POLÍTICA DE PROTECCIÓN DE DATOS DE LA UNIÓN DE ARTISTAS Y AUTORES AUDIOVISUALES DEL ECUADOR (UNIARTE) Web URL: https://uniarte-ec.org DPO: dpo@uniarte-ec.org Definiciones: LA SOCIEDAD: UNIÓN DE AUTORES Y ARTISTAS AUDIOVISUALES DEL ECUADOR (UNIARTE) LA LEY: Ley Orgánica de Protección de Datos Personales del Ecuador EL GDPR: Reglamento General de Protección de Datos (UE) 2016/679 Registro de sistemas: Significa los registros de todos los sistemas de información y procesos en los cuales existe tratamiento de datos automatizado por parte de LA SOCIEDAD. 1. Principios de protección de datos La SOCIEDAD está comprometida a realizar el tratamiento de datos en conformidad con la Ley Orgánica de Protección de Datos Personales del Ecuador (LA LEY) y el Reglamento General de Protección de Datos (UE) 2016/679 (GDPR). Todo tratamiento de datos será realizado en conformidad a los principios de juridicidad, lealtad, transparencia, finalidad, minimización de datos, proporcionalidad, confidencialidad, exactitud, conservación limitada, seguridad y demás establecidos en el artículo 10 de la LEY y en el artículo 5 del GDPR 2. Disposiciones generales Esta política es aplicable a todos los datos tratados por LA SOCIEDAD. El oficial de protección de datos tendrá la responsabilidad de asegurarse que LA SOCIEDAD actúe en conformidad a esta política. Está política será revisada anualmente por defecto. La SOCIEDAD estará registrada ante la autoridad de protección de datos ecuatoriana, como organización que realiza tratamiento de datos personales. 3. Licitud y transparencia del tratamiento Para cumplir con los principios de licitud y transparencia en el tratamiento de datos personales, la SOCIEDAD deberá mantener la trazabilidad de todas las actividad en el REGISTRO DE SISTEMAS. El REGISTRO DE SISTEMAS será revisado mensualmente. La SOCIEDAD garantiza a los titulares de los datos procesados el derecho de acceso (art. 13 de la LEY, art. 15 del GDPR), el derecho de rectificación (art. 14 de la LEY, art. 16 del GDPR), el derecho de eliminación (art. 15 de la LEY, art. 17 del GDPR), el derecho de oposición (art. 16), y otros derechos establecidos en la LEY y en el GDPR. 4. Legalidad del tratamiento Todos los datos procesados por la SOCIEDAD serán tratados de manera legal, con el debido consentimiento de las personas concernidas u otras causales dispuestas en el artículo 7 de la LEY y los artículo 6 y 7 del GDPR. La SOCIEDAD registrará la causal apropiada de legalidad del tratamiento en el REGISTRO DE SISTEMAS. Los datos y metadatos respecto a la obtención consentimiento serán guardados con propósitos de prueba de responsabilidad proactiva y demostrada. Las personas concernidas podrán retirar su consentimiento cuando así lo dispongan. 5. Minimización de datos La SOCIEDAD tomará medidas para asegurar que todo tratamiento de datos personales es adecuado, relevante y limitado a los propósitos necesarios. La SOCIEDAD no es responsable por los datos procesados por terceros. Ejemplos de terceros son proveedores de servicios de pago con tarjeta de crédito, o empresas que tercerizan el tratamiento de datos de acceso. 6. Exactitud La SOCIEDAD tomará las medidas necesarias para procurar que los datos sean exactos e íntegros. La SOCIEDAD tomará las acciones necesarias para procurar que los datos estén actualizados. 7. Archivo / eliminación Para asegurar que los datos no sean conservados por más tiempo del necesario, la SOCIEDAD implementa una política de archivo revisada anualmente. Esta política de archivo establece que los datos deben ser retenidos por motivos de responsabilidad proactiva por 1 año después de haber cumplido con sus fines. Los metadatos serán retenidos por cinco años, con el fin de cumplir con la obligación de responsabilidad proactiva establecida en el artículo 10 numeral «K» de la LEY y en el artículo 5.2 del GDPR. 8. Seguridad de datos La SOCIEDAD realiza de manera periódica una evaluación de impacto del tratamiento de datos personales conforme a lo establecido en el artículo 42 de la LEY y el artículo 35 del GDPR. La SOCIEDAD implementa las medidas de seguridad organizacionales y técnicas necesarias en base a los resultados de la gestión de riesgos de seguridad de datos. La SOCIEDAD cuenta con políticas de acceso y privilegios para incrementar la confidencialidad en el tratamiento. La SOCIEDAD implementa políticas de borrado de seguro de datos. La SOCIEDAD cuenta con planes de continuidad de actividades (BCP) y planes recuperación de desastres (DRP) con el fin de garantizar su disponibilidad. La SOCIEDAD desarrolla sus políticas de seguridad de la información en base a las siguientes normas: el modelo FAIR y las normas ISO / IEI 27001, 27002 y 27005 para gestión de riesgos de seguridad de la información ; ISO / CEI 27701 para protección de datos y privacidad ; ISO 22301, para gestionar el impacto a la continuidad de procesos y servicios (BIA) ; ISO / CEI 27037:2012, para el manejo forense de documentos digitales y respuesta a incidentes; OWASP ASVS 4.0 y OWASP Top Ten, para auditar la seguridad de la aplicación web. 9. Vulneraciones de seguridad El evento de violaciones de confidencialidad, integridad o disponibilidad de datos, la SOCIEDAD precautelará los derechos y libertades de las personas concernidas y notificará a la autoridad de datos ecuatoriana de acuerdo a lo establecido en el artículo 43 de la LEY y en el artículo 33 del GDPR. En caso de cualquier requerimiento, comunicación o inquietud con respecto al presente documento, escribir al contacto oficial de protección de datos: dpo@uniarte-ec.org | DATA PROTECTION POLICY OF “UNIÓN DE AUTORES Y ARTISTAS AUDIOVISUALES DEL ECUADOR (UNIARTE)” Web URL: https://uniarte-ec.org DPO: dpo@uniarte-ec.org Definitions: THE COMPANY: UNIÓN DE AUTORES Y ARTISTAS AUDIOVISUALES DEL ECUADOR (UNIARTE). THE LAW: “Ley Orgánica de Protección de Datos Personales del Ecuador” The GDPR: General Data Protection Regulation (UE) 2016/679 SYSTEMS REGISTRY: Means the records of all information systems and processes in which there is automated data processing by THE COMPANY. 1. Data protection principles The COMPANY is committed to carry out data processing in accordance with the Organic Law for the Protection of Personal Data of Ecuador (LA LEY) and the General Data Protection Regulation (UE) 2016/679 (GDPR). All data processing will be carried out in accordance with the principles of legality, loyalty, transparency, purpose, data minimization, proportionality, confidentiality, accuracy, limited conservation, security and others established in article 10 of the LAW and in article 5 of the GDPR. 2. General Provisions This policy applies to all data processed by THE COMPANY. The data protection officer shall be responsible for ensuring that THE COMPANY acts in accordance with this policy. This policy will be reviewed annually by default. The COMPANY will be registered with the Ecuadorian data protection supervisory authority as an organization that processes personal data. 3. Lawfulness and transparency of processing In order to comply with the principles of lawfulness and transparency in the processing of personal data, the COMPANY shall maintain traceability of all activities in the SYSTEMS REGISTRY. The SYSTEMS REGISTRY shall be reviewed in a monthly basis. The COMPANY guarantees the holders of the processed data the right of access (art. 13 of the LAW, art. 15 of the GDPR), the right of rectification (art. 14 of the LAW, art. 15 of the GDPR), the right of erasure (art. 15 of the LAW, art. 15 of the GDPR), the right of opposition (art. 16), and other rights established in the LAW and the GDPR. 4. Legality of the treatment All data processed by the COMPANY will be processed in a lawful manner, with the proper consent of the persons concerned or other grounds provided for in article 7 of the LAW. And articles 6 and 7 of the GDPR The COMPANY shall record the appropriate ground of lawfulness of the processing in the SYSTEMS REGISTRY. Data and metadata regarding the obtaining of consent will be stored for purposes of proof of proactive and demonstrated accountability. The persons concerned may withdraw their consent at their request. 5. Data minimization The COMPANY will take measures to ensure that any processing of personal data is adequate, relevant and limited to necessary purposes. The COMPANY is not responsible for data processed by third parties. Examples of third parties are credit card payment service providers, or companies that outsource the processing of access data. 6. Accuracy The COMPANY will take the necessary measures to ensure the accuracy and completeness of the data. The COMPANY shall take the necessary steps to ensure that the data is up to date. 7. Archiving / disposal To ensure that data is not retained longer than necessary, the COMPANY implements an annually reviewed archiving policy. This archiving policy states that data should be retained for proactive accountability purposes for 1 year after it has served its intended purpose. Metadata will be retained for five years, in order to comply with the proactive accountability obligation established in article 10 numeral “K” of the LAW and the article 5.2 of the GDPR. 8. Data Security The COMPANY periodically performs an impact assessment of the processing of personal data in accordance with the provisions of article 42 of the LAW and article 35 of the GDPR. The COMPANY implements the necessary organizational and technical security measures based on the results of the data security risk management. The COMPANY has access and privilege policies in place to increase confidentiality in processing. The COMPANY implements secure data deletion policies. The COMPANY has business continuity plans (BCP) and disaster recovery plans (DRP) to ensure availability. The COMPANY develops its information security policies on the basis of the following standards: The FAIR model and the standards ISO / IEC 27001, 27002 and 27005 for information security risk management ; ISO / IEC 27701 for data protection and privacy ; ISO 22301, for managing the impact to the continuity of processes and services (BIA) ; ISO / IEC 27037:2012, for digital document forensics and incident response; OWASP ASVS 4.0 and OWASP Top Ten, for auditing web application security. 9. Security data breaches In the event of violations of confidentiality, integrity or availability of personal data, the COMPANY will safeguard the rights and freedoms of the persons concerned and will notify the Ecuadorian data supervisory authority in accordance with the provisions of article 43 of the LAW and article 33 of the GDPR. In case of any request, communication, or concern regarding this document, please write to the data protection officer contact: dpo@uniarte-ec.org |