Establecer los procedimientos, lineamientos y criterios sobre la recolección, almacenamiento, uso, circulación, supresión, procesamiento, compilación, intercambio, tratamiento, actualización, compartir y disponer de los datos que han sido suministrados legítimamente por los titulares de los datos personales y que se han incorporado en distintas bases de datos, repositorios electrónicos y archivos físicos de todo tipo con que cuenta la Bolsa de Valores de Guayaquil S.A. BVG (de ahora en adelante BVG) en razón a las actividades legales que le están autorizadas.
Establecer las responsabilidades de la BVG y sus encargados respecto al tratamiento de datos personales.
Comunicar para qué finalidades se realiza el tratamiento de los datos, así como los derechos que le asisten a los titulares de los datos y los procedimientos para ejercerlos.

GENERALIDADES DE LA POLÍTICA

La BVG ha acordado la política de Gobierno Corporativo, y en función de ello, autorizó la implantación y supervisión del cumplimiento de buenas prácticas de gobierno corporativo, los Grupos de Interés con los que interactúa, siendo estos:

Accionistas de la BVG
Directores de la BVG
Administradores, funcionarios y colaboradores de la BVG
Proveedores y acreedores de la BVG
Casas de Valores
Emisores inscritos
Entidades Reguladoras y de Control
Público en general

De acuerdo con la referida política de Buen Gobierno Corporativo, BVG frente a los Grupos de Interés citados, ha adoptado los siguientes principios de actuación orientados a su actividad, la de sus administradores y de sus colaboradores:

Respetar los derechos y reconocer los deberes que la ley y los contratos celebrados le otorgan a los grupos de interés.
Considerar que el flujo adecuado de información relevante es un elemento fundamental de las relaciones de BVG con los distintos grupos de interés.
Reconocer que periódicamente se deben evaluar las diferentes relaciones que BVG sostiene con sus grupos de interés para establecer mecanismos que permitan que dichas relaciones sean manejadas con transparencia y en el marco de la ley.
Como parte de la implementación de las referidas Normas de Buen Gobierno Corporativo, BVG ha emitido un Código de Etica y Conducta, en el cual se han establecido reglas relacionadas con el manejo de la información en los siguientes términos:

La BVG se compromete a respetar la confidencialidad de los datos personales de sus accionistas, directores, funcionarios y empleados, así como de los intermediarios de valores e inversionistas.
Con estos antecedentes, BVG, obtiene y guardar solo aquella información que sea necesaria para el desarrollo de sus actividades, o la que exija la legislación vigente, definiendo además que la referida información se considera los datos como privilegiados, internos y de mercado.

Información privilegiada

Los directores, funcionarios y empleados en general deberán cumplir con las políticas, procedimientos, controles y requerimientos de seguridad establecidos en la BVG, para el manejo de información.
La BVG está comprometida a apoyar la legitimidad y transparencia del mercado de valores para garantizar el cumplimiento de este compromiso, se prohibe a todos los directores, funcionarios y empleados en general o terceras personas que por la vinculación con la BVG tengan acceso a "Información privilegiada".

Participar en operaciones bursátiles para sí mismo y hacer uso de información privilegiada para su beneficio.
Revelar información privilegiada a su familia, amigos, o terceras personas que pudieran negociar en bolsa con base en la información proporcionada.
Provocar y generar acciones de carácter legal, que afecte la imagen de la BVG, por su falta de confidencialidad e inadecuado manejo de información privilegiado o sensible, lo cual le puede acarrear desde considerables multas, sanciones administrativas, reclusión y terminación de la relación laboral con la BVG.
Los directores, funcionarios y empleados en general de la BVG podrán divulgar información privilegiada, bajo la autorización del Directorio, en aquellos casos que constituyan una orden legal o judicial o cuando lo requiera el órgano de control o autoridad competente.

Información interna

La BVG y sus directores, funcionarios y empleados en general manejarán la información proporcionada por los intermediarios de valores con la más estricta confidencialidad, haciendo toda clase de esfuerzos para evitar revelaciones, intencionadas o no, sin el consentimiento expreso y por escrito de las Casas de Valores.

Como mínimo todos nuestros directores, funcionarios y empleados en general deberán:

Asegurarse que la información que reposa en documentos escritos o en medios magnéticos se encuentra debidamente asegurada y archivada de acuerdo con las disposiciones legales vigentes y el Manual de Prevención de Lavado de Activo.
Mantener la información de sus computadoras personales bajo un estricto control, con claves de acceso a la información contenida en los discos duros y la red corporativa.
Las claves de acceso son personales e intransferibles y el titular será responsable por su inadecuada utilización.
Velar por la seguridad y privacidad en las áreas de negociación.
Controlar el acceso a las oficinas que contengan información confidencial, después de los horarios de trabajo.
Controlar y restringir en todo momento la entrada al área dispuesta para el archivo.
La información confidencial relativa a las Casas de Valores, solamente podrá ser revelada a terceros como consecuencia de un estatuto o de una regulación, de un proceso legal apropiado, o en cumplimiento de las inspecciones por las entidades de control autorizadas, como son la Superintendencia de Compañías, Valores y Seguros y Unidad de Análisis Financiero y Económico.
De igual manera, la información, confidencial o no, propiedad de la Bolsa de Valores, debe ser guardada con la debida confidencialidad por los directores, representantes legales y demás funcionarios de la BVG. Como parte de la información que adicionalmente se debe proteger tenemos:
- Bases de datos corporativas.
- Planes y estrategias de mercado.
- Datos técnicos y de investigación.
- Ideas, procesos, propuestas o estrategias de negocios.
- Desarrollo de nuevos productos.
- Software adquirido o desarrollado por la BVG.
Ningún director, funcionario y empleado en general deben utilizar la información a la que tenga acceso por razón de su trabajo para fines distintos de lo legal o contractualmente establecidos.

Toda la información de la BVG relativa a clientes, accionistas, empleados, proveedores, planes estratégicos, legal o de índole parecida debe ser considerada confidencial y tratarla como tal.
El tratamiento de datos de carácter personal debe realizarse garantizando el derecho a la intimidad de las personas y con sujeción a la normativa sobre datos de carácter personal.
Todos los directores, funcionarios y empleados en general de la BVG deben adquirir el compromiso de confidencialidad mediante la firma del Convenio de confidencialidad establecido al efecto.

Información al mercado

La BVG garantiza la recopilación y el reporte honesto, preciso y objetivo de la información, tanto financiera como no financiera, esencial para:

Mantener la credibilidad y reputación de la BVG;
Cumplir los requisitos legales y normativos;
Cumplir la responsabilidad de la BVG con sus intermediarios de valores y otras partes interesadas;
Respaldar sus decisiones y actividades de la BVG e informar sobre ellas.

Hechos Relevantes

La BVG asegura la difusión inmediata de la información necesaria para facilitar la adecuada interpretación por el medio de los hechos relevantes que pudieran afectar, de forma sensible, a la cotización de los valores negociables.

La BVG garantiza que la información es difundida conforme a los requerimientos normativos y legales vigentes

Con base en los principios antes mencionados y los criterios de manejo de la información, BVG desarrolla la siguiente Política de Tratamiento de Datos Personales:

ALCANCE DE LA POLÍTICA

Esta política es aplicable a los datos personales administrados por la BVG, físicos o digitales, en los cuales esta es responsable de acuerdo con las disposiciones de la Ley Orgánica de Protección de Datos Personales (LOPDP) y demás Normativas vigentes y aplicables.

DEFINICIONES

De conformidad con la regulación aplicable se establecen las siguientes definiciones:

Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.
Aviso de privacidad: comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
Base de Datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo acceso es público, incondicional y generalizado.
Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
Responsable de tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
Titular: Persona natural cuyos datos son objeto de tratamiento.
Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.
Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

MARCO LEGAL

De acuerdo con el artículo 92 de la Constitución de la República del Ecuador prescribe que:

Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación.
En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de tas medidas de seguridad necesarias. Si no se atendiera su solicitud, esta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados.

El 26 de mayo de 2021 la Asamblea Nacional aprobó La Ley Orgánica de Protección de Datos Personales, cuyo objeto y finalidad es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección, Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.

Principios para el tratamiento de datos personales

La BVG aplicará los siguientes principios para el tratamiento de los datos personales:

Juridicidad.- Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.
Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.
Transparencia.- El tratamiento de datos personales deberá ser transparente por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro. Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.
Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular; no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.
Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos.
Confidencialidad.- El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.
Calidad y exactitud.- Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
En caso de tratamiento por parte de un encargado, la calidad y exactitud será obligación del responsable del tratamiento de datos personales.
Siempre que el responsable del tratamiento haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, no le será imputable la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:
1. Hubiesen sido obtenidos por el responsable directamente del titular.
2. Hubiesen sido obtenidos por el responsable de un intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario que recoja en nombre propio los datos de los afectados para su transmisión al responsable.
3. Fuesen obtenidos de un registro público por el responsable.
Conservación.- Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento.
Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica.
La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportuna y necesaria, para salvaguardar los derechos previstos en esta norma.
Seguridad de datos personales.- Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose portales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales, frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.
Responsabilidad proactiva y demostrada.- El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.
El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales.
El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley.
Aplicación favorable al titular.- En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.
Independencia del control.- Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el Estado, la Autoridad de Protección de Datos deberá ejercer un control independiente, imparcial y autónomo, así como llevar a cabo las respectivas acciones de prevención, investigación y sanción.

TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES Y SU FINALIDAD

Conforme lo dispone la Ley Orgánica de Protección de Datos Personales, los datos personales serán tratados de manera lícita, segura y confiable, aplicando las mejores técnicas y procedimientos para la protección de su privacidad y seguridad.
Para asegurar la integridad, disponibilidad y confidencialidad de los datos personales la BVG contrata servicios especializados en la nube para alojamiento y almacenamiento. Este tratamiento se considera como una transferencia internacional de datos personales y la BVG se asegura que dichos proveedores tengan las calificaciones necesarias en su servicio tal como lo establece la Ley Orgánica de Protección de Datos Personales.

EN RELACIÓN CON LOS PROVEEDORES

Los datos personales de los proveedores de la BVG se sujetan a tratamiento con el objetivo de efectuar las gestiones pertinentes para el desarrollo de la etapa precontractual, contractual y post-contractual con la organización, respecto de la relación comercial con el proveedor.

La Base de legalidad para el tratamiento es el cumplimiento de un contrato; cumplimiento de obligaciones legales, interés legítimo; y el consentimiento.

EN RELACIÓN CON LOS CONTACTOS DE LOS SERVICIOS DE CAPACITACIÓN

Los registros de estos datos personales son utilizados para el desarrollo de actividades de promoción y divulgación, propias de los servicios de Educación y Capacitación que presta la BVG.

La Base de legalidad para el tratamiento es el interés legítimo y el consentimiento.

EN RELACIÓN CON LOS CLIENTES DEL GIRO DEL NEGOCIO

Los datos personales de los clientes que mantienen relación comercial con la BVG, se sujetan a tratamiento con el objetivo de procesar y difundir información relacionada con el mercado de valores, cumpliendo con la Ley del Mercado de Valores y demás normas vigentes, así como con las disposiciones de los órganos de control.

Estos datos se utilizan en la ejecución de los procesos transaccionales y operativos de BVG, los cuales con la aprobación de los titulares podrán ser compartidos con proveedores de servicios de BVG, específicamente para alojamiento en sistemas y mantenimiento, servicios de análisis de mercado, servicios de mensajería por correo electrónico, servicios de difusión del mercado de valores, etc. En consecuencia, se entiende que todos los clientes de BVG al suministrar su información, automáticamente aceptan lo dispuesto en la presente política y están concediendo a terceres autorizados el acceso a sus datos personales.

La Base de legalidad para el tratamiento es el cumplimiento de un contrato; cumplimiento de obligaciones legales, interés legítimo y el consentimiento.

EN RELACIÓN CON LOS EMPLEADOS

Los datos personales de los colaboradores de la BVG se sujetan a tratamiento con el objetivo de efectuar todas las actividades relacionadas a la etapa precontractual, contractual y postcontractual con la organización, respecto a la relación laboral, cumpliendo con las disposiciones de las entidades de control aplicables.

La Base de legalidad del tratamiento es el cumplimiento de un contrato; cumplimiento de obligaciones legales, interés legítimo; y el consentimiento.

DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES

La BVG se compromete a realizar las actividades necesarias para garantizarlos derechos de los Titulares de los datos personales establecidos en la Ley Orgánica de Protección de Datos Personales:

Derecho a la información.
Derecho de acceso.
Derecho de rectificación y actualización.
Derecho de eliminación.
Derecho de oposición.
Derecho a la portabilidad.
Derecho a la suspensión del tratamiento.
Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas.
Derecho a la protección especial de datos personales de niñas, niños y adolescentes.
Derecho de consulta.
Derecho a la educación digital.

PERSONAS QUE PUEDEN EJERCER LOS DERECHOS DEL TITULAR

De acuerdo con la Ley Orgánica de Protección de Datos Personales, los derechos de los Titulares podrán ejercerse por las siguientes personas:

Por el Titular, quien deberá demostrar su identidad en forma suficiente por los distintos medios que le establezca la BVG.
Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento, conforme con las disposiciones legales.
Por estipulación a favor de otro o para otro conforme con las disposiciones legales.

PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES

Los Titulares de los datos personales o persona autorizada según lo establecido en la cláusula "EN RELACIÓN CON LOS PROVEEDORES" de esta política, podrán ejercer su derecho a conocer, actualizar, rectificar o suprimir información, física o digital, así como también podrán revocar la autorización otorgada al responsable para el tratamiento de los datos personales.

CONSULTAS

La BVG llevará el registro de la información sobre la fecha de recibo de la consulta, identidad del solicitante y el contenido de la misma.

La respuesta a la consulta deberá comunicarse al solicitante en un término máximo de quince (15) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al solicitante, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

RECLAMOS

Los reclamos tienen por objeto corregir, actualizar, suprimir datos o elevar una queja por el presunto incumplimiento de cualquiera de los deberes establecidos en la Ley Orgánica de Protección de Datos Personales.

El reclamo debe contener como mínimo la siguiente información:

Nombre e identificación del Titular del dato o la persona legitimada.
Descripción precisa y completa de los hechos que dan lugar al reclamo.
Dirección electrónica para remitir la respuesta e informar sobre el estado del trámite.
Documentos y demás pruebas pertinentes que quiera hacer valer.

Si el reclamo resulta incompleto, se requerirá al solicitante dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo que subsane las fallas. Transcurridos diez (10) días desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. Durante este término los datos personales se mantendrán vigentes dentro de los registros, físico o digital, de la BVG.

Todos los reclamos se incluirán en una base de datos o sistema de información, conteniendo al menos nombre del titular, fecha de solicitud, motivo, estado.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recepción. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al solicitante los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

DEBERES DE LA BVG COMO RESPONSABLE DEL TRATAMIENTO

La BVG como responsable del tratamiento de datos personales deberá dar cumplimiento a los siguientes deberes en concordancia con lo establecido en la Ley Orgánica de Protección de Datos:

DEBERES EN RELACIÓN CON EL TITULAR

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir: conocer, actualizar o rectificar sus datos personales cuando ello sea procedente.
Solicitar y conservar copia de la respectiva autorización otorgada por el Titular.
Informar debidamente al Titular sobre la finalidad de la recolección de sus datos personales y los derechos que le asisten en virtud del consentimiento otorgado.
Tramitar las consultas y reclamos formulados por el Titular.
Informar a solicitud del Titular sobre el uso dado a sus datos.
Solicitar y conservar, el consentimiento por parte del titular sobre el tratamiento de sus datos biométricos y sensibles especificando en toda ocasión la finalidad que corresponda, garantizando los mecanismos de almacenamiento, confidencialidad, integridad y seguridad sobre los mismos. De igual forma, dar a conocer y/o informar al titular en todo momento donde puede consultar la política de privacidad de la organización.

DEBERES EN RELACIÓN CON LOS DATOS PERSONALES

Tratar y conservar los datos personales bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Actualizar la información cuando sea necesario.
Rectificar los datos personales cuando ello sea procedente.
Tramitar las consultas y reclamos formulados por el Titular.
Bloquear los datos personales cuando la solicitud o pruebas otorgadas por el titular den cabida a un riesgo de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para proteger los datos personales en el transcurso de la toma de decisión definitiva.

DEBERES CUANDO SE UTILIZAN LOS SERVICIOS DE UN ENCARGADO DEL TRATAMIENTO

Garantizar que los datos personales que se suministren al Encargado del Tratamiento sean veraces, completos, exactos, actualizados, comprobables y comprensibles
Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
Junto con el Encargado las pautas sobre las transferencias y/o transmisiones internacionales de datos a países autorizados, en los casos que corresponda.

DEBERES FRENTE A LA AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES

Informar a la autoridad de protección de datos personales cuando se presenten violaciones a la seguridad, privacidad y existan riesgos en la administración de los datos personales de los Titulares.
Cumplir las instrucciones y requerimientos que imparta la autoridad de protección de datos personales.

ÁREA RESPONSABLE PARA ATENDER REQUERIMIENTOS RELACIONADOS A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

El Área Legal será responsable al interior de la BVG de resolver peticiones, consultas y reclamos relacionados con los datos personales, en los tiempos establecidos en la Ley Orgánica de Protección de Datos Personales y su reglamento.

Información de contacto:

Abogada Martha Páez
Teléfono: 04-3803550 ext. 170
Correo electrónico: datospersonales@bvg.fin.ec

DEBERES DEL ENCARGADO DE DATOS PERSONALES

Implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra Índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.
Responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la Ley de Protección de Datos Personales.
Estar sujeto al deber de confidencialidad, de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas organizativas apropiadas. Esta obligación será complementaria del secreto profesional de conformidad con cada caso.
Tratar únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.
Sujetarse al principio de seguridad de datos personales, para lo cual deberá tomar en cuenta las categorías y volumen de datos personales, el estado de la técnica, mejores prácticas de seguridad integral y los costos de aplicación de acuerdo a la naturaleza, alcance, contexto y los fines del tratamiento, así como identificar la probabilidad de riesgos.
Evidenciar que las medidas adoptadas e implementadas mitiguen de forma adecuada los riesgos identificados.
Tomar las medidas adecuadas y necesarias, de forma permanente y continua, para evaluar, prevenir, impedir, reducir, mitigar y controlar los riesgos, amenazas y vulnerabilidades, incluidas las que conlleven un alto riesgo para los derechos y libertades del titular, de conformidad con la normativa que emita la Autoridad de Protección de Datos Personales.
Notificar al responsable cualquier vulneración de la seguridad de datos personales tan pronto sea posible, y a más tardar dentro del término de dos (2) días contados a partir de la fecha en la que tenga conocimiento de ella.

SEGURIDAD DE LA INFORMACIÓN Y MEDIDAS DE SEGURIDAD

En cumplimiento del principio de seguridad establecido en la Ley Orgánica de Protección de Datos, la BVG adoptará las medidas técnicas, humanas y administrativas que sean necesarias para garantizar la seguridad de los datos personales, físicos o digitales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

VIGENCIA Y MODIFICACIONES

La presente política entrará en vigor a partir de la fecha de su aprobación por el Directorio de la BVG. Debido a la dinámica de las regulaciones, esta política podrá incorporar cambios y actualizaciones sin previo aviso y estará siempre disponible a través de los canales de difusión.

La presente Política de Tratamiento de Datos Personales de la BVG, fue aprobada en sesión de Directorio del 21 de febrero de 2024.

GUAYAQUIL - ECUADOR

BOLSA DE VALORES GUAYAQUIL

MERCADOS

CASAS DE VALORES

EMISORES

ESTADÍSTICAS - Archivos descargables

NORMATIVAS

FORMACIÓN CONTINUA

SERVICIOS

Información General

Gobierno Corporativo

Ley Orgánica de Protección de Datos Personales

Posturas al día

Operaciones Cerradas

Precios y Mayores Transacciones