POLÍTICAS INSTITUCIONALES GENERALES PARA EL USO Y TRATAMIENTO DE DATOS PERSONALES

 

1. POLÍTICA DE MATRÍCULA E INSCRIPCIÓN DE ESTUDIANTES

Objetivo

Regular el proceso de admisión, inscripción y matrícula de estudiantes garantizando la correcta gestión académica y administrativa, así como la protección y confidencialidad de los datos personales recopilados.

Alcance

Aplica a:

• Secretaría académica
• Dirección institucional
• Representantes legales
• Sistemas de matrícula
• Expedientes estudiantiles

Lineamientos

1. Todo proceso de matrícula deberá realizarse mediante formularios oficiales institucionales.
2. Los datos deberán ser proporcionados por el representante legal del estudiante.
3. La información será utilizada exclusivamente para fines educativos, administrativos y legales.
4. Se garantizará la custodia segura de los expedientes estudiantiles.
5. Los sistemas informáticos deberán contar con controles de acceso por perfil.

Datos personales recopilados

Datos del estudiante

• Nombres y apellidos
• Número de cédula o documento de identidad
• Fecha de nacimiento
• Dirección domiciliaria
• Fotografía
• Nacionalidad
• Información médica relevante
• Historial académico

Datos del representante legal

• Nombres y apellidos
• Cédula de identidad
• Dirección
• Teléfono
• Correo electrónico
• Información laboral básica

Tratamiento de los datos

• Recolección mediante formularios físicos o digitales
• Registro en sistema académico
• Consulta por personal autorizado
• Uso para gestión educativa y comunicación institucional

Tiempo recomendado de conservación

• Expedientes académicos: mínimo 10 años
• Registros de matrícula: permanente para trazabilidad educativa

 

 

2. POLÍTICA DE GESTIÓN ACADÉMICA Y EVALUACIÓN

Objetivo

Garantizar la administración adecuada de la información académica de los estudiantes.

Alcance

• Docentes
• Coordinadores académicos
• Sistemas académicos
• Secretaría

Lineamientos

1. Toda información académica deberá registrarse en el sistema institucional.
2. Las calificaciones deberán ser ingresadas únicamente por el docente responsable.
3. Los reportes académicos serán accesibles únicamente a estudiantes y representantes legales.
4. Se garantizará la integridad de la información académica.

Datos recopilados

• Calificaciones
• Registros de asistencia
• Informes pedagógicos
• Evaluaciones
• Observaciones disciplinarias
• Historial académico

Tratamiento

• Registro digital
• Generación de reportes académicos
• Análisis pedagógico
• Seguimiento educativo

Tiempo de conservación

• Historial académico: permanente
• Registros de evaluación: mínimo 5 años

 

3. POLÍTICA DE COMUNICACIÓN INSTITUCIONAL CON PADRES

Objetivo

Regular el uso de datos de contacto para comunicación institucional.

Alcance

• Secretaría
• Dirección
• Coordinaciones
• Docentes

Lineamientos

1. Las comunicaciones deberán realizarse mediante canales institucionales.
2. Se evitará compartir información sensible en grupos públicos.
3. Los datos de contacto serán utilizados exclusivamente para fines institucionales.

Datos recopilados

• Teléfono
• Correo electrónico
• Dirección domiciliaria
• Nombre del representante legal

Tratamiento

• Envío de comunicados
• Convocatorias institucionales
• Información académica
• Alertas institucionales

Tiempo de conservación

• Durante la permanencia del estudiante en la institución.

 

4. POLÍTICA DE GESTIÓN DE RECURSOS HUMANOS

Objetivo

Regular la gestión de la información del personal docente y administrativo.

Alcance

• Talento humano
• Dirección
• Administración

Datos recopilados

• Identificación personal
• Hoja de vida
• Títulos académicos
• Certificados laborales
• Información bancaria
• Información de salud ocupacional
• Evaluaciones de desempeño

Tratamiento

• Gestión laboral
• Cumplimiento legal laboral
• Pago de remuneraciones
• Evaluaciones de desempeño

Tiempo de conservación

• Expediente laboral: mínimo 10 años después de finalizada la relación laboral

 

5. POLÍTICA DE CONTRATACIÓN DE PROVEEDORES

Objetivo

Regular la contratación y gestión de proveedores de bienes y servicios.

Datos recopilados

• Nombre o razón social
• RUC
• Dirección
• Representante legal
• Información bancaria
• Documentos contractuales

Tratamiento

• Evaluación de proveedores
• Gestión de contratos
• Facturación y pagos
• Auditorías administrativas

Tiempo de conservación

• Documentación contractual: mínimo 7 años

 

6. POLÍTICA DE SEGURIDAD Y VIDEOVIGILANCIA

Objetivo

Garantizar la seguridad de estudiantes, personal e instalaciones.

Datos recopilados

• Imágenes y videos
• Registro de visitantes
• Registros de acceso

Tratamiento

• Monitoreo de seguridad
• Investigación de incidentes
• Prevención de riesgos

Tiempo de conservación

• Grabaciones de CCTV: 3 a 5 días

 

7. POLÍTICA DE USO DE PLATAFORMAS EDUCATIVAS

Objetivo

Regular el uso de plataformas digitales en el proceso educativo.

Datos recopilados

• Usuario institucional
• Correo electrónico
• Actividad académica en plataformas
• Participación en clases virtuales

Tratamiento

• Gestión educativa digital
• Evaluación académica
• Comunicación educativa

Tiempo de conservación

• Durante la permanencia del estudiante.

 

8. POLÍTICA DE ARCHIVO Y CONSERVACIÓN DOCUMENTAL

Objetivo

Regular la organización y conservación de archivos institucionales.

Datos recopilados

• Documentos administrativos
• Expedientes estudiantiles
• Documentos laborales
• Documentos financieros

Tratamiento

• Clasificación documental
• Archivo físico y digital
• Consulta institucional

Tiempo de conservación

Según tipo documental:

• Académicos: permanente
• Administrativos: 5 a 10 años
• Financieros: mínimo 7 años

 

9. POLÍTICA DE DERECHOS DE TITULARES DE DATOS

Objetivo

Garantizar el ejercicio de derechos de los titulares de datos.

Datos tratados

• Solicitudes de acceso
• Solicitudes de rectificación
• Solicitudes de eliminación

Tratamiento

• Registro de solicitudes
• Verificación de identidad
• Resolución administrativa

Tiempo de conservación

• Registro de solicitudes: 5 años

 

10. POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD

Objetivo

Establecer procedimientos para gestionar incidentes de seguridad de la información.

Datos tratados

• Registros de incidentes
• Informes de seguridad
• Evidencias técnicas

Tratamiento

• Investigación de incidentes
• Evaluación de impacto
• Implementación de medidas correctivas

Tiempo de conservación

• Registro de incidentes: mínimo 5 años

 

 

POLÍTICAS INSTITUCIONALES DE USO Y TRATAMIENTO DE DATOS PERSONALES

1. Objeto y naturaleza jurídica

Las presentes Políticas Institucionales de Tratamiento de Datos Personales tienen por objeto establecer el marco normativo interno que regula la recolección, uso, almacenamiento, conservación, transferencia, supresión y cualquier otra forma de tratamiento de datos personales realizada por la organización, en su calidad de Responsable del Tratamiento, conforme a lo dispuesto en la Ley Orgánica de Protección de Datos Personales del Ecuador, su reglamento, normativa conexa y principios constitucionales.

Estas políticas son de aplicación obligatoria para todos los órganos directivos, funcionarios, trabajadores, contratistas, proveedores, encargados del tratamiento y cualquier persona que intervenga directa o indirectamente en operaciones de tratamiento de datos personales.

2. Definiciones

Para efectos de estas políticas se adoptan las definiciones establecidas en el artículo 4 de la LOPDP, incluyendo, entre otras: dato personal, dato sensible, tratamiento, responsable, encargado, titular, transferencia, comunicación, anonimización, seudonimización, brecha de seguridad, consentimiento y base legal.

3. Principios rectores

El tratamiento de datos personales se regirá por los principios previstos en los artículos 7 y 8 de la LOPDP:

• Licitud: Todo tratamiento se realizará con base legal válida.
• Lealtad y transparencia: El titular será informado de manera clara y accesible.
• Finalidad: Los datos serán tratados para fines determinados, explícitos y legítimos.
• Proporcionalidad y minimización: Solo se tratarán los datos estrictamente necesarios.
• Calidad: Los datos serán exactos, completos y actualizados.
• Confidencialidad: Acceso limitado a personas autorizadas.
• Responsabilidad proactiva: La organización demostrará cumplimiento permanente.
• Seguridad: Protección integral de la información.

4. Bases legales del tratamiento

El tratamiento se fundamentará en:

• Consentimiento expreso, informado e inequívoco del titular (art. 9 LOPDP).
• Ejecución de relaciones contractuales o precontractuales.
• Cumplimiento de obligaciones legales o regulatorias.
• Interés público o ejercicio de potestades públicas.
• Interés legítimo del responsable, siempre que no prevalezcan los derechos del titular.

El titular reconoce que múltiples tratamientos se realizan sin necesidad de consentimiento cuando existe base legal distinta, conforme a los artículos 10 y 11 de la LOPDP.

5. Finalidades institucionales

Los datos personales serán tratados, entre otras, para:

• Gestión educativa, académica, administrativa y disciplinaria.
• Gestión laboral, contractual, financiera y tributaria.
• Cumplimiento de obligaciones legales y regulatorias.
• Seguridad física y digital.
• Control de acceso, videovigilancia y registro de visitas.
• Gestión de proveedores y contratistas.
• Comunicaciones institucionales.
• Auditorías internas y externas.
• Estadísticas, análisis, planeación estratégica y mejora institucional.

El titular acepta que las finalidades podrán ampliarse a otras compatibles con la naturaleza de la relación jurídica existente, siempre dentro del marco legal.

6. Operaciones de tratamiento

Las operaciones de tratamiento comprenden:

• Recolección directa o indirecta.
• Registro y organización.
• Almacenamiento físico o digital.
• Uso interno y externo autorizado.
• Transferencias nacionales o internacionales.
• Conservación, archivo, bloqueo, eliminación, anonimización o seudonimización.

Estas operaciones podrán ejecutarse mediante sistemas manuales, digitales, automatizados o mixtos.

7. Tratamiento de datos sensibles

Los datos sensibles (salud, biométricos, psicológicos, disciplinarios u otros) serán tratados con mayores niveles de protección, únicamente cuando:

• Sea indispensable para la finalidad perseguida.
• Exista base legal expresa o consentimiento explícito.
• Se adopten medidas técnicas y organizativas reforzadas.

8. Conservación de la información

Los datos personales se conservarán:

• Durante la vigencia de la relación contractual o institucional.
• Durante los plazos exigidos por la normativa educativa, laboral, tributaria, civil, mercantil y administrativa.
• Mientras subsistan responsabilidades legales o contractuales.
• Para fines históricos, estadísticos o científicos, debidamente anonimizados o seudonimizados.

La organización podrá establecer plazos amplios de conservación cuando exista base legal que los sustente y siempre que no se vulneren derechos fundamentales.

9. Transferencias y comunicación de datos

Los datos podrán ser comunicados o transferidos a:

• Autoridades públicas y organismos de control.
• Órganos judiciales o administrativos.
• Proveedores tecnológicos y operativos.
• Encargados del tratamiento.
• Instituciones con las que existan obligaciones legales o contractuales.

En todos los casos se exigirá confidencialidad, deber de seguridad y cumplimiento normativo.

10. Medidas de seguridad

La organización implementará medidas:

1. a) Técnicas:

• Control de accesos.
• Autenticación de usuarios.
• Cifrado.
• Copias de seguridad.
• Monitoreo de sistemas.

1. b) Organizativas:

• Políticas internas.
• Capacitación obligatoria.
• Manuales de procedimientos.
• Auditorías periódicas.

1. c) Legales:

• Cláusulas contractuales.
• Acuerdos de confidencialidad.
• Responsabilidad disciplinaria y contractual.

11. Gestión de incidentes

Ante una brecha de seguridad:

• Se activarán protocolos internos.
• Se aislará el incidente.
• Se evaluará su impacto.
• Se documentarán las acciones correctivas.
• Se notificará a la autoridad y titulares cuando corresponda legalmente.

El titular reconoce que ningún sistema es absolutamente infalible.

12. Limitación de responsabilidad

La organización no será responsable por:

• Fuerza mayor o caso fortuito.
• Hechos de terceros fuera de su control.
• Uso indebido de credenciales por parte del titular.
• Incumplimientos de encargados del tratamiento, sin perjuicio de las acciones legales que correspondan.

La responsabilidad solo existirá cuando se demuestre dolo o culpa grave.

13. Derechos de los titulares

Los titulares podrán ejercer los derechos de:

• Acceso
• Rectificación
• Actualización
• Eliminación
• Oposición
• Portabilidad
• Suspensión del tratamiento
• No ser objeto de decisiones automatizadas

Conforme a los artículos 12 al 18 de la LOPDP, mediante solicitud dirigida a:

dpo@uenma.edu.ec

14. Procedimiento interno

Las solicitudes serán:

• Recibidas formalmente.
• Analizadas jurídicamente.
• Respondidas en plazos legales.
• Documentadas para fines probatorios.

15. Deber de confidencialidad

Todo el personal, proveedores y encargados del tratamiento están obligados a:

• Guardar reserva absoluta.
• No divulgar información sin autorización.
• Responder disciplinaria, civil y penalmente por incumplimiento.

16. Sanciones internas

El incumplimiento de estas políticas dará lugar a:

• Medidas disciplinarias.
• Terminación contractual.
• Acciones civiles, administrativas o penales.

17. Actualización de las políticas

Estas políticas podrán ser modificadas cuando:

• Cambie la normativa.
• Se actualicen procesos.
• Existan nuevos riesgos.

Las versiones actualizadas serán publicadas por los medios institucionales.

 

 

18. Aceptación

Todo titular declara conocer, comprender y aceptar estas políticas, reconociendo que el tratamiento de sus datos es necesario para la relación jurídica que mantiene con la organización y que dicho tratamiento se realizará conforme a la ley y a lo aquí establecido.