1. INTRODUCCIÓN Y COMPROMISO

La Asociación de empresas proveedoras de servicios de internet, valor agregado, portadores y tecnologías de la información AEPROVI reconoce que la protección de datos personales es un derecho fundamental consagrado en la constitución de la República del Ecuador y desarrollado por la Ley orgánica de protección de datos personales (LOPDP). En consecuencia, se compromete a garantizar el ejercicio de este derecho mediante el tratamiento lícito, leal, transparente y seguro de los datos personales de todas las personas que interactúan con esta organización.

La presente política de protección de datos personales establece los principios, criterios y procedimientos que AEPROVI aplica para asegurar el respeto y la protección de los datos personales que maneja en el desarrollo de sus actividades asociativas y de gestión de sus servicios.

2. ÁMBITO DE APLICACIÓN

Esta política se aplica a todos los tratamientos de datos personales realizados por AEPROVI, independientemente del soporte en que se encuentren (físico o digital) y de la modalidad de tratamiento empleada (automatizada o no automatizada).

2.1 Titulares asociados

Esta política aplica a los datos personales de:

• • • • Representante legal y miembros de la Junta directiva de AEPROVI.
      • Representantes legales y delegados de las empresas socias.
      • Contactos financieros, técnicos y de cualquier otro ámbito de las empresas socias.
      • Contactos administrativos, financieros y técnicos de los participantes del punto de intercambio de tráfico local de Internet (NAP.EC).
      • Miembros de las comunidades técnicas (operadores de red, ciberseguridad, ipv6, etc.).
      • Asistentes a eventos, capacitaciones y reuniones.
      • Usuarios del sitio web y plataformas digitales.
      • Proveedores
      • Colaboradores
      • Cualquier persona cuyos datos personales sean tratados por AEPROVI.

2.2 Finalidades del tratamiento

Esta política cubre todos los tratamientos de datos personales realizados en el contexto de:

• • • • Gestión asociativa y administrativa.
      • Operación y gestión de NAP.EC.
      • Uso de imagen.
      • Desarrollo de comunidades técnicas.
      • Comunicaciones institucionales.
      • Gestión del sitio web y plataformas digitales.

3. RESPONSABILIDAD DEL TRATAMIENTO

Denominación: Asociación de empresas proveedoras de servicios de Internet, valor agregado, portadores y tecnologías de la información – AEPROVI

Naturaleza jurídica: Asociación sin fines de lucro

Domicilio: Av. República de El Salvador N34-211 y Moscú, edificio Faraón, piso 2, Quito, Ecuador

Sitio web: https://aeprovi.org.ec

Canal de atención: https://aeprovi.org.ec/transparencia/canal-atencion/

4. BASES DE LEGITIMACIÓN DEL TRATAMIENTO

AEPROVI tratará datos personales únicamente cuando exista una base legal que lo legitime, conforme a lo establecido en el artículo 7 de la LOPDP:

4.1. Consentimiento

Cuando el titular haya otorgado su consentimiento libre, específico, informado e inequívoco para el tratamiento de sus datos personales para una o varias finalidades específicas, este consentimiento se registrará a través de: un anexo a los documentos de afiliación para el caso de socios o un documento específico de consentimiento en otros casos. El consentimiento puede ser revocado en cualquier momento.

4.2. Acuerdos contractuales

Cuando el tratamiento sea necesario para la ejecución de medidas precontractuales o para el cumplimiento de obligaciones contractuales, particularmente en el contexto de la relación con los socios de AEPROVI o de los servicios de NAP.EC.

4.3. Obligación legal

Cuando el tratamiento sea necesario para cumplir con obligaciones legales aplicables a AEPROVI, incluyendo obligaciones tributarias, laborales, de transparencia o de respuesta a requerimientos de autoridades competentes.

4.4. Interés público

Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público, particularmente en lo relacionado con la promoción y desarrollo del Internet en Ecuador y la gestión de infraestructura crítica de telecomunicaciones.

5. CATEGORÍA DE DATOS Y FINALIDADES DEL TRATAMIENTO

5.1. Datos de identificación y contacto

Datos tratados: Nombres completos, número de cédula o pasaporte, dirección de correo electrónico, números telefónicos, dirección física, fotografía (cuando aplique).

Finalidades: Identificación de titulares, gestión de comunicaciones, convocatorias a eventos, envío de información institucional, gestión de accesos y credenciales.

5.2. Datos profesionales y laborales

Datos tratados: Empresa o institución, cargo, área de especialización técnica, experiencia profesional relevante.

Finalidades: Gestión de comunidades técnicas, organización de capacitaciones, desarrollo de grupos de trabajo, representación institucional.

5.3. Datos técnicos de navegación web

Datos tratados: Dirección IP, tipo de navegador, sistema operativo, páginas visitadas, tiempo de navegación, cookies, información de sesión.

Finalidades: Mejora de la experiencia de usuario, estadísticas de uso del sitio web, seguridad informática, detección de anomalías.

5.4. Datos de NAP.EC

Datos tratados: Información de contacto técnico y administrativo, ASN (Número de Sistema Autónomo), rangos de direcciones IP, información almacenada en flujos de tráfico, información de facturación.

Finalidades: Gestión técnica y administrativa del punto de intercambio de tráfico, soporte técnico, monitoreo de red, estadísticas de tráfico, facturación de servicios.

5.5. Datos Financieros

Datos tratados: Información bancaria, RUC, datos de facturación.

Finalidades: Procesamiento de pagos relacionados con servicios del NAP.EC, cumplimiento de obligaciones tributarias.

6. DERECHOS DE LOS TITULARES

Los titulares de datos personales tienen derecho a ejercer los siguientes derechos reconocidos por la LOPDP, de forma gratuita y sin necesidad de justificación:

6.1 Derecho de información: Ser informado de manera clara, precisa y comprensible sobre el tratamiento de sus datos personales, incluyendo la identidad del responsable, las finalidades del tratamiento, los destinatarios de los datos, el plazo de conservación y los derechos que le asisten.

6.2 Derecho de acceso: Conocer y obtener gratuitamente información sobre todos sus datos personales que sean objeto de tratamiento por parte de AEPROVI, así como información detallada sobre el tratamiento. Este derecho se atenderá en un plazo máximo de 15 días hábiles.

6.3 Derecho de rectificación y actualización: Solicitar la corrección de datos personales inexactos o incompletos, así como su actualización cuando corresponda. AEPROVI atenderá estas solicitudes en un plazo de 15 días hábiles y notificará a los destinatarios de los datos cuando sea pertinente.

6.4 Derecho de eliminación: Solicitar la eliminación de sus datos personales cuando el tratamiento no cumpla con la normativa vigente, haya finalizado su finalidad, se haya cumplido el plazo de conservación, o cuando el titular retire su consentimiento y no exista otra base legal para el tratamiento.

6.5 Derecho de oposición: Oponerse al tratamiento de sus datos personales cuando este se base en interés legítimo o en el cumplimiento de una misión de interés público, cuando existan motivos fundados relacionados con su situación particular. También podrá oponerse al tratamiento con fines de mercadotecnia directa.

6.6 Derecho de portabilidad: Recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable cuando el tratamiento se base en el consentimiento o en una relación contractual y se efectúe por medios automatizados.

6.7 Derecho a no ser objeto de decisiones automatizadas: No ser objeto de decisiones basadas únicamente en el tratamiento automatizado de datos personales, incluida la elaboración de perfiles, que produzcan efectos jurídicos o afecten significativamente sus intereses.

6.8 Derecho de revocación del consentimiento: Retirar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento basado en el consentimiento previo a su retirada. La revocación no tendrá efectos retroactivos.

7. MEDIDAS DE SEGURIDAD

AEPROVI aplica un conjunto integral de medidas de seguridad técnicas, organizativas, físicas, administrativas y jurídicas para garantizar la protección de los datos personales frente a accesos no autorizados, pérdida, alteración, divulgación o destrucción. Estas acciones buscan asegurar la confidencialidad, integridad y disponibilidad de la información, cumpliendo con los principios de protección de datos y normativa vigente.

En el ámbito técnico, se implementan mecanismos como el cifrado de datos, protocolos seguros, controles de acceso y gestión de privilegios, así como el uso de firewalls y sistemas de detección y prevención de intrusiones. Además, se cuenta con plan de respaldo y recuperación ante desastres, actualizaciones periódicas de sistemas y aplicaciones, y monitoreo continuo de seguridad.

Por otro lado, las medidas organizativas y físicas complementan esta protección. Se establecen procedimientos para la gestión de incidentes alineados al ente de control, capacitación continua del personal, cláusulas de confidencialidad en contratos. Asimismo, se garantiza la protección de datos desde el diseño y por defecto. En cuanto a la seguridad física, se controla el acceso a instalaciones mediante sistemas especializados, se emplea videovigilancia en áreas sensibles, se custodian documentos físicos de manera segura y se asegura la destrucción adecuada de aquellos que contienen datos personales.

8. CONSERVACIÓN Y ELIMINACIÓN DE DATOS

AEPROVI conservará los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades para las cuales fueron recolectados, teniendo en cuenta las siguientes consideraciones:

8.1 Criterios de conservación

• • • • Duración de la relación asociativa o contractual (convenio)
      • Plazos legales de conservación (tributarios, laborales, etc.)
      • Finalidades específicas del tratamiento
      • Interés histórico, estadístico o de investigación

8.2 Plazos generales

• • • • Datos de socios: Durante la vigencia de la membresía más 7 años
      • Datos de NAP.EC: Durante la vigencia del servicio más 7 años
      • Datos financieros y tributarios: Según normativa tributaria, mínimo 7 años
      • Datos de comunidad técnica: Mientras persista el interés del titular o hasta que solicite eliminación
      • Datos de navegación web: Hasta 12 meses desde su recolección

8.3 Eliminación de Datos

Una vez cumplidos los plazos de conservación, AEPROVI procederá a eliminar, bloquear o anonimizar los datos personales de manera segura, utilizando métodos que impidan su recuperación. Los titulares pueden solicitar la eliminación anticipada de sus datos cuando no exista obligación legal de conservación.

9. TRANSFERENCIAS Y COMUNICACIONES DE DATOS

9.1. Comunicaciones nacionales

AEPROVI podrá comunicar datos personales a terceros dentro del territorio ecuatoriano en los siguientes casos:

• • • • Proveedores de servicios tecnológicos (hosting, correo electrónico, plataformas), siempre bajo contrato de encargo de tratamiento
      • Autoridades competentes en respuesta a requerimientos legales
      • Entidades del sector de telecomunicaciones en el contexto de actividades gremiales
      • Con el consentimiento expreso del titular

9.2 Transferencias internacionales

En caso de requerir transferencias internacionales de datos personales, AEPROVI se asegurará de cumplir con los requisitos establecidos en la LOPDP:

• • • • Verificar que el país de destino ofrezca un nivel adecuado de protección
      • Implementar garantías adecuadas mediante cláusulas contractuales tipo
      • Obtener el consentimiento del titular cuando sea necesario
      • Informar al titular sobre la transferencia y sus garantías

9.3 Encargados de tratamiento

AEPROVI puede contratar encargados de tratamiento para actividades específicas como hosting, gestión de correo electrónico o soporte técnico. En todos los casos, se suscribirán contratos que establezcan las obligaciones del encargado, las medidas de seguridad requeridas y la limitación del tratamiento a las instrucciones documentadas de AEPROVI.

10. PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS

10.1 Canales disponibles

Los titulares pueden ejercer sus derechos a través de los siguientes canales:

• • • • Canal de atención web: https://aeprovi.org.ec/transparencia/canal-atencion/
      • Correo postal: República de El Salvador N34-211 y Moscú, edificio Faraón, piso 2, Quito – Ecuador
      • Presencial: En las oficinas de AEPROVI, previa coordinación

10.2 Información requerida

Para tramitar las solicitudes de ejercicio de derechos, se requiere:

• • • • Nombres completos del titular
      • Documento de identidad (cédula o pasaporte)
      • Datos de contacto (correo electrónico y teléfono)
      • Descripción clara del derecho que desea ejercer
      • Cualquier información adicional que facilite la localización de los datos

10.3. Plazos de respuesta

AEPROVI responderá las solicitudes en un plazo máximo de 15 días hábiles desde la recepción de la solicitud completa. En casos complejos o que requieran información adicional, se podrá solicitar una prórroga justificada, la cual será notificada al titular.

El ejercicio de estos derechos es gratuito. AEPROVI podrá cobrar un canon razonable únicamente cuando las solicitudes sean manifiestamente infundadas, excesivas o repetitivas.

11. VIOLACIONES DE SEGURIDAD

En caso de detectarse una violación de seguridad que afecte los datos personales, AEPROVI actuará de conformidad con lo establecido en la LOPDP:

11.1 Notificación a la superintendencia: Se notificará a la Superintendencia de protección de datos personales (SPDP) en un plazo máximo de 72 horas desde que se tuvo conocimiento de la violación.

11.2 Comunicación a los titulares: Se informará a los titulares afectados cuando la violación pueda entrañar un alto riesgo para sus derechos y libertades, proporcionando información sobre la naturaleza de la violación y las medidas adoptadas.

11.3 Medidas correctivas: Se implementarán medidas inmediatas para contener la violación, mitigar sus efectos y prevenir futuras incidencias.

11.4 Documentación: Se documentará la violación, sus efectos y las medidas correctivas adoptadas.

12. MODIFICACIONES Y ACTUALIZACIONES

AEPROVI se reserva el derecho de modificar la presente Política de protección de datos personales para adaptarla a:

• • • • Cambios en la legislación vigente
      • Evolución de las actividades de AEPROVI
      • Mejores prácticas en protección de datos
      • Resoluciones y directrices de la Superintendencia de protección de datos personales

Cualquier modificación será comunicada a los titulares a través de los medios de comunicación institucionales y publicada en el sitio web oficial de AEPROVI. La versión actualizada indicará la fecha de última modificación.

13. CONTACTOS Y CONSULTAS

AEPROVI se reserva el derecho de modificar la presente Política de protección de datos personales para adaptarla a:

• • • • Cambios en la legislación vigente
      • Evolución de las actividades de AEPROVI
      • Mejores prácticas en protección de datos
      • Resoluciones y directrices de la Superintendencia de protección de datos personales

Cualquier modificación será comunicada a los titulares a través de los medios de comunicación institucionales y publicada en el sitio web oficial de AEPROVI. La versión actualizada indicará la fecha de última modificación.

14. CONTACTOS Y CONSULTAS

Para cualquier consulta, aclaración o ejercicio de derechos relacionados con la protección de datos personales, los titulares pueden contactar a AEPROVI a través de:

Denominación: Asociación de empresas proveedoras de servicios de Internet, valor agregado, portadores y tecnologías de la información – AEPROVI

Domicilio: Av. República de El Salvador N34-211 y Moscú, edificio Faraón, piso 2, Quito – Ecuador

Sitio web: https://aeprovi.org.ec

Canal de atención: https://aeprovi.org.ec/transparencia/canal-atencion/

Política de protección de datos: https://aeprovi.org.ec/transparencia/politica-proteccion-datos-personales/

15. AUTORIDAD Y CONTROL

La Superintendencia de protección de datos personales (SPDP) es la autoridad de control competente en materia de protección de datos personales en Ecuador. Los titulares tienen derecho a presentar reclamaciones ante esta autoridad cuando consideren que el tratamiento de sus datos personales vulnera sus derechos.

Superintendencia de protección de datos personales:

Sitio web: www.spdp.gob.ec

Contacto: A través de los canales oficiales publicados en su sitio web.

16. VIGENCIA Y FECHA DE ÚLTIMA ACTUALIZACIÓN

Esta política de protección de datos personales entra en vigencia a partir de su publicación en el sitio web oficial de AEPROVI.

Fecha de primera publicación: 13 de noviembre de 2025

Última actualización: 12 de diciembre de 2025

Versión: 2.0