Mesa de trabajo 18 copia
TaxiFacil
POLÍTICA DE PROTECCIÓN DATOS PERSONALES

HAZLOFACIL S.A.S

CONTROL DE VERSIONES
1. ANTECEDENTES
HAZLOFACIL S.A.S. es una compañía ecuatoriana que desarrolla y comercializa soluciones tecnológicas —incluyendo software, aplicaciones web y móviles, bases de datos y páginas web— y presta servicios en modalidad SaaS para, entre otros, firma electrónica y facturación electrónica, así como soluciones especializadas para sectores como transporte (p. ej., SoluTransporte) y otros productos y marcas asociadas (p. ej., FirmaFácil, FacturaFácil, TaxiFácil, HazloFácil App).

En el marco de sus operaciones, la compañía trata datos personales de usuarios, clientes y prospectos, representantes y contactos de empresas, proveedores, postulantes y colaboradores, con el fin de prestar sus servicios, gestionar relaciones contractuales, atender requerimientos y cumplir obligaciones legales. Esta Política forma parte del Sistema de Gestión de Seguridad de la Información (SGSI) y del Sistema de Gestión de Información de Privacidad alineados con ISO/IEC 27001 e ISO/IEC 27701, y se emite para garantizar transparencia, licitud y seguridad en el tratamiento de datos personales.
2. OBJETIVO
Establecer los lineamientos generales de HAZLOFACIL S.A.S. para el tratamiento de datos personales, asegurando el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento General, las disposiciones y guías aplicables emitidas por la Superintendencia de Protección de Datos Personales (SPDP), y las buenas prácticas internacionales en seguridad y privacidad (ISO/IEC 27001 e ISO/IEC 27701).
3. ALCANCE
Esta Política aplica a todo tratamiento de datos personales realizado por HAZLOFACIL S.A.S., por medios físicos o digitales, dentro del territorio del Ecuador, incluyendo —sin limitarse a— sus sitios web y landing pages, aplicaciones móviles, plataformas de atención y soporte, comunicaciones por correo electrónico, mensajería y redes sociales, y cualquier canal habilitado para la contratación, prestación y soporte de sus servicios.
La Política también se extiende a los tratamientos realizados por encargados del tratamiento (proveedores) que actúen por cuenta de HAZLOFACIL S.A.S., conforme a instrucciones documentadas, acuerdos de confidencialidad y contratos de encargo.
4. IDENTIFICACIÓN DEL RESPONSABLE Y DATOS DE CONTACTO
Responsable del tratamiento: HAZLOFACIL S.A.S.

RUC: 1793192365001

Representante legal: Hugo Alexander Chamba Vozmediano.

Domicilio: Alberto Orellana LC9, Leopoldo Arcos Villagómez, Quito, Ecuador

Correo de contacto institucional: lopd@strategic.ec 

Teléfono: 023588094

Delegado de Protección de Datos Personales (DPD): Josué Andrés Castillo Escobar

Canal para ejercicio de derechos y consultas de protección de datos: desarrollo4@strategic.ec
5. MARCO NORMATIVO Y ESTÁNDARES INTERNOS
El tratamiento de datos personales se rige, principalmente, por la Constitución de la República del Ecuador (derecho a la protección de datos personales y derechos conexos), la LOPDP, su Reglamento General y las resoluciones, directrices y guías emitidas por la SPDP. Como marco de control interno, la compañía integra esta Política en su SGSI (ISO/IEC 27001:2022) y su PIMS (ISO/IEC 27701:20205), bajo un enfoque de gestión de riesgos, mejora continua y zero trust.
6. DEFINICIONES CLAVE
Dato personal: Información que identifica o hace identificable a una persona natural, directa o indirectamente.

Titular: Persona natural a quien corresponden los datos personales.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, automatizadas o no (recopilación, almacenamiento, uso, comunicación, eliminación, etc.).

Responsable: Quien decide sobre la finalidad y los medios del tratamiento.

Encargado: Quien trata datos personales por cuenta del Responsable, bajo sus instrucciones.

Categorías especiales: Datos cuya naturaleza exige protección reforzada (p. ej., biométricos, salud, menores, etc.), según la LOPDP.
7. PRINCIPIOS Y COMPROMISO DE CUMPLIMIENTO
HAZLOFACIL S.A.S., no solo reconoce, sino que hacen parte de su operación los principios de la LOPDP en sus procesos de desarrollo (DevSecOps) y gestión administrativa:

  • Juridicidad, Lealtad y Transparencia: Todo tratamiento se basa en una causa legal justificada y se informa al titular de manera clara, sin cláusulas ocultas ni sorpresas.
  • Finalidad y Pertinencia: Solo recolectamos los datos estrictamente necesarios para los servicios contratados (Minimización). No reutilizamos datos para fines incompatibles sin nuevo consentimiento.
  • Confidencialidad y Seguridad: Aplicamos cifrado, controles de acceso y monitoreo para asegurar que solo personas autorizadas accedan a los datos, protegiéndolos contra fugas o accesos ilícitos.
  • Conservación: No retenemos datos indefinidamente; aplicamos políticas de depuración segura conforme a los plazos legales y técnicos definidos.
  • Responsabilidad Proactiva (Accountability): Contamos con evidencias documentales y trazas de auditoría que demuestran nuestro cumplimiento continuo.
8. TITULARES Y CATEGORÍAS DE DATOS PERSONALES TRATADOS
De manera general, la compañía puede tratar datos personales de:

  • Usuarios del sitio web y de aplicaciones móviles.
  • Clientes y prospectos (personas naturales) y contactos/representantes de clientes corporativos.
  • Usuarios de los productos y marcas asociadas (p. ej., FirmaFácil, FacturaFácil, TaxiFácil, SoluTransporte).
  • Proveedores y sus contactos/representantes.
  • Postulantes a empleo y colaboradores.

Las categorías de datos personales pueden incluir, según el servicio o interacción:

  • Identificativos y de contacto: nombres, apellidos, cédula/pasaporte, dirección, correo, teléfono.
  • Datos profesionales y de negocio: cargo, empresa, RUC, actividad económica, información de facturación
  • Datos transaccionales: comprobantes, historial de compras/contratos, solicitudes y tickets de soporte.
  • Datos técnicos: IP, identificadores de dispositivo, registros (logs), cookies y métricas de uso.
  • Imágenes y documentos de identidad (p. ej., foto de cédula y selfie) cuando sean necesarios para verificación de identidad o prestación del servicio.


Por regla general, HAZLOFACIL S.A.S. no solicita datos de categorías especiales. No obstante, ciertos servicios pueden requerir verificación de identidad mediante imagen facial o documentos que podrían calificarse como datos de protección reforzada; en tales casos se aplican medidas de seguridad y limitación de acceso más estrictas.
9. FINALIDADES DEL TRATAMIENTO
Los datos personales se tratan, según corresponda, para las siguientes finalidades:
  1. Gestión de solicitudes, consultas, demostraciones y contacto comercial (ventas).
  2. Registro, autenticación y administración de cuentas en plataformas y aplicaciones.
  3. Prestación, soporte y mejora de servicios (firma electrónica, facturación electrónica y demás soluciones tecnológicas).
  4. Gestión de pagos, facturación, comprobantes y cumplimiento de obligaciones tributarias y contables aplicables.
  5. Atención de incidencias, quejas y reclamos; y soporte técnico.
  6. Seguridad de la información, prevención de fraude, control de accesos y continuidad del servicio.
  7. Cumplimiento de obligaciones legales y requerimientos de autoridades competentes.
  8. Marketing directo de productos y servicios (cuando exista base de legitimación y siempre con mecanismos de oposición/retiro).
  9. Gestión de proveedores y contratistas.
  10. Gestión de talento humano: reclutamiento, selección, administración laboral y bienestar (cuando aplique).
10. BASES DE LEGITIMACIÓN
Para garantizar la licitud del tratamiento, HAZLOFACIL S.A.S. asocia cada finalidad a una base legal específica establecida en el Art. 7 de la LOPDP:
Consecuencias de no facilitar los datos:

El suministro de los datos marcados como obligatorios (generalmente con un asterisco * en nuestros formularios) es un requisito contractual o legal. La negativa a suministrarlos impedirá a HAZLOFACIL S.A.S. prestar el servicio, emitir los comprobantes o formalizar la relación comercial.

11. DESTINATARIOS, ENCARGADOS DEL TRATAMIENTO Y TRANSFERENCIAS
Los datos personales podrán ser comunicados, según corresponda y bajo confidencialidad, a:

  • Proveedores tecnológicos y de infraestructura (p. ej., hosting, nube, correo, analítica), en calidad de encargados del tratamiento.
  • Proveedores de soporte, mesa de ayuda y mantenimiento de sistemas.
  • Pasarelas de pago, instituciones financieras y conciliación transaccional, cuando aplique.
  • Autoridades y entidades públicas competentes (p. ej., SRI u otras), cuando exista obligación legal o requerimiento válido.

Transferencias Internacionales de Datos: HAZLOFACIL S.A.S. utiliza infraestructura de computación en la nube de proveedores de clase mundial (como Amazon Web Services - AWS o Google Cloud), cuyos servidores pueden encontrarse fuera del territorio ecuatoriano (principalmente Estados Unidos). Para garantizar la protección de sus datos en estas transferencias, la Compañía asegura que dichas transferencias se realizan bajo los supuestos de excepción o garantías adecuadas de la LOPDP, específicamente mediante la suscripción de Cláusulas Contractuales Tipo (Standard Contractual Clauses - SCC) o Normas Corporativas Vinculantes, asegurando estándares de seguridad técnica (cifrado en tránsito y reposo) y legal equiparables a la normativa nacional.
12. CONSERVACIÓN Y ELIMINACIÓN
Los datos personales se conservan únicamente durante el tiempo necesario para cumplir la finalidad que motivó su recolección y para atender obligaciones legales, contractuales o de auditoría aplicables. Una vez cumplida la finalidad, los datos se eliminan o se anonimizan, salvo que exista un deber legal de conservación o se requieran para la formulación, ejercicio o defensa de reclamaciones. Sin perjuicio de cada período de conservación que se identifica en el RAT, de manera general aplican las siguientes reglas:
Los datos personales no se conservarán por más tiempo del necesario para los fines descritos. Los criterios para determinar los plazos de conservación son:
  • Datos de Clientes y Transacciones (Facturación/Fiscal): Se conservarán durante 7 años a partir de la fecha de emisión del comprobante o finalización de la relación comercial, conforme a los plazos de prescripción establecidos en el Código Tributario Ecuatoriano.
  • Datos de Usuarios Activos (SaaS): Mientras la cuenta se mantenga activa y vigente. Tras la baja del servicio, se aplicará un bloqueo de seguridad por 1 año antes de su eliminación definitiva, salvo obligación legal en contrario.
  • Logs y Datos de Seguridad: Se conservarán por un periodo máximo de 12 meses para fines de auditoría forense e investigación de incidentes.
  • Datos de Postulantes (RRHH): Máximo 2 años si el candidato no fue seleccionado, salvo que solicite su eliminación antes.

Una vez expirados estos plazos, los datos serán eliminados de forma segura (borrado lógico y físico) o anonimizados irreversiblemente para fines estadísticos.

13. MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD
Como parte del SGSI/PIMS, HAZLOFACIL S.A.S. aplica medidas técnicas y organizativas acordes con el riesgo, incluyendo —entre otras—: controles de acceso basados en roles (RBAC), autenticación robusta, cifrado en tránsito cuando corresponda, registro y monitoreo de actividades (bitácoras), copias de seguridad, gestión de vulnerabilidades, segregación de ambientes, gestión de incidentes y continuidad del negocio. El acceso a datos de verificación de identidad (p. ej., imágenes y documentos) se restringe bajo privilegio mínimo.
Notificación de Brechas de Seguridad En caso de producirse una vulneración de seguridad que entrañe un riesgo para los derechos y libertades de los titulares (p. ej., robo de base de datos, ransomware), HAZLOFACIL S.A.S. notificará a la Autoridad de Control y a los titulares afectados en el plazo establecido por la ley, detallando las posibles consecuencias y las medidas adoptadas para mitigar el impacto. Así mismo se ha implementado un protocolo de respuesta ante incidentes.
14. DERECHOS DE LOS TITULARES Y SU EJERCICIO
Los titulares pueden ejercer, conforme la LOPDP, los derechos de acceso, rectificación y actualización, eliminación, oposición, portabilidad (cuando aplique), suspensión del tratamiento y a no ser objeto de decisiones automatizadas, entre otros. Para ejercerlos, deberán remitir su solicitud al canal indicado en esta Política (lopd@strategic.ec) o por los medios habilitados en el Procedimiento de Ejercicio de Derechos. HAZLOFACIL S.A.S. podrá requerir información razonable para verificar identidad y evitar suplantaciones.
Procedimiento y Tiempos de Respuesta Para ejercer sus derechos (Acceso, Rectificación, Eliminación, Oposición, Portabilidad, Suspensión), el titular deberá enviar una solicitud al correo lopd@strategic.ec adjuntando una copia de su documento de identidad o mecanismo de autenticación válido para acreditar su titularidad. Para conocer el procedimiento completo leer aquí.
  • Plazo de respuesta: HAZLOFACIL S.A.S. responderá a su solicitud en el término legal de quince (15) días, pudiendo extenderse solo en casos de alta complejidad debidamente justificados.
  • Formulario para ejercicio de derechos: Descargue aquí.
  • Derecho de Reclamo: Se informa al titular que, si considera que su solicitud no ha sido atendida adecuadamente o que se han vulnerado sus derechos, tiene la potestad de presentar un reclamo ante la Superintendencia de Protección de Datos Personales (SPDP).
15. ACTUALIZACIÓN Y VIGENCIA
HAZLOFACIL S.A.S. podrá actualizar esta Política para reflejar cambios normativos, organizacionales o tecnológicos. La versión vigente se publicará en los canales oficiales. Cuando corresponda, se informará de cambios sustanciales por medios razonables.

HUGO ALEXANDER CHAMBA VOZMEDIANO
REPRESENTANTE LEGAL