IMPLEMENTACIÓN LOPDP
POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES
COMPAÑÍA GENERAL DE COMERCIO COGECOMSA S.A.
|
Campo |
Detalle |
|
Responsable del tratamiento |
COMPAÑÍA GENERAL DE COMERCIO COGECOMSA S.A. |
|
RUC |
1790732657001 |
|
Representante legal |
LOZADA LOPEZ GERMAN BOLIVAR |
|
Domicilio |
Barrio Poder Judicial, calle Francisco de Orellana No. L 198 e intersección Hernando de Magallanes, edificio COGECOMSA S.A., PB, referencia: a doscientos metros del Puente Dos, Autopista General Rumiñahui, parroquia Conocoto, cantón Quito, provincia de Pichincha. |
|
Versión |
1.0 |
|
Fecha de emisión |
Quito, 05 de junio de 2026 |
|
Código documental |
LOPDP-POL-01-COGECOMSA |
|
Estado |
Documento de implementación - versión principal |
Documento elaborado para uso institucional del responsable del tratamiento, dentro del proceso de implementación de la Ley Orgánica de Protección de Datos Personales.
|
Elemento |
Descripción |
|
Documento |
Política de Tratamiento y Protección de Datos Personales |
|
Código |
LOPDP-POL-01-COGECOMSA |
|
Responsable |
COMPAÑÍA GENERAL DE COMERCIO COGECOMSA S.A. |
|
Versión |
1.0 |
|
Fecha de emisión |
05 de junio de 2026 |
|
Periodicidad de revisión |
Anual o cuando existan cambios normativos, tecnológicos, operativos, contractuales o de tratamiento de datos personales. |
|
Ámbito de aplicación |
Trabajadores, ex trabajadores, candidatos, clientes, proveedores, visitantes, contratistas, encargados, terceros y demás titulares cuyos datos personales sean tratados por la Compañía. |
Mediante la presente Política de Tratamiento y Protección de Datos Personales, la Compañía establece los lineamientos jurídicos, técnicos, administrativos y organizativos aplicables al tratamiento de datos personales que realiza en el desarrollo de su actividad económica, en cumplimiento de la Ley Orgánica de Protección de Datos Personales, su Reglamento General y demás normativa ecuatoriana aplicable.
Esta Política se emite como parte del proceso de implementación LOPDP de la Compañía y tiene por finalidad informar a los titulares sobre la forma en que sus datos personales son recopilados, registrados, almacenados, consultados, utilizados, comunicados, conservados, bloqueados, eliminados o tratados por cualquier medio físico, digital, automatizado o no automatizado.
La Política aplica a datos personales tratados actualmente y a aquellos que la Compañía trate en el futuro, siempre dentro de finalidades determinadas, explícitas, legítimas y proporcionales a la operación real de la Compañía. Su aplicación alcanza a trabajadores, ex trabajadores, candidatos, clientes, prospectos, consumidores cuando corresponda, proveedores, representantes legales, contactos comerciales, funcionarios o delegados de entidades públicas, visitantes, contratistas, transportistas, asesores, encargados del tratamiento y cualquier persona natural cuyos datos sean tratados por la Compañía.
Para estos efectos, COMPAÑÍA GENERAL DE COMERCIO COGECOMSA S.A., en adelante la "Compañía", es una sociedad domiciliada en la República del Ecuador, dedicada principalmente a fabricación y comercialización de productos de papel, papelería, artículos de limpieza y diversos productos al por mayor y menor, incluyendo ventas institucionales, catálogo electrónico, compras públicas, logística, facturación, cobranza, calidad, tesorería, contabilidad, talento humano, seguridad y salud ocupacional y gestión de sistemas.
Esta Política debe interpretarse de manera armónica con los demás documentos del sistema de protección de datos de la Compañía, incluyendo avisos cortos de privacidad, procedimiento de ejercicio de derechos ARCO+, formularios de solicitud, procedimiento de consentimiento informado y revocatoria, cláusulas laborales, cláusulas con proveedores y encargados, política de conservación y eliminación, protocolo de incidentes, política de seguridad de la información y lineamientos de uso de canales y repositorios.
|
Dato |
Información |
|
Responsable del tratamiento |
COMPAÑÍA GENERAL DE COMERCIO COGECOMSA S.A. |
|
RUC |
1790732657001 |
|
Representante legal |
LOZADA LOPEZ GERMAN BOLIVAR |
|
Domicilio |
Barrio Poder Judicial, calle Francisco de Orellana No. L 198 e intersección Hernando de Magallanes, edificio COGECOMSA S.A., PB, referencia: a doscientos metros del Puente Dos, Autopista General Rumiñahui, parroquia Conocoto, cantón Quito, provincia de Pichincha. |
|
Canales de atención de protección de datos |
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. . También se receptarán solicitudes escritas en el domicilio de la Compañía. |
|
Calidad en la que actúa |
Responsable del tratamiento, en cuanto decide sobre las finalidades, medios esenciales, bases legitimadoras y condiciones principales del tratamiento de datos personales en el desarrollo de sus actividades. |
La presente Política tiene como objetivo establecer los lineamientos bajo los cuales la Compañía trata y protege los datos personales en el desarrollo de su objeto y operación. Para ello, determina finalidades, bases legitimadoras, categorías de titulares, canales de captación, deberes del responsable, derechos de los titulares, reglas de conservación, mecanismos de atención, seguridad de la información y gestión de terceros o encargados del tratamiento.
La Política busca que todo tratamiento se realice de manera lícita, leal, transparente, segura, proporcional y documentada, evitando la recolección excesiva, la conservación indefinida no justificada, el uso de datos para finalidades incompatibles, el acceso no autorizado y la comunicación de datos personales sin base legitimadora.
Esta Política es aplicable a todos los tratamientos de datos personales realizados por la Compañía, por medios físicos, digitales, automatizados o no automatizados, en sus oficinas, establecimientos, operaciones, repositorios, sistemas, archivos físicos, canales de comunicación y plataformas tecnológicas.
Su cumplimiento es obligatorio para administradores, representantes, trabajadores, jefaturas, áreas operativas, proveedores, contratistas, encargados, subencargados, asesores, auditores, transportistas, agencias, proveedores tecnológicos y terceros que accedan a datos personales por cuenta o en relación con la Compañía.
Las áreas consideradas dentro del alcance operativo de esta Política incluyen, según corresponda a la operación real de la Compañía: ventas institucionales y compras públicas, cobranzas, calidad y certificaciones, marketing corporativo, tesorería, sistemas, talento humano, seguridad y salud ocupacional, logística, contabilidad, compras.
La presente Política se emite considerando la normativa ecuatoriana vigente en materia de protección de datos personales y demás normativa relacionada con la operación de la Compañía, incluyendo, de manera principal:
Cuando existan modificaciones normativas, criterios regulatorios o instrucciones de autoridad que incidan en el tratamiento de datos personales, la Compañía actualizará esta Política y los documentos internos relacionados.
Para efectos de esta Política se aplicarán las definiciones previstas en la LOPDP, su Reglamento y normativa concordante. Sin perjuicio de ello, para facilitar su comprensión se consideran especialmente las siguientes:
|
Término |
Definición operativa |
|
Dato personal |
Información que identifica o hace identificable a una persona natural, directa o indirectamente. |
|
Dato personal sensible |
Dato relativo a salud, discapacidad, datos biométricos, origen étnico, convicciones, vida sexual, orientación sexual, datos genéticos u otros cuya utilización indebida pueda generar discriminación o riesgo significativo para el titular. |
|
Titular |
Persona natural a quien corresponden los datos personales. |
|
Responsable del tratamiento |
Persona natural o jurídica que decide sobre la finalidad y medios esenciales del tratamiento. |
|
Encargado del tratamiento |
Persona natural o jurídica que trata datos personales por cuenta y bajo instrucciones del responsable. |
|
Tratamiento |
Cualquier operación sobre datos personales, como recolección, registro, almacenamiento, organización, consulta, uso, comunicación, transferencia, conservación, bloqueo, eliminación o destrucción. |
|
Base legitimadora |
Fundamento jurídico que habilita el tratamiento de datos personales, tales como consentimiento, contrato, obligación legal, interés legítimo, interés público o protección de intereses vitales. |
|
Vulneración de seguridad |
Evento que ocasione o pueda ocasionar destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales. |
|
Canal corporativo |
Medio físico o digital autorizado por la Compañía para recolectar, comunicar, almacenar o gestionar datos personales. |
|
Principio |
Aplicación en la Compañía |
|
Juridicidad, lealtad y transparencia |
Todo tratamiento deberá contar con una base legitimadora válida y ser informado al titular de manera clara, comprensible y suficiente. |
|
Finalidad |
Los datos serán tratados únicamente para finalidades determinadas, explícitas, legítimas y compatibles con la relación existente con el titular. |
|
Pertinencia y minimización |
Solo se recopilarán los datos necesarios y adecuados para cumplir la finalidad correspondiente, evitando solicitudes excesivas o no justificadas. |
|
Exactitud y actualización |
La Compañía procurará mantener los datos exactos y actualizados, habilitando mecanismos de rectificación y actualización. |
|
Limitación del plazo de conservación |
Los datos serán conservados durante el tiempo necesario para la finalidad informada y por los plazos exigidos por obligaciones legales, contractuales, tributarias, laborales, contables o de defensa jurídica. |
|
Seguridad, integridad y confidencialidad |
La Compañía adoptará medidas razonables de seguridad física, lógica, organizativa y contractual para prevenir pérdida, uso indebido, acceso no autorizado, alteración o divulgación indebida. |
|
Responsabilidad proactiva |
La Compañía deberá demostrar, mediante políticas, matrices, procedimientos, registros, evidencias y controles, que adopta medidas efectivas de cumplimiento. |
La Compañía, en su calidad de responsable del tratamiento, asume los siguientes deberes, sin perjuicio de los demás previstos en la normativa aplicable:
Para el cumplimiento de sus actividades, la Compañía podrá contratar o relacionarse con terceros que accedan o traten datos personales, tales como proveedores tecnológicos, auditores, asesores tributarios, contables, legales o laborales, bancos, aseguradoras, transportistas, couriers, agencias de marketing, proveedores de software, proveedores de cámaras o biométricos, médicos ocupacionales, laboratorios, contratistas, proveedores de seguridad, entidades públicas y otros terceros relacionados con la operación.
Cuando el tercero trate datos personales por cuenta y bajo instrucciones de la Compañía, deberá ser tratado como encargado del tratamiento y suscribirá un contrato, cláusula o anexo que establezca, como mínimo: objeto, duración, naturaleza, finalidad, tipo de datos, categorías de titulares, instrucciones del responsable, confidencialidad, medidas de seguridad, subencargos, asistencia en derechos, incidentes, devolución o eliminación de datos y prohibición de uso para fines propios no autorizados.
Cuando el tercero reciba datos como destinatario independiente por obligación legal, contractual o por su propia calidad de responsable, la comunicación deberá estar limitada a los datos necesarios para la finalidad y documentada en la matriz de terceros o registro correspondiente.
Los titulares podrán ejercer, de forma gratuita y conforme a la normativa aplicable, los derechos reconocidos en materia de protección de datos personales. La Compañía garantizará el ejercicio de estos derechos a través de los canales señalados en esta Política y en los formularios de solicitud correspondientes.
|
Derecho |
Alcance |
|
Acceso |
Conocer si sus datos personales están siendo tratados y obtener información sobre las finalidades, categorías de datos, destinatarios, conservación y demás aspectos del tratamiento. |
|
Rectificación y actualización |
Solicitar la corrección de datos inexactos, incompletos, erróneos o desactualizados. |
|
Eliminación |
Solicitar la supresión de datos cuando se cumplan las condiciones legales y no exista obligación legal, contractual, contable, tributaria, laboral o de defensa que exija conservarlos. |
|
Oposición |
Oponerse al tratamiento cuando proceda legalmente, especialmente frente a tratamientos basados en interés legítimo o comunicaciones comerciales no deseadas. |
|
Anulación |
Solicitar la anulación del tratamiento cuando se configure una causal legal aplicable. |
|
Limitación o suspensión del tratamiento |
Solicitar la restricción temporal del tratamiento en los supuestos previstos por la normativa. |
|
Portabilidad |
Recibir o transmitir sus datos en formato estructurado, cuando el tratamiento se base en consentimiento o contrato y se realice por medios automatizados, siempre que no afecte derechos de terceros. |
|
No ser objeto de decisiones automatizadas |
Solicitar intervención humana, explicación o impugnación cuando exista una decisión basada únicamente en tratamientos automatizados que produzca efectos jurídicos o afecte significativamente al titular. |
|
Revocatoria del consentimiento |
Retirar el consentimiento otorgado cuando el tratamiento se sustente en esta base, sin afectar la licitud de los tratamientos realizados con anterioridad ni aquellos amparados en otra base legitimadora. |
La Compañía podrá recopilar datos personales a través de diferentes canales, siempre que exista una base legitimadora y finalidad determinada. Entre los canales de captación se incluyen:
En la operación específica de la Compañía, las fuentes y canales relevantes incluyen:
La recolección de datos personales deberá limitarse a aquellos datos adecuados, pertinentes y necesarios para la finalidad correspondiente. Las áreas de la Compañía deberán evitar solicitar documentos o datos adicionales cuando la finalidad pueda cumplirse con información menos invasiva.
El titular deberá procurar entregar información veraz, completa, exacta y actualizada. La Compañía no será responsable por daños o errores derivados de información falsa, incompleta, inexacta o desactualizada entregada por el titular, sin perjuicio de facilitar los mecanismos de rectificación y actualización cuando corresponda.
Las áreas que reciban solicitudes de actualización, corrección o rectificación deberán canalizarlas conforme al procedimiento interno de derechos ARCO+ y, cuando sea posible, corregir operativamente el dato en el sistema o archivo correspondiente.
La Compañía tratará datos personales únicamente cuando exista una base legitimadora prevista en la LOPDP. La base aplicable dependerá de la finalidad, la categoría de datos, la relación con el titular y el riesgo del tratamiento.
|
Base legitimadora |
Aplicación práctica |
|
Consentimiento del titular |
Aplicable a tratamientos voluntarios, no necesarios para ejecutar una relación contractual, cumplir obligaciones legales o satisfacer un interés legítimo prevalente; por ejemplo, ciertas comunicaciones comerciales, uso de imagen para redes sociales o finalidades promocionales no indispensables. |
|
Ejecución de contrato o aplicación de medidas precontractuales |
Aplicable a selección de personal, contratación laboral, gestión de clientes, proveedores, cotizaciones, órdenes de compra, prestación de servicios, ventas, entregas, atención de reclamos y demás relaciones contractuales. |
|
Cumplimiento de obligación legal |
Aplicable a obligaciones tributarias, contables, societarias, laborales, seguridad social, seguridad y salud ocupacional, reportes a autoridades, requerimientos judiciales o administrativos y conservación documental obligatoria. |
|
Interés legítimo del responsable o de un tercero |
Aplicable cuando exista una finalidad legítima, necesaria y proporcionada, sin afectar indebidamente derechos del titular; por ejemplo, seguridad física, videovigilancia, prevención de fraude, defensa jurídica, gestión de incidentes, continuidad operativa y seguridad de la información. |
|
Protección de intereses vitales |
Aplicable en situaciones excepcionales de emergencia médica, seguridad, accidentes, incidentes o riesgos graves que requieran tratar datos para proteger la vida o integridad del titular o de terceros. |
|
Interés público o ejercicio de competencias públicas |
Aplicable cuando se atiendan requerimientos de autoridades, procesos de contratación pública, catálogo electrónico, entidades de control o demás supuestos habilitados por la ley. |
La Compañía evitará fundamentar en consentimiento aquellos tratamientos que sean necesarios para ejecutar contratos, cumplir obligaciones legales, gestionar la relación laboral, emitir facturas, realizar pagos, reportar información a autoridades, administrar seguridad y salud ocupacional, proteger instalaciones o ejercer defensa jurídica. En tales casos, la base será la que corresponda legalmente.
Cuando el tratamiento se sustente en el consentimiento, el titular podrá revocarlo en cualquier momento mediante los canales habilitados por la Compañía. La revocatoria podrá ser total o parcial respecto de una o varias finalidades autorizadas.
La revocatoria no afectará la licitud de los tratamientos realizados antes de su recepción ni impedirá que la Compañía continúe tratando datos personales cuando exista otra base legitimadora, como cumplimiento de obligaciones legales, ejecución contractual, seguridad, interés legítimo, defensa jurídica o conservación documental obligatoria.
La Compañía garantizará mecanismos razonables para que la revocatoria sea tan sencilla como la forma en que se otorgó el consentimiento, especialmente en comunicaciones comerciales, uso de imagen y finalidades voluntarias.
Los datos personales podrán ser sometidos a operaciones de recolección, registro, almacenamiento, organización, conservación, consulta, uso, análisis, comunicación, transferencia, cotejo, actualización, bloqueo, eliminación, anonimización o destrucción, según corresponda a la finalidad y base legitimadora aplicable.
La Compañía tratará datos personales para las siguientes finalidades generales y específicas:
Gestión de cotizaciones, órdenes de compra, contratos, actas de entrega-recepción, facturas, guías, datos de administradores de contrato, funcionarios públicos, representantes legales, contactos técnicos y comunicaciones vinculadas a la ejecución contractual.
Gestión de historial de pagos, compromisos de pago, acuerdos, comunicaciones de cobro, reportes de cartera, actas, garantías técnicas, documentos habilitantes y coordinación con abogados o asesores cuando corresponda.
Gestión de informes, certificaciones, trámites ante entidades de regulación, registros de responsables, operadores, funcionarios públicos, representantes legales, correos, teléfonos, firmas y soportes documentales.
Preparación de pedidos, despacho, hojas de ruta, guías, direcciones, teléfonos, contactos de recepción, firmas, fotografías o soportes de entrega, coordinación con transportistas internos, externos o courier.
La Compañía no tendrá como finalidad ordinaria tratar datos de niños, niñas y adolescentes, salvo cuando resulte necesario por la naturaleza de la relación laboral, contractual, de beneficios, cargas familiares, seguridad social, emergencias, relaciones de consumo o cualquier otra finalidad legítima. En tales casos, se aplicarán medidas reforzadas de protección y, cuando corresponda, se requerirá la autorización de su representante legal o la base legitimadora aplicable conforme a la normativa vigente.
Los datos de hijos, cargas familiares o dependientes de trabajadores se tratarán principalmente para cumplir obligaciones laborales, seguridad social, beneficios, emergencias, registros internos o requerimientos legales, evitando usos incompatibles o divulgación innecesaria.
La Compañía reconoce que puede tratar datos personales sensibles, especialmente en materia laboral, salud ocupacional, discapacidad, embarazo, certificados médicos, accidentes, permisos médicos, enfermedades profesionales, datos biométricos, contactos de emergencia, cargas familiares con discapacidad o enfermedad y demás información que requiera protección reforzada.
El tratamiento de datos sensibles se realizará únicamente cuando exista base legitimadora suficiente, finalidad específica, necesidad y proporcionalidad. El acceso estará restringido al personal autorizado y deberá mantenerse separado del expediente general cuando sea recomendable por su naturaleza, especialmente en información médica o de salud ocupacional.
La Compañía no utilizará datos sensibles para finalidades discriminatorias, comerciales incompatibles o ajenas a la relación que motivó su recolección. Cualquier comunicación a terceros deberá responder a obligación legal, contrato, interés vital, autorización válida o finalidad legítima y necesaria.
La Compañía conservará los datos personales durante el tiempo necesario para cumplir la finalidad que originó su tratamiento y por los plazos exigidos por obligaciones legales, contractuales, tributarias, laborales, contables, societarias, administrativas, de auditoría o defensa jurídica. Vencidos los plazos aplicables, la información deberá eliminarse, anonimizarse o bloquearse de forma segura, según corresponda.
|
Categoría documental o finalidad |
Tiempo o criterio de conservación |
|
Hojas de vida de candidatos no contratados |
Durante el proceso de selección y hasta un (1) año posterior al cierre del proceso, salvo autorización para mantener el perfil por mayor tiempo o necesidad de defensa ante reclamos. |
|
Expediente laboral de trabajadores y ex trabajadores |
Durante la relación laboral y, luego de su terminación, por el plazo necesario para cumplimiento de obligaciones laborales, seguridad social, tributarias y defensa jurídica. Como regla interna mínima se conservará hasta siete (7) años, salvo que una norma exija un plazo mayor. |
|
Información de salud ocupacional, accidentes, certificados médicos, incapacidades, discapacidad, embarazo, enfermedades profesionales y seguridad industrial |
Durante el plazo necesario para cumplir obligaciones de seguridad y salud ocupacional, trazabilidad de enfermedades profesionales, auditorías, reportes regulatorios y defensa jurídica. Como regla interna se aplicará un plazo de hasta quince (15) años cuando corresponda por riesgo laboral o enfermedad profesional. |
|
Datos de clientes, contactos comerciales, ventas, pedidos, entregas, facturación, cobranza y reclamos |
Durante la relación comercial, contractual o de servicio y por el plazo necesario para obligaciones tributarias, contables, contractuales, atención de reclamos, auditoría y defensa jurídica. |
|
Datos de proveedores, representantes, cuentas bancarias, certificados, órdenes de compra, cotizaciones y contratos |
Durante la relación comercial o contractual y por el plazo necesario para obligaciones tributarias, contables, contractuales, auditoría, control interno, prevención de fraude y defensa jurídica. |
|
Videovigilancia |
Durante el tiempo estrictamente necesario para seguridad, prevención e investigación de incidentes. En caso de incidente, reclamo, investigación, auditoría o requerimiento de autoridad, la grabación podrá conservarse durante el plazo necesario para dicha finalidad. |
|
Biométricos y control de acceso |
Durante la relación laboral, contractual o de autorización de acceso que justifique su uso, y hasta que dejen de ser necesarios para control de acceso y seguridad, aplicando medidas reforzadas de seguridad. |
|
Marketing y comunicaciones promocionales |
Hasta que el titular revoque su consentimiento, solicite oposición, baja o exclusión de comunicaciones, o hasta que la base deje de ser pertinente y actualizada. |
|
Expedientes de compras públicas, órdenes de compra, actas de entrega, facturas, retenciones, soportes tributarios y contables |
Al menos siete (7) años o durante el plazo legal aplicable para obligaciones tributarias, contractuales, contables, administrativas o de auditoría. |
La conservación indefinida solo será admisible cuando exista una obligación legal o necesidad legítima debidamente justificada. Las áreas deberán evitar conservar documentos, copias, bases duplicadas, capturas, archivos de WhatsApp, correos, impresiones o respaldos personales cuando ya no sean necesarios.
La Compañía podrá comunicar o transferir datos personales a terceros nacionales o internacionales únicamente cuando exista base legitimadora, finalidad determinada y garantías suficientes. Entre los destinatarios posibles se encuentran autoridades públicas, SRI, IESS, MDT/SUT, Superintendencias, entidades de control, entidades públicas contratantes, bancos, auditores, asesores tributarios, contables o legales, proveedores de software, proveedores tecnológicos, transportistas, couriers, aseguradoras, proveedores de salud ocupacional, agencias de marketing, empresas del grupo económico, clientes institucionales y encargados del tratamiento.
Las transferencias internacionales, de existir, deberán cumplir las condiciones previstas en la LOPDP y su Reglamento, incluyendo garantías adecuadas, cláusulas contractuales, evaluación de nivel de protección, consentimiento cuando corresponda u otra base habilitante. El uso de plataformas, nubes, correos, sistemas, hosting, soporte remoto o proveedores internacionales deberá documentarse en el inventario de activos, matriz de terceros y contratos correspondientes.
En todos los casos se aplicarán principios de minimización, confidencialidad, seguridad y trazabilidad, entregando únicamente la información necesaria para la finalidad respectiva.
La Compañía adoptará medidas técnicas, administrativas, físicas, organizativas, jurídicas y contractuales orientadas a proteger datos personales frente a pérdida, destrucción, alteración, uso indebido, acceso no autorizado, divulgación, tratamiento ilícito o incidentes de seguridad. Las medidas se aplicarán según el nivel de riesgo, naturaleza de los datos, volumen, sistemas utilizados y titulares involucrados.
Entre las medidas mínimas se encuentran:
La seguridad de datos personales se complementará con la Política Interna de Seguridad de la Información Aplicada a Datos Personales y con los Lineamientos de Uso de WhatsApp, correo, Drive, OneDrive, NAS, impresoras, carpetas compartidas y archivo físico emitidos dentro del sistema documental LOPDP de la Compañía.
Todo trabajador, proveedor, encargado, contratista o tercero que conozca una pérdida de documentos, envío equivocado de información, acceso indebido, fuga de datos, suplantación, phishing, daño de equipo, robo, eliminación accidental, divulgación no autorizada o cualquier evento que pueda comprometer datos personales, deberá comunicarlo de inmediato al responsable interno designado y al área de sistemas o gerencia, según corresponda.
La Compañía evaluará el incidente, determinará datos y titulares afectados, nivel de riesgo, medidas de contención, acciones correctivas, evidencias, responsables y, cuando corresponda, notificará a la Superintendencia de Protección de Datos Personales y a los titulares afectados conforme a la LOPDP, su Reglamento y procedimiento interno.
Los titulares podrán presentar solicitudes, consultas, reclamos, revocatorias o ejercicio de derechos sobre sus datos personales a través de los siguientes canales oficiales de atención:
|
Canal / requisito |
Detalle |
|
Canal físico |
Barrio Poder Judicial, calle Francisco de Orellana No. L 198 e intersección Hernando de Magallanes, edificio COGECOMSA S.A., PB, referencia: a doscientos metros del Puente Dos, Autopista General Rumiñahui, parroquia Conocoto, cantón Quito, provincia de Pichincha. |
|
Canal electrónico o corporativo |
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. También se receptarán solicitudes escritas en el domicilio de la Compañía. |
|
Contenido mínimo de la solicitud |
Nombre del titular, identificación, derecho que ejerce, descripción clara de la solicitud, datos de contacto para respuesta, documentos que acrediten identidad y, cuando corresponda, representación legal o autorización del titular. |
|
Documento sugerido |
Formulario de ejercicio de derechos ARCO+ emitido por la Compañía dentro de su sistema documental LOPDP. |
Cuando la solicitud sea improcedente, afecte derechos de terceros, comprometa información confidencial, se refiera a datos que deben conservarse por obligación legal o resulte imposible de atender por razones justificadas, la Compañía emitirá una respuesta motivada.
La Compañía responderá las solicitudes por medio físico, electrónico o cualquier otro canal suministrado por el titular para tal efecto, procurando usar un medio seguro y verificable. Cuando el titular proporcione más de un canal de respuesta, la Compañía podrá elegir el canal más adecuado para garantizar confidencialidad, trazabilidad y recepción efectiva.
En caso de solicitudes que involucren datos sensibles, documentos de identidad, certificados médicos, datos bancarios, datos de trabajadores o información confidencial, la Compañía podrá aplicar medidas adicionales de verificación antes de entregar información.
La Compañía procurará mantener sus bases de datos, archivos físicos, registros digitales, sistemas, reportes y documentos actualizados, exactos y completos. Para ello podrá realizar procesos de depuración, eliminación de duplicados, corrección de datos erróneos, inactivación de usuarios, revisión de accesos y actualización de información de clientes, proveedores, trabajadores y terceros.
Las áreas que identifiquen datos duplicados, erróneos, desactualizados, excesivos, sin finalidad vigente o almacenados en canales no autorizados deberán reportarlo para su corrección conforme al procedimiento interno correspondiente.
La Compañía mantendrá, conforme a su sistema de implementación LOPDP, registros, matrices y evidencias que permitan demostrar responsabilidad proactiva. Entre ellos se incluyen Registro de Actividades de Tratamiento, inventario de activos de información, matriz de riesgos, matriz de brechas, matriz de terceros y encargados, matriz de bases legitimadoras, matriz de conservación, protocolos, formularios, actas de capacitación, avisos y documentos contractuales.
Cuando la autoridad competente determine mecanismos de registro nacional o actualización de bases, tratamientos o responsables, la Compañía procederá conforme a las obligaciones que resulten aplicables.
La Compañía podrá designar un responsable interno, comité o punto de contacto de protección de datos personales para coordinar la implementación, seguimiento, actualización, atención de derechos, incidentes, capacitación y mejora continua del sistema de protección de datos. Esta designación no sustituye las responsabilidades legales del responsable del tratamiento ni la eventual obligación de designar Delegado de Protección de Datos cuando legalmente corresponda.
Las áreas operativas deberán colaborar con dicho responsable interno o comité, especialmente en la identificación de tratamientos, gestión de solicitudes, incidentes, actualización de matrices, contratos con terceros, depuración de información y ejecución de medidas correctivas.
Toda modificación a esta Política deberá responder a cambios normativos, regulatorios, tecnológicos, operativos, contractuales, organizativos, de riesgo o de tratamiento de datos personales. La modificación será revisada por gerencia, áreas involucradas y el responsable interno de protección de datos o comité designado, dejando constancia documental de la versión aprobada.
Las modificaciones serán comunicadas a los titulares por medios razonables según la naturaleza del cambio, tales como publicación interna, correo, aviso web, aviso físico, comunicación contractual, actualización de formularios o inclusión en canales corporativos.
La presente Política rige a partir de su aprobación y publicación interna o externa por la Compañía, y deja sin efecto cualquier disposición anterior que le sea contraria en materia de tratamiento y protección de datos personales.
Todo aspecto no previsto expresamente en esta Política se regirá por la Constitución de la República del Ecuador, la Ley Orgánica de Protección de Datos Personales, su Reglamento General, normativa emitida por la autoridad competente y demás disposiciones aplicables.
Los formularios deberán presentarse completos, firmados física o electrónicamente, acompañados del documento que acredite identidad y, cuando corresponda, la representación o autorización del titular.
|
Campo |
Detalle |
|
Responsable del tratamiento |
COMPAÑÍA GENERAL DE COMERCIO COGECOMSA S.A. |
|
Aprobación |
Representante legal / Gerencia General / órgano de administración correspondiente |
|
Fecha |
05 de junio de 2026 |
|
Versión aprobada |
1.0 |
Autopista General Rumiñahui entre el puente dos y el puente tres.
Calle Francisco de Orellana L-198 y Hernando de Magallanes.
Quito - Ecuador
Tel. : (02) 3814360 o al 69
servicioalcliente@cogecomsa.ec
www.cogecomsa.ec
Este sitio web utiliza cookies propias y/o de terceros para garantizar su correcto funcionamiento, mejorar la experiencia de navegación, analizar el uso del sitio y, de ser el caso, gestionar contenidos o comunicaciones comerciales. Al continuar navegando, usted acepta el uso de cookies conforme a nuestra Política de Tratamiento y Protección de Datos Personales.
Puede aceptar, rechazar o configurar el uso de cookies en cualquier momento, según las opciones habilitadas en este sitio web.