Protección de datos personales

CÓDIGO DE CONDUCTA DE POLÍTICAS GENERALES DE PRIVACIDAD DE SOLUCIONES INTEGRALES SUAREZLEON S.A.S

CONSIDERANDO:

QUE, los numerales 19 y 20 del artículo 66 de la Constitución de la República del Ecuador reconocen y garantizan el Derecho a la Protección de Datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección, y finalmente, el amparo al Derecho a la Intimidad.

QUE, el artículo 52 de la Ley Orgánica de Protección de Datos Personales publicada en el Quinto Suplemento del Registro Oficial No.459, 26 de mayo 2021, establece que los responsables y encargados de tratamiento de datos personales pueden acogerse a códigos de conducta, en virtud de los Principios de Autorregulación y Responsabilidad Proactiva.

QUE, la compañía SOLUCIONES INTEGRALES SUAREZLEON S.A.S (en adelante SUAREZLEON S.A.S), es de nacionalidad ecuatoriana domiciliada en el cantón Samborondón, debidamente constituida mediante instrumento privado de fecha 8 de abril de 2022 e inscrita en el Registro de Sociedades de la Superintendencia de Compañías, Valores y Seguros, en esa misma fecha. Su giro de negocio es la representación de medios de difusión, venta de tiempo y espacio en diversos medios de difusión interesados en la obtención de anuncios y publicidad aérea; consultoría técnica; prestación de asesoramiento y ayuda a las empresas y las administraciones públicas en materia de planificación, organización, eficiencia y control, información administrativa; prestación de servicios no educativos de apoyo a procesos o sistemas educativos como consultoría de educación, orientación educativa, servicios de exámenes y evaluación de los mismos, organización de programas de intercambio de estudiantes; servicios de asesoramiento, orientación y asistencia operativa a las empresas y a la administración pública en materia de: diseño de métodos o procedimientos contables, programas de contabilidad de costos y procedimientos de control presupuestario; realización de campañas de comercialización y otros servicios de publicidad dirigidos a atraer y retener clientes: promoción de productos, comercialización en el punto de venta, publicidad directa por correo y asesoramiento en marketing, creación de stands, otras estructuras y lugares de exhibición, distribución o entrega de materiales o muestras de publicidad; y, cualquier otra actividad mercantil o civil, licita.

QUE, en virtud del numeral 8 del artículo 45 del Código de Trabajo, los colaboradores que tengan conocimiento por razón de su trabajo de secretos comerciales de SUAREZLEON S.A.S, tienen la obligación de guardar escrupulosamente los mismos, en este caso los Datos Personales de sus clientes y proveedores. De este modo, en función a lo que dicta la Ley Orgánica de Protección de Datos Personales, los colaboradores fungen como Encargados de SUAREZLEON S.A.S en el Tratamiento de Protección de Datos.

QUE, en virtud del artículo 7 del Estatuto Social vigente de SUAREZLEON S.A.S, el gobierno de la compañía corresponde a la Asamblea de accionistas, con lo cual, el órgano de gobernanza, en función de sus atribuciones, aprueba y expide el CÓDIGO DE CONDUCTA DE POLÍTICAS GENERALES DE PRIVACIDAD DE SOLUCIONES INTEGRALES SUAREZLEON S.A.S, al tenor de los siguientes términos y condiciones:

ACÁPITE PRIMERO: GENERALIDADES

ARTÍCULO 1: ALCANCE Y VIGENCIA DEL PRESENTE CÓDIGO DE CONDUCTA. –

El presente instrumento tendrá alcance y será de obligatorio cumplimiento para los proveedores, accionistas, contratistas, colaboradores, directivos, clientes y cualquier persona natural y/o jurídica que tenga una relación contractual, de cualquier naturaleza, con SUAREZLEON S.A.S. El tiempo de vigencia de este instrumento será del plazo de existencia legal que tenga SUAREZLEON S.A.S.

ARTICULO 2: OBJETO, FINALIDAD, PROTECCIÓN DE DATOS PERSONALES Y CONSERVACIÓN DE DATOS. –

En virtud de los Principios de Autorregulación y Responsabilidad Proactiva, el objeto y finalidad del presente Código de Conducta es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. El tratamiento de los Datos que por medio de este Código de Conducta se regulan incluye el uso de documentación impresa, análoga y digital tratada a través del uso documentación física o herramientas de monitoreo de software del sitio y otros recursos tecnológicos como sistemas informáticos y operativos de SUAREZLEON S.A.S.

Los Datos Personales que SUAREZLEON S.A.S almacena y procesa se implementan por medio procedimientos físicos, electrónicos y administrativos, en pleno cumplimiento de los estándares internacionales de Protección de Datos Personales, para salvaguardar y proteger la información contra pérdida, uso indebido, acceso no autorizado o divulgación, alteración o destrucción. Sin embargo, debido a la naturaleza inherente del internet como un vehículo de comunicación global abierto, no se puede garantizar que cualquier información, ya sea durante la transmisión a través de Internet o mensajes de datos, mientras esté almacenada en los archivos físicos y/o digitales de SUAREZLEON S.A.S, esté absolutamente a salvo de la intrusión de otros, incluyendo de los ataques informáticos. Sin embargo, en caso de violaciones a la seguridad se notificará en el menor tiempo posible la existencia de un riesgo a sus derechos, en aplicación de la Ley Orgánica de Protección de Datos Personales.

La conservación y retención de los datos personales e información anónima será recopilada a través de los formularios, mensajes de datos, contratos y del sitio web (de ser el caso), para fines operativos, de registro, de cumplimiento del objeto social, obligaciones contractuales y legales. Se retendrán los datos personales durante el período necesario para cumplir con los fines que en acápites posteriores se describirán, a menos que una norma aplicable exija un período de retención más extenso.

ACÁPITE SEGUNDO: DE LOS DATOS PERSONALES DE LOS CLIENTES

ARTÍCULO 3: DE LOS DATOS PERSONALES DE LOS CLIENTES. –

En estricto cumplimiento del objeto social de SUAREZLEON S.A.S, los datos personales que se recopilarán, procesarán, almacenarán y tratarán de los clientes, de manera enunciativa, mas no limitativa, serán los siguientes: Información recibida mediante formularios, suscripción física y/o en línea, registro (nombres y apellidos, Correo electrónico, números de teléfono, documento de identidad, ciudad y país de residencia, organización a la que pertenece, cargo en la organización, dirección domiciliaria, entre otros); Datos anónimos relacionados con el comportamiento del usuario durante la visita a la página web, plataforma digital y/o software (de ser el caso), sea a través de cookies, píxeles o tecnologías similares. Entre otros, se recopila el tiempo de la visita y los contenidos visitados; Datos anónimos relacionados con las herramientas de acceso y su interacción con la página web, plataforma digital y/o software (de ser el caso), tales como dirección IP, características del navegador y dispositivo, preferencias de idioma o URL de referencia y otra información técnica; Datos Biométricos, Datos Nutricionales y/o Médicos, y, Datos financieros o patrimoniales, cuando se requieran para el seguimiento del cumplimiento de un contrato y/o el objeto social antedicho.

ARTÍCULO 4: FINALIDAD DEL TRATAMIENTO. –

Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: La gestión de formularios, suscripción y/o registros físicos y/o en línea; Optimizar la pertinencia de los contenidos; Para contactar a los usuarios o titulares de datos, en respuesta a las solicitudes físicas y/o en línea que hayan realizado a SUAREZLEON S.A.S; Para promocionar, por cualquier medio físico y/o digital, los productos, servicios y novedades de SUAREZLEON S.A.S; Para identificar si los contenidos son pertinentes y relevantes de acuerdo con sus intereses, así como para identificar mejoras en los canales de comunicación en términos de experiencia del usuario y diseño de SUAREZLEON S.A.S; Los datos relacionados con las herramientas de acceso se emplean tanto para identificar mejoras en el desempeño del portal web, plataforma digital y/o software (de ser el caso), como para garantizar el funcionamiento del sitio, su seguridad y la de su información; Presentación de propuestas de venta de productos y/o servicios a clientes; y, Cumplimiento de las relaciones jurídicas que se generen, así como también obligaciones contractuales con terceros. En este último punto la finalidad del tratamiento de los datos, se hace extensiva a que los Datos Personales de los clientes de SUAREZLEON S.A.S sean almacenados en soportes digitales de compañías nacionales y/o extrajeras que precisamente prestan tal servicio digital, para lo cual, desde ya, los usuarios autorizan tales actos.

Las comunicaciones mediante las cuales se recopilarán los datos personales son principalmente a través de correos electrónicos, mensajes de datos, mensajes de correo postal, llamadas telefónicas, formularios, contratos escritos y difusión de anuncios en plataformas digitales (redes sociales). Finalmente, mediante la suscripción del cliente en la página web, plataforma digital y/o software (de ser el caso) de SUAREZLEON S.A.S.

El tratamiento de los datos personales se llevará a cabo conforme a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad y responsabilidad; previstos en la Ley Orgánica de Protección de Datos Personales.

ARTICULO 5: TRANSFERENCIA DE DATOS PERSONALES. –

SUAREZLEON S.A.S no venderá, distribuirá ni arrendará los datos personales de sus clientes a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de SUAREZLEON S.A.S, de acuerdo con los siguientes supuestos:

5.1. Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.

5.2. Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato.

5.3. Cuando se presente la relación con clientes, con la finalidad de prestarles servicios ofrecidos por SUAREZLEON S.A.S.

5.4. Información sobre cookies y otras tecnologías de seguimiento. Los tipos de cookies que el sitio web de SUAREZLEON S.A.S recopila son los siguientes: técnicas, de personalización, de análisis, publicitarias, de publicidad comportamental, de complementos y de reproductor multimedia. El sitio web y sus sub-sitios recopilan registros anónimos durante las visitas de los usuarios, esto se puede hacer a través de cookies o tecnologías similares para retener información sobre el cliente y su uso del sitio web de SUAREZLEON S.A.S. Otra tecnología que se utiliza son los pixeles, que son fragmentos de código en los canales de SUAREZLEON S.A.S y permiten recopilar información anónima sobre el desempeño de anuncios en línea y del correo masivo, así como para encauzar mensajes de difusión en otras plataformas como las redes sociales o los buscadores.

5.5. Realizar consultas en las bases de datos públicas y/o privadas, para efectos del cumplimiento del contrato y su objeto social.

ARTÍCULO 6: DE LOS DERECHOS DE LOS CLIENTES Y TIEMPOS DE RESPUESTA. –

La Ley Orgánica de Protección de Datos Personales vigente en el Ecuador otorga ciertos derechos a los titulares. En términos generales, el cliente tiene, o puede tener, el derecho (como se establece con más detalle en las leyes de protección de datos aplicables) a:

6.1. Conocer, actualizar, rectificar y solicitar la supresión de sus datos personales entregados a SUAREZLEON S.A.S. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

6.2. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Protección de Datos Personales haya determinado que, en el tratamiento, SUAREZLEON S.A.S ha incurrido en conductas contrarias a la Ley Orgánica de Protección de Datos Personales y a la Constitución de la República del Ecuador.

6.3. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

6.4. Los demás que establezca la Ley Orgánica de Protección de Datos Personales, su reglamento y directrices emitidas por la Autoridad Nacional competente en materia de Protección de Datos Personales.

Estos derechos no son absolutos. Por ejemplo, si un cliente revoca su voluntad para procesar sus datos personales, SUAREZLEON S.A.S podrá continuar procesando sus datos personales en la medida requerida o permitida por la ley, en particular en relación con el ejercicio y la defensa de los derechos u obligaciones legales y/o regulatorias.

El plazo para atender las solicitudes de ejercicio de los derechos contemplados en la Ley Orgánica de Protección de Datos Personales es de quince (15) días a partir de la recepción de la solicitud. Esta petición se procesará en los departamentos correspondientes, en función del organigrama interno de SUAREZLEON S.A.S.

ARTÍCULO 7: DE LOS DATOS DE LAS PERSONAS CAPTADOS POR EN EL SITIO WEB, PLATAFORMA DIGITAL Y/ SOFTWARE (DE SER EL CASO). –

Cuando una persona accede y acepta los términos y condiciones establecidos en el portal web, plataforma digital y/o software (de ser el caso) de SUAREZLEON S.A.S, autoriza de forma libre, específica, informada e inequívoca a SUAREZLEON S.A.S S.A., a registrarla al boletín electrónico (mailing) donde se envía información de productos, ofertas y marketing.

SUAREZLEON S.A.S S.A., en función de la autorización arriba señalada, almacena y recolecta bases de datos personales con la finalidad de mantenerse en contacto con sus potenciales clientes y clientes para informarles acerca de las diferentes actividades que realiza en su giro de negocio. De este modo, la autorización descrita se hace extensiva para que todas las personas, naturales y/o jurídicas, nacionales o extranjeras, relacionadas contractualmente con SUAREZLEON S.A.S recolecten, recauden, almacenen, usen, circulen, supriman, procesen, compilen, intercambien, traten, actualicen y dispongan de los datos personales que por los medios digitales han sido suministrados y que se han incorporado en las distintas bases o bancos de datos, o en repositorios electrónicos de todo tipo con que cuenta SUAREZLEON S.A.S, y que serán utilizados de forma directa por SUAREZLEON S.A.S en su calidad de Responsable del Tratamiento o a través de terceros como Encargados del Tratamiento según se definen a continuación:

Los Datos Personales que sean recolectados serán usados para los siguientes fines: Envío de información y documentos relacionados con los bienes y/o servicios que ofrece SUAREZLEON S.A.S y que han sido adquiridos y/o contratados por los clientes; Remisión de información acerca de las ofertas, incentivos y promociones realizados de forma periódica por SUAREZLEON S.A.S; Envío de boletines y de correos electrónicos y demás mensajes de datos, informando sobre novedades (Newsletters) y eventos o actividades que realice SUAREZLEON S.A.S, de manera física y/o telemática; Envío de felicitaciones y congratulaciones por fechas especiales; Envío de encuestas de opinión sobre la satisfacción de clientes y/o usuarios del sitio web, plataforma digital y/o software (de ser el caso) de SUAREZLEON S.A.S; y, Realización de encuestas y/o sondeos de opinión sobre productos y servicios ofrecidos por SUAREZLEON S.A.S.

En los casos que SUAREZLEON S.A.S lo considere necesario y especialmente en los casos de compras a través de la página web (de ser el caso), SUAREZLEON S.A.S podrá solicitar información a la Base de Datos en la Central de información de la Asociación Bancaria de Entidades Financieras y en cualquier otra Entidad que maneje banco de datos, con el fin de validar la veracidad de la transacción (de ser el caso), consultar información de contenido comercial, crediticio, financiero, de servicios y la proveniente de terceros países y en general para consultar acerca del cumplimiento de las relaciones y obligaciones que ha tenido el Titular (cliente) de la información con el sector financiero y sobre las relaciones y obligaciones que hacia futuro adquiera con dicho sector. La presente autorización a SUAREZLEON S.A.S, que, dicho sea de paso, es libre, específica, informada e inequívoca, estará vigente por el tiempo que subsista la relación comercial entre el Titular de la Información (cliente) y SUAREZLEON S.A.S, y/o exista obligación insoluta a cargo del Titular de la Información (cliente). SUAREZLEON S.A.S se compromete a no tener manejos adicionales a los condicionales antes expuestos de la información proporcionada, y dicha información solo se empleará para las estrategias comerciales y de comunicación propias de SUAREZLEON S.A.S y no será bajo ningún motivo compartida o comercializada para ninguna estrategia externa.

Los datos recaudados y las autorizaciones serán almacenados en las Bases de datos de SUAREZLEON S.A.S, y permanecerán bajo su custodia en condiciones de idoneidad, confidencialidad y seguridad generalmente admitidas. Sólo el personal autorizado podrá acceder a estas Bases de datos. Se observarán los protocolos de acceso y seguridad que se consideran estándar en estas actividades para evitar la vulneración o manipulación de la información recopilada. No obstante, lo anterior, SUAREZLEON S.A.S podrá operar las bases de datos mediante un Encargado del Tratamiento de datos. Es decir, de manera enunciativa mas no limitativa, podrá contratar la recepción, tratamiento, procesamiento y almacenamiento de los datos personales de sus clientes con terceros, para efectos de facturación electrónica, almacenamiento en nubes extranjeras y/o botón de pagos por sus servicios y/ o productos.

ACÁPITE TERCERO: DE LOS DATOS PERSONALES DE LOS COLABORADORES

ARTÍCULO 8: DE LOS DATOS PERSONALES DE LOS COLABORADORES. –

En estricto cumplimiento al objeto social de SUAREZLEON S.A.S, los datos personales que se recopilarán, procesarán, almacenarán y tratarán de los colaboradores de SUAREZLEON S.A.S (empleados bajo relación de dependencia), de manera enunciativa, mas no limitativa, serán los siguientes: Datos Biométricos, Datos académicos y profesionales, tales como currículum y título profesional; Familiares y personas de referencia en caso de cualquier acontecimiento que amerite su contacto, a criterio de la máxima autoridad del departamento de RRHH (En tales casos, de acuerdo con los formularios correspondientes, el colaborador declarará que cuenta con el consentimiento de sus familiares y personas de referencia, para compartir sus datos personales); Datos de salud, considerados como datos personales sensibles, cuando se requiera dicha información para el cumplimiento de las obligaciones de SUAREZLEON S.A.S respecto a sus empleados y, de ser requerido, a los candidatos a empleo; Financieros o patrimoniales, cuando se requieran para el seguimiento de una prestación laboral o el cumplimiento de un contrato; Datos de los colaboradores almacenados en los directorios activos y plataformas de SUAREZLEON S.A.S; Datos Personales de toda índole de sus hijos bajo relación de dependencia para efectos de cumplimiento de la Código Orgánico de la Niñez y Adolescencia, obligaciones patronales y laborales; Datos anónimos relacionados con las herramientas de acceso y su interacción con la página web (de ser el caso), tales como dirección IP, características del navegador y dispositivo, preferencias de idioma o URL de referencia y otra información técnica; y, Datos financieros o patrimoniales, cuando se requieran para el seguimiento de la relación laboral.

ARTÍCULO 9: FINALIDAD DEL TRATAMIENTO. –

Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: Gestionar el proceso de contratación y en su caso, integrar el expediente laboral correspondiente (Durante el proceso de entrevistas se podrán filmar y/o grabar las mismas), esto implica que se considera como tratamiento legitimo todo dato personal obtenido durante el proceso de contratación; Elevar y/o alimentar al sistema de nómina el Dato Biométrico del colaborador para efectos de monitorear las horas de llegada y salida; Realizar las gestiones de RRHH y actividades relacionadas con las actividades a desempeñar; Efectuar los pagos de las contraprestaciones correspondientes y administrar la nómina; Otorgar prestaciones o beneficios adicionales a los contemplados en el contrato de trabajo; Ofrecer cursos, beneficios de descuento y bonos de cumpleaños a los colaboradores; Cumplir con las obligaciones derivadas de la relación laboral; Los datos relacionados con las herramientas de acceso se emplean tanto para identificar mejoras en el desempeño de la infraestructura tecnológica, como para garantizar el funcionamiento de los sistemas informáticos, sitios, sus seguridades y la de su información; y, al Cumplimiento de todas las obligaciones generadas por la relación laboral y patronal.

ARTÍCULO 10: TRANSFERENCIA DE DATOS PERSONALES DE LOS COLABORADORES. –

SUAREZLEON S.A.S no venderá, distribuirá ni arrendará los datos personales de sus colaboradores a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de SUAREZLEON S.A.S, de acuerdo con los siguientes supuestos:

10.1. Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.

10.2. Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato, a propósito del cumplimiento de su giro ordinario.

10.3. Cuando se presente la relación con clientes, con la finalidad de prestarles servicios y productos ofrecidos por SUAREZLEON S.A.S.

ACÁPITE CUARTO: DE LOS DATOS PERSONALES DE LOS PROVEEDORES

ARTÍCULO 11: DATOS PERSONALES DE LOS PROVEEDORES. –

En estricto cumplimiento al objeto social de SUAREZLEON S.A.S, los datos personales que se recopilarán, procesarán, almacenarán y tratarán de los proveedores de SUAREZLEON S.A.S (cualquier tipo de relación contractual civil, mercantil y/o comercial), de manera enunciativa, mas no limitativa, serán los siguientes: Datos Biométricos (en caso de que los proveedores sean personas naturales) y Datos Biométricos de los colaboradores y/o subcontratistas del proveedor; En general cualquier dato personal del proveedor, sus colaboradores y/o subcontratistas para efectos del proceso de selección y/o contratación de proveedores; Información recibida mediante formularios, mensajes de datos, suscripción, registro (Razón Social, Registro Único de Contribuyentes o Documento de Identidad, Nombres y apellidos del Representante Legal, Correo electrónico de correspondencia legal y tributaria, Nombres y apellidos del responsable comercial o de soporte, Correo electrónico del responsable comercial o soporte, Números de teléfono, Ciudad y país de residencia, Cargo en la organización); y, Datos financieros o patrimoniales, cuando se requieran para el seguimiento del cumplimiento de un contrato.

ARTÍCULO 12: FINALIDAD DEL TRATAMIENTO. –

Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: Los datos obtenidos por SUAREZLEON S.A.S, que se deriven del cumplimiento de las relaciones jurídicas que se generen con los proveedores, serán utilizados únicamente para la finalidad expresada en el objeto del contrato; Para la gestión de formularios, suscripción y/o registros; Revisión y análisis de la información para el periodo de selección de proveedores; Para contactar a los usuarios o titulares de datos que almacenan los proveedores, en respuesta a las solicitudes que hayan realizado directamente a SUAREZLEON S.A.S, a propósito del cumplimiento del contrato respectivo con el proveedor; Para promocionar los productos, servicios y novedades de SUAREZLEON S.A.S; Compartir Datos personales de los colaboradores y/o subcontratistas de los proveedores para efectos del cumplimiento del contrato respectivo, en el sentido de que, SUAREZLEON S.A.S, pueda transmitirle tales datos a sus clientes para el cumplimiento de su giro ordinario; y, Realizar consultas en las bases de datos públicas y/o privadas, para efectos del cumplimiento del contrato y su objeto social.

ARTÍCULO 13: TRANSFERENCIA DE DATOS PERSONALES DE LOS PROVEEDORES. –

SUAREZLEON S.A.S no venderá, distribuirá ni arrendará los datos personales de sus proveedores a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de SUAREZLEON S.A.S, de acuerdo con los siguientes supuestos:

13.1. Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.

13.2. Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato, a propósito del cumplimiento de su giro ordinario.

13.3. Cuando se presente la relación con clientes, con la finalidad de prestarles servicios y productos ofrecidos por SUAREZLEON S.A.S.

ACÁPITE QUINTO: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN. –

ARTÍCULO 14: FINALIDAD DE LA SEGURIDAD DE LA INFORMACIÓN. –

La Política de Seguridad de la Información persigue la adopción de un conjunto de medidas destinadas a preservar la calidad, confidencialidad, integridad y disponibilidad de la información, que constituyen los cuatro componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para los procesos de SUAREZLEON S.A.S.

Esta política incorpora medidas de seguridad la información adecuadas de acuerdo a los principios de legalidad, corrección y transparencia requeridos para la prevención de pérdida de los datos personales bajo el cuidado de SUAREZLEON S.A.S ya sea por eventos accidentales, accesos no autorizados, alteración o divulgación sin el consentimiento de los titulares.

Además, se limita el acceso a los datos personales a aquellas personas ya sean colaboradores, proveedores, contratistas y terceros que requieran acceder a ellos para los propósitos legítimos del tratamiento aquí descrito. Solo las personas autorizadas por SUAREZLEON S.A.S podrán acceder y consultar información personal bajo su autorización e instrucciones las cuales serán realizadas en estricta confidencialidad y en total respeto a la privacidad de los datos personales de los titulares.

Se han definido procesos para la identificación preventiva de riesgos potenciales en pérdida, robo, extravío y divulgación no autorizada de datos personales y en el escenario eventual de algún incidente de seguridad de la información se procederá a notificar a los titulares de los datos personales y a la autoridad de control pertinente del suceso y las medidas correctivas a implementar en caso de ser aplicables.

ARTÍCULO 15: PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN. –

En cumplimiento de la Ley Orgánica de Protección de Datos Personales y su Reglamento se establecen los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse presentes en cualquier actividad relacionada con el tratamiento de información:

15.1. Alcance estratégico: La seguridad de la información deberá contar con el compromiso y apoyo de todos los niveles directivos de SUAREZLEON S.A.S, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.

15.2. Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.

15.3. Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos, la eficacia y el coste de las medidas de seguridad.

15.4. Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos, a la criticidad y valor de la información y de los servicios afectados.

15.5. Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal calificado.

15.6. Seguridad por defecto: Los sistemas deberán diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

Puesto que la seguridad de la información incumbe a todo el personal de SUAREZLEON S.A.S, esta Política deberá ser conocida, comprendida y asumida por todos sus colaboradores y directivos.

Para la consecución de los objetivos de estos principios y políticas, SUAREZLEON S.A.S deberá establecer una estrategia preventiva de análisis sobre los riesgos que pudieran afectarle, identificándolos, implantando controles para su mitigación y estableciendo procedimientos regulares para su reevaluación.

ARTÍCULO 16: POLÍTICA DE GESTIÓN DE ACTIVOS. –

Se deberá tener identificados e inventariados los activos de información ( información que se encuentre presente en forma impresa, escrita, en papel, trasmitida por cualquier medio electrónico o almacenado en equipos de cómputo, incluyendo software, hardware, recurso humano, datos contenidos en registros, archivos, bases de datos, videos e imágenes) necesarios para la prestación de los procesos de negocio de SUAREZLEON S.A.S. Adicionalmente, se deberá mantener actualizado el inventario de activos. Se deberá realizar la clasificación de los activos en función del tipo de información que se vaya a tratar, de acuerdo con lo dispuesto en el presente acápite.

Se deberá asignar un responsable encargado de realizar la gestión propia de los activos de información durante todo el ciclo de vida. El responsable deberá mantener un registro formal de los usuarios con acceso autorizado a dicho activo.

Además, para cada activo o elemento de información deberá existir un responsable o propietario, el cual tendrá la responsabilidad de asegurar que el activo esté inventariado, correctamente clasificado y adecuadamente protegido.

Se deberá actualizar de manera periódica las configuraciones de los activos para permitir el seguimiento de estos y facilitar una correcta actualización de la información.

ARTICULO 17: GESTIÓN DEL CICLO DE VIDA DE LA INFORMACIÓN. –

SUAREZLEON S.A.S deberá gestionar adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases. El ciclo de vida de un activo de información consta de las siguientes fases:

17.1 Creación o recolección: esta fase se ocupa de los registros en su punto de origen. Esto podría incluir su creación por un miembro de SUAREZLEON S.A.S o la recepción de información desde una fuente externa. Incluye correspondencia, mensajes de datos, formularios, informes, entrada/salida del ordenador u otras fuentes.

17.2. Distribución: es el proceso de gestión de la información una vez que se ha creado o recibido. Esto incluye tanto la distribución interna como externa, ya que la información que sale de SUAREZLEON S.A.S se convierte en un registro de una transacción con terceros.

17.3 Uso o acceso: se lleva a cabo después de que la información se distribuya internamente, y puede generar decisiones de negocio, generar nueva información, o servir para otros fines. Detalla el conjunto de usuarios autorizados por SUAREZLEON S.A.S a acceder a la información.

17.4. Almacenamiento: es el proceso de organizar la información en una secuencia predeterminada y la creación de un sistema de gestión para garantizar su utilidad dentro de SUAREZLEON S.A.S.

17.5. Destrucción: establece las prácticas para la eliminación de la información que ha cumplido los períodos de retención definidos y la información que ha dejado de ser útil para SUAREZLEON S.A.S. Los períodos de conservación de la información deberán estar basados en los requisitos normativos, legales y jurídicos que afectan a SUAREZLEON S.A.S. También deberán tenerse en cuenta las necesidades de negocio. Si ninguno de estos requisitos exige que la información sea conservada, deberá ser desechada mediante medios que garanticen su confidencialidad durante el proceso de destrucción.

ARTÍCULO 18: GESTIÓN DE LAS COPIAS DE SEGURIDAD. –

Se deberán realizar copias de seguridad de la información, del software y del sistema y se deberán verificar periódicamente. Para ello, se deberán realizar copias de seguridad de aplicaciones, ficheros y bases de datos con la periodicidad que establezcan las directrices emitidas por la Autoridad Nacional de Protección de Datos Personales.

Las copias de seguridad deberán recibir las mismas protecciones de seguridad que los datos originales, asegurándose su correcta conservación, así como los controles de acceso adecuados.

Como norma general y siempre que sea posible, se deberá requerir que la información en las copias de seguridad esté cifrada. Este requerimiento será obligatorio para determinados tipos de información confidencial.

Se deberá realizar pruebas de restauración de copias de seguridad disponibles y de los procesos de restauración definidos, a fin de garantizar el funcionamiento correcto de los procesos. Estas se realizarán de forma periódica y quedarán documentadas.

Se deberá establecer un período de retención de las copias de seguridad hasta su destrucción una vez terminado el período de existencia. Esta periodicidad de retención y destrucción periodos se ceñirá a lo que establezcan las directrices de la Autoridad Nacional de Protección de Datos Personales.

Las copias de seguridad, tanto de archivos maestros como de aplicaciones y archivos de información se deberán ubicar en lugares seguros con acceso restringido. Asimismo, las copias de respaldo se ubicarán preferentemente en un centro distinto al que las generó.

ARTÍCULO 19: CLASIFICACIÓN DE LA INFORMACIÓN. –

Se deberá definir un modelo de clasificación de la información que permita conocer e implantar las medidas técnicas y organizativas necesarias para mantener su disponibilidad, confidencialidad e integridad. El modelo de clasificación deberá integrar los requisitos y condiciones establecidos en el presente acápite.

El modelo de clasificación deberá tener un responsable encargado de su actualización cuando se crea conveniente, así como de dar a conocer el modelo de clasificación a todos los empleados de SUAREZLEON S.A.S.

19.1. Tipos de información: SUAREZLEON S.A.S deberá clasificar la información en función del soporte en el que está siendo utilizado: (i)Soportes lógicos: información que esté siendo utilizada mediante medios ofimáticos, correo electrónico o sistemas de información desarrollados a medida o adquiridos a un tercero; y, (ii) Soportes físicos: información que esté en papel, soportes magnéticos como USB, DVD, discos duros externos, etcétera.

19.2. Niveles de clasificación: En función de la sensibilidad de la información, SUAREZLEON S.A.S deberá catalogar la información en tres niveles: Uso público, Difusión limitada e Información confidencial.

19.3. Gestión de información privilegiada: La información que se considere reservada, confidencial o secreta se deberá tratar con especial cuidado. Se deberá definir medidas de seguridad extraordinarias o adicionales para el adecuado tratado de la información privilegiada. Ese tipo de información se deberá enviar cifrada y mediante protocolos seguros.

19.4. Etiquetado de la información: SUAREZLEON S.A.S deberá etiquetar mediante métodos manuales o, en la medida de lo posible, automatizados para facilitar el procesamiento adecuado de las medidas de seguridad que apliquen en cada caso. Se deberán etiquetar los documentos o materiales, así como los anexos, copias, traducciones o extractos de estos, según los niveles de clasificación de la información.

Se deberá definir un proceso o procedimiento para el etiquetado de la información de acuerdo con los siguientes requisitos: Asegurar que el etiquetado de la información refleja el esquema de clasificación de la información adoptado; Asegurar que las etiquetas sean fácilmente reconocibles entre todos los empleados; Orientar a los empleados sobre dónde y cómo se colocarán o utilizarán las etiquetas, en función del proceso de acceso a la información o a los activos que la soportan; Indicar las excepciones en los que se permite omitir el etiquetado, sin que ello suponga una omisión del deber de clasificar la información.

Se deberá prestar especial atención y tratar con cuidado máximo el etiquetado de activos físicos que contengan información reservada o secreta, para evitar su sustracción por ser fácilmente identificable. Asimismo, se deberá establecer las medidas técnicas, si fueran necesarias, y viables de etiquetado automático de la información soportada en medios digitales.

19.5. Manipulación de la información: SUAREZLEON S.A.S se encargará de desarrollar e implementar un conjunto adecuado de procedimientos para la correcta manipulación de la información. Se deberán adoptar las medidas necesarias para proteger la información de acuerdo a su clasificación. La información privilegiada estará en todo momento custodiada durante todo el ciclo de vida de la misma.

19.6. Privacidad de la información: SUAREZLEON S.A.S deberá asegurar la privacidad de los datos de carácter personal con el objetivo de proteger los derechos fundamentales de las personas físicas, especialmente su derecho al honor, intimidad personal y familiar y a la propia imagen (dato biométrico), mediante el establecimiento de medidas para regular el tratamiento de los datos.

ARTÍCULO 20: PREVENCIÓN DE FUGAS DE INFORMACIÓN. –

La fuga de información es una salida no controlada de información (intencionada o no intencionada) que provoca que la misma llegue a personas no autorizadas o que su propietario pierda el control sobre el acceso a la misma por parte de terceros.

Se deberá analizar los vectores de fuga de información, en función de las condiciones y operativa de trabajo de SUAREZLEON S.A.S. Para ello, se deberá identificar los activos cuya fuga supone mayor riesgo para cada sociedad, basándose en la criticidad del activo y el nivel de clasificación que la información tenga. Además, se deberán identificar las posibles vías de robo, pérdida o fuga de cada uno de los activos en sus diferentes estados del ciclo de vida.

SUAREZLEON S.A.S deberá definir procedimientos para evitar la ocurrencia de las situaciones que puedan provocar la pérdida de información, así como procedimientos de actuación en caso de que se notifique una fuga de información.

Se deberá asegurar la formación y capacitación de todos los empleados en torno a buenas prácticas para la prevención de fugas de información. Especialmente se deberán tener en cuenta, al menos, los siguientes aspectos: Proceso para el manejo de dispositivos de alta criticidad; Uso adecuado de dispositivos extraíbles como USB, CD/DVD o similares; Uso del correo electrónico personal en los equipos de SUAREZLEON S.A.S; Transmisión de información de forma oral; Impresión de documentación; Salida de documentación; Uso de dispositivos móviles; Uso de internet; Escritorios limpios y ordenados; y Equipos desatendidos.

ARTÍCULO 21: CONTROL DE ACCESO. –

Todos los sistemas de información de SUAREZLEON S.A.S deberán contar con un sistema de control de acceso a los mismos. Asimismo, el control de acceso se enfoca en asegurar el acceso de los usuarios y prevenir el acceso no autorizado a los sistemas de información, incluyendo medidas como la protección mediante contraseñas.

21.1. Requisitos de negocio para el control de acceso: SUAREZLEON S.A.S deberá asumir una serie de requisitos de negocio para el control de acceso, que serán, al menos, los siguientes: Los usuarios (colaboradores, prestadores de servicios y directivos) deberán ser únicos y no podrán ser compartidos. Asimismo, los privilegios de los usuarios serán inicialmente asignados mediante el principio de mínimo privilegio; Se prohibirá el uso de usuarios genéricos (en su defecto, se utilizarán cuentas de usuario asociadas a la identidad nominal de la persona asociada); Siempre que sea posible, se deberá de disponer de un doble factor de autenticación para el acceso a los sistemas de información, siendo obligatorio para aquellos que puedan ser accesibles desde redes públicas.

21.2. Derechos de acceso: SUAREZLEON S.A.S deberá implementar controles de acceso que garanticen que a los usuarios (colaboradores, prestadores de servicios y/o directivos) sólo se les otorguen privilegios y derechos necesarios para desempeñar su función. Los derechos de acceso deberán ser establecidos en función de:

21.2.1. Control de acceso basado en roles: deberán establecerse perfiles o roles de acceso por aplicación y/o sistemas para poder asignar los mismos a los diferentes usuarios.

21.2.2. Necesidad de saber: Sólo se permitirá el acceso a un recurso cuando exista una necesidad legítima para el desarrollo de la actividad.

21.2.3. Privilegios mínimos: los permisos otorgados a los usuarios deberán ser los mínimos.

21.2.4. Segregación de funciones: deberá asegurarse una correcta segregación de funciones para desarrollar y asignar derechos de acceso.

21.3. Control de acceso lógico: SUAREZLEON S.A.S deberá establecer una Política de contraseñas adecuada y alineada con las buenas prácticas en seguridad. La política de contraseñas definirá los requisitos de las contraseñas y los plazos de mantenimiento de una misma contraseña.

ARTICULO 22: GESTIÓN DEL CICLO DE VIDA DE LA IDENTIDAD. –

SUAREZLEON S.A.S deberá definir e implementar un adecuado sistema de gestión del ciclo de vida de la identidad. La identidad es el conjunto de características que identifican de forma unívoca a toda persona con acceso físico a los sistemas de información de SUAREZLEON S.A.S. El ciclo de vida de la identidad es el proceso que sigue la identidad de un usuario desde su creación hasta su eliminación.

El ciclo de vida de la identidad se compone de las siguientes actividades: Creación y asignación de la identidad; Revisión periódica; y, Modificación o eliminación. La gestión de este ciclo requiere definir los requisitos de seguridad y responsabilidades de cada una de las etapas, con el objetivo de centralizar y facilitar los procesos de gestión asociados a las mismas.

La asignación y uso de derechos de acceso privilegiado deberá estar restringida y controlada. El acceso privilegiado es el acceso a sistemas como administrador o con un rol que ofrezca la posibilidad de modificar la configuración del sistema.

La asignación de derechos de acceso privilegiado deberá ser controlada a través de un proceso formal de autorización de acuerdo con las políticas de control de acceso. Deberán considerarse, al menos, los siguientes requisitos: Deberán identificarse los derechos de acceso privilegiados asociados a cada sistema o proceso (por ejemplo, sistema operativo, sistema de gestión de base de datos o aplicación), así como los usuarios a los que estos les deberán ser asignados; La asignación de derechos de acceso privilegiados deberá realizarse en base a las necesidades de uso, basándose en el mínimo privilegio y necesidad de saber; Deberá definirse un proceso de autorización que incluya un registro de los privilegios asignados; Deberán definirse los requisitos para la caducidad de los derechos de acceso privilegiado; Las competencias de los usuarios con derechos de acceso privilegiado deberán revisarse regularmente con el objeto de verificar que se encuentran alineadas con sus obligaciones; Deberán establecerse y mantenerse procedimientos y mecanismos específicos para evitar el uso no autorizado de cuentas de usuario genéricas para la administración, conformes con las capacidades de configuración de los sistemas; y, Se deberán establecer procedimientos y mecanismos que aseguren la confidencialidad de la información secreta de autenticación para los usuarios genéricos de administración.

ARTÍCULO 23: SEGURIDAD FÍSICA Y DEL ENTORNO. –

De ser el caso, los espacios físicos donde se ubiquen los sistemas de información de SUAREZLEON S.A.S deberán estar protegidos adecuadamente mediante controles de acceso perimetrales, sistemas de vigilancia y medidas preventivas de manera que puedan evitarse o mitigar el impacto de incidentes de seguridad y accidentes ambientales. Además, deberá haber un control de acceso físico a la información que se encuentre en formato físico mediante un registro en papel sobre quién accede a la información, en formato de bitácora de ingreso, salida, fecha, hora e identidad.

ARTÍCULO 24: SEGURIDAD EN TRABAJO EN LA NUBE. –

SUAREZLEON S.A.S, en el evento de funcionar con los servicios de almacenamiento de en Nube, deberá mantener una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencial, integridad y disponibilidad de la información. Dependiendo del tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad:

24.1. Infraestructura: en primer lugar, se deberá asegurar que el proveedor monitoriza el entorno para detectar cambios no autorizados. Además, se deberá establecer fuertes niveles de autenticación y control de acceso para los administradores y las operaciones que estos realicen. Por último, las instalaciones y/o configuraciones de los elementos comunes deberán estar registrados y conectados con el objetivo de obtener la trazabilidad adecuada.

24.2. Plataforma: de forma adicional a las medidas indicadas en el modelo de servicio de infraestructura, el proveedor de servicio deberá proporcionar mecanismos de seguridad correspondiente al ciclo de vida del software seguro.

24.3. Software: de forma adicional a las medidas indicadas en el modelo de servicio de plataforma, SUAREZLEON S.A.S y el proveedor deberán seguir OWASP (Open Web Application Security) como guía para la seguridad de las aplicaciones.

ARTÍCULO 25: SEGURIDAD EN LA OPERATIVA. –

Todos los sistemas de información de SUAREZLEON S.A.S que procesan o almacenan información de su propiedad deberán contar con las medidas de seguridad oportunas que optimicen su nivel de madurez adecuado. Asimismo, se deberán gestionar, controlar y monitorizar las redes de manera adecuada, a fin de protegerse de las amenazas y mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluidos los controles de acceso a la red, protegiendo así toda la información que se transfiera a través de estos elementos y/o entornos.

ARTÍCULO 26: SEGURIDAD EN LAS TELECOMUNICACIONES. –

La arquitectura de red de SUAREZLEON S.A.S deberá contar con medidas de prevención, detección y respuesta para evitar brechas en los dominios internos y externos. Se entiende por “dominio interno” la red local compuesta por los elementos tecnológicos de SUAREZLEON S.A.S accesibles exclusivamente desde la red interna. Por otra parte, se entiende por “dominio externo” la red accesible desde el exterior de la red de SUAREZLEON S.A.S.

Es de suma importancia la administración de seguridad de las redes que atraviesan el perímetro de SUAREZLEON S.A.S, implantando controles adicionales para los datos sensibles que circulen por las redes de comunicación públicas (de ser el caso).

Por ello, SUAREZLEON S.A.S definirá las pautas de seguridad a seguir con relación a la transferencia de información, así como las medidas de seguridad en la utilización de equipos portátiles, servicios de internet y correo electrónico, y de controles específicos que permitan una conexión segura a los sistemas de información de SUAREZLEON S.A.S desde fuera de sus instalaciones.

ARTÍCULO 27: SEGURIDAD EN EL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS. –

Toda la adquisición, desarrollo y mantenimiento de los sistemas deberá contar con unos requisitos mínimos de seguridad necesarios para el desarrollo de software, los sistemas y los datos acorde con las buenas prácticas del sector. Además, deberá realizarse una gestión de las pruebas, el seguimiento de los cambios y el inventario del software.

Cada departamento de SUAREZLEON S.A.S deberá tener en cuenta la seguridad de la información en sus procesos de sistemas y datos, procedimiento de selección, desarrollo e implementación de aplicaciones, productos y servicios.

ARTÍCULO 28: SEGURIDAD EN LOS PROVEEDORES. –

Se deberá poner especial atención en evaluar la criticidad de todos los servicios susceptibles de ser subcontratados de manera que puedan identificarse aquellos que sean relevantes desde el punto de vista de la seguridad de la información, ya sea por su naturaleza, la sensibilidad de los datos que deban tratarse o la dependencia sobre la continuidad de negocio.

Sobre los proveedores de estos servicios se deberán cuidar los procesos de selección, requerimientos contractuales como la terminación contractual, la monitorización de los niveles de servicio, la devolución de datos y las medidas de seguridad implantadas por dicho proveedor, que deberán ser, al menos, equivalentes a las que se establecen en el presente acápite.

ARTÍCULO 29: GESTIÓN DE INCIDENTES. –

Todos los colaboradores y/o prestadores de servicios de SUAREZLEON S.A.S, en el ejercicio de sus funciones, tienen la obligación y responsabilidad de la identificación y notificación al responsable de seguridad de SUAREZLEON S.A.S de cualquier incidente, fuga de datos, ciberataque, perdida, robo, hurto de equipos propios o de SUAREZLEON S.A.S o delito que pudiera comprometer la seguridad de sus activos de información. Asimismo, SUAREZLEON S.A.S deberá implementar procedimientos para la correcta gestión de los incidentes detectados.

Se deberá definir un procedimiento de gestión de respuesta ante incidentes, en el que se defina un proceso de categorización de incidentes, análisis de impactos de negocio y escalado por parte de la función de seguridad de la información y ciberseguridad ante cualquier incidente relacionado con la seguridad de la información.

En este sentido, si existe un incidente de fuga de datos, ciberataque, perdida, robo, hurto de equipos propios o de SUAREZLEON S.A.S el colaborador y/o el prestador del servicio (de ser el caso) que tenga conocimiento y/o responsabilidad de aquello deberá notificar inmediatamente a la Gerencia, Departamento Informático y Recursos Humanos de SUAREZLEON S.A.S, con el fin de tomar las medidas correctivas inmediatas e idóneas para subsanar tal hecho. Esta obligación es indispensable para cumplir con la notificación que debe realizar SUAREZLEON S.A.S a las Autoridades y Titulares de Datos Personales en caso de emergencias e incidentes informáticos, tal como lo establecen los artículos 44, 45 y 46 de la Ley Orgánica de Protección de Datos Personales.

ARTÍCULO 30: CONTINUIDAD DE NEGOCIO. –

Respondiendo a requerimientos de calidad y buenas prácticas, SUAREZLEON S.A.S deberá disponer de un Plan de Continuidad de Negocio como parte de su estrategia para garantizar la continuidad en la prestación de sus servicios esenciales o críticos y el adecuado manejo de los impactos sobre el negocio ante posibles escenarios de crisis, proporcionando un marco de referencia para que la sociedad actúe en caso de ser necesario. Este Plan de Continuidad deberá ser actualizado y probado periódicamente.

SUAREZLEON S.A.S deberá encargarse de la formación y capacitación para todos sus empleados en materia de Continuidad del Negocio. La formación en materia de Continuidad del Negocio deberá ser revisada periódicamente con el objetivo de estar totalmente alineada con el Plan existente.

ARTÍCULO 31: CUMPLIMIENTO REGULATORIO. –

SUAREZLEON S.A.S deberá comprometerse a dotar los recursos necesarios para dar cumplimiento a toda la legislación y regulación aplicable a su actividad en materia de seguridad de la información y establecer la responsabilidad de dicho cumplimiento sobre todos sus miembros. En este sentido, se velará por el cumplimiento de toda legislación, normativa o regulación aplicable.

DISPOSICIONES GENERALES

PRIMERA: Cuando la Autoridad Nacional de Protección de Datos Personales emita sus directrices para la designación del Delegado de Protección de Datos, en el evento de que, SUAREZLEON S.A.S, configure o califique, de acuerdo a su giro ordinario y a los Datos Personales que trata, como una entidad obligada a contratar al antedicho delegado, SUAREZLEON S.A.S aplicará y ejecutará las medidas pertinentes para el cumplimiento de la precitada obligación.

SEGUNDA: Por medio del presente Código de Conducta, SUAREZLEON S.A.S podrá emitir las cláusulas tipo y/o declaraciones referentes al Tratamiento de Datos Personales para cualquier tercero, colaboradores, persona natural y/o jurídica, que tenga relaciones jurídicas de cualquier naturaleza con SUAREZLEON S.A.S.

TERCERA: SUAREZLEON S.A.S podrá emitir directrices, protocolos e instructivos internos que deriven del presente Código de Conducta de Políticas Generales de Privacidad tendientes al estricto cumplimiento del mismo.

CUARTA: En caso de recopilación, procesamiento y tratamiento de Datos Personales provenientes de fases pre-contractuales, de cualquier naturaleza, SUAREZLEON S.A.S, se reserva el derecho de almacenarla, eliminarla y/o anonimizarla por el tiempo que esta considere pertinente, salvo que exista disposición legal que exija un tratamiento distinto.

QUINTA: En lo no previsto en el presente Código de Conducta se estará a lo que dispone la Ley Orgánica de Protección de Datos Personales, su Reglamento y directrices emitidas por la Autoridad Nacional de Protección de Datos Personales.

Dado en el cantón de Samborondón, República del Ecuador, el 09 de mayo de 2024.