Política General y Aviso de Privacidad para la Protección de Datos Personales

1. OBJETIVO

Garantizar la protección integral de los datos personales, en especial los datos de salud, de pacientes, clientes y terceros vinculados, mediante la implementación de medidas jurídicas, técnicas y organizativas adecuadas, en cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP), su reglamento y normativa aplicable.

2. ALCANCE

La presente política es de cumplimiento obligatorio para:

• Todo el personal administrativo, operativo y profesional de salud.
• Proveedores y terceros (encargados del tratamiento).
• Sistemas informáticos, físicos y digitales.
• Procesos de recolección, almacenamiento, uso, análisis, transferencia y eliminación de datos.

3. IDENTIDAD DE LOS RESPONSABLES (CORRESPONSABILIDAD)

El tratamiento se realiza de forma conjunta por:

• Laboratorio Clínico Dra. Cecilia Valverde de Paladines (RUC 0908936032001).
  • Dirección: Urbanización La Carolina Manz 3 Villa 28
  • Correo electrónico: aromero@laboratoriocvalverde.com
  • Celular: 098 918 9849
• LabCValverde Cía. Ltda. (RUC 0791818702001).
  • Dirección: Buenavista e/ Olmedo y Sucre
  • Correo electrónico: aromero@laboratoriocvalverde.com
  • Celular: 098 918 9849

En adelante, los “Responsables del Tratamiento”, quienes determinan conjuntamente los fines y medios del tratamiento. El titular podrá ejercer sus derechos ante cualquiera de ellos.

4. MARCO LEGAL

• Constitución de la República del Ecuador.
• Ley Orgánica de Protección de Datos Personales (LOPDP).
• Reglamento General a la LOPDP.
• Normativa del Ministerio de Salud Pública (MSP), cuando corresponda.
• Normativa tributaria vigente.

5. BASES DE LEGITIMACIÓN DEL TRATAMIENTO

El tratamiento será lícito cuando se fundamente en al menos una de las siguientes bases:

• Consentimiento del titular.
• Ejecución de una relación contractual o prestación de servicios de salud.
• Cumplimiento de obligaciones legales y regulatorias.
• Protección de intereses vitales del titular o de terceros.
• Interés público en el ámbito de la salud.
• Mandato judicial o requerimiento de autoridad competente.
• Interés legítimo de los responsables (auditorías, defensa legal, seguridad).

6. PRINCIPIOS RECTORES

El tratamiento se regirá por:

• Juridicidad.
• Lealtad y transparencia.
• Finalidad.
• Minimización de datos.
• Proporcionalidad.
• Confidencialidad.
• Calidad y exactitud.
• Limitación de conservación.
• Seguridad.
• Responsabilidad proactiva.
• Aplicación favorable al titular.
• Independencia del control.

7. CATEGORÍAS DE DATOS TRATADOS

Para la prestación de los servicios de laboratorio clínico, se tratan las siguientes categorías de datos personales:

• Datos de identificación: nombres y apellidos, número de cédula, nacionalidad (cuando aplique).
• Datos de contacto: número telefónico, correo electrónico y dirección domiciliaria (cuando sea necesario).
• Datos demográficos: fecha de nacimiento, edad, sexo.
• Datos administrativos y tributarios: información necesaria para facturación.
• Datos personales de categoría especial: relativos a la salud, consistentes en resultados de exámenes clínicos, tipo de examen, historial clínico y datos asociados a órdenes médicas.
• Datos operativos: fecha y hora de atención, área o profesional responsable, registro de entrega de resultados.
• Datos digitales: dirección IP, registros de acceso al sistema y al portal de resultados, y datos de navegación recabados a través de cookies o tecnologías similares, cuando aplique.
• Firma del titular: ya sea manuscrita o electrónica, cuando sea legalmente exigible, en consentimientos o solicitudes especiales.

En el caso de niñas, niños y adolescentes, el tratamiento se realizará únicamente con la autorización de su representante legal, previa verificación de identidad y representación conforme a la normativa aplicable.

8. FINALIDADES DEL TRATAMIENTO

Los datos personales serán tratados exclusivamente para las siguientes finalidades legítimas:

• Prestación de servicios de laboratorio clínico.
• Gestión, análisis y emisión de resultados de exámenes clínicos.
• Envío de resultados al paciente y, cuando exista consentimiento expreso, al médico tratante o establecimiento de salud correspondiente.
• Por WhatsApp o correo se hace solo cuando el titular lo solicita y confirma el dato de contacto (control de verificación).
• Que el portal para revisión y descarga de resultados usa usuario/contraseña y se registran accesos (logs).
• Gestión administrativa, contable y de facturación.
• Cumplimiento de obligaciones sanitarias, legales y regulatorias.
• Seguridad de la información, continuidad del servicio y soporte técnico.
• Procesos de auditoría interna, control de calidad y mejora continua.
• Conservación de información clínica conforme a la normativa aplicable.
• Seguridad de las instalaciones, personal y pacientes a través de sistemas de video vigilancia (plazo de conservación: 15 días).

9. MEDIDAS DE SEGURIDAD Y GESTIÓN DE RIESGOS

Los Responsables implementan un sistema de seguridad basado en riesgo, conforme al estado de la técnica, que incluye:

• Medidas técnicas: Cifrado de información sensible (cuando corresponda), control de accesos por roles, autenticación de usuarios, registros de auditoría (logs) y copias de seguridad periódicas.
• Medidas organizativas: Políticas internas de acceso a datos, capacitación del personal y acuerdos de confidencialidad obligatorios.
• Medidas administrativas: Evaluaciones periódicas de riesgo, auditorías internas y externas, y control de proveedores.

10. GESTIÓN DE INCIDENTES Y BRECHAS DE SEGURIDAD

En caso de violaciones de seguridad:

• Se activarán protocolos de contención inmediata.
• Se evaluará el impacto sobre los titulares.
• Se notificará a la Autoridad de Protección de Datos cuando corresponda.
• Se informará al titular cuando exista un alto riesgo para sus derechos y libertades.

11. TRANSFERENCIA Y COMUNICACIÓN DE DATOS

Los resultados de laboratorio podrán ser comunicados:

• A médicos tratantes, clínicas u hospitales, cuando exista autorización expresa del titular o una base legal aplicable.
• A autoridades competentes, cuando exista obligación legal, mandato judicial o requerimiento debidamente motivado conforme a la normativa aplicable.
• A proveedores de servicios tecnológicos (Encargados del Tratamiento), que prestan soporte operativo (ej. software de laboratorio, portal de resultados, facturación y soporte técnico), quienes actúan bajo instrucciones documentadas y mediante contratos que garantizan confidencialidad y seguridad.

No se realizarán transferencias de datos sin base legal o consentimiento, según corresponda.

12. TRANSFERENCIAS INTERNACIONALES

Actualmente no se realizan transferencias internacionales de datos de salud; si en el futuro se contratan servicios en nube, se informará y se aplicarán garantías..

13. CONSERVACIÓN DE DATOS

Los datos se conservarán, como referencia operativa, en los siguientes plazos:

• Historial clínico: 5 años (mínimo).
• Datos tributarios: 7 años.

Sin perjuicio de los plazos legales aplicables, los Responsables se comprometen a atender en el menor tiempo posible.

Posteriormente serán eliminados, anonimizados o bloqueados, mediante procedimientos seguros, según corresponda, o durante el tiempo adicional necesario para el cumplimiento de obligaciones legales o la defensa de derechos de los Responsables.

14. DERECHOS DE LOS TITULARES

El titular podrá ejercer, de forma gratuita, los derechos previstos en la normativa aplicable, incluyendo:

• Acceso.
• Rectificación.
• Actualización.
• Eliminación.
• Oposición.
• Portabilidad.
• Revocatoria del consentimiento.

Para el ejercicio de estos derechos, el titular deberá acreditar su identidad, pudiendo los Responsables requerir información adicional para verificarla.

15. DECISIONES AUTOMATIZADAS

El laboratorio no realiza decisiones automatizadas ni perfilamiento que produzcan efectos jurídicos sobre los titulares.

16. RESPONSABILIDADES INTERNAS

• Delegado de Protección de Datos (DPD): Supervisión normativa, atención de solicitudes y gestión de incidentes.
• Responsables: Definir finalidades y medios, y garantizar cumplimiento.
• Encargados: Tratar datos bajo instrucciones y no usar datos para fines propios.

17. MECANISMOS DE ATENCIÓN

Canales:

• Correo electrónico: protecciondatos@laboratoriocvalverde.com
• Atención física en recepción del laboratorio.
• Canal digital (portal web), cuando aplique.

Plazos (referencia interna):

• Respuesta inicial: 10 días.
• Requerimientos adicionales: 5 días.

18. TRANSPARENCIA Y EDUCACIÓN DIGITAL

El laboratorio garantiza:

• Información clara y accesible.
• Difusión de esta política.
• Orientación al titular sobre sus derechos.

19. AUDITORÍA Y CUMPLIMIENTO

Se podrán realizar auditorías internas, auditorías externas y evaluaciones de cumplimiento para garantizar mejora continua.

20. REVISIÓN Y ACTUALIZACIÓN

La política será revisada periódicamente y actualizada según cambios normativos, cambios tecnológicos y nuevos riesgos identificados.

21. LIMITACIÓN DE RESPONSABILIDAD

Los Responsables aplican medidas técnicas y organizativas apropiadas para proteger los datos personales. Sin perjuicio de lo anterior, ningún sistema es infalible; por ello, se mantienen mecanismos de prevención, detección y respuesta ante incidentes, y se adoptarán las medidas y notificaciones que correspondan conforme la normativa aplicable.