POLÍTICA CORPORATIVA DE TRATAMIENTO DE DATOS PERSONALES

POLÍTICA CORPORATIVA DE TRATAMIENTO DE DATOS

PERSONALES

Versión: 1.0    Última actualización: 2026-03-26

Este documento integra: (I) Política Corporativa (Ingeniar como Responsable), (II) Anexo de Encargo de Tratamiento para Software Comision (Ingeniar como Encargado), y (III) Glosario y Canales de Contacto.


1. Identificación del Responsable del Tratamiento

El Responsable del tratamiento de datos personales es Ingeniar Company SAS, persona jurídica constituida en Ecuador, con los siguientes establecimientos/marcas comerciales:

·         IngeniarSoft (Software Comision)

·         IGH Componentes (Venta y servicio técnico de productos tecnológicos)

·         Bellow Records (Producción y publicación musical y audiovisual)

Datos de contacto del Responsable:

·         Razón social: Ingeniar Company SAS

·         RUC: 1792993954001

·         Domicilio: San Salvador E7-151 y Martín Carrión

·         Correo de privacidad (solicitudes LOPDP): datos.personales@ingeniar.com.ec

Esta Política aplica a todas las interacciones en las que Ingeniar Company SAS actúa como RESPONSABLE.


2. Objeto y alcance

Esta Política establece cómo Ingeniar Company SAS trata datos personales en el marco de sus actividades comerciales, contractuales y operativas en sus tres establecimientos, incluyendo (sin limitarse a):

·         Prospección, ventas y atención al cliente

·         Facturación y obligaciones legales/tributarias

·         Soporte, seguridad operativa y continuidad del servicio

·         Gestión de garantías, reembolsos y posventa

·         Contratos y pagos a artistas/creadores

·         Gestión de proveedores

·         Seguridad física (CCTV) en instalaciones

·         Gestión de solicitudes y ejercicio de derechos de titulares

·         Comunicaciones promocionales

Fuera de alcance de esta Parte I: el tratamiento que Ingeniar realiza como ENCARGADO por cuenta de sus clientes usuarios de Comision respecto de datos de terceros ingresados en con sus propios accesos. Ese tema se regula en el Anexo/Parte II (Encargo de Tratamiento - COMISION).


3. Definiciones básicas

Titular: persona natural a la que pertenecen los datos personales.

Datos personales: información que identifica o hace identificable a una persona natural.

Responsable: quien decide sobre la finalidad y medios del tratamiento.

Encargado: quien trata datos por cuenta del responsable.

Tratamiento: cualquier operación sobre datos (recolección, almacenamiento, uso, acceso, eliminación, etc.).


4. Principios y compromisos

Ingeniar se compromete a tratar datos personales conforme a los principios de la normativa ecuatoriana, incluyendo: licitud, lealtad y transparencia, finalidad, minimización, exactitud, seguridad, confidencialidad y responsabilidad proactiva.


5. Titulares y categorías de datos que tratamos (como Responsable)

5.1 Titulares

·         Clientes, prospectos y usuarios autorizados de IngeniarSoft/Comision (nuestros clientes directos)

·         Clientes de IGH Components (compradores, solicitantes de garantía, servicio técnico)

·         Artistas/creadores, proveedores, sesionistas, clientes y postulantes de Bellow Records.

·         Proveedores y contactos comerciales

·         Visitantes a instalaciones (CCTV)

·         Candidatos y colaboradores (RR.HH.).


5.2 Categorías de datos

Según la relación y finalidad, podemos tratar:

·         Identificación: nombres, apellidos, número de identificación (cédula/RUC/pasaporte), razón social

·         Contacto: dirección, teléfono, correo electrónico

·         Contractual y transaccional: facturas, pedidos, órdenes de trabajo, cotizaciones, garantías, soporte, historial de compras

·         Financiero limitado: datos de facturación; datos bancarios para pagos / reembolsos

·         Técnicos y de seguridad: registros de acceso, logs, IP, nombre del equipo, eventos de seguridad

·         Imagen y voz, en sentido artístico, contractual o promocional, cuando aplique en Bellow Records, conforme a contratos, autorizaciones específicas, licencias o cesiones aplicables. Este tratamiento es independiente y no forma parte de los sistemas de videovigilancia.

·         CCTV: imagen y video sin audio en instalaciones, exclusivamente para fines de seguridad de personas, bienes e instalaciones. Ingeniar no capta, monitorea, graba ni conserva audio en sus sistemas de videovigilancia.

·         Comunicación: contenidos de chats/correos vinculados a atención al cliente o soporte

Ingeniar no solicita datos excesivos. Cuando un dato sea opcional, se indicará. Si el titular no entrega datos necesarios para una finalidad, es posible que eso limite la completitud de servicios.


6. Finalidades y bases de legitimación (resumen por línea de negocio)

6.1 IngeniarSoft (clientes directos de Ingeniar)

a) Gestión comercial y relación contractual: alta de cliente, licenciamiento, administración de usuarios, soporte, mantenimiento, continuidad del servicio. Base: ejecución de relación contractual, medidas precontractuales y aceptación electrónica de términos.

b) Facturación, cobros y cumplimiento tributario: emisión de comprobantes, registros internos, atención a requerimientos. Base: obligación legal y ejecución de relación contractual.

c) Seguridad, auditoría y prevención de fraude/abuso: logs, registros de acceso, trazabilidad, monitoreo técnico, evidencia de aceptación de términos/política. Base: interés legítimo y cumplimiento normativo (seguridad).

d) Comunicaciones operativas: avisos de servicio, seguridad, cambios relevantes. Base: ejecución de relación contractual e interés legítimo.

e) Comunicaciones comerciales: promociones o novedades no estrictamente operativas. Base: consentimiento y/o interés legítimo.


6.2 IGH Componentes

a) Venta, posventa, pedidos, garantías y servicio técnico: facturación, entrega, soporte técnico, preparación de pedidos, gestión de garantías y reclamos. Base: ejecución de relación contractual y obligación legal.

b) Reembolsos: validación de titularidad y uso puntual de datos bancarios para reembolsos. Base: ejecución de relación contractual e interés legítimo.

c) Seguridad física: videovigilancia mediante CCTV sin audio para la seguridad de personas, bienes e instalaciones. Base: interés legítimo (seguridad fìsica). La videovigilancia no se utiliza para supervisión laboral, control del desempeño ni captación de conversaciones privadas o sensibles..


6.3 Bellow Records

a) Contratación y gestión de proyectos: contratos con artistas/creadores, producción, entregables, pagos/royalties, facturación. Base: ejecución de relación contractual y obligación legal.

b) Producción audiovisual y publicación: uso de imagen/voz (grabaciones de estudio, no de videoseguridad) y contenidos según contratos y autorizaciones específicas. Base: ejecución de relación contractual y/o consentimiento/cesiones/licencias aplicables.


6.4 Transversal (Ingeniar Corporativo)

a) Proveedores: compras, pagos, gestión contractual. Base: ejecución de relación contractual y obligación legal.

b) RR.HH: reclutamiento, nómina y obligaciones laborales. Base: medidas precontractuales/relación contractual y obligación legal.


7. Canales y fuentes de recolección

Recolectamos datos personales a través de:

·         Formularios web

·         Interacciones dentro de Comision (para nuestros clientes directos)

·         Puntos físicos (IGH Componentes / oficinas)

·         Chats de atención al cliente: WhatsApp, Instagram, Facebook Messenger

·         Correo electrónico corporativo

·         Contratos y documentos asociados

En ciertos casos, Ingeniar puede consultar fuentes legítimas para verificación básica cuando sea pertinente.


8. Proveedores y destinatarios (encargados / terceros)

Para operar, Ingeniar puede utilizar proveedores tecnológicos y servicios que traten datos por cuenta de Ingeniar, tales como:

·         AWS (infraestructura y hosting de bases de datos/servicios)

·         Google (Google Drive como almacenamiento/respaldos cuando corresponde)

·         HostingEcuador EC (correo/dominio/hosting, según contratación)

·         Plataformas de mensajería y redes sociales (WhatsApp/Instagram/Facebook Messenger) como canales de comunicación

Ingeniar no vende datos personales. Solo comunicará datos a: (i) proveedores necesarios para prestar el servicio, (ii) autoridades competentes cuando exista obligación legal o requerimiento válido, y (iii) terceros estrictamente necesarios para una finalidad contractual (por ejemplo entregas o pagos).


9. Transferencias internacionales

Por la naturaleza de la infraestructura y proveedores tecnológicos, el tratamiento y/o almacenamiento puede realizarse en servidores ubicados fuera de Ecuador (por ejemplo, infraestructura en AWS en USA y Brasil, y servicios en la nube de proveedores globales). Ingeniar adopta medidas razonables para asegurar un nivel adecuado de protección, incluyendo controles de acceso, confidencialidad, seguridad técnica y gestión de proveedores.


10. Retención y conservación

Ingeniar conserva datos solo por el tiempo necesario según la finalidad y obligaciones aplicables:

·         Información comercial y fiscal: conforme plazos de obligaciones tributarias y de prescripción aplicables.

·         Chats y correos de ventas/soporte: mientras dure la relación + 2 años, por evidencias comerciales y posibles garantías extendidas.

·         Capturas (screenshots) de chats: 3 meses posteriores al cierre del caso.

·         Datos bancarios para reembolsos (cuando existan): uso puntual + 30 días para conciliación/revisión interna; luego se eliminan cuando sea posible.

·        Videograbaciones de CCTV sin audio: 20 días de forma sistematizada. Ingeniar no conserva audio de videovigilancia. Si existe requerimiento válido de autoridad competente o una solicitud de ejercicio de derechos presentada dentro del periodo de conservación, el archivo pertinente podrá preservarse bajo hold, con acceso restringido, hasta la atención del requerimiento o su cierre.

·         Registros de seguridad (logs) y evidencia de aceptación: por el plazo necesario para seguridad, auditoría y defensa ante controversias, en línea con prescripción aplicable.


11. Derechos de los titulares y cómo ejercerlos

Los titulares pueden ejercer, conforme normativa ecuatoriana, derechos como: acceso, rectificación/actualización, eliminación, oposición, portabilidad, limitación del tratamiento y revocatoria del consentimiento cuando corresponda.

Canales de solicitud:

·         Correo: datos.personales@ingeniar.com.ec

·         Presencial: San Salvador E7-151 y Martín Carrión, Quito. Horario: Lunes a Viernes 10H00 – 15H00

Para proteger a los titulares, Ingeniar podrá solicitar verificación razonable de identidad antes de responder. Las solicitudes se atenderán en los plazos previstos por la normativa.


12. Seguridad de la información (alto nivel)

Ingeniar aplica medidas técnicas y organizativas razonables para proteger los datos personales, incluyendo:

·         Control de accesos por roles (ventas/compras/soporte y gerencia/delegados según corresponda)

·         Restricción de acceso a la base de datos e infraestructura a personal autorizado

·         Registro de eventos relevantes (seguridad, aceptación de políticas/condiciones)

·         Copias de seguridad y controles de continuidad

·         Manejo controlado de repositorios (Drive/archivos) y delegación formal cuando aplique


13. Cookies y tecnologías similares (web)

Los sitios web de Ingeniar/Comision/IGH Components/Bellow pueden usar cookies y tecnologías similares para funcionamiento del sitio, seguridad, medición básica y mejoras. Cuando corresponda, se habilitará un aviso y/o preferencias de cookies conforme mejores prácticas y normativa aplicable.


14. Comunicaciones comerciales (marco general)

Actualmente Ingeniar puede enviar comunicaciones relacionadas con la prestación del servicio. Para campañas de email marketing u otros canales promocionales, Ingeniar establecerá mecanismos para obtener consentimiento cuando aplique y/o sustentar interés legítimo cuando corresponda, y permitir oposición y/o baja simple y efectiva.


15. Actualizaciones de esta Política

Ingeniar puede actualizar esta Política para reflejar cambios normativos, operativos o tecnológicos. La versión vigente se publicará en los canales oficiales (webs, software y/o aviso físico). Cuando existan cambios relevantes, se informará por los canales habituales (sitio web y/o notificación dentro de COMISION cuando aplique).


16. Publicación

Esta Política se publicará y estará disponible en:

·         Sitios web de Ingeniar Company y del Software Comision

·         Dentro del software Comision.

·         En instalaciones físicas.


PARTE II — ANEXO: ENCARGO DE TRATAMIENTO (COMISION)

Este Anexo aplica cuando Ingeniar Company SAS (“INGENIAR”) trata datos personales por cuenta de un cliente usuario del Software COMISION (el “USUARIO”), respecto de datos de terceros (clientes, proveedores, empleados u otros) que el USUARIO ingresa o gestiona dentro del sistema.

Para el tratamiento en el que INGENIAR actúa como RESPONSABLE (por ejemplo: datos de cuenta del USUARIO, facturación, soporte de cuenta, comunicaciones operativas y seguridad), aplica la PARTE I de esta Política.


18. Roles y alcance del encargo

18.1.  RESPONSABLE: el USUARIO de COMISION que determina los fines y medios del tratamiento de los datos personales de terceros que gestiona en el sistema.

18.2.  ENCARGADO: INGENIAR, que trata datos personales por cuenta del RESPONSABLE y conforme a sus instrucciones, en lo necesario para prestar el servicio.

18.3. TITULARES: personas naturales a quienes pertenecen los datos personales tratados por el RESPONSABLE (por ejemplo: clientes del USUARIO, proveedores, colaboradores).


19. Objeto, duración, naturaleza y finalidad del encargo

19.1. Objeto: prestar el servicio de software COMISION (incluyendo infraestructura, almacenamiento, procesamiento, soporte y continuidad operativa) para que el RESPONSABLE gestione su operación contable, comercial y administrativa.

19.2. Duración: durante la vigencia del contrato/licencia y, posteriormente, por el tiempo mínimo necesario para exportación/devolución y eliminación segura conforme la sección 25 de este Anexo (o por obligación legal aplicable).

19.3. Naturaleza del tratamiento: almacenamiento, organización, consulta, actualización, respaldo, recuperación y demás operaciones técnicas necesarias para operar COMISION y atender soporte.

19.4. Finalidad: operar COMISION y prestar soporte al RESPONSABLE, sin usar los datos para fines propios distintos a lo estrictamente necesario para la prestación del servicio.


20. Categorías de titulares y tipos de datos tratados por cuenta del RESPONSABLE

20.1. Titulares típicos: clientes finales del RESPONSABLE, potenciales clientes, proveedores, contactos comerciales, empleados/colaboradores, representantes y otros terceros registrados por el RESPONSABLE.

20.2. Tipos de datos (según módulos y uso del RESPONSABLE):

·         Datos de identificación y contacto (nombres, identificaciones, dirección, teléfono, correo).

·         Datos tributarios/contables y de facturación.

·         Información transaccional (compras/ventas, pagos/cobros, comprobantes, proformas, pedidos).

·         Información de relación comercial y soporte (observaciones, historial).

·         En algunos casos, datos de personal/empleados (según módulos).


21. Instrucciones del RESPONSABLE y limitación de finalidad

21.1. INGENIAR tratará los datos personales únicamente para: (i) operar COMISION, (ii) ejecutar el contrato/licencia, (iii) atender soporte técnico/funcional solicitado, y (iv) garantizar seguridad y continuidad del servicio.

21.2. INGENIAR no vende datos personales ni los utiliza para fines propios ajenos a la prestación del servicio.

21.3. Si el RESPONSABLE requiere una instrucción especial (exportación, eliminación/bloqueo, migración, etc.), INGENIAR la atenderá razonablemente cuando sea técnica y legalmente posible, y de acuerdo con el contrato.


22. Acceso, confidencialidad y personal autorizado

22.1. El acceso de personal de INGENIAR a datos del RESPONSABLE se limita a lo estrictamente necesario para soporte/tickets, diagnóstico, continuidad, seguridad y auditoría de buen uso.

22.2. INGENIAR mantiene obligaciones de confidencialidad para su personal y colaboradores autorizados.


23. Subencargados y proveedores tecnológicos

23.1. Para prestar COMISION, INGENIAR puede utilizar proveedores tecnológicos (por ejemplo: infraestructura cloud, mensajería, monitoreo, respaldos) que actúen como subencargados, cuando sea necesario.

23.2. INGENIAR aplicará controles contractuales razonables para exigir a subencargados obligaciones equivalentes de confidencialidad y seguridad.

23.3. En caso de transferencias internacionales por infraestructura/proveedores, aplican las consideraciones de la Parte I, Sección 9.


24. Seguridad de la información y cooperación

24.1. INGENIAR implementa medidas de seguridad de alto nivel alineadas con la Parte I, Sección 12 (control de accesos, respaldo, continuidad, registro de eventos relevantes, etc.).

24.2. El RESPONSABLE es responsable de la seguridad bajo su control (gestión de usuarios, contraseñas, dispositivos, redes y políticas internas).

24.3. INGENIAR brindará asistencia razonable al RESPONSABLE para ejecutar acciones técnicas necesarias relacionadas con derechos de titulares (por ejemplo: exportar, rectificar, eliminar/bloquear cuando proceda), cuando el RESPONSABLE lo solicite y sea viable.


25. Incidentes de seguridad

25.1. INGENIAR informará al RESPONSABLE sin dilación indebida sobre incidentes de seguridad que afecten datos personales tratados por cuenta del RESPONSABLE, cuando INGENIAR tenga conocimiento y control del evento.

25.2. INGENIAR cooperará razonablemente con el RESPONSABLE en investigación y mitigación, proporcionando información técnica disponible, respetando limitaciones de seguridad y legales.


26. Devolución / exportación y eliminación al término del servicio

26.1. Al terminar la relación comercial, el RESPONSABLE podrá solicitar la entrega de respaldos de su información ingresada o generada en COMISION. Como estándar operativo, INGENIAR realizará la entrega en archivos tipo Excel dentro de un plazo de 10 (diez) días laborables, salvo que se acuerde un formato/plazo distinto por escrito.

26.2. Luego de la devolución/exportación (o vencido un plazo razonable para que el RESPONSABLE la solicite/descargue), INGENIAR procederá a la eliminación segura de los datos tratados por cuenta del RESPONSABLE, salvo obligación legal de conservación o necesidad de retención por contingencias (por ejemplo: disputas), en cuyo caso se restringirá el acceso y se conservará solo lo indispensable.


27. Límite del encargo

27.1. Este Anexo regula los datos que INGENIAR trata por cuenta del RESPONSABLE dentro del espacio operativo del USUARIO (sus registros y operaciones en COMISION).

27.2. El RESPONSABLE se obliga a confirmar con el titular mediante verificación de documentos de identidad válidos y vigentes cualquier dato ingresado al sistema y a permitir que el titular confirme, rectifique o retire datos de contacto antes de su registro definitivo, conforme los flujos del sistema y la Parte I.

27.2. El RESPONSABLE se obliga a receptar y atender requerimientos de tratamiento de datos realizados por titulares conforme a sus propias políticas, procedimientos, en lo que implica el uso del SOFTWARE Comision la aplicación de esta política y la aplicación de la normativa vigente.


28. Auditoría y evidencia

28.1. INGENIAR podrá mantener registros técnicos mínimos (logs) necesarios para seguridad, continuidad, auditoría de buen uso y cumplimiento, sin que ello implique uso de datos del RESPONSABLE para fines distintos a la prestación del servicio.

28.2. El RESPONSABLE podrá solicitar evidencia razonable del cumplimiento de este encargo, siempre que no comprometa la seguridad de la plataforma ni información de otros clientes.


29. Prevalencia, actualizaciones y contacto

29.1. Este Anexo complementa los Términos y Condiciones de COMISION y la Parte I de esta Política. En caso de conflicto, prevalecerá la interpretación más consistente con la normativa aplicable y con la protección de los derechos de los titulares.

29.2. INGENIAR podrá actualizar este Anexo por cambios normativos u operativos. La versión vigente se publicará junto con la Política.

29.3. Para solicitudes y contacto en materia de protección de datos personales, aplica el canal indicado en la Parte I, Sección 11 (correo de privacidad y atención presencial).


PARTE III — GLOSARIO Y CANALES DE CONTACTO

30. Glosario

·         Dato personal: Información que identifica o puede identificar a una persona natural, directa o indirectamente.

·         Titular: Persona natural a quien pertenecen los datos personales.

·         Tratamiento: Cualquier operación sobre datos personales (recopilar, registrar, almacenar, consultar, usar, comunicar, suprimir, etc.).

·         Responsable del tratamiento: Quien decide los fines y medios del tratamiento de datos personales.

·         Encargado del tratamiento: Quien trata datos personales por cuenta del Responsable y conforme a sus instrucciones.

·         Consentimiento: Manifestación de voluntad libre, específica, informada e inequívoca mediante la cual el titular autoriza el tratamiento cuando corresponda.

·         Base de licitud: Fundamento jurídico que legitima el tratamiento (por ejemplo: ejecución contractual, obligación legal, interés legítimo, consentimiento).

·         Subencargado: Proveedor que trata datos por cuenta del Encargado/Responsable para prestar parte del servicio (por ejemplo: infraestructura cloud).

·         Anonimización: Proceso que impide identificar a una persona natural a partir de los datos, de forma irreversible o con garantías adecuadas.

·         Logs / registros técnicos: Registros de eventos del sistema (accesos, trazas, seguridad) necesarios para operación, auditoría y protección.


31. Canales de contacto y ejercicio de derechos (LOPDP)

Los titulares pueden ejercer, conforme normativa ecuatoriana, derechos como: acceso, rectificación/actualización, eliminación, oposición, portabilidad, limitación del tratamiento y revocatoria del consentimiento cuando corresponda.


Canales de solicitud:

·         Correo: datos.personales@ingeniar.com.ec

·         Presencial: San Salvador E7-151 y Martín Carrión, Quito. Horario: Lunes a Viernes 10H00 – 15H00.

Para proteger a los titulares, INGENIAR podrá solicitar verificación razonable de identidad antes de responder. Las solicitudes se atenderán en los plazos previstos por la normativa aplicable.