POLÍTICA INTERNA DE PROTECCIÓN DE DATOS PERSONALES.
LA PRADERA / NUTRISIM S.A.
LA PRADERA / NUTRISIM S.A. – Latacunga, Ecuador
1. Introducción y Objeto
LA PRADERA / NUTRISIM S.A. es una empresa especializada en la producción y comercialización de alimentos, enfocada en la molienda de cereales y en la producción de harinas, incluyendo harina de trigo, avena, maíz y otros cereales, atendiendo canales modernos y tradicionales. Esta política establece el marco interno para tratar datos personales conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador y normativa conexa, buscando proteger los derechos de las personas y asegurar un cumplimiento integral en todos los procesos operativos, administrativos y comerciales de la compañía.
Objeto. Definir principios, roles, finalidades, medidas y procedimientos para el tratamiento legítimo, leal, proporcional y seguro de los datos personales en LA PRADERA / NUTRISIM S.A., incluyendo categorías especiales y tratamientos con videovigilancia (CCTV) y geolocalización vehicular. Esta política es de cumplimiento obligatorio para toda persona que trate datos por cuenta de LA PRADERA / NUTRISIM S.A.
2. Ámbito y Aplicación
Territorio: Aplica a todas las operaciones y oficinas de LA PRADERA / NUTRISIM S.A. en Ecuador, así como a los sistemas internos (Fénix, correo corporativo, archivos físicos, DVR de CCTV, plataformas de proveedores de rastreo satelital) y dispositivos utilizados para el tratamiento.
Sujetos obligados:
• Personal interno (empleados de todas las áreas: Talento Humano, Producción, SSO, Calidad, Compras, Bodega, Recepción/Garita, Facturación/Crédito y Cobranzas).
• Encargados del tratamiento (proveedores que prestan servicios con acceso a datos: plataforma de rastreo vehicular, proveedores tecnológicos de almacenamiento y sistemas).
• Terceros autorizados (auditorías, bancos, entidades públicas como SRI, IESS, MDT, Policía Nacional para recuperación vehicular, cuando corresponda).
3. Principios (Art. 10 LOPDP)
LA PRADERA / NUTRISIM S.A. observará de forma transversal los siguientes principios en todo tratamiento: juridicidad, lealtad, transparencia, finalidad, pertinencia y minimización, proporcionalidad, confidencialidad, calidad y exactitud, conservación, seguridad, responsabilidad proactiva y demostrada, aplicación favorable al titular, e independencia del control.
Aterrizaje práctico en LA PRADERA / NUTRISIM S.A.:
• Juridicidad y Transparencia. En formularios físicos/digitales, carteles de CCTV y avisos de geolocalización se informará titular, finalidad, plazos y derechos; se mantendrá trazabilidad de accesos.
• Finalidad y Minimización. Se recolecta lo necesario para: nómina y RR.HH., gestión de proveedores, facturación y despachos, ingreso de visitantes, seguridad y salud ocupacional, calidad (pasantías), producción y mercados. No se usarán los datos para fines incompatibles.
• Confidencialidad y Seguridad. Se aplicarán controles técnicos y organizativos apropiados al riesgo: accesos con contraseña y perfiles, resguardo físico bajo llave, antivirus, políticas internas, y procedimientos de incidentes y atención de derechos.
• Conservación. Se respetarán plazos definidos por proceso; cuando no existan, se establecerán tablas de retención y borrado seguro.
• Responsabilidad proactiva. LA PRADERA / NUTRISIM S.A. mantendrá RAT actualizado por área y evidencias de cumplimiento (capacitaciones, acuerdos, controles).
4. Finalidades del Tratamiento
LA PRADERA / NUTRISIM S.A. trata datos personales con fines determinados, explícitos y legítimos, entre ellos:
Talento Humano (RR.HH.):
Nómina y compensaciones; registro de asistencia (biométrico); reclutamiento/selección; evaluaciones de desempeño; capacitaciones; desvinculación; convenios de pasantías.
SSO (Seguridad y Salud Ocupacional):
Inducción de ingreso, seguimiento de enfermedades/accidentes laborales (contacto de emergencia), videovigilancia (CCTV) para incidentes, y geolocalización de flota para seguridad/seguimiento operativo. La videovigilancia se limita estrictamente a la jornada laboral y a fines de seguridad del activo para respetar el derecho a la desconexión.
Compras y Bodega:
Gestión de proveedores (cotizaciones, órdenes de compra), registro del proveedor que entrega insumos/materias primas.
Calidad: Gestión de estudiantes/pasantes (asistencia, certificaciones), archivo de copias de cédula y emisión de certificados.
Producción y Comercial:
Cotización de materias primas, análisis/gestión de nuevos mercados, seguimiento a pedidos y gestión de clientes vinculada a facturación.
Recepción/Garita:
Control de ingreso de visitantes, clientes y proveedores (identificación y registro de horas de entrada/salida).
Facturación, Crédito y Cobranzas:
Facturación electrónica, despachos, cuentas por cobrar (contacto y verificación de pagos; uso de SRI y sistemas internos).
5. Responsable del Tratamiento, Encargados y Roles
Responsable del tratamiento:
LA PRADERA / NUTRISIM S.A. ubicada su Sede Principal en la parroquia Belisario Quevedo (Guanailín), en la Av. 24 de Mayo y Dr. Raúl León Méndez, en la vía Panamericana Sur, km 6, Latacunga, Ecuador, correo electrónico dpo@lapradera.ec y número de contacto 0991897146. Será responsable de definir finalidades, garantizar derechos, implementar medidas y rendir cuentas ante la Autoridad de Protección de Datos y los titulares.
Encargados del tratamiento:
Proveedores que dan soporte a plataformas/sistemas (Fénix, plataforma de rastreo satelital, proveedores tecnológicos de correo/almacenamiento) o que procesan información por cuenta de LA PRADERA / NUTRISIM S.A. Se formalizarán contratos de encargo con instrucciones documentadas, medidas de seguridad, confidencialidad, subencargados, plazos de conservación y devolución/ eliminación al terminar el servicio.
Cuando el tratamiento involucre servicios y redes de telecomunicaciones, deberá garantizarse el secreto de las comunicaciones y la seguridad de los datos, habilitándose grabaciones/interceptaciones sólo por orden judicial; cualquier grabación o interceptación no autorizada constituye infracción y se sujetará a lo dispuesto en la Ley.
6. Categorías de Titulares y Datos Tratados
Titulares:
Empleados, ex empleados, postulantes, pasantes/estudiantes, proveedores (sus representantes), clientes, visitantes y conductores de flota.
Datos tratados (según proceso):
• Identificativos y contacto: nombre, cédula/RUC, dirección, correo, teléfono.
• Laborales y económicos: cargo, evaluaciones, cuenta bancaria, roles de pago.
•. Comerciales/cliente-proveedor: historial de compras, direcciones de entrega, nombre del representante, cotizaciones, proformas, datos de facturación (SRI).
• Control de presencia y acceso: biométrico (huella y, en ocasiones, foto) para asistencia.
• Salud ocupacional (categoría especial): historia clínica laboral (HCL), certificados, resultados de exámenes, discapacidad, accidentes. Resguardo reforzado.
• Videovigilancia (CCTV): imágenes de trabajadores, visitantes, proveedores para investigación de incidentes y desvíos.
• Geolocalización de flota: placas/recorridos para seguridad, control de velocidad y mantenimiento.
• Visitantes/Garita: identidad y horas de ingreso/salida para control de accesos.
7. Transferencia, Comunicación y Accesos a Datos
Comunicación/accesos internos: áreas involucradas (Contabilidad, Gerencia, SSO, TTHH, Bodega, Producción, Facturación) sólo acceden a lo necesario bajo el principio de mínimo privilegio.
Comunicación/transferencias externas frecuentes:
• Bancos: pagos de nómina o cancelación de facturas (facturación/cobranzas).
• SRI / Ministerio de Trabajo / IESS: cumplimiento tributario y laboral (Obligación Legal).
• Proveedores tecnológicos (Fénix, correo, nube, rastreo): encargados con contrato de servicio; el dato se aloja o procesa en plataformas del proveedor con controles acordados.
• Policía Nacional y Fiscalía: sólo si es necesario para pérdida/robo de vehículo mediante una denuncia previa (Obligación Legal).
Transferencia Internacional de Datos Personales:
Podrá realizarse transferencia internacional de datos personales cuando sea necesaria para el uso de plataformas tecnológicas, correo corporativo, almacenamiento en la nube u otros proveedores cuyos sistemas o servidores se encuentren fuera del territorio ecuatoriano, siempre conforme a la Ley Orgánica de Protección de Datos Personales. Estas transferencias se realizarán bajo contratos y medidas de seguridad adecuadas, y se sustentarán en una base legal válida o en el consentimiento del titular, cuando corresponda. A su vez LA PRADERA / NUTRISIM S.A. verificará que los proveedores cuenten con certificaciones de seguridad reconocidas por la autoridad ecuatoriana o estándares de ¨Puerto seguro¨.
8. Conservación y Supresión
• Nómina / RR.HH.: Conservaciones por hasta 10 años posteriores a la terminación de la relación laboral en varios subprocesos.
• Calidad – Pasantes: 10 años (certificados), con eliminación física al vencimiento.• SSO – salud ocupacional: Archivo físico bajo llave y consolidado digital mensual; conservación al menos hasta 5 años tras salida, luego eliminación segura.
• CCTV (SSO): 30 días en DVR—depende de capacidad—; si existe incidente, la evidencia no se destruye hasta cierre del caso. (Si el DVR se sobrescribe automáticamente antes de los 30 días por falta de almacenamiento se informará al titular que el plazo está sujeto a la capacidad técnica, pero que el estándar buscado es de 30 días).
• Geolocalización: 1 año en plataforma del proveedor.
• Compras/Producción/Facturación: Actualmente existen retenciones documentales indefinidas en varios procesos. Se implementará un esquema de conservación con plazos definidos y eliminación segura (triturado físico o borrado verificado), en función del valor probatorio y los plazos de prescripción establecidos en el código tributario y normativa del Servicio de Rentas Internas (SRI).
Como criterio general la documentación tributaria se conservará por hasta seis años, pudiendo ampliarse en caso de fiscalizaciones, procesos administrativos o contingencias legales en curso. Se elimina la práctica de retención indefinida.
Supresión segura: trituración de físico, borrado verificado de digital, y anonimización cuando corresponda. Se documentará cada supresión en un acta o bitácora.
9. Medidas de Seguridad
Organizativas:
Políticas: esta política, seguridad de la información, retención/eliminación, control de acceso; confidencialidad para personal y proveedores; procedimiento de incidentes y de derechos de titulares; capacitaciones anuales.
Técnicas:
• Accesos con usuarios y contraseñas individuales; perfiles por área.
• Antivirus/antimalware; firewall; cifrado de comunicaciones y, cuando aplique, cifrado de soportes.
• Backups y pruebas de restauración; logs y monitoreo de accesos.
• DVR de CCTV ubicado en zonas controladas; plataforma de geolocalización protegida por contrato de servicio con el proveedor.
Físicas:
• Archivadores y casilleros bajo llave, control de llaves y accesos; prohibición de almacenar historias clínicas o listados sensibles en lugares sin resguardo.
Brechas de seguridad: todo incidente se reportará de inmediato al Responsable y al DPO, activando respuesta a incidentes y notificación a la Autoridad/Titulares cuando corresponda legalmente.
10. Derechos de los Titulares
Los titulares podrán ejercer acceso, rectificación, actualización, oposición, cancelación/supresión y demás derechos reconocidos en la LOPDP, por los siguientes canales internos (correo de privacidad o mesa de ayuda). Cada área ya ha identificado derechos predominantes (acceso/rectificación en RR.HH., SSO, Facturación; acceso/cancelación en Pasantes). Se registrarán y atenderán en plazos legales, sin costo, salvo excepciones.
11. Reglas específicas para categorías especiales de datos
Salud ocupacional (HCL, resultados, discapacidad)
• Base de tratamiento: cumplimiento de obligaciones en SSO, medicina laboral prevención de riesgos.
• Medidas reforzadas: archivo físico bajo llave, acceso estrictamente limitado a médico ocupacional/SSO y TTHH consolidado sin datos específicos; nunca se remite por canales informales (WhatsApp personal). Conservación mínima legal y eliminación segura al vencimiento.
Biometría (asistencia)
• Finalidad exclusiva: control de asistencia/puntualidad; prohibido reutilizar para evaluación disciplinaria más allá de lo informado y legítimo.
• Aviso y registro: colocar cartel en el punto biométrico; gestión en sistema digital con perfiles restringidos; retención definida y borrado al vencer.
Videovigilancia (CCTV)
• Finalidad: seguridad e investigación de incidentes/desvíos; carteles visibles en accesos.
• Retención: 30 días salvo que exista incidente (se conserva hasta cierre). Acceso por SSO/ Gerencia y áreas administrativas bajo requerimiento. No se copian ni comparten fragmentos fuera del proceso.
Geolocalización de vehículos
• Finalidad: seguridad operacional (control de velocidad, mantenimiento, seguros).
• Plataforma del proveedor con contrato y perfiles; retención 1 año; prohibido monitoreo intrusivo no vinculado a la finalidad.
12. Bases legítimas y Consentimiento
Cuando el tratamiento derive de obligación legal o relación contractual (nómina, SRI, IESS, seguridad ocupacional, facturación), no se requiere consentimiento; si el tratamiento no esté amparado por esas bases, se recabará consentimiento expreso y registrable (ciertas actividades de marketing o bases no contractuales). Los RAT reportan procesos donde no aplica consentimiento digital (se mantendrá así hasta que se implemente un repositorio de consentimientos).
13. Atención de Solicitudes y Gestión del Ciclo de Vida del Dato
• Canales: correo dpo@lapradera.ec o llamando al 0991897146.
• Plazos: conforme LOPDP.
• Ciclo de vida: recolección (formularios, correo, WhatsApp corporativo, registros físicos), almacenamiento (Fénix, servidor local, correo corporativo, carpetas físicas bajo llave, plataforma del proveedor), uso conforme finalidad, transferencia (cuando corresponda), conservación según tablas, supresión segura (triturado/borrado) anonimización para fines estadísticos.
14. Gobernanza, RAT y Mejora Continua
• RAT por procesos/áreas: se mantiene actualizado (Bodega, Compras, Producción, SSO, Calidad, Recepción/Garita, Facturación, Talento Humano) y se revisa trimestralmente ante cambios.
• Auditorías internas y capacitaciones anuales.
• Registro de incidentes.
15. Prohibiciones y Reglas de Buen Uso
• No almacenar datos sensibles (salud, HCL) en dispositivos personales ni compartir por apps no autorizadas.
• No conservar “indefinidamente” sin base legal o tabla de retención: compras, producción, mercados y cobranzas deberán ajustar plazos y destruir lo vencido.
• No extraer videos de CCTV o rutas de geolocalización salvo dentro de un proceso formal.
• No divulgar información de proveedores o clientes a terceros sin base legal o autorización; se respeta el derecho de oposición.
16. Vínculos con otras Políticas/Normas
• Seguridad de la Información (control de acceso, contraseñas, antivirus, backups).
• SSO/Medicina Ocupacional (resguardo de HCL, confidencialidad).
• CCTV y Geolocalización (avisos, plazos, evidencias).
• Facturación y Tributación (SRI).
17. Entrada en Vigencia y Aprobación
La presente Política Interna de Protección de Datos Personales fue aprobada por la Gerencia General de LA PRADERA / NUTRISIM S.A. el 4 de mayo de 2026 y entra en vigencia a partir de esa misma fecha.
La política será difundida a todo el personal y a los proveedores que tengan acceso a datos personales, y se revisará de manera anual o cuando existan cambios en la Ley Orgánica de Protección de Datos Personales o en los procesos internos de la empresa.