EQUIFAX ECUADOR C.A. BURÓ DE INFORMACIÓN CREDITICIA (en adelante Equifax Ecuador), es consciente de la importancia de los datos de carácter personal en sus actividades. En el día a día Equifax Ecuador actúa como responsable del tratamiento de datos personales, por lo que lleva a cabo numerosos tratamientos de datos que deben adecuarse a la normativa aplicable. Para contribuir a dicho cumplimiento y al respeto de los derechos de los titulares de datos, Equifax Ecuador ha desarrollado esta Política de Privacidad y Protección de Datos Personales (en adelante la "Política").
La presente Política se ha preparado en el marco de las NORMAS DE CONTROL PARA LAS ENTIDADES DE LOS SECTORES FINANCIERO PÚBLICO Y PRIVADO, TÍTULO I, DE LA SUPERINTENDENCIA DE BANCOS, la NORMA DE CONTROL PARA LA PRESTACIÓN DEL SERVICIO DE REFERENCIAS CREDITICIAS Constante en la Codificación de la Superintendencia de Bancos, Resolución 810; así como, de la LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES ( en adelante LOPDP) aprobada el 21 de mayo de 2021 y su Reglamento aprobado mediante Decreto Ejecutivo N° 904 el 06 de noviembre de 2023, relativos a la protección de datos personales. Asimismo, la Política responde al numeral cuarto del artículo 47 de la Ley Orgánica de Protección de Datos Personales, sometiéndose Equifax Ecuador como Responsable de tratamiento de datos personales en estricto apego a los principios y derechos desarrollados conforme a la Ley, así como la aplicación e implementación de requisitos, herramientas, procesos y políticas que garanticen que el tratamiento de datos personales se realiza conforme a lo previsto en la normativa y mejores prácticas internacionales.
EQUIFAX ECUADOR C.A. BURÓ DE INFORMACIÓN CREDITICIA, con RUC 1791901215001, y con domicilio social principal en Av. Isabel La Católica N24-430 y Luis Cordero, Edificio RFS Centro de Negocios, Piso 1 (Quito) y domicilio secundario Av. 9 de Octubre y Malecón, Edif. La Previsora, Piso 30 (Guayaquil), es la entidad que actúa como Responsable del Tratamiento de los datos obtenidos según las normativas vigentes para los burós de crédito.
Se informa de que podrá contactar con Equifax Ecuador bien en el domicilio social indicado, a través del teléfono (+593) 24011800 o al correo electrónico
Equifax Ecuador opera como Buró de Crédito debidamente autorizado por la Superintendencia de Bancos para prestar servicios de referencia crediticia a partir de una base de datos que contiene información sobre el cumplimiento de obligaciones dinerarias y que tiene su legitimidad del tratamiento de datos por parte de Equifax Ecuador sobre la base del cumplimiento de obligaciones legales, el cumplimiento de obligaciones contractuales con sus clientes o entidades que consultan e interés legítimo del responsable.
¿Quién es el responsable en la recolección primaria de datos personales? Es la fuente de la información crediticia, quien como persona natural o jurídica, debido a sus actividades, posee información de riesgos crediticios. Son fuentes de este tipo de información las entidades del sistema financiero nacional cuando actúen por cuenta propia o por cuenta de una entidad bancaria o financiera del exterior; del sector comercial y de servicios; del sector público; las compañías de seguros y reaseguros; los fideicomisos resultantes de procesos de liquidación forzosa; las entidades sin fines de lucro que posean información de riesgos crediticios; otras instituciones en las que se registren obligaciones de pago; del sector de telecomunicaciones; y, en general, todo comerciante acreditado y registrado como tal, que demuestre tener una actividad lícita, que realice ventas a crédito en legal y debida forma; y, registre cuentas por cobrar.
De acuerdo a la normativa vigente, tales fuentes son responsables del tratamiento realizado para el aporte de información al Buró de Crédito, así como de la veracidad, exactitud y, en general, el contenido de la información aportada.
Los beneficios del tratamiento de datos redunda en permitir que las entidades que consultan conforme el ámbito normativo y aportan información a dicha base de datos, den seguridad al tráfico mercantil, prevenir la morosidad y valorar la solvencia patrimonial de las personas físicas y jurídicas con las que tienen o van a tener relaciones comerciales, de crédito y de pago periódico o aplazado.
2.3.1 En relación con los datos del Sistema de información crediticia, de conformidad con lo establecido en las NORMAS DE CONTROL PARA LAS ENTIDADES DE LOS SECTORES FINANCIERO PÚBLICO Y PRIVADO, TÍTULO I, DE LA SUPERINTENDENCIA DE BANCOS, y la NORMA DE CONTROL PARA LA PRESTACIÓN DEL SERVICIO DE REFERENCIAS CREDITICIAS Constante en la Codificación de la Superintendencia de Bancos, Resolución 810, informamos al ciudadano y titular de los datos personales que, de acuerdo con la información aportada por las entidades que participan en el sistema de información crediticia denominadas “Fuente de la información de riesgos crediticios”, se podrán recabar al menos los siguientes datos para las finalidades, según se describe a continuación:
Cuando los datos personales sean recabados a través de los formularios habilitados en nuestros Sitios Web tales como el formulario de registro, será necesario que el ciudadano aporte los datos e información necesaria para poder atender su solicitud y gestionar el ejercicio de derechos o consulta formulada por el ciudadano o su representante.
2.3.2 En relación al tratamiento de los datos de trabajadores y postulantes a puestos de trabajo, se recaban en forma directa:
2.3.3 En relación al tratamiento de los datos de proveedores a puestos de trabajo o calificación de proveedores o contratistas, se recaban en forma directa:
Los datos que se encuentran en el sistema de información crediticia son aquellos aportados por diversas fuentes de información, que pueden ser entidades públicas y privadas, que participan en el sistema, y que tienen que ver con obligaciones crediticias y demás información de riesgo crediticio. Cuando una entidad aporta información al sistema, ésta se compromete a garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.
Será la persona encargada de asesorar, velar y supervisar el cumplimiento de las obligaciones previstas en la Ley Orgánica de Protección de Datos Personales y su Reglamento. El Delegado de Protección de Datos (DPD o DPO) cooperará con el ente regulador, en este caso denominado “Autoridad de Protección de Datos Personales” y actuará como punto de contacto para cuestiones relativas al tratamiento de datos de carácter personal.
Asimismo, ofrecerá el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisará su aplicación de conformidad con el artículo 42 LOPDP.
El ISO será la persona encargada de desarrollar y mantener la Política de Seguridad de la Información en Equifax Ecuador y de implementar controles y chequeos periódicos con el fin de asegurar la efectividad de la misma.
Será la persona encargada de liderar la respuesta a incidentes de seguridad, incluyendo la toma de medidas inmediatas para responder a amenazas activas.
Integrado por el DPO, el Responsable de Seguridad de la Información, el equipo de Soporte, el Responsable de Tecnología, la unidad o departamento afectado por la brecha y otros miembros de la entidad, en su caso, como el equipo de marketing. Una vez recibida la notificación de la incidencia, este grupo se reunirá, revisará e irá actualizando el informe del incidente ocurrido, así como adoptará las acciones apropiadas en función del nivel de riesgo detectado, determinando la pertinencia de notificar la vulneración de la seguridad de la información conforme aplique en atención a los artículos 43 y 46 de la LOPDP y de otros entes reguladores.
Sólo recopilaremos, utilizaremos y divulgaremos datos personales de conformidad con las leyes aplicables y exigimos contractualmente que nuestros clientes hagan lo mismo.
Seguiremos las políticas y prácticas de uso que apoyan y promueven la seguridad e integridad de los datos personales que manejamos.
Los datos personales se utilizarán estrictamente lo necesario y para el cumplimiento de la finalidad del tratamiento.
Estaremos a disposición de las personas para responder preguntas sobre los datos personales que mantenemos sobre ellas, quién ha accedido a éstos, y ayudarlos a corregir los errores que puedan contener.
Nos comunicaremos abierta y honestamente con los titulares de la información, clientes, autoridades públicas y otras partes interesadas para explicar qué datos personales manejamos, cómo los utilizamos, y qué estándares seguimos.
Que incluyen los Principios de Finalidad, Pertinencia, Proporcionalidad, Confidencialidad, Calidad, Exactitud, Conservación y Responsabilidad Proactiva, tal como se describen en la Ley Orgánica de Protección de Datos Personales.
Finalidad de Información trabajadores o colaboradores: La información de los trabajadores se utilizará y conservará para proceso administrativo de reclutamiento y/o selección y/o vinculación laboral, gestión de nómina, promoción y comunicación de beneficios adicionales del trabajador, gestión de inducción y capacitaciones, evaluación del desempeño laboral, Seguridad y Salud Ocupacional. La información sensible del trabajador será tratada de acuerdo con la ley procurando la disociación de información sensible. Con relación a esta finalidad las bases de legitimidad son el cumplimiento de obligaciones contractuales y el consentimiento del titular.
Con relación a estas finalidades las bases de legitimidad son el cumplimiento de obligaciones contractuales e interés legítimo del responsable.
Todo miembro del Personal de Equifax Ecuador que, en el marco de sus funciones laborales o profesionales necesite tratar Datos Personales, se asegurará de cumplir la confidencialidad y el secreto profesional de los datos personales, así como cumplir las obligaciones descritas en este documento y que resultan de aplicación de acuerdo con la Ley de Protección de Datos y su Reglamento.
A continuación, se describen las obligaciones que corresponden a Equifax Ecuador como responsable del tratamiento:
Equifax Ecuador trata los Datos Personales en calidad de responsable del tratamiento teniendo en cuenta las siguientes bases legales que legitiman el tratamiento:
Equifax Ecuador informará a los ciudadanos a través de sus políticas y avisos de privacidad sobre los tratamientos de datos personales que realiza.
La información proporcionada a los ciudadanos deberá ser concisa, transparente e inteligible, y se deberá facilitar en una forma fácilmente accesible utilizando un lenguaje claro y preciso.
Equifax Ecuador dispone de procedimientos de Gestión de derechos, para atender las solicitudes de ejercicio de derechos de los ciudadanos.
Las solicitudes deben ser remitidas al departamento de Servicio de Atención al Consumidor (en adelante, SAC) o a través del correo de manera que la solicitud de ejercicio pueda ser adecuadamente atendida de acuerdo con los plazos y forma legalmente establecidos.
Equifax Ecuador se asegura que se realiza una clasificación adecuada de los datos, de acuerdo con la Política Corporativa de Clasificación de datos, y se implementan medidas de seguridad técnicas y organizativas adecuadas para garantizar la seguridad y confidencialidad de los Datos Personales tratados. Dichas medidas pueden incluir contraseñas individuales, seudónimos, cifrado, capacidad de restaurar los datos, etc. Estas medidas están descritas en las políticas de seguridad de Equifax.
Se deberán implementar en relación con los Datos Personales las medidas de seguridad que correspondan en cada momento en función del riesgo al que están sometidos los datos y teniendo en cuenta el estado de la técnica, la naturaleza, el alcance, el contexto y las finalidades del tratamiento.
Asimismo, Equifax ha implementado una Política de Seguridad de la Información con el objetivo de proteger la confidencialidad, integridad y disponibilidad de los Datos Personales en cualquiera de sus formas. Esta política establece los requisitos a cumplir en el manejo de la información de Equifax Ecuador. Como parte de esta política, Equifax Ecuador mantiene un Sistema de Gestión de Seguridad de la Información ("SGSI") que consta de políticas, normativas, procedimientos y de controles técnicos, físicos y administrativos que permiten implementar las garantías necesarias para proteger los datos de Equifax y los bienes de información.
Equifax dispone de una procedimiento para la notificación de incidentes y brechas de seguridad, en la que se detalla el protocolo a seguir a la hora de gestionar cualquier tipo de incidente en la seguridad.
Es muy importante detectar y reaccionar de manera temprana ante una violación de seguridad puesto que esta deberá, en su caso cuando amerite, comunicarse a la Autoridad de Protección de Datos Personales dentro del término de 5 días y, en su caso, y dependiendo de sus circunstancias, notificar de la vulneración de la seguridad a los ciudadanos dentro del termino de 3 días.
Cuando el Personal de Equifax Ecuador sospeche y/o detecte que se ha producido o que se puede producir una violación de la seguridad que afecte o pueda afectar a la seguridad, integridad, disponibilidad y/o confidencialidad de los datos, deberá notificar este hecho al Equipo de Gestión de Incidentes inmediatamente.
El servicio de correo electrónico estará disponible 24 horas al día durante los 7 días de la semana.
Equifax Ecuador dará el acceso, comunicará o transferirá sus bases de Datos Personales a Equifax Inc. con sede en Estados Unidos de América o al encargado o subencargados del tratamiento que ésta designe o contrate , con la finalidad de alojar en la plataforma, servidor virtual o cloud hosting, que cuente con todas las herramientas de ciberseguridad que garantice la seguridad de la información con los más altos estándares internacionales. Para tal efecto, la comunicación de los datos se realizará implementando las medidas adecuadas para garantizar dicha comunicación, acceso o transferencia de datos sea de conformidad con la regulación de Protección de Datos aplicable.
Equifax Ecuador puede necesitar contratar a terceros que accedan a sus Datos Personales en calidad de encargados del tratamiento.
En caso de que Equifax Ecuador considere necesario contratar a un tercero (ya sea una entidad o un trabajador autónomo) un servicio que implica el tratamiento de Datos Personales, por ejemplo, que suponga acceder a ellos, almacenarlos, modificarlos o eliminarlos, se deberá firmar el correspondiente contrato correspondiente. Será relevante conocer la ubicación de los datos a los que acceda el encargado del tratamiento y si el servicio implica una transferencia internacional de datos a alguna ubicación fuera de Ecuador.
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, Equifax Ecuador aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas adecuadas para aplicar los principios establecidos en la normativa de forma eficaz, y proteger los derechos de los titulares, de manera previa al tratamiento de datos personales, a fin de cumplir los requisitos de la LOPDP y su Reglamento para proteger los derechos de los ciudadanos.
El principio de privacidad desde el diseño conlleva que Equifax Ecuador tendrá en cuenta la privacidad de los afectados no sólo desde el momento en que comienza a realizar el tratamiento, sino incluso anteriormente, es decir, desde el momento en que diseña las características del proceso y el flujo de los datos personales.
Equifax Ecuador aplicará las medidas técnicas y organizativas apropiadas para garantizar que, mediante ajustes, por defecto, solo puedan tratarse aquellos datos personales cuyo tratamiento sea necesario para la respectiva finalidad específica del tratamiento. Esta obligación se aplicará a la cantidad de Datos Personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los Datos Personales no sean accesibles un número indefinido de personas de forma automatizada, por lo que sólo podrán acceder a ellos las personas que lo necesiten de forma imprescindible y que el plazo durante el que se conserven sea el mínimo posible.
Equifax Ecuador implementa un registro de las actividades de tratamiento que lleva a cabo en calidad de Responsable del Tratamiento.
Los empleados de Equifax Ecuador deberán contactar con el DPO o con cualquier miembro del comité de Protección de Datos Personales antes de desarrollar un nuevo producto o servicio que implique un tratamiento nuevo o adicional de Datos Personales o la modificación de un tratamiento existente y deberán proporcionar información detallada sobre dicho tratamiento para ser debidamente evaluado por las distintas áreas competentes de la Empresa.
En caso de que Equifax Ecuador acceda o tenga la intención de comenzar a acceder a Datos Personales cuyo responsable sea otra entidad deberá actuar siguiendo las instrucciones del Responsable, y cumplir las obligaciones previstas en el marco normativo.
Asimismo, deberá asegurarse que todos los empleados que accedan a Datos Personales de terceros están vinculados por un acuerdo de confidencialidad y que los Datos Personales cuyo responsable es un tercero sean tratados solamente en el marco del encargo conferido.
Por último, resulta imprescindible que los tratamientos que lleve a cabo Equifax Ecuador en calidad de Encargado de tratamiento se limiten a lo acordado en el contrato con el Responsable del tratamiento, no utilizando los mismos para finalidades propias o no autorizadas o acordadas previamente con éste.
Equifax Ecuador como Encargado del tratamiento, deberá cumplir además con las siguientes Obligaciones:
En caso de que así se hubiera acordado con el Responsable, colaborar en la atención de ejercicios de derechos que reciba, en su calidad de Encargado. Para ello, Equifax Ecuador dispone de una Procedimiento de Gestión de derechos, para atender las solicitudes de ejercicio de derechos de los ciudadanos, debiendo cumplir, en todo caso, con lo acordado en el contrato de prestación de servicios.
Equifax Ecuador, cuando actúe como Encargado del tratamiento, también tiene obligaciones concretas en cuanto a notificar posibles violaciones de la seguridad de los datos personales a los que haya tenido acceso en calidad de Encargado del Tratamiento.
En este sentido, Equifax Ecuador dispone de una Política y procedimiento para la gestión y notificación de incidentes y brechas de seguridad, en la que se detalla el protocolo a seguir a la hora de gestionar cualquier tipo de incidente en la seguridad.
Equifax Ecuador puede necesitar contratar a terceros que accedan a los Datos Personales a los que él tiene acceso como encargado del tratamiento, en calidad de sub encargados del tratamiento.
En caso de que Equifax Ecuador considere necesario contratar a un tercero un servicio que implica el tratamiento de Datos Personales de los que el cliente de Equifax actúa como Responsable, se debe asegurar de que ha informado y cuenta con la autorización necesaria del Responsable para llevar a cabo dicha subcontratación, así como de comprobar que el encargado del tratamiento es una entidad que cumple adecuadamente con las obligaciones impuestas por la Ley de Protección de Datos Personales y su Reglamento, y que se firma el correspondiente contrato.
El Usuario podrá ejercer sus derechos comunicándose con Equifax Ecuador a través de las siguientes vías de contacto, concretando el derecho o derechos que desea ejercer, y acreditando su identidad
El ejercicio de derechos a través de estos canales es gratuito, de acuerdo con lo dispuesto en la normativa sobre protección de datos, sin perjuicio de que pueda generarse un costo administrativo que deba ser devengado al tratarse de limitaciones que puedan establecerse en la normativa o se produzcan en relación con aquellas solicitudes que resulten manifiestamente infundadas, excesivas o reiterativas, debido especialmente a su carácter repetitivo en un período de tiempo corto.
Los derechos que la normativa de protección de datos confiere, son los siguientes:
Asimismo, se tiene derecho a presentar una reclamación ante el ente gubernamental responsable del tratamiento de Protección de Datos Personales si lo consideran necesario.
Los datos personales incluidos en el sistema de información crediticia serán suprimidos o dados de baja una vez que se hayan cumplido el plazo máximo de cinco años establecido en el artículo 28 de la Ley Orgánica de Protección de Datos Personales y los demás plazos previstos en la normativa específica que regula los servicios de referencia crediticia.
En el caso de datos tratados en la atención de quejas o solicitudes de acceso a los derechos, de titulares trabajadores, proveedores o contratistas, éstos serán conservados por el tiempo que permita atender solicitudes de reclamaciones o poder acceder a la defensa de reclamaciones o demandas de los titulares.
El usuario o titular de datos personales otorga eL consentimiento a EQUIFAX ECUADOR sobre sus datos personales, para que éstos sean integrados a sus bases de datos y realicen tratamientos para brindar servicios para su propio uso y para los servicios que prestan a sus clientes personas naturales o jurídicas de cualquier sector económico que requieren de dicha información para la toma de decisiones de negocio (incluyendo, sin limitación, bancos, empresas de telecomunicaciones, casas comerciales, aseguradoras, retails, entre otras), con fines de análisis de riesgo crediticio, validación y prevención de fraude de identidad, enriquecimiento y actualización de datos, geobusiness, servicios de cobranza, verificación e integración de datos, perfilamiento, prospección comercial y realización de ofertas comerciales y de servicios (propios y de sus clientes). Como consecuencia de lo anterior, con este consentimiento autoriza también a EQUIFAX para que pueda transferir mis datos a otras empresas del Grupo EQUIFAX dentro o fuera del territorio nacional y a cualquiera de sus clientes para los fines antes mencionados. Asimismo, la transferencia internacional de los datos incluye el tratamiento de los datos en las plataformas globales del Grupo EQUIFAX para la prestación de los servicios referidos y la posibilidad de encargar y sub encargar el tratamiento de datos a terceros, incluyendo procesamiento de datos en la nube (Cloud Computing). El presente consentimiento lo otorgó de manera libre, previa, expresa, inequívoca e informada.
Los datos personales gestionados por Equifax Ecuador serán tratados con todas las medidas de seguridad que la información requiere, con el objeto de prevenir accesos no autorizados, la revelación no autorizada de datos personales, o la destrucción, pérdida o alteración accidental o ilícita de los mismos.
Equifax Ecuador cuenta con un Delegado de Protección de Datos con el cual podrá contactar para cualquier duda o consulta en relación con el tratamiento de sus datos personales. El correo electrónico determinado para comunicarse con el DPD es: o
Para asegurar que todas las personas de la plantilla del Equifax Ecuador conocen la Política que afecta al desarrollo de sus funciones y las consecuencias del incumplimiento de las mismas, se realizarán capacitaciones periódicas con carácter anual de asistencia obligatoria para toda la plantilla de Equifax Ecuador.
Equifax Ecuador puede modificar esta Política de Privacidad y Protección de Datos Personales en función de nuevas exigencias legislativas, reglamentarias, o con la finalidad de adaptar dicha política a las instrucciones dictadas por la Ley de Protección de Datos Personales y su Reglamento, disposiciones de la autoridad o cuando se produzcan cambios significativos en esta Política que se comunicarán a sus clientes y ciudadanos mediante un aviso informativo en la página web.
Esta política será revisada al menos una vez al año.