Política de Tratamiento de Datos

1. Objeto y Alcance

La presente Política de Tratamiento de Datos describe de manera detallada y transparente cómo TaytaDev recolecta, almacena, utiliza, procesa, comparte, transfiere y elimina los datos personales y datos del negocio tratados a través de la plataforma Mivio EC.

Este documento complementa nuestra Política de Privacidad y constituye el instrumento que regula la relación entre el responsable del tratamiento (el Usuario de Mivio EC, respecto de los datos de sus clientes) y el encargado del tratamiento (TaytaDev), de conformidad con el Artículo 34 de la Ley Orgánica de Protección de Datos Personales (LOPDP) y los Artículos 29 al 34 de su Reglamento.

El alcance de esta Política cubre todos los datos procesados en Mivio EC, independientemente de su origen, formato o ubicación de almacenamiento.

2. Definiciones Clave (LOPDP)

Para efectos de esta Política, se adoptan las definiciones establecidas en el Artículo 4 de la LOPDP. Las más relevantes son:

• Dato personal: cualquier información que identifique o haga identificable a una persona natural, directa o indirectamente
• Tratamiento de datos: cualquier operación realizada sobre datos personales, incluyendo recolección, almacenamiento, uso, consulta, transferencia o supresión
• Responsable del tratamiento: persona natural o jurídica que decide sobre la finalidad y medios del tratamiento de datos personales
• Encargado del tratamiento: persona natural o jurídica que trata datos personales por cuenta del responsable
• Titular: persona natural cuyos datos personales son objeto de tratamiento
• Dato biométrico: dato personal relativo a características físicas o fisiológicas que permitan la identificación única
• Dato genético: dato personal relativo a características genéticas heredadas o adquiridas
• Violación de seguridad: acceso, comunicación, alteración o destrucción no autorizada de datos personales

3. Roles y Responsabilidades en el Tratamiento

3.1 TaytaDev como Responsable del Tratamiento

TaytaDev actúa como responsable del tratamiento respecto de los siguientes datos:

• Datos de registro y cuenta del Usuario (nombre, correo, teléfono)
• Datos fiscales del Usuario (RUC, razón social)
• Datos de uso del Servicio generados por el Usuario

Como responsable, TaytaDev asume las obligaciones establecidas en los Artículos 10 y 11 de la LOPDP, incluyendo la implementación del principio de responsabilidad proactiva (accountability), la realización de evaluaciones de impacto y la notificación de violaciones de seguridad.

3.2 TaytaDev como Encargado del Tratamiento

TaytaDev actúa como encargado del tratamiento respecto de los siguientes datos, que son responsabilidad del Usuario:

• Datos de clientes del Usuario (nombres, RUC/CI, correo electrónico para envío de facturas)
• Datos de inventario y productos del negocio
• Registros de ventas y transacciones
• Comprobantes electrónicos emitidos

Como encargado, TaytaDev:

• Trata los datos únicamente según las instrucciones del Usuario (el responsable) y para las finalidades del Servicio contratado
• No utiliza los datos para fines propios ni los comunica a terceros sin autorización del responsable
• Implementa medidas de seguridad adecuadas para proteger los datos
• Asiste al responsable en el cumplimiento de sus obligaciones frente a los titulares
• Suprime o devuelve los datos al término del contrato, según instrucciones del responsable

Esta relación encargado-responsable se rige por los presentes Términos, esta Política de Tratamiento de Datos y, supletoriamente, por el Artículo 34 de la LOPDP y los Artículos 29 al 34 del Reglamento LOPDP.

4. Categorías de Datos Tratados y Ciclo de Vida

4.1 Datos de Registro del Usuario

4.2 Datos de Clientes del Usuario

4.3 Datos del Negocio

4.4 Datos de Uso y Navegación

5. Infraestructura y Ubicación de los Datos

TaytaDev utiliza infraestructura de computación en la nube para el alojamiento y procesamiento de Mivio EC. Los datos son almacenados y procesados en servidores ubicados en las siguientes jurisdicciones, con las garantías de protección correspondientes:

• Servidores principales: ubicados en centros de datos que cumplen con certificaciones de seguridad reconocidas internacionalmente (ISO 27001, SOC 2 Tipo II o equivalentes)
• Jurisdicción preferente: siempre que sea técnicamente viable, TaytaDev prioriza el almacenamiento en servidores ubicados en territorio ecuatoriano
• Transferencias internacionales: en caso de que los servidores se ubiquen fuera de Ecuador, TaytaDev garantiza que el país de destino ofrece un nivel adecuado de protección de datos, o que se han implementado garantías apropiadas (cláusulas contractuales tipo, normas corporativas vinculantes) conforme al Artículo 32 de la LOPDP

TaytaDev notificará al Usuario cualquier cambio en la ubicación de los servidores que pudiera afectar la jurisdicción bajo la cual se procesan sus datos.

6. Medidas de Seguridad Técnicas y Organizativas

En cumplimiento del Artículo 38 de la LOPDP y del principio de seguridad de datos desde el diseño y por defecto, TaytaDev implementa las siguientes medidas:

6.1 Seguridad Técnica

• Cifrado en tránsito: todas las comunicaciones entre el dispositivo del Usuario y los servidores de Mivio EC utilizan TLS 1.3 con cifrado AES-256-GCM y perfect forward secrecy
• Cifrado en reposo: las bases de datos y copias de seguridad se almacenan con cifrado AES-256
• Hashing de contraseñas: las contraseñas de los Usuarios se almacenan utilizando algoritmos de hashing unidireccional (bcrypt/argon2) con salt único por usuario
• Autenticación reforzada: se implementa autenticación de dos factores (2FA) para cuentas con privilegios administrativos
• Firewalls y segmentación: la infraestructura está protegida mediante firewalls de aplicación web (WAF) y segmentación de red
• Sistema de detección y prevención de intrusiones (IDS/IPS): monitoreo en tiempo real del tráfico de red para detectar y prevenir accesos no autorizados
• Protección DDoS: mitigación de ataques de denegación de servicio distribuido
• Actualizaciones de seguridad: aplicación continua de parches de seguridad en todos los componentes del sistema

6.2 Seguridad Organizativa

• Control de acceso basado en roles (RBAC): el acceso a los sistemas y datos se rige por el principio de privilegio mínimo
• Registro de accesos (logs): se mantienen registros de auditoría de todos los accesos a datos personales, inalterables y con trazabilidad temporal
• Confidencialidad del personal: todos los empleados y colaboradores de TaytaDev firman acuerdos de confidencialidad y reciben capacitación periódica en protección de datos
• Gestión de incidentes: existe un procedimiento documentado para la gestión de incidentes de seguridad que afecten datos personales
• Backup y continuidad: se realizan copias de seguridad diarias cifradas, con retención de 30 días, y se mantiene un plan de continuidad del negocio y recuperación ante desastres (BCP/DRP)
• Evaluaciones periódicas: se realizan evaluaciones de vulnerabilidad y pruebas de penetración al menos semestralmente
• Desarrollo seguro: se aplican prácticas de desarrollo seguro de software (SDLC seguro), incluyendo revisión de código, análisis estático de seguridad (SAST) y pruebas de seguridad en el ciclo de desarrollo

7. Compartición de Datos con Terceros

TaytaDev no vende, alquila, transfiere ni comunica datos personales a terceros con fines comerciales. La compartición de datos se limita a los siguientes supuestos, todos ellos bajo estrictas obligaciones contractuales de confidencialidad y seguridad:

7.1 Servicio de Rentas Internas (SRI)

Por imperativo legal, los datos fiscales del Usuario y los comprobantes electrónicos emitidos a través de Mivio EC son transmitidos al SRI en tiempo real para su autorización y registro, conforme al procedimiento de facturación electrónica establecido por el SRI. Los datos transmitidos incluyen:

• RUC del emisor (Usuario)
• RUC/CI del comprador
• Detalle de productos, cantidades y valores
• Impuestos aplicables (IVA, ICE)
• Clave de acceso del comprobante electrónico

TaytaDev no tiene control sobre el tratamiento que el SRI realiza de dichos datos, el cual se rige por la normativa tributaria ecuatoriana y las políticas de privacidad del propio SRI.

7.2 Procesadores de Pago

Los pagos de suscripción se procesan a través de plataformas de pago certificadas que cumplen con el estándar PCI DSS (Payment Card Industry Data Security Standard). TaytaDev no almacena ni tiene acceso a datos completos de tarjetas de crédito o débito.

7.3 Proveedores de Infraestructura (Subencargados)

TaytaDev podrá contratar proveedores de infraestructura tecnológica como subencargados del tratamiento. Dichos proveedores están sujetos a contratos que garantizan el mismo nivel de protección exigido por la LOPDP. Cualquier cambio en la lista de subencargados será notificado al Usuario.

7.4 Autoridades Competentes

Los datos podrán ser comunicados a autoridades judiciales o administrativas en cumplimiento de requerimientos legales, órdenes judiciales o solicitudes formuladas en el marco de sus competencias legales, siempre que se cumplan los requisitos de forma y fondo establecidos en la legislación ecuatoriana.

8. Notificación y Gestión de Violaciones de Seguridad

TaytaDev ha implementado un Plan de Respuesta a Incidentes de Seguridad que incluye los siguientes protocolos:

• Detección: sistemas de monitoreo 24/7 para la detección temprana de accesos no autorizados, anomalías o posibles violaciones
• Contención: procedimientos de aislamiento inmediato de sistemas comprometidos para limitar el alcance de la violación
• Investigación: análisis forense para determinar el origen, alcance y datos afectados por la violación
• Notificación al responsable (Usuario): en caso de violación que afecte datos bajo responsabilidad del Usuario, TaytaDev notificará sin dilación indebida, en un plazo máximo de 48 horas desde su detección, proporcionando:
  • Naturaleza de la violación
  • Categorías y número aproximado de datos afectados
  • Posibles consecuencias
  • Medidas adoptadas o propuestas para mitigar los efectos
  • Datos de contacto del punto de seguridad
• Notificación a la Autoridad: notificación a la Autoridad de Protección de Datos Personales del Ecuador, en el plazo y forma establecidos por la normativa aplicable
• Notificación a los titulares: cuando la violación pueda entrañar un alto riesgo para los derechos y libertades de los titulares, se notificará directamente a los afectados
• Lecciones aprendidas: análisis post-incidente para implementar mejoras y prevenir recurrencias

Todos los incidentes de seguridad se documentan en un registro de incidentes interno, que se conserva por un mínimo de 5 años.

9. Evaluación de Impacto en la Protección de Datos (EIPD)

TaytaDev realiza Evaluaciones de Impacto en la Protección de Datos (EIPD), conforme al Artículo 46 de la LOPDP, para todos los tratamientos que, por su naturaleza, alcance o finalidad, puedan entrañar un alto riesgo para los derechos y libertades de los titulares. Las EIPD incluyen:

• Descripción sistemática del tratamiento y su finalidad
• Evaluación de la necesidad y proporcionalidad del tratamiento
• Evaluación de los riesgos para los derechos y libertades de los titulares
• Medidas previstas para mitigar dichos riesgos

Los resultados de las EIPD están disponibles para revisión por parte de las autoridades competentes cuando así lo requieran.

10. Derechos del Titular y Procedimiento de Ejercicio

Los titulares de los datos personales tratados por Mivio EC pueden ejercer sus derechos ARCO+ (Acceso, Rectificación, Cancelación, Oposición y Portabilidad) en cualquier momento y de forma gratuita, conforme al Capítulo III de la LOPDP.

El procedimiento es el siguiente:

1. El titular envía su solicitud a taytadev@gmail.com o al WhatsApp +593 95 897 1767, indicando:
   • Nombre completo del titular
   • Derecho que desea ejercer
   • Descripción clara de la solicitud
   • Documento de identidad (copia de cédula o pasaporte)
   • Dirección de correo electrónico para recibir la respuesta
2. TaytaDev acusará recibo en un plazo máximo de 2 días hábiles
3. La respuesta sustantiva se emitirá en un plazo máximo de 15 días calendario
4. En caso de denegación, se informarán los motivos de forma clara y fundamentada

Para datos tratados por TaytaDev como encargado (datos de clientes del Usuario), la solicitud será redirigida al Usuario responsable del tratamiento para que este dé respuesta al titular.

11. Eliminación de Datos y Fin del Tratamiento

Al término del contrato de servicio (por cancelación o terminación), se aplicará el siguiente procedimiento de eliminación de datos:

• Periodo de exportación (30 días): el Usuario dispondrá de 30 días calendario para exportar sus datos en formatos estándar (Excel, CSV, PDF)
• Eliminación lógica: cumplido el plazo de exportación, los datos serán marcados como inactivos y se bloqueará el acceso
• Eliminación física: dentro de los 60 días siguientes al vencimiento del plazo de exportación, los datos serán eliminados de forma irreversible de los sistemas activos
• Copias de seguridad: los datos podrán persistir en copias de seguridad cifradas hasta por un máximo de 30 días adicionales, tras lo cual serán sobrescritos de forma irreversible
• Datos fiscales: los datos sujetos a obligaciones de conservación legal (facturas electrónicas, datos fiscales) se conservarán por el plazo de 7 años exigido por el Código Tributario, tras lo cual serán eliminados

Todos los procesos de eliminación se documentan y se emite un certificado de eliminación cuando el Usuario lo solicita.

12. Auditorías y Cumplimiento

TaytaDev se somete voluntariamente a los siguientes mecanismos de verificación del cumplimiento:

• Auditorías internas: revisiones periódicas de los procesos de tratamiento y medidas de seguridad
• Auditorías externas: el Usuario (responsable del tratamiento) o un auditor independiente designado por este podrá, previa solicitud y coordinación con TaytaDev, verificar el cumplimiento de esta Política mediante auditorías, con un preaviso mínimo de 30 días y sin interferir en las operaciones normales del servicio
• Informes de cumplimiento: TaytaDev proporcionará al Usuario, cuando lo solicite, información sobre las medidas de seguridad implementadas y el estado de cumplimiento de la LOPDP

Todas las verificaciones y auditorías se realizarán bajo estrictos acuerdos de confidencialidad.

13. Obligaciones del Usuario como Responsable del Tratamiento

El Usuario de Mivio EC, en su calidad de responsable del tratamiento respecto de los datos de sus clientes, se obliga a:

• Obtener el consentimiento de sus clientes para el tratamiento de sus datos personales, cuando este sea la base legal aplicable
• Informar a sus clientes sobre el tratamiento de sus datos, incluyendo la identidad de TaytaDev como encargado del tratamiento
• Responder a las solicitudes de ejercicio de derechos ARCO+ de sus clientes
• Notificar a TaytaDev cualquier instrucción especial sobre el tratamiento de datos que se aparte de las finalidades contractuales
• No solicitar el tratamiento de datos sensibles o datos de menores de edad sin las debidas autorizaciones legales
• Utilizar Mivio EC exclusivamente para fines lícitos y conformes con la legislación ecuatoriana

14. Vigencia y Modificaciones

Esta Política de Tratamiento de Datos entra en vigor a partir de la fecha de su publicación y se mantendrá vigente mientras exista una relación contractual entre el Usuario y TaytaDev.

TaytaDev se reserva el derecho de modificar esta Política. Las modificaciones serán notificadas a los Usuarios con al menos 15 días de anticipación por correo electrónico. Si el Usuario no está de acuerdo con las modificaciones, podrá cancelar su suscripción antes de la entrada en vigor de las mismas.

15. Contacto

Para cualquier consulta sobre esta Política de Tratamiento de Datos, contacte a:

TaytaDev
Atención: Delegado de Protección de Datos
Correo: taytadev@gmail.com
WhatsApp: +593 95 897 1767
Loja, Ecuador