Declaración de Cumplimiento en Protección de Datos Personales
Para encargados del tratamiento que prestan servicios al responsable
Este formulario es una declaración de cumplimiento, no una auditoría. Su organización debe indicar qué tiene implementado en materia de protección de datos personales como encargado del tratamiento y describir brevemente la evidencia que respalda cada respuesta.
No debe adjuntar documentos: basta con identificar o describir la evidencia disponible. Esa evidencia podrá ser solicitada o verificada posteriormente por el responsable del tratamiento. La declaración se completa en aproximadamente quince a veinte minutos. Responda con la situación real de su organización: una respuesta «Parcial» o «No» sincera es preferible a una afirmación que no pueda sostener.
Identificación y nivel de acceso
Esta sección contextualiza la declaración. El nivel de acceso permite al responsable ponderar las respuestas con proporcionalidad.
Nivel de acceso a datos personales en la prestación del servicio:
Identificación y rol del encargado
Nombre legal, RUC o identificación, domicilio, representante legal y persona de contacto.
Evidencia que puede describir: RUC, nombramiento del representante, correo de contacto, ficha del proveedor o documento societario.
Descripción breve del servicio prestado al responsable y por qué su ejecución implica tratar datos personales por cuenta de este.
Evidencia que puede describir: Contrato, orden de servicio, propuesta aceptada o anexo técnico que delimite el alcance.
Si cuenta con delegado de protección de datos, responsable de privacidad, oficial de cumplimiento, responsable de seguridad o un punto de contacto equivalente. Si no dispone de una figura formal, indique quién asume funcionalmente esa coordinación.
Evidencia que puede describir: Designación interna, correo funcional, acta o comunicación interna.
Alcance del tratamiento de datos personales
Qué tipos de datos personales trata en la prestación del servicio y de qué categorías de titulares (clientes, partícipes, beneficiarios, representantes, trabajadores, proveedores u otros).
Evidencia que puede describir: Inventario interno, matriz de datos, descripción del servicio o documento técnico.
Para qué trata los datos personales y confirmación expresa de que no los utiliza para finalidades propias distintas de las autorizadas por el responsable.
Evidencia que puede describir: Contrato, anexo de tratamiento, política interna o procedimiento operativo.
Si en el servicio trata datos sensibles —entre ellos, datos de salud, situación socioeconómica, datos biométricos u otros de categoría especial— o datos de menores de edad. Si no aplica, debe justificarlo.
Evidencia que puede describir: Alcance del servicio, matriz de datos, contrato o documento funcional.
Contrato, instrucciones y confidencialidad
Si existe contrato, orden de servicio o acuerdo vigente que regule la prestación del servicio y el tratamiento de datos.
Evidencia que puede describir: Contrato, adenda, anexo, orden de compra o propuesta aceptada.
Confirmación de que trata los datos personales exclusivamente conforme a instrucciones documentadas del responsable, sin decidir por cuenta propia sobre finalidades o medios.
Evidencia que puede describir: Contrato, anexo de tratamiento, manual operativo, instrucciones formales o tickets de servicio.
Si tiene previsto un canal o práctica para informar al responsable, sin demora injustificada, cuando considere que una instrucción recibida pudiera ser contraria a la normativa de protección de datos, a fin de que se corrija.
Evidencia que puede describir: Procedimiento interno, cláusula contractual, canal de comunicación formal o política de tratamiento.
Si el contrato o documento equivalente contiene obligaciones de confidencialidad y de tratamiento adecuado de los datos personales.
Evidencia que puede describir: Contrato, acuerdo de confidencialidad, cláusula contractual o anexo de protección de datos.
Si el personal que accede a datos personales está sujeto a obligaciones de confidencialidad y si ha recibido instrucciones, inducción o capacitación básica sobre confidencialidad, seguridad y protección de datos.
Evidencia que puede describir: Contratos laborales con cláusula de confidencialidad, acuerdos de confidencialidad, reglamento interno, registro de capacitación o inducción.
Seguridad de la información
Si cuenta con medidas razonables para proteger los datos personales contra acceso no autorizado, pérdida, alteración o divulgación.
Evidencia que puede describir: Política de seguridad, procedimiento de TI, controles de acceso, cifrado, respaldos, antivirus, firewall o herramienta equivalente.
Si los accesos a sistemas e información se asignan según funciones y necesidad de acceso, y si emplea controles básicos como cuentas individuales, contraseñas seguras y, cuando aplique, doble factor de autenticación.
Evidencia que puede describir: Matriz de accesos, procedimiento de altas y bajas, perfiles de usuario, política de contraseñas o configuración del sistema.
Si cuenta con respaldos o mecanismos de recuperación, cuando el servicio implique almacenamiento o disponibilidad de datos.
Evidencia que puede describir: Política de respaldos, bitácora, configuración, contrato de nube o procedimiento de recuperación.
Si mantiene registros, logs o trazabilidad sobre accesos, modificaciones o acciones relevantes sobre los datos.
Evidencia que puede describir: Logs del sistema, bitácoras, auditoría de accesos o funcionalidad de la plataforma.
Subencargados y ubicación de los datos
Si utiliza terceros que también puedan acceder o tratar datos personales del responsable (nube, hosting, soporte técnico, mesa de ayuda u otros) y si dicha subcontratación consta expresamente en el contrato con el responsable o cuenta con autorización previa y escrita de este. Indique también si asegura que esos terceros asuman las mismas obligaciones de protección de datos.
Evidencia que puede describir: Listado de subencargados, contratos, procedimiento de subcontratación, comunicación al responsable o cláusula contractual aplicable.
Dónde se almacenan los datos —Ecuador, servidores propios, nube o proveedores ubicados fuera del país— y si existe transferencia o acceso internacional a datos personales. Si no hay transferencia internacional, debe justificarlo.
Evidencia que puede describir: Contrato de nube, ficha técnica, región del servicio, proveedor de hosting o documento de arquitectura.
Derechos de titulares, incidentes y ciclo de vida del dato
Si puede apoyar al responsable cuando un titular ejerza derechos de acceso, rectificación, eliminación, oposición u otros, y si traslada al responsable, sin demora, cualquier solicitud que reciba directamente de un titular.
Evidencia que puede describir: Procedimiento interno, canal de soporte, acuerdo de nivel de servicio o flujo de atención.
Si cuenta con un procedimiento para identificar, escalar y atender incidentes que puedan afectar datos personales, y si está en condiciones de notificar al responsable cualquier vulneración de seguridad a más tardar dentro del término de dos (2) días contados desde que tenga conocimiento de ella.
Evidencia que puede describir: Procedimiento de incidentes, matriz de escalamiento, canal de reporte, acuerdo de nivel de servicio o cláusula de notificación.
Si conserva los datos solo durante el tiempo necesario para prestar el servicio o conforme a instrucciones del responsable, y si, al terminar la relación contractual, puede devolver, eliminar, bloquear o anonimizar los datos según la instrucción que reciba.
Evidencia que puede describir: Política de conservación, procedimiento de baja, acta de eliminación o cláusula contractual de retención.
Tecnología, automatización o inteligencia artificial
Si utiliza sistemas automatizados, algoritmos, IA, analítica avanzada o perfilamiento sobre datos personales del responsable.
Evidencia que puede describir: Ficha técnica, descripción funcional, política de IA, contrato o documentación del sistema.
Si el sistema permite configurar perfiles, permisos, restricciones de acceso y niveles de visibilidad sobre los datos.
Evidencia que puede describir: Manual del sistema, ficha técnica, documentación de configuración o de arquitectura.
Si el sistema permite registrar trazabilidad de acciones y ejecutar la eliminación o bloqueo de datos cuando el responsable lo instruya.
Evidencia que puede describir: Documentación del sistema, manual de administración o funcionalidad de la plataforma.
Si ha realizado alguna valoración de riesgos o de impacto cuando el tratamiento, por su naturaleza, contexto o fines, pueda implicar un alto riesgo para los derechos de los titulares —por ejemplo, perfilamiento con efectos jurídicos, tratamiento de datos sensibles a gran escala u observación sistemática—.
Evidencia que puede describir: Matriz de riesgos, evaluación de impacto, informe técnico o metodología aplicada.
Declaración final del encargado
Declaro que la información proporcionada en este formulario es verdadera, completa, actualizada y corresponde a la situación real de la organización que represento. Declaro, además, que las evidencias mencionadas existen, son verificables y podrán ser solicitadas o revisadas por el responsable del tratamiento, previa coordinación razonable, cuando resulte necesario para validar el cumplimiento de obligaciones legales, contractuales o de seguridad relacionadas con la protección de datos personales.
Reconozco que cualquier información falsa, incompleta, imprecisa o no sustentada podrá ser considerada un incumplimiento frente al responsable del tratamiento, sin perjuicio de las responsabilidades legales, contractuales o administrativas que pudieran corresponder.
Una vez completado el formulario, pulse «Exportar a PDF», guarde el archivo y remítalo por correo electrónico al responsable del tratamiento para su análisis posterior. En el diálogo de impresión seleccione «Guardar como PDF» como destino.