Política de Privacidad y Protección de Datos Personales

1. Identificación del Responsable del Tratamiento

• Responsable del tratamiento: Red Marista Ecuador / Unidad Educativa (obra educativa correspondiente).
• Domicilio: Quito – Ecuador (actualizar con el domicilio legal de cada obra).
• Correo de contacto institucional: info@maristasecuador.org
• Contacto adicional (sede Quito): secrecolquito@fmsnor.org | Tel.: (02) 2550660
• Sitio web: maristasecuador.org

Delegado de Protección de Datos (DPD): La institución debe designar un DPD cuando corresponda (ver sección 10.2). Mientras se formaliza la designación/registro, el canal de contacto para derechos y consultas será el correo institucional indicado.

2. Alcance

Esta Política aplica al tratamiento de datos personales realizado por la Red Marista Ecuador y sus obras educativas a través de sus portales web, formularios de admisión/matrícula, plataformas académicas, canales de comunicación digital, eventos institucionales y procesos administrativos vinculados a la prestación del servicio educativo.

3. Definiciones básicas (uso institucional)

Dato personal: información que identifica o hace identificable a una persona natural.

Categorías especiales: incluyen datos de niñas, niños y adolescentes; datos de salud; datos de discapacidad; y datos sensibles.

Responsable: quien decide finalidades y medios del tratamiento.

Encargado: tercero que trata datos por cuenta del responsable (proveedores, plataformas, hosting).

4. Principios y bases de licitud

El tratamiento se realizará bajo los principios de legalidad, lealtad, transparencia, finalidad, minimización, exactitud, confidencialidad, integridad y responsabilidad proactiva. La base de licitud dependerá del caso:

• Consentimiento: cuando se requiera una autorización libre, específica, informada e inequívoca; y con mecanismo de revocatoria sencillo.
• Ejecución de una relación educativa/contractual: para la prestación del servicio educativo y obligaciones asociadas.
• Cumplimiento de obligaciones legales: normativa educativa, tributaria, laboral, seguridad y archivo.
• Interés público / ejercicio de potestades: cuando aplique en coordinación con autoridades competentes.

5. Categorías de datos tratados en una institución educativa

• Identificativos y de contacto: nombres, apellidos, identificación, dirección, correo, teléfono (representante y estudiante).
• Académicos: historial, calificaciones, asistencia, convivencia escolar (según normativa y manual institucional).
• Financieros/administrativos: facturación, comprobantes, pagos, becas/ayudas económicas.
• Imagen y voz: fotografías y videos en actividades académicas/pastorales/deportivas/culturales (con controles y consentimientos).
• Categorías especiales: salud (ficha médica), discapacidad, necesidades educativas específicas, datos de niñas/niños/adolescentes.

6. Finalidades del tratamiento (para publicar)

Gestionar procesos de admisión, matrícula, registro y control académico.

• Gestionar comunicaciones con representantes/estudiantes: avisos, horarios, reuniones, citaciones, circulares.

Administrar plataformas académicas (por ejemplo, Idukay) para calificaciones, asistencia, tareas y mensajería.

Gestionar facturación y pagos; emisión/descarga de comprobantes.

Gestionar becas y ayudas económicas, cuando aplique.

Organizar actividades pastorales, deportivas y culturales; evidencias institucionales.

• Seguridad física y digital: control de acceso a plataformas, auditoría de accesos, y prevención de incidentes.

7. Encargados del tratamiento y terceros (proveedores)

La institución puede utilizar proveedores que actúan como encargados (por ejemplo: plataforma académica, correo y colaboración, hosting, analítica web, pasarelas de pago). En esos casos se deben firmar cláusulas/contratos de tratamiento y confidencialidad, definiendo finalidades, medidas de seguridad, subencargados, y retorno/eliminación al finalizar el servicio.

• Plataforma académica: Idukay (gestión académica y comunicación).
• Comunicación y colaboración: Microsoft Office 365 (correo institucional y servicios asociados).
• Infraestructura web: hosting, CDN, servicios de seguridad (WAF), backups.
• Analítica web: medición de tráfico (por ejemplo, herramientas de analítica) con controles de cookies/consentimiento.

8. Transferencias y transferencias internacionales

Los datos personales solo se comunicarán a terceros cuando sea necesario para las finalidades descritas, por obligación legal o con consentimiento. Si existieran transferencias internacionales (por ejemplo, servicios cloud), se aplicarán salvaguardas contractuales y medidas técnicas que aseguren confidencialidad, integridad y disponibilidad.

9. Conservación y eliminación

Los datos personales se conservarán únicamente durante el tiempo necesario para cumplir la finalidad del tratamiento y para atender obligaciones legales y responsabilidades. Luego serán eliminados, anonimizados o bloqueados conforme a procedimientos internos.

• Registros académicos: conforme normativa educativa y archivo institucional.
• Facturación/tributario: conforme normativa aplicable.
• Candidatos no admitidos: plazos limitados (definir internamente, recomendado 6–12 meses) salvo obligación distinta.
• Registros de seguridad (logs): plazos breves y justificados (ej.: 90–180 días) salvo incidentes.

10. Derechos de los titulares y cómo ejercerlos

Los titulares pueden solicitar: acceso; rectificación/actualización; eliminación; oposición; portabilidad; suspensión/limitación; y no ser objeto de decisiones basadas únicamente en valoraciones automatizadas. Las solicitudes deben ser gratuitas y atendidas en los plazos legales.

• Canal principal: info@maristasecuador.org (asunto: “Protección de Datos – Solicitud de derechos”).
• Canal sede Quito: secrecolquito@fmsnor.org
• Requisitos mínimos: nombres completos, identificación, relación con el estudiante, detalle del pedido y medio de respuesta.

10.1 Datos de niñas, niños y adolescentes (NNA)

Al tratar datos de NNA, se aplican medidas reforzadas de transparencia, minimización y seguridad. El ejercicio de derechos puede requerir representante legal según edad, y la institución debe promover capacitación e información sobre tratamiento seguro de datos.

10.2 Delegado de Protección de Datos (DPD) – obligación por casos

Se debe designar un DPD cuando: (i) el tratamiento lo realiza el sector público; (ii) por volumen/naturaleza/finalidad se requiera control permanente y sistematizado; o (iii) exista tratamiento a gran escala de categorías especiales de datos (como NNA, salud, discapacidad).

• Funciones clave del DPD: asesorar, supervisar cumplimiento, apoyar análisis de riesgos/evaluaciones de impacto, y ser punto de contacto con la Autoridad de Protección de Datos.

11. Medidas de seguridad (mínimos recomendados)

• Gobernanza de accesos: roles mínimos, MFA/2FA en administradores, revocación de accesos al salir personal.
• Cifrado: TLS/HTTPS obligatorio; cifrado en tránsito y, cuando aplique, cifrado en reposo.
• Backups: copias automáticas, verificadas y con retención; idealmente inmutables/offline.
• Monitoreo y registro: logs de acceso, alertas de cambios de archivos, WAF, escaneo antimalware.
• Gestión de vulnerabilidades: actualización continua de WordPress/plugins/temas; auditoría de terceros.

Evaluación de impacto (DPIA) cuando el riesgo lo amerite; gestión de riesgos documentada.

12. Gestión de incidentes y notificación de vulneraciones

Ante una vulneración de seguridad que pueda afectar derechos y libertades, se activará el protocolo de respuesta a incidentes: contención, erradicación, recuperación, evidencias y medidas correctivas.

• Notificación: cuando corresponda, notificar a la Autoridad de Protección de Datos Personales y a los titulares afectados.
• Registro: documentar fecha/hora, alcance, sistemas afectados, datos comprometidos y medidas aplicadas.
• Lecciones aprendidas: plan de remediación y hardening.

13. Política de Cookies (para web)

El sitio puede utilizar cookies y tecnologías similares para: funcionamiento esencial, seguridad, preferencias, analítica y medición. Cuando una cookie no sea estrictamente necesaria, se habilitará un banner de consentimiento con opción de aceptar, rechazar o configurar.

• Cookies esenciales: funcionamiento, seguridad, sesión.
• Preferencias: idioma, configuraciones.
• Analítica/medición: métricas de uso (siempre con consentimiento cuando aplique).

El usuario debe disponer de un centro de preferencias y la posibilidad de retirar el consentimiento en cualquier momento.

14. Cambios a esta política

La institución podrá actualizar esta Política por cambios normativos, tecnológicos u operativos. Se publicará la versión vigente con fecha y, cuando el cambio afecte derechos o bases de tratamiento, se solicitará nuevamente el consentimiento cuando corresponda.

ANEXO A – Aviso breve para formularios web (copiar y pegar)

“El envío de este formulario implica el tratamiento de datos personales por parte de la Red Marista Ecuador / obra educativa correspondiente, con la finalidad de gestionar su solicitud (admisión, matrícula, información académica o contacto). Usted puede ejercer sus derechos de acceso, rectificación, eliminación, oposición y portabilidad escribiendo a info@maristasecuador.org. Para más información consulte nuestra Política de Privacidad (LOPDP) publicada en este sitio.”

ANEXO B – Checklist web mínimo para cumplir LOPDP (sitio institucional)

Página visible “Política de Privacidad y Protección de Datos Personales (LOPDP)” (esta política).

Página “Política de Cookies” + banner de consentimiento con centro de preferencias.

Aviso breve de privacidad en TODOS los formularios (admisiones, contacto, becas, eventos).

Canal de ejercicio de derechos (correo/formulario) y procedimiento interno de respuesta.

Publicación del responsable (domicilio y contacto) y, si corresponde, datos del DPD.

Lista de proveedores/encargados relevantes (Idukay, Office 365, hosting, analítica) y finalidades.

Menciones explícitas sobre datos de NNA y tratamiento con medidas reforzadas.

Seguridad web: HTTPS, WAF, backups, hardening, política de contraseñas y 2FA para administradores.

Control de indexación y exposición: no exponer rutas administrativas; proteger wp-admin; políticas de plugins.

Monitoreo antimalware y plan de respuesta a incidentes (documentado).

Documentos complementarios recomendados: Términos de uso del sitio, Política de Entornos Seguros, Manual interno de incidentes y retención documental.

Referencias normativas (para auditoría interna)

• Ley Orgánica de Protección de Datos Personales (LOPDP) – Registro Oficial Suplemento 459 (26/05/2021).
• Reglamento General a la LOPDP (publicación oficial 2023).
• Superintendencia de Protección de Datos Personales (SPDP): guías, modelos y lineamientos aplicables.