Protocolo de Protección de Datos para la Aplicación Móvil Kapibara

1. Introducción

El siguiente Protocolo de Protección de Datos (en adelante “Protocolo») establece las políticas y procedimientos para el tratamiento de datos personales por parte de la empresa Manikama-Tech SAS, (en adelante “Manikama-Tech” o “la Compañía”), en calidad de responsable del tratamiento, a través de la aplicación móvil Kapibara, en conformidad con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento en Ecuador.

Kapibara es una aplicación móvil diseñada para organizar viajes compartidos y optimizar el transporte desde puntos estratégicos en Ecuador. Este Protocolo quiere garantizar el cumplimiento de los principios de lealtad, transparencia, finalidad, proporcionalidad, confidencialidad, calidad, conservación, seguridad, responsabilidad proactiva y aplicación favorable al titular, según lo dispuesto por la LOPDP.

2. Ámbito de Aplicación

Este Protocolo aplica a todos los datos personales tratados por Kapibara, incluyendo los datos de pasajeros y proveedores de transporte, recolectados a través de la aplicación móvil, sitios web u otros medios o servicios relacionados, en cualquier territorio donde se encuentren los usuarios. No aplica a datos utilizados para actividades domésticas o familiares, fines periodísticos, gestión de riesgos por desastres naturales, o seguridad y defensa del Estado, conforme al Artículo 4 de la LOPDP.

3. Definiciones

Las siguientes definiciones corresponden al glosario de términos establecidos por la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento en Ecuador. Manikama-Tech S.A.S., hace uso de los mismos conceptos establecidos en la ley, a efectos de garantizar coherencia normativa:

Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente. Es decir, no solamente nombres y apellidos sino número de cédula, el número de placa del vehículo, número de matrícula, correo electrónico.

Dato biométrico: relativo a las características físicas o fisiológicas de una persona.

Dato genético: relacionado con características genéticas heredadas o adquiridas que proporciona información fisiología o de salud.

Datos personales crediticios: Datos que integran el comportamiento económico de personas naturales, para analizar su capacidad financiera. La regulación de la protección de estos datos estará a cargo de la Superintendencia de Bancos y de la Junta de Política y Regulación Financiera.

Datos sensibles: relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos. El tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales. Datos relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria.

Menor de edad: Persona natural que no ha cumplido 18 años. El tratamiento de sus datos requerirá consentimiento de su representante legal.

Violación de seguridad de datos personales: Toda vulneración que ocasione destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales tratados.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, entre ellos:

  • Recopilación, registro, organización, conservación, custodia, adaptación, modificación, eliminación, consulta, aprovechamiento, distribución, transferencia, o cualquier otra forma de habilitación de acceso, destrucción.

Base de Datos: Conjunto estructurado de datos en cualquier forma, modalidad de creación, almacenamiento, centralizado o descentralizado.

Consentimiento: Manifestación de la voluntad:

  • Libre (sin presión)
  • Específica (sobre medios y finales del tratamiento),
  • Informada (transparente),
  • Inequívoca (que no queden dudas del alcance de lo autorizado),

Por la que el titular de los datos personales autoriza al responsable del tratamiento a procesarlos. Puede revocarse en cualquier momento sin justificación, el responsable debe establecer mecanismos sencillos para este trámite.

Integrantes del sistema de protección de datos:

  1. Titular: persona natural cuyos datos son objeto de tratamiento: es decir el dueño de los datos, cliente, colaborador, proveedor, accionista, etc.,
  2. Responsable del tratamiento: institución pública o privada que decide sobre la finalidad y tratamiento de datos.
  3. Encargado del tratamiento: institución pública o privada que trata datos personales a nombre del responsable del tratamiento.
  4. Destinatario: tercero que ha sido comunicado con los datos personales.
  5. Autoridad de Protección de Datos Personales: Autoridad pública e independiente que se encarga de supervisar la aplicación de la Ley. Ente de control que dictará directrices para TODO el ecosistema de protección de datos.
  6. Delegado de protección de datos personales: Rol que cumple una persona natural, asesorando y supervisando el cumplimiento de la Ley por parte del responsable. Es un punto de contacto, intermediario o facilitador entre el cliente y la institución a la que se entregó los datos y también entre la institución y la autoridad.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado entre ellos:

  • Recopilación, registro, organización, conservación, custodia, adaptación, modificación, eliminación, consulta, aprovechamiento, distribución, transferencia, o cualquier otra forma de habilitación de acceso, destrucción.

Ámbito de aplicación LEY: datos personales contenidos en cualquier tipo de soporte, automatizados o no, así como a toda modalidad de uso posterior.

No aplica a:

  • Personas naturales que los utilicen en actividades familiares o domésticas
  • Actividades periodísticas o contenidos editoriales
  • En casos de gestión de riesgos por desastres naturales y, seguridad y defensa del Estado
  • Datos o bases de datos establecidos para la prevención, investigación, detección enjuiciamiento de infracciones penales.

Ámbito de aplicación REGLAMENTO: Es aplicable a todas las personas naturales y jurídicas, nacionales y extranjeras del sector público y privado, que realicen tratamiento de datos personales, tenga lugar en el territorio ecuatoriano o no.

4. Principios del Tratamiento de Datos

Manikama-Tech SAS cumple con los principios establecidos en el Capítulo II de la LOPDP en los que señala:

  • Lealtad: Los datos se recolectan y tratan de manera transparente, sin fines ilícitos.
  • Transparencia: La información sobre el tratamiento de datos se proporciona en un lenguaje claro y accesible.
  • Finalidad: Los datos se recolectan para fines explícitos, legítimos y comunicados al titular.
  • Proporcionalidad: El tratamiento de datos no es excesivo en relación con su finalidad.
  • Confidencialidad: Los datos se tratan con estrictas medidas de secreto y seguridad.
  • Calidad y exactitud: Los datos son precisos, completos y actualizados según sea necesario.
  • Conservación: Los datos se conservan solo por el tiempo necesario para cumplir con su finalidad, con períodos definidos para su eliminación o revisión.
  • Seguridad: Se implementan medidas técnicas, organizativas y administrativas para proteger los datos.
  • Responsabilidad Proactiva: Manikama-Tech SAS demuestra el cumplimiento mediante políticas y gestión de riesgos.
  • Aplicación Favorable: Las ambigüedades en la protección de datos se interpretan a favor del titular.
  • Responsabilidad Proactiva: Manikama-Tech SAS demuestra el cumplimiento mediante políticas, gestión de riesgos y mantenimiento de evidencias documentadas del cumplimiento.

5. Datos Tratados por Manikama-Tech SAS

Manikama-Tech SAS trata las siguientes categorías de datos personales:

  • Datos de Identificación: Nombre completo, número de cédula, número de pasaporte, correo electrónico, número de teléfono.
  • Datos de Localización: Datos de geolocalización para la planificación y optimización de viajes.
  • Datos de Pago: Detalles de tarjetas de crédito/débito, información bancaria (procesada a través de pasarelas de pago seguras de terceros).
  • Datos Sensibles: Datos de salud (si se proporcionan para necesidades de accesibilidad, por ejemplo, adaptaciones para discapacidades), con consentimiento explícito.
  • Datos de Uso: Historial de uso, preferencias e interacciones con la aplicación.

6. Base Legal para el Tratamiento

El tratamiento de datos se basa en:

  • Consentimiento: Consentimiento libre, específico, informado e inequívoco del titular, obtenido mediante mecanismos claros de aceptación en la aplicación.
  • Necesidad Contractual: Tratamiento necesario para prestar los servicios de transporte según los Términos y Condiciones.
  • Obligación Legal: Cumplimiento de requisitos legales (por ejemplo, reportes tributarios al SRI).
  • Interés Legítimo: Optimización de servicios, siempre que no prevalezca sobre los derechos del titular.

7. Derechos de los Titulares de los Datos

Los titulares de datos (ya sean usuarios y conductores) tienen los siguientes derechos según el Capítulo III de la LOPDP:

  1. Derecho a la Información: Acceso a información clara sobre el tratamiento de datos.
  2. Derecho de Acceso: Obtener, de forma gratuita, todos los datos personales adquiridos del usuario que se encuentren en poder de Manikama-Tech.
  3. Derecho de Rectificación: Actualizar o corregir datos inexactos o incompletos.
  4. Derecho de eliminación: Solicitar la eliminación de datos personales.
  5. Derecho de Oposición: Negarse al tratamiento de datos en ciertas condiciones.
  6. Derecho a la Portabilidad: Recibir datos personales en un formato estructurado y compatible.
  7. Derecho a la Suspensión: Solicitar la suspensión temporal del tratamiento de datos.
  8. Derecho a Consulta Pública: Acceder al Registro Nacional de Protección de Datos.
  9. Derecho a Evitar Decisiones Automatizadas: No ser sujeto de decisiones basadas únicamente en procesos automatizados que afecten derechos fundamentales.

8. Gestión del Consentimiento

  • Obtención del Consentimiento: Manikama-Tech SAS obtiene el consentimiento a través de una interfaz clara y amigable durante el registro o antes del tratamiento de datos sensibles. El consentimiento es:
    • Libre (sin coerción).
    • Específico (fines claramente definidos).
    • Informado (información transparente proporcionada).
    • Inequívoco (aceptación explícita).
    • Revocación del consentimiento: Los titulares pueden revocar el consentimiento en cualquier momento a través de la configuración de privacidad de la aplicación o contactando al DPO. 

9. Medidas de Seguridad de los Datos

Manikama-Tech implementa las siguientes medidas para garantizar la seguridad de los datos, según el Capítulo VI de la LOPDP:

  • Medidas Técnicas:
    • Cifrado de datos.
    • Anonimización o seudonimización de datos cuando sea posible.
    • Auditorías de seguridad y pruebas de penetración regulares.
  • Medidas Organizativas:
    • Organización de jerarquías en funciones.
    • Capacitación del personal en protección de datos.
    • Controles de acceso que limitan el acceso a datos a personal autorizado.
    • Plan de respuesta a incidentes por violaciones de datos.
  • Medidas Físicas:
    • Centros de datos seguros con acceso restringido.

En caso de una violación de datos, Manikama-Tech:

  • Notificará a la Autoridad de Protección de Datos y a la ARCOTEL dentro de los 5 días posteriores a la detección.
  • Informará a los titulares afectados de inmediato.
  • Tomará medidas correctivas para mitigar riesgos.
  1. Delegado de Protección de Datos (DPO)

Manikama-Tech ha designado un Delegado de Protección de Datos para:

  • Asesorar sobre el cumplimiento de la LOPDP.
  • Actuar como punto de contacto para los titulares y la Autoridad de Protección de Datos.
  • Supervisar las políticas de protección de datos y auditorías.
  1. Compartición de Datos y Terceros
  • Encargados del Tratamiento: Manikama-Tech SAS puede compartir datos con terceros (por ejemplo, procesadores de pagos, socios logísticos) bajo estrictos acuerdos de confidencialidad, según el Capítulo VII de la LOPDP.
  • Destinatarios de Datos: Los datos pueden compartirse con autoridades públicas siempre y cuando sea requerido por ley.
  • Transferencias Internacionales: Cualquier transferencia transfronteriza de datos cumplirá con los requisitos de autorización de la Autoridad de Protección de Datos, según el Capítulo XII de la LOPDP.
  1. Conservación y Eliminación de Datos
  • Los datos personales se conservan solo por el tiempo necesario para cumplir con la finalidad del tratamiento (por ejemplo, organización de viajes, procesamiento de pagos).
  • Los datos se eliminan o anonimizan después del período de conservación, salvo que sean requeridos por obligaciones legales o intereses legítimos., según el Artículo 9 del Reglamento de la LOPDP.
  • Manikama-Tech SAS realiza revisiones periódicas para garantizar el cumplimiento del principio de conservación.
  1. Evaluación de Impacto de Protección de Datos (EIPD)

Se realiza una EIPD antes de actividades de tratamiento que puedan suponer altos riesgos para los derechos de los titulares, como:

  • Tratamiento a gran escala de datos de localización o sensibles.
  • Toma de decisiones automatizadas para la optimización de viajes.

La EIPD incluye análisis de riesgos, medidas de mitigación y verificación de cumplimiento, según el Capítulo IX de la LOPDP.

La EIPD será elaborada por el Delegado de Protección de Datos y revisada anualmente o cuando haya cambios relevantes en el tratamiento.

  1. Registro Nacional de Protección de Datos

Manikama-Tech registrará y mantendrá actualizada la información en el Registro Nacional de Protección de Datos, incluyendo:

  • Identificación de las bases de datos.
  • Finalidades y naturaleza del tratamiento de datos.
  • Medidas de seguridad implementadas.
  • Períodos de conservación de datos.

El Delegado de Protección de Datos será responsable de inscribir y mantener actualizada la información en el Registro Nacional. La revisión se hará mínimo una vez al año.

  1. Notificación y Transparencia para los Usuarios

Manikama-Tech SAS proporciona información clara y accesible sobre el tratamiento de datos a través de:

  • Una Política de Privacidad mostrada durante el registro y accesible en la aplicación.
  • Notificaciones en la aplicación para actualizaciones significativas en las prácticas de tratamiento de datos.
  • Lenguaje simple conforme al principio de transparencia (Capítulo II, LOPDP).
  1. Medidas Correctivas y Sanciones

Manikama-Tech se compromete a implementar medidas correctivas para abordar cualquier incumplimiento, según el Capítulo XI de la LOPDP. Las medidas correctivas pueden incluir:

  • Cese del tratamiento no conforme.
  • Eliminación de datos tratados ilícitamente.
  • Implementación de medidas de seguridad adicionales.

El incumplimiento puede resultar en sanciones, incluyendo multas de 0.1% a 1% de los ingresos anuales para entidades privadas, según el Capítulo XVII de la LOPDP.

  1. Información de Contacto

Responsable del Tratamiento: Manikama-Tech S.A.S.

Delegado de Protección de Datos: Ramiro Aníbal Vicente Calva

Correo electrónico: dpd@kapibara.app

Teléfono de WhatsApp: +593 96 363 5904 

  1. Actualizaciones del Protocolo

Este Protocolo puede actualizarse para reflejar cambios en la LOPDP, su reglamento o las operaciones de Manikama-Tech SAS. Los titulares serán notificados de cambios significativos a través de la aplicación o por correo electrónico.

  1. Finalidades del Tratamiento

Manikama-Tech S.A.S. tratará los datos personales recolectados a través de la aplicación móvil Kapibara exclusivamente para fines legítimos, específicos y previamente informados al titular, entre ellos:

  • Facilitar la organización y coordinación de viajes compartidos entre usuarios registrados;
  • Administrar reservas, rutas y asignación de cupos;
  • Realizar comunicaciones necesarias para la prestación del servicio;
  • Gestionar pagos, facturación y cumplimiento de obligaciones contractuales;
  • Optimizar la experiencia del usuario mediante análisis de uso y preferencias;
  • Prevenir fraudes y garantizar la seguridad en la plataforma;
  • Cumplir con requerimientos legales, regulatorios o contractuales aplicables.
  1. Transferencia Nacional e Internacional de Datos

Para cumplir con las finalidades establecidas, Manikama-Tech S.A.S. podrá transferir datos personales a terceros proveedores de servicios tecnológicos, de procesamiento de pagos, hospedaje en la nube y mensajería digital, tanto dentro como fuera del territorio ecuatoriano.
Estas transferencias se realizarán exclusivamente bajo condiciones contractuales que aseguren la confidencialidad, integridad y cumplimiento de la Ley Orgánica de Protección de Datos Personales. En ningún caso se comercializarán los datos del titular sin su consentimiento.

Para transferencias internacionales, el Responsable cumplirá con las garantías jurídicas requeridas para este proceso (cláusulas contractuales, certificaciones, adhesión a códigos de conducta, etc.), así como previamente realizará una evaluación de adecuación del país receptor, conforme a lo previsto en la Ley Orgánica de Protección de Datos Personales. 

  1. Uso de Cookies y Tecnologías Similares

En caso de que la aplicación Kapibara o sus sitios asociados incorporen versiones web o híbridas, podrán utilizarse cookies, píxeles u otras tecnologías similares para:

  • Recordar preferencias de usuario;
  • Realizar mediciones de rendimiento y estadísticas de navegación;
  • Mostrar información personalizada sobre servicios y promociones.

El titular podrá aceptar, rechazar o configurar el uso de cookies mediante los ajustes del navegador o los controles de privacidad habilitados por Manikama-Tech S.A.S.

En el caso de cookies (no esenciales), estas requerirán consentimiento previo del titular, conforme al principio de proporcionalidad y minimización.

  1. Plazo de Conservación de los Datos

Los datos personales serán almacenados únicamente por el tiempo necesario para cumplir con las finalidades del tratamiento descritas en este protocolo.

Una vez cumplidas dichas finalidades o vencidos los plazos legales, los datos serán eliminados, anonimizados o bloqueados conforme a lo dispuesto por la normativa vigente.

Los datos serán almacenados en servidores virtuales contratados por Manikama-Tech S.A.S., los cuales cuentan con mecanismos de seguridad física y lógica para garantizar su confidencialidad, integridad y disponibilidad.

Este almacenamiento se mantendrá mientras dure la relación contractual o el uso de la aplicación por parte del titular, y podrá extenderse, de forma anonimizada, con fines estadísticos, de archivo o cumplimiento normativo, conforme a lo previsto en la Ley Orgánica de Protección de Datos Personales.

En caso de que ocurra un tratamiento no autorizado, accidental o incidental de los datos, Manikama-Tech S.A.S. notificará al titular de forma inmediata y a la autoridad competente dentro del plazo legal correspondiente.

  1. Efectos de la No Entrega de Datos

La entrega de determinados datos personales es necesaria para acceder y utilizar los servicios de la aplicación Kapibara.

La negativa a proporcionarlos podría impedir la creación del perfil del usuario, el uso del sistema de reservas, el pago seguro de viajes u otras funcionalidades esenciales de la plataforma.

  1. Legislación Aplicable y Resolución de Controversias

El presente protocolo se rige por lo dispuesto en la Ley Orgánica de Protección de Datos Personales y demás normativa aplicable de la República del Ecuador.

Cualquier controversia relacionada con el tratamiento de datos personales será resuelta, en primer lugar, por mecanismos de solución directa y, de ser necesario, mediante el procedimiento de mediación previsto en la normativa ecuatoriana.

  1.  Consentimiento Expreso y Voluntario

El titular manifiesta de forma libre, específica, informada e inequívoca que ha leído y comprendido este Protocolo, y que otorga su consentimiento expreso para el tratamiento de sus datos personales por parte de Manikama-Tech S.A.S., en el marco de los servicios prestados a través de la aplicación Kapibara.

  1. Canales para el Ejercicio de Derechos

Los titulares podrán ejercer sus derechos de acceso, rectificación, eliminación, oposición, portabilidad, suspensión o cualquier otro reconocido en la LOPDP, mediante solicitud dirigida al correo electrónico:

servicio@kapibara.app 

También podrá utilizarse el formulario habilitado en la aplicación móvil Kapibara. Las solicitudes serán atendidas dentro del plazo legal de 15 días calendario.

  1. Procedimiento ante Violaciones de Seguridad

En caso de incidentes que comprometan la confidencialidad, integridad o disponibilidad de datos personales, Manikama-Tech S.A.S. notificará:

  • A la Autoridad de Protección de Datos Personales y a ARCOTEL dentro del plazo máximo de 5 días;
  • A los titulares afectados de forma inmediata a través de los medios disponibles (correo electrónico o notificación en la aplicación).

Se implementarán medidas correctivas oportunas para mitigar los riesgos derivados del incidente.

  1. Identificación de Bases de Datos

Manikama-Tech S.A.S. administra de forma estructurada las siguientes bases de datos, creadas exclusivamente para la gestión de la aplicación móvil Kapibara:

  • Base de datos de usuarios y pasajeros;
  • Base de datos de proveedores y conductores;
  • Base de datos de historial de viajes;
  • Base de datos de pagos y facturación.

Estas bases están o estarán debidamente registradas ante el Registro Nacional de Protección de Datos Personales.

  1. Encargados del Tratamiento

Manikama-Tech S.A.S. podrá contratar encargados del tratamiento para ejecutar procesos específicos como:

  • Procesamiento de pagos;
  • Alojamiento en la nube;
  • Análisis de datos de uso;
  • Servicios de mensajería o autenticación.

Dichos encargados actuarán bajo estrictos contratos de confidencialidad y conforme a los principios establecidos por la LOPDP.

Scroll al inicio