LOPDP COMPLIANCE ECUADOR

Política de Protección de Datos Personales

Este documento constituye la política integral de DOSTO S.A. detallando el tratamiento técnico y legal de la información en todos nuestros servicios.

Última actualización: 15 Feb 2026
01

1. IDENTIDAD DEL RESPONSABLE DEL TRATAMIENTO

DOSTO S.A., en adelante “DOSTO”, es responsable del tratamiento de datos personales efectuado a través de sus plataformas tecnológicas y servicios digitales.

Razón Social DOSTO S.A.
RUC 1291780713001
Domicilio Av Quito Frente a la empresa pública de agua potable y alcantarillado de Quevedo - Ecuador
DPO Responsable Ing. Jennifer Martínez
Canal Oficial protecciondatos@dosto.ec
Teléfono 0986787914
02

2. ALCANCE DE LA POLÍTICA

La presente Política se aplica al tratamiento de datos personales realizado por DOSTO en el marco de los siguientes servicios:

  • Plataforma de emisión y gestión de firmas electrónicas.
  • Sistema SaaS de facturación electrónica.
  • Sistema SaaS de historias clínicas electrónicas.
  • Software contable y financiero.
  • Sitios web y portales asociados a los servicios anteriores.
03

3. MARCO NORMATIVO

DOSTO trata los datos personales conforme a: Ley Orgánica de Protección de Datos Personales del Ecuador, Reglamento General de la LOPDP, Normativa sectorial aplicable (sanitaria, tributaria, comercial) y Principios internacionales de protección de datos.

04

4. PRINCIPIOS DE TRATAMIENTO

DOSTO aplica los siguientes principios: Licitud, lealtad y transparencia; Finalidad específica; Minimización de datos; Exactitud; Limitación del plazo de conservación; Integridad y confidencialidad; Responsabilidad proactiva.

05

5. CATEGORÍAS GENERALES DE DATOS TRATADOS

Según el servicio, DOSTO puede tratar: Datos identificativos, de contacto, tributarios, financieros, laborales, comerciales, de autenticación y seguridad, datos biométricos (firma electrónica) y datos de salud (historias clínicas).

06

6. FINALIDADES GENERALES DEL TRATAMIENTO

DOSTO trata datos personales para: Prestación de servicios SaaS contratados, gestión de usuarios y cuentas, cumplimiento de obligaciones legales, seguridad informática y trazabilidad, facturación y gestión contractual, soporte técnico, prevención de fraude y conservación legal de registros.

6.1 USOS ADICIONALES RELACIONADOS CON EL SERVICIO

Además de las finalidades principales, DOSTO podrá tratar datos de contacto de clientes y usuarios para: Avisos de renovación de servicios, notificaciones de vencimiento, comunicaciones técnicas del sistema, alertas de seguridad, actualizaciones relevantes del servicio e información operativa necesaria para el uso del sistema.

Estas comunicaciones se consideran parte de la relación contractual y del interés legítimo del responsable. DOSTO no envía publicidad masiva no relacionada con el servicio contratado sin consentimiento.

07

7. BASES JURÍDICAS DEL TRATAMIENTO

El tratamiento se fundamenta en: Ejecución de contrato, Cumplimiento de obligaciones legales, Consentimiento del titular (cuando aplique), Interés legítimo del responsable y Protección de intereses vitales (salud).

08

8. DERECHOS DE LOS TITULARES

8.1 PROCEDIMIENTO PARA EJERCER DERECHOS ARCO

Los titulares pueden ejercer sus derechos de: Acceso, Rectificación, Actualización, Eliminación, Oposición, Suspensión del tratamiento, Portabilidad y Limitación.

Canales habilitados: Correo electrónico: protecciondatos@dosto.ec

Información requerida en la solicitud: El titular deberá indicar: Nombres y apellidos, Documento de identidad, Derecho que desea ejercer, Descripción de la solicitud y Medio de contacto para respuesta. En caso de portabilidad la información se entregará en formato csv o similar. DOSTO podrá solicitar información adicional para verificar la identidad.

8.2 PLAZOS DE RESPUESTA

DOSTO atenderá las solicitudes dentro de los plazos establecidos en la LOPDP: Confirmación de recepción: hasta 2 días hábiles. Respuesta: hasta 15 días hábiles. Casos complejos: hasta 30 días hábiles. Si la solicitud no procede, se informará motivadamente.

8.3 ALCANCE DE LOS DERECHOS SEGÚN EL SERVICIO

En servicios SaaS donde el cliente es responsable (ej. historias clínicas), DOSTO actúa como encargado. En estos casos, el ejercicio de derechos debe dirigirse al responsable sanitario o entidad usuaria del sistema. DOSTO colaborará con el responsable para atender la solicitud.

09

9. MODALIDADES DE TRATAMIENTO Y ALMACENAMIENTO DE LOS DATOS

Los datos personales tratados por DOSTO son recolectados, registrados, organizados, estructurados, almacenados, conservados, consultados, utilizados, transmitidos y, cuando corresponde, eliminados conforme a la normativa vigente.

Forma de almacenamiento: Los datos se almacenan en infraestructura cloud segura, servidores protegidos, bases de datos segmentadas por cliente y sistemas con control de acceso autenticado.

Ubicación: Los datos pueden alojarse en centros de datos en Ecuador, y/o infraestructura cloud internacional con garantías adecuadas.

9.1 PLAZOS DE CONSERVACIÓN DE LOS DATOS

DOSTO conserva los datos únicamente durante el tiempo necesario para cumplir las finalidades y obligaciones legales aplicables:

  • Firma electrónica: Durante la vigencia del certificado y los plazos legales de conservación de evidencias digitales.
  • Facturación electrónica: Mínimo el plazo exigido por la normativa tributaria ecuatoriana (actualmente 7 años o el vigente).
  • Historias clínicas: Conforme normativa sanitaria aplicable y decisiones del responsable sanitario.
  • Sistema contable: Durante los plazos legales contables y tributarios aplicables.
  • Datos de cuentas SaaS: Mientras la cuenta esté activa y hasta 5 años posteriores a su cierre para responsabilidades legales y contractuales.
9.2 ELIMINACIÓN Y BLOQUEO DE DATOS

Al finalizar la relación contractual o cumplidos los plazos: los datos podrán eliminarse de sistemas activos, mantenerse bloqueados por obligaciones legales o conservarse anonimizados para estadísticas. Las copias de seguridad se purgan según ciclos técnicos.

10

10. SEGURIDAD DE LA INFORMACIÓN

DOSTO implementa medidas técnicas y organizativas: Control de accesos, Autenticación segura, Cifrado de comunicaciones, Registro de actividades (logs), Copias de seguridad, Segmentación de datos por cliente, Protección contra intrusión y Gestión de vulnerabilidades. El acceso interno se limita por rol y necesidad funcional.

11

11. ENCARGADOS DE TRATAMIENTO Y TERCEROS

DOSTO puede utilizar proveedores para: Hosting y cloud, Infraestructura tecnológica, Envío de comunicaciones y Servicios de soporte. Todos sujetos a contratos de confidencialidad y protección de datos. No se venden datos personales.

11.1 USO DE DATOS POR SOPORTE TÉCNICO

El personal autorizado de DOSTO podrá acceder a datos estrictamente necesarios para: soporte técnico, mantenimiento, resolución de incidentes o recuperación de información. Todo acceso queda registrado y sujeto a confidencialidad.

11.2 CONFIDENCIALIDAD DEL PERSONAL

Todo el personal y proveedores de DOSTO: firma acuerdos de confidencialidad, recibe obligaciones de protección de datos y accede solo por necesidad funcional.

12

12. TRANSFERENCIAS INTERNACIONALES

Si existen proveedores fuera de Ecuador, DOSTO garantiza un nivel adecuado de protección, cláusulas contractuales o garantías equivalentes.

Infraestructura: Servidores VPS propios seguros y uso de AWS (Amazon Web Services) para procesos biométricos de comparación y validación de identidad.

13

13. SECCIONES ESPECÍFICAS POR SERVICIO

13.1 FIRMA ELECTRÓNICA

Datos tratados: Identificación personal, documentos de identidad, datos de certificado digital, firma electrónica, registros de firma y trazabilidad (IP). Finalidad: Emisión, validación de identidad, firma de documentos y cumplimiento normativo. Base jurídica: Obligación legal, contrato e interés legítimo.

13.2 FACTURACIÓN ELECTRÓNICA SaaS

Datos tratados: Datos tributarios del emisor, datos de clientes, comprobantes electrónicos, transacciones comerciales y datos de contacto. Finalidad: Emisión y gestión de comprobantes, cumplimiento SRI, almacenamiento y reportes.

13.3 HISTORIAS CLÍNICAS ELECTRÓNICAS SaaS (Dato Sensible)

Datos tratados: Identificación del paciente, datos de salud, diagnósticos, tratamientos, medicación, antecedentes e imágenes médicas. Rol: DOSTO actúa como encargado; el profesional o centro es el responsable. Medidas: Acceso restringido por rol, confidencialidad médica y registro de accesos.

13.4 SISTEMA CONTABLE

Datos tratados: Clientes, proveedores, empleados, transacciones financieras, asientos contables e información fiscal. Finalidad: Gestión contable, registros financieros, reportes y cumplimiento fiscal.

14

14. COOKIES Y TECNOLOGÍAS WEB

Los sistemas pueden usar: Cookies técnicas, Cookies de sesión, Logs de acceso y Analítica de uso. La finalidad exclusiva es la seguridad y el funcionamiento correcto de las plataformas.

15

15. MODIFICACIONES DE LA POLÍTICA

DOSTO podrá actualizar esta Política. La versión vigente se publicará en los sistemas y sitios web institucionales.

16

16. CONTACTO DE PROTECCIÓN DE DATOS

Canal oficial para el ejercicio de derechos y consultas sobre privacidad: protecciondatos@dosto.ec

17

17. REGISTRO DE ACTIVIDADES DE TRATAMIENTO

DOSTO mantiene un registro interno actualizado que contiene la finalidad, categorías de titulares y datos, base jurídica, sistemas utilizados, encargados involucrados y medidas de seguridad aplicadas. Este registro está disponible para la autoridad de control.

18

18. ANÁLISIS DE RIESGOS Y EVALUACIONES DE IMPACTO

DOSTO evalúa los riesgos para los derechos y libertades en tratamientos de alto riesgo (firma electrónica, biometría, historias clínicas y datos financieros). Realiza evaluaciones de impacto antes de la implementación de tratamientos que lo ameriten.

19

19. GESTIÓN DE INCIDENTES Y BRECHAS DE SEGURIDAD

Contamos con procedimientos para detectar, gestionar y responder a incidentes. En caso de brechas que afecten derechos, DOSTO notificará a la autoridad competente y a los afectados conforme a la ley.

20

20. PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO

Aplicamos principios de minimización de datos, configuraciones seguras, segmentación de clientes y arquitectura segura desde el inicio del desarrollo de todos nuestros sistemas SaaS.

21

21. RESPONSABILIDAD DE LOS CLIENTES USUARIOS DE SISTEMAS SaaS

Los clientes que cargan datos personales actúan como responsables del tratamiento respecto de dichos datos (centros médicos, empresas en facturación, etc.). Deben obtener consentimientos, informar a titulares y garantizar la legitimidad. DOSTO actúa como encargado y derivará cualquier solicitud de titular al responsable en máximo 5 días.

22

22. LIMITACIÓN DE RESPONSABILIDAD SOBRE DATOS CARGADOS

DOSTO no es responsable por la veracidad de datos ingresados por clientes, la legalidad de su obtención ni el cumplimiento normativo sectorial del cliente usuario. Únicamente proveemos la infraestructura técnica.

23

23. MENORES DE EDAD

Los servicios no se dirigen directamente a menores. Cuando se registren datos de menores (ej. pediatría), el tratamiento corresponde al profesional responsable, quien debe cumplir la normativa y obtener autorizaciones.

24

24. DATOS DE TERCEROS EN DOCUMENTOS Y COMPROBANTES

Los datos de terceros incluidos en facturas, contratos o historias clínicas son responsabilidad exclusiva del cliente usuario que los incorpora al sistema.

25

25. AUDITORÍAS Y CUMPLIMIENTO

Realizamos revisiones internas de seguridad, controles de acceso y evaluaciones técnicas periódicas para garantizar el cumplimiento de esta política y la normativa de protección de datos.

26

26. OFICIAL O RESPONSABLE DE PROTECCIÓN DE DATOS

Designamos un responsable interno encargado de supervisar el cumplimiento, atender solicitudes y coordinar incidentes de seguridad. Contacto: protecciondatos@dosto.ec

27

27. VIGENCIA DE LA POLÍTICA

Esta Política entra en vigencia desde su publicación y se mantiene aplicable mientras DOSTO trate datos personales en el marco de sus servicios comerciales.

28

28. ÚLTIMA ACTUALIZACIÓN

Fecha oficial de la presente versión: 15 de febrero del 2026

29

29. DEFINICIONES LEGALES

Dato personal: Información que identifica o hace identificable a una persona natural.
Dato sensible: Aspectos íntimos, incluyendo salud y biometría.
Titular: Persona natural a quien pertenecen los datos.
Tratamiento: Cualquier operación sobre datos (recolección, uso, etc).
Responsable: Quien decide finalidad y medios del tratamiento.
Encargado: Quien trata datos por cuenta del responsable.
Consentimiento: Manifestación libre e informada para el tratamiento.
Anonimización: Proceso que impide identificar al titular.
30

30. GLOSARIO OPERATIVO DE LA POLÍTICA

Plataforma: Cualquiera de los sistemas SaaS provistos por DOSTO.
Cliente: Persona natural o jurídica que contrata un sistema.
Usuario: Persona que accede al sistema bajo autorización del cliente.
Sistema: Software o servicio digital ofrecido por DOSTO.
Datos del Cliente: Datos personales cargados por el cliente en el sistema.
Datos del Sistema: Logs, accesos y configuraciones técnicas generadas.
Documento electrónico: Archivo o registro gestionado en los sistemas.
Servicios SaaS: Software accesible por internet provisto por DOSTO.
31

31. CRITERIOS DE INTERPRETACIÓN

31.1 NORMATIVA APLICABLE

Se interpretará conforme a la LOPDP, su Reglamento, normativa sectorial y principios internacionales.

31.2 PRINCIPIO DE PROTECCIÓN AL TITULAR

En duda interpretativa, prevalecerá la interpretación más favorable a los derechos del titular de datos.

31.3 COHERENCIA CON CONTRATOS Y TÉRMINOS

Se interpreta de forma complementaria con los contratos SaaS, términos de servicio y acuerdos sectoriales.

31.4 ROL RESPONSABLE/ENCARGADO

Cuando el sistema permite cargar datos de terceros, el cliente es responsable y DOSTO es encargado, salvo ley contraria.

31.5 ALCANCE TERRITORIAL

Aplica al tratamiento dentro y fuera de Ecuador relacionado con titulares ubicados en territorio nacional.

31.6 IDIOMA

La versión oficial de esta Política es la redactada en idioma español.

Asistente Dosto
Siempre activo
¡Hola! 👋 Soy el asistente experto de DOSTO S.A. ¿En qué te puedo ayudar hoy?
Dosto está analizando...