Política de Privacidad y Protección de Datos Personales
Última actualización: Mayo 2025 | Versión 2.0
La presente Política de Privacidad describe cómo GestorWork (en adelante, "el Responsable" o "GestorWork") recopila, trata, conserva y protege los datos personales de sus usuarios y clientes, en cumplimiento de la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP), publicada en el Registro Oficial Suplemento N° 459 del 26 de mayo de 2021, y su Reglamento.
- Responsable del Tratamiento
- Datos Personales que Tratamos
- Finalidades y Bases de Legitimación
- Datos Sensibles
- Plazos de Conservación
- Destinatarios y Transferencias
- Transferencias Internacionales
- Medidas de Seguridad
- Sus Derechos ARCO+
- Datos de Menores de Edad
- Cookies y Tecnologías Similares
- Marco Legal por País
- Cambios en esta Política
- Contacto
1. Responsable del Tratamiento (Art. 6 LOPDP)
| Campo | Información |
|---|---|
| Razón social | GestorWork |
| País de constitución | Ecuador |
| Correo de privacidad | privacidad@gestorwork.com |
| Delegado de Protección de Datos | dpo@gestorwork.com |
| Autoridad supervisora | Autoridad de Protección de Datos Personales del Ecuador (AEPD) |
2. Datos Personales que Tratamos (Art. 4 LOPDP)
2.1 Usuarios del sistema (operadores internos)
| Categoría | Datos específicos | Fuente |
|---|---|---|
| Identificación | Nombre, apellido, correo electrónico, cédula | Registro del cliente |
| Contacto | Teléfono, dirección | Registro del cliente |
| Autenticación | Contraseña (almacenada con hash SHA-512 + salt) | Generado por el usuario |
| Actividad | Registros de inicio/cierre de sesión, IP, user-agent | Automático del sistema |
| Preferencias | Configuración de módulos y permisos | Administrador del cliente |
2.2 Leads y contactos del CRM
| Categoría | Datos específicos | Fuente |
|---|---|---|
| Identificación | Nombre, correo electrónico, cédula | Cliente importador |
| Contacto | Teléfono, ciudad, país, dirección | Cliente importador / scraping autorizado |
| Clasificación | Categoría, sector, tags, género, fecha de nacimiento | Cliente importador |
| Interacciones | Historial de mensajes WhatsApp, estado de campañas | Automático del sistema |
2.3 Datos de facturación y documentos
Nombre comercial, RUC/cédula, dirección, correo electrónico, datos de transacciones comerciales necesarios para la emisión de documentos tributarios.
3. Finalidades y Bases de Legitimación (Art. 9-11 LOPDP)
| Finalidad | Base de legitimación | Módulo |
|---|---|---|
| Prestación del servicio de gestión operativa | Contrato | Todos los módulos |
| Autenticación y control de acceso | Contrato | Login / Usuarios |
| Facturación electrónica y cumplimiento tributario | Obligación legal | Facturación |
| Gestión de leads y campañas de CRM | Interés legítimo / Consentimiento | CRM |
| Comunicaciones por WhatsApp | Interés legítimo / Consentimiento | WhatsApp CRM |
| Seguridad, auditoría y trazabilidad | Interés legítimo | Logs / Auditoría |
| Gestión de activos y recursos humanos | Contrato | Activos / Gestión |
| Notificaciones operativas y alertas | Contrato | Todos |
4. Datos Sensibles (Art. 22-25 LOPDP)
El sistema puede tratar datos sensibles cuando el cliente (empresas usuarias) así lo requiera para sus procesos internos. Entre estos se incluyen: datos de salud (en módulos de gestión de personal), datos biométricos (fotografías en expedientes civiles) y datos de origen étnico cuando son proporcionados voluntariamente.
El tratamiento de datos sensibles se realiza únicamente con:
- Consentimiento explícito del titular, o
- Habilitación legal expresa para la finalidad específica.
GestorWork no recopila ni trata por iniciativa propia datos sensibles de titulares ajenos a sus clientes directos.
5. Plazos de Conservación (Art. 9.e LOPDP)
| Tipo de dato | Plazo de conservación | Fundamento |
|---|---|---|
| Datos de usuarios activos | Mientras el contrato esté vigente | Ejecución del contrato |
| Datos de usuarios tras baja | 5 años adicionales | Obligaciones legales y comerciales |
| Documentos tributarios (facturas, retenciones) | 7 años | Código Tributario Ecuador, Art. 94 |
| Logs de auditoría y acceso | 3 años | Seguridad e interés legítimo |
| Leads del CRM sin interacción | 2 años desde el último contacto | Interés legítimo |
| Comunicaciones WhatsApp | 1 año desde la última interacción | Interés legítimo |
| Registros de brechas de seguridad | 5 años | Art. 41 LOPDP |
Transcurridos los plazos, los datos son eliminados o anonimizados de forma segura.
6. Destinatarios (Art. 16 LOPDP)
Los datos personales no son vendidos ni cedidos a terceros con fines comerciales. Los datos pueden ser comunicados a:
- Encargados de tratamiento: proveedores de infraestructura (servidores en la nube), servicios de correo, servicios de mensajería, bajo acuerdos de confidencialidad y tratamiento de datos que garantizan niveles de seguridad equivalentes.
- Autoridades públicas: cuando exista obligación legal (SRI, Superintendencia de Compañías, autoridades judiciales).
- Empresas del grupo: en su caso, bajo los mismos estándares de protección.
7. Transferencias Internacionales (Art. 44-47 LOPDP)
GestorWork puede utilizar servicios alojados fuera de Ecuador, incluyendo:
| Proveedor / Servicio | País | Garantía |
|---|---|---|
| Google Cloud / Vertex AI | Estados Unidos | Cláusulas contractuales estándar |
| Amazon Web Services (S3) | Estados Unidos | Cláusulas contractuales estándar |
| Meta (WhatsApp Business API) | Estados Unidos | Términos de servicio Meta + cláusulas contractuales |
| OpenAI / Gemini | Estados Unidos | Acuerdo de procesamiento de datos del proveedor |
Todas las transferencias se realizan con salvaguardas adecuadas conforme al Art. 44 de la LOPDP.
8. Medidas de Seguridad (Art. 30 LOPDP)
GestorWork implementa medidas técnicas y organizativas para proteger los datos personales, entre ellas:
- Cifrado de contraseñas: algoritmo SHA-512 con salt único por usuario.
- Transmisión segura: HTTPS/TLS en todas las comunicaciones.
- Control de acceso: autenticación mediante JWT con expiración, cookies HttpOnly.
- Autorización basada en roles: permisos granulares por módulo y sección.
- Registro de auditoría: log de accesos, modificaciones y eliminaciones sobre datos personales.
- Backups automáticos: copias de seguridad cifradas con rotación programada.
- Segregación de datos: arquitectura multi-tenant que aísla datos de cada empresa cliente.
- Sanitización de entradas: protección contra inyección MongoDB (express-mongo-sanitize).
- Notificación de brechas: procedimiento interno con plazo de 72 horas para notificación a la AEPD.
9. Sus Derechos ARCO+ (Art. 26 LOPDP)
Complete el formulario en: /lopdp/solicitud
O envíe un correo a: privacidad@gestorwork.com
Responderemos dentro de los 15 días hábiles siguientes a la recepción de su solicitud (Art. 26 LOPDP).
| Derecho | Descripción | Plazo de respuesta |
|---|---|---|
| Acceso | Conocer qué datos personales tratamos sobre usted, su origen, finalidad y destinatarios. | 15 días hábiles |
| Rectificación | Corregir datos inexactos, incompletos o desactualizados. | 15 días hábiles |
| Supresión / Eliminación | Solicitar la eliminación de sus datos cuando no sean necesarios para la finalidad original, o retire su consentimiento. | 15 días hábiles |
| Portabilidad | Recibir sus datos en formato estructurado (JSON), legible por máquina, para trasladarlos a otro responsable. | 15 días hábiles |
| Oposición | Oponerse al tratamiento de sus datos en determinadas circunstancias, especialmente para fines de marketing directo. | 15 días hábiles |
| No-decisión automatizada | No ser objeto de decisiones con efectos jurídicos basadas únicamente en tratamiento automatizado, incluyendo perfilado. | 15 días hábiles |
| Revocación del consentimiento | Retirar en cualquier momento el consentimiento previamente otorgado, sin efecto retroactivo. | Inmediato |
Si considera que sus derechos no han sido atendidos correctamente, puede presentar una reclamación ante la Autoridad de Protección de Datos Personales del Ecuador (AEPD).
10. Datos de Menores de Edad (Art. 13 LOPDP)
Los servicios de GestorWork están destinados a empresas y a personas mayores de 18 años. No recopilamos conscientemente datos personales de menores de edad. Si detectamos que se han proporcionado datos de menores sin el consentimiento de sus representantes legales, procederemos a su eliminación inmediata.
En módulos específicos (gestión de becarios, personal de RRHH) donde puedan aparecer menores de edad como beneficiarios, el tratamiento se realiza sobre la base de la relación contractual con la institución cliente y con las salvaguardas adicionales requeridas por la ley.
11. Cookies y Tecnologías Similares
GestorWork utiliza cookies estrictamente necesarias para el funcionamiento del servicio:
| Cookie | Tipo | Finalidad | Duración |
|---|---|---|---|
authToken | Necesaria | Token de autenticación JWT (HttpOnly) | 30 días |
userID | Necesaria | Identificador de sesión del usuario | 30 días |
isAdmin | Necesaria | Rol de administrador (Secure) | 30 días |
No utilizamos cookies de seguimiento, publicidad ni analítica de terceros.
12. Marco Legal por País
GestorWork opera en múltiples países. Cada titular de datos queda amparado por la ley de protección de datos vigente en su país de residencia. A continuación se detalla el marco aplicable y los plazos de respuesta a solicitudes de derechos en cada jurisdicción:
| País | Ley aplicable | Autoridad reguladora | Plazo ARCO | Notif. brechas |
|---|---|---|---|---|
| 🇪🇨 Ecuador | LOPDP (2021) | AEPD Ecuador | 15 días hábiles | 72 horas |
| 🇨🇴 Colombia | Ley 1581/2012 | SIC | 10 días hábiles | A la brevedad |
| 🇲🇽 México | LFPDPPP (2010) | INAI | 20 días hábiles | A la brevedad |
| 🇵🇪 Perú | Ley 29733 | ANPD | 20 días hábiles | A la brevedad |
| 🇦🇷 Argentina | Ley 25.326 | AAIP | 30 días corridos | 72 horas |
| 🇨🇱 Chile | Ley 19.628 / nueva ley | Consejo Transparencia / CPDP | 30 días corridos | 72 horas |
| 🇧🇷 Brasil | LGPD (2020) | ANPD | 15 días corridos | 72 horas |
| 🇪🇺 España / UE | GDPR + LOPDGDD | AEPD / Autoridad local | 30 días calendario | 72 horas |
El marco más estricto (GDPR) sirve como estándar base de toda nuestra operación. Para ejercer sus derechos indique su país en el formulario de solicitud y aplicaremos el plazo y el procedimiento que corresponde a su jurisdicción.
13. Cambios en esta Política
Podemos actualizar esta Política periódicamente para reflejar cambios en nuestras prácticas, mejoras del servicio o modificaciones normativas. Le notificaremos los cambios significativos mediante correo electrónico o aviso prominente en la plataforma con al menos 15 días de anticipación. La fecha de la última actualización siempre estará visible al inicio de este documento.
14. Contacto y Delegado de Protección de Datos
Para consultas sobre esta Política o el ejercicio de sus derechos:
- 📧 Privacidad: privacidad@gestorwork.com
- 👤 DPO (Delegado de Protección de Datos): dpo@gestorwork.com
- 📋 Formulario de solicitud ARCO+: /lopdp/solicitud
Tiempo de respuesta: 15 días hábiles desde la recepción de su solicitud (Art. 26 LOPDP).