análisis de vulnerabilidades periódicos. Gestión de incidentes: procedimientos para la notificación y respuesta ante brechas de seguridad, incluyendo comunicación a la Autoridad de Protección de Datos Personales y a los titulares cuando corresponda. Respaldo y recuperación: generación de respaldos automáticos mensuales y cuando se realizan cambios significativos; almacenamiento de respaldos en servicios de nube cifrada; pruebas periódicas de restauración; control de acceso a respaldos y registro de operaciones realizadas. Formación y concienciación: programas de capacitación periódica para empleados y colaboradores sobre protección de datos, seguridad de la información y ciberseguridad. 15. Tratamientos específicos y salvaguardas
Algunos tratamientos requieren medidas reforzadas debido a su naturaleza o al tipo de datos involucrados:
Videovigilancia (CCTV): las instalaciones de STRATEGIC y de sus clientes pueden contar con cámaras de seguridad. Se señaliza la presencia de cámaras, se limita el acceso a las grabaciones a personal autorizado y se conservan por un máximo de 30 días, salvo que se requiera preservar evidencias por incidentes o requerimientos de autoridad. El acceso a imágenes de terceros se realiza con desenfoque o medidas de protección de la identidad. Geolocalización y seguimiento de rutas: las “Plataformas B” utilizan datos de geolocalización para el monitoreo de rutas de transporte escolar y empresarial. Esta información se utiliza exclusivamente para garantizar la seguridad y puntualidad, y se comparte con los responsables autorizados de la institución o empresa contratante. Se conservan durante el plazo contractual y se eliminan o anonimizan al finalizar el servicio. Imágenes y cobertura institucional: STRATEGIC puede captar imágenes y videos en eventos corporativos o educativos con fines promocionales. Se solicita la autorización previa del titular o de su representante legal (en el caso de menores) y se ofrecen canales para revocar el consentimiento o ejercer el derecho de oposición. Plataformas y proveedores: se realiza un proceso de selección de proveedores con criterios de privacidad y seguridad; se suscriben contratos de encargo; se efectúan auditorías razonables y se revisan periódicamente las condiciones de los proveedores de servicios tecnológicos y de nube. Sitio web y cookies: el uso de cookies se rige por una política específica publicada en el sitio web de STRATEGIC. El sitio utiliza cookies estrictamente necesarias, analíticas y funcionales para mejorar la experiencia del usuario; el titular puede gestionar sus preferencias en el navegador. Plantillas biométricas para control de acceso: las “Plataformas B” pueden utilizar plantillas biométricas para la autenticación y control de acceso de usuarios. Estos datos se tratan con medidas de seguridad reforzadas, se almacenan de forma cifrada y se utilizan exclusivamente para los fines autorizados por el titular o su representante legal, conforme a la normativa aplicable. 16. Derechos de los titulares y canales de atención
Los titulares de datos personales tienen derechos irrenunciables sobre su información. Conforme a la LOPDP, pueden ejercer los siguientes derechos:
Derecho a la transparencia y a ser informado: a conocer de manera clara, sencilla y veraz todos los aspectos señalados en el artículo 12 de la LOPDP, incluyendo la identidad del responsable, las finalidades del tratamiento, los destinatarios, la base legal, la conservación y los mecanismos de ejercicio de derechos. Derecho de acceso: obtener confirmación sobre si sus datos están siendo tratados y recibir copia de los datos personales que posee STRATEGIC. Derecho de rectificación y actualización: solicitar la modificación o corrección de sus datos inexactos o incompletos. Derecho de eliminación (supresión): pedir la supresión de sus datos personales en los casos previstos en la ley. Derecho de oposición: oponerse al tratamiento de sus datos en determinadas circunstancias, salvo que exista un interés legítimo prevalente o una obligación legal. Derecho de portabilidad: recibir sus datos en un formato compatible y transferirlos a otro responsable. Derecho de suspensión: solicitar la suspensión temporal del tratamiento cuando se cumplan las condiciones del artículo 19 de la LOPDP. Derecho a no ser objeto de decisiones basadas exclusivamente en valoraciones automatizadas: oponerse, solicitar explicaciones y requerir intervención humana en decisiones que le afecten significativamente. Derecho a la educación digital y otros derechos complementarios: previstos en los artículos 22 y 23 de la LOPDP. Para ejercer cualquiera de estos derechos, el titular debe presentar una solicitud dirigida al DPD de STRATEGIC o mediante uno de los siguientes canales:
Correo electrónico: enviar una solicitud a lopd@strategic.ec con el asunto “Ejercicio de derechos – [Nombre completo] – [Asunto; derecho que se ejerce]”. Formulario en línea: completar el formulario de ejercicio de derechos disponible en la sección de privacidad del sitio web de STRATEGIC. Atención presencial: entregar la solicitud en las oficinas de STRATEGIC (Gregorio Flor N12-289 y Feliciano Checa, Urbanización Los Retoños, edificio PEGASUS, Oficina 6, Conocoto, Quito, Ecuador - ZIP Code 170803). Las solicitudes deben incluir como mínimo: nombre completo del titular y número de identificación; descripción clara del derecho que desea ejercer; sistema o área sobre la que se refiere (por ejemplo, BSCHOOL, BCOMPANY, RR.HH., facturación, CCTV); copia de un documento de identificación; y medio de respuesta elegido. STRATEGIC podrá requerir información adicional para verificar la identidad y legitimación del solicitante.
El responsable atenderá la solicitud en un plazo máximo de quince (15) días calendario. En casos complejos, este plazo podrá ampliarse por una sola vez y por un periodo equivalente, informando al titular los motivos de la prórroga. El ejercicio de derechos es gratuito y STRATEGIC se reserva el derecho de conservar prueba de la atención de la solicitud.
Si el titular considera que su solicitud no ha sido atendida conforme a la ley, podrá presentar un reclamo ante la Superintendencia de Protección de Datos Personales u otra autoridad competente.
1. Recepción y registro: el DPD o la persona designada registra la solicitud con fecha y número de radicado y envía al titular un acuse de recibo.
2. Verificación de identidad y legitimación: se valida la identidad del solicitante mediante los documentos proporcionados y se verifica que tenga legitimación para actuar (titular, representante legal, apoderado, etc.).
3. Análisis de la solicitud: se revisa la petición y se identifican las bases de datos y sistemas donde se encuentran los datos solicitados.
4. Ejecución: se realiza la acción solicitada (acceso, rectificación, actualización, eliminación, oposición, suspensión, portabilidad o revisión de decisiones automatizadas) de acuerdo con lo permitido por la normativa.
5. Respuesta: se comunica al titular la decisión adoptada y, en caso de ser procedente, se suministra la información o se ejecuta la medida solicitada. Si la solicitud es denegada total o parcialmente, se indicará la base legal que lo justifica.
6. Notificación a terceros: cuando proceda, se notificará a los encargados y destinatarios para que también actualicen o eliminen los datos.
18. Tratamiento de datos de niñas, niños y adolescentes (NNA1)
STRATEGIC reconoce el principio del interés superior del niño y aplica medidas especiales para el tratamiento de datos de menores de edad:
Se obtiene consentimiento expreso y por escrito de los representantes legales para el tratamiento de los datos personales de menores de 15 años. Los adolescentes mayores de 15 años pueden otorgar su consentimiento, salvo que la ley exija la intervención del representante. Se limita la recolección y uso de datos a los estrictamente necesarios para la prestación de servicios educativos y de transporte, adoptando criterios de minimización y protección reforzada. Se garantiza el derecho a ser escuchado de los NNA y se atienden sus solicitudes de acceso, rectificación y oposición cuando proceda. No se utilizarán los datos de NNA para finalidades de marketing ni se compartirán con terceros sin base legal. Las imágenes y grabaciones de NNA se utilizan únicamente con fines educativos o de difusión institucional y previa autorización. 19. Actualizaciones y vigencia
STRATEGIC se reserva el derecho de modificar la presente política cuando existan cambios en la normativa aplicable, en los procesos internos o en las finalidades del tratamiento. Las versiones actualizadas se publicarán en el sitio web oficial y entrarán en vigencia desde su publicación. Se indicará la versión y la fecha de actualización para que los titulares puedan verificar los cambios.
Esta Política de Protección de Datos Personales entra en vigor a partir de la fecha indicada en la cabecera y permanece en vigor hasta su actualización o sustitución.
HUGO ALEXANDER CHAMBA VOZMEDIANO
REPRESENTANTE LEGAL
