Política de privacidad y de manejo de información personal

1. Propósito

Con el fin de proteger la vulnerabilidad de los datos que se manejan en el EcoExploratorio, Inc. (en adelante, “ECOEX” o la “Organización”) y salvaguardar dicha información contra el robo, la divulgación y el acceso no autorizado, la Organización adopta e implementa esta “Política de Privacidad y de Manejo de Información y Datos Personales” (“Política”), la cual debe ser compartida y leída por todos los empleados, voluntarios, contratistas, participantes, suscriptores, clientes y partes relacionadas.

Es importante comunicar que ECOEX reconoce la importancia de la privacidad y la protección de datos personales tanto de los empleados la Organización como la de los participantes y suscriptores. Por ello, ECOEX ha implementado medidas de seguridad administrativas, tecnológicas y físicas para proteger la información confidencial, minimizar los riesgos de acceso, uso o divulgación no autorizados o inapropiados y garantizar que sólo las personas y entidades autorizadas tengan acceso a ésta. Estas salvaguardas, fueron desarrolladas de forma conjunta con una evaluación exhaustiva para determinar cualquier riesgo o vulnerabilidad de acceso, uso o divulgación indebida.

Además, esta Política detalla los términos y condiciones bajo los cuales se proporciona voluntariamente información personal a la Organización por parte de empleados, voluntarios, contratistas, participantes, suscriptores, clientes y otras partes interesadas, asegurando transparencia en el manejo y protección de dichos datos. Esta política se complementa con Anejos, los cuales han sido elaborados específicamente para diferentes proyectos de EcoEx. La presente política será aplicable a cada uno de ellos en la medida que estos no se opongan al contenido del Anejo pertinente. En dicho caso, prevalecerá el contenido del Anejo.

2. Política e Información para Suscriptores, Clientes y Participantes

Al suscribirse o proporcionar voluntariamente sus datos personales a ECOEX, usted acepta lo siguiente:

1. Consentimiento para el Uso de Información Personal

Al proporcionar su información personal, incluyendo pero no limitándose a, nombre, apellidos, correo electrónico, teléfono, edad, dirección física y/o postal, género, ocupación y fecha de nacimiento, usted consiente que la Organización recolecte, almacene, procese y utilice dicha información para los fines específicos por los cuales fue provista, tales como el envío de comunicaciones, información de eventos y cualquier otra actividad relacionada con los servicios y programas de la Organización.

2. Protección de Datos

La Organización implementa medidas de seguridad administrativas, tecnológicas y físicas para proteger su información personal contra accesos, usos o divulgaciones no autorizadas (según se detalla más abajo en esta Política). Sin embargo, usted reconoce y acepta que, a pesar de estas medidas, la Organización no puede garantizar una seguridad absoluta y releva a la Organización de cualquier responsabilidad por la divulgación no autorizada de su información, excepto en casos de negligencia grave o intencionalidad por parte de la Organización.

3. Uso Limitado de la Información

La Organización se compromete a utilizar su información personal exclusivamente para los fines declarados y no compartirá su información con terceros, salvo que sea necesario para cumplir con los fines establecidos o según lo requiera la ley.

4. Derecho a Acceder, Rectificar y Retirar su Información

Usted tiene el derecho de acceder a sus datos personales en posesión de la Organización, corregir cualquier error en ellos y retirar su consentimiento para su uso en cualquier momento. Para ejercer estos derechos, puede comunicarse con la Organización a través del siguiente correo electrónico: info@ecoexploratorio.org.

5. Modificaciones a los Términos y Condiciones

La Organización se reserva el derecho de modificar estos Términos y Condiciones en cualquier momento. Cualquier cambio será comunicado a los suscriptores a través de los canales adecuados y se considerará que usted ha aceptado dichos cambios si continúa proporcionando información o utilizando los servicios de la Organización después de dicha notificación.

6. Aceptación de los Términos

Al proporcionar su información personal a la Organización, usted confirma que ha leído, comprendido y aceptado esta Política en su totalidad.

3. Protección de Datos y Relevo de Responsabilidad

ECOEX se compromete a proteger los datos personales de los participantes, suscriptores, clientes y empleados, y a mantener la confidencialidad de la información recopilada. La información que ECOEX recopila de sus suscriptores y clientes incluye, pero no se limita a:

• Nombre
• Apellidos
• Correo electrónico
• Teléfono
• Edad
• Municipio (Dirección física y/o postal)
• Género
• Condición
• Ocupación
• Fecha de nacimiento

En el caso de los empleados, además de la información mencionada anteriormente, ECOEX recopila, entre otros:

• Certificación de salud
• Condición médica, física, emocional
• Transcripción de créditos
• Talonarios
• Certificaciones profesionales

ECOEX ha implementado medidas administrativas, técnicas y físicas para proteger esta información contra el acceso, uso o divulgación no autorizados. Sin embargo, ECOEX no se hace responsable por cualquier divulgación inapropiada que ocurra como resultado de circunstancias fuera de su control, tales como actos de terceros no autorizados, errores humanos no intencionales, o ataques cibernéticos que no puedan ser razonablemente anticipados o prevenidos.

Todo empleado, suscriptor, cliente o participante, al proveer su información personal, reconoce y acepta que ECOEX no será responsable por daños o perjuicios que puedan resultar de la divulgación no autorizada de su información, excepto en los casos de negligencia grave o dolo por parte de ECOEX.

4. Enfoque de la Organización y Responsabilidad de los Empleados y Personas con Acceso a Información Propietaria y Personal Recopilada por ECOEX

Todos en la Organización tienen la obligación de proteger la información confidencial, así como la de los clientes, suscriptores, participantes, voluntarios, contratistas, proveedores, accionistas, compañeros de trabajo y otras terceras personas que hayan provisto información confidencial a la Organización.

La Organización tiene como política que toda información desarrollada o compartida como resultado de algún proceso de negocios será considerada como información propietaria de la Organización y deberá ser tratada como información confidencial. Dicha información confidencial incluye, pero no se limita a, tarifas de los productos, datos financieros, información de investigación y desarrollo, programas de mercadeo y ventas, registro de empleos y/o exempleados, posibles contratos y acuerdos comerciales, datos de clientes, suscriptores, participantes, voluntarios y archivos de personal.

Para lograr el máximo nivel de protección, ECOEX necesita la colaboración de todos los empleados de ECOEX y el fiel cumplimiento con las siguientes normas y responsabilidades y aquellas que puedan impartirse de tiempo en tiempo. A continuación, se incluyen, a modo de ejemplo, algunos incidentes que ponen en riesgo o perjudican la seguridad de información:

• Divulgación por escrito o verbalmente de información sin la autorización del propietario;
• Acceso no autorizado a expedientes con Información Personal Confidencial;
• Envío de una carta con documentos que contienen información confidencial al destinatario incorrecto;
• Envío de correo electrónico con Información Personal Confidencial y/o propietaria al destinatario incorrecto;
• Envío por fax con información privilegiada expuesta a terceros no autorizados a recibirla.
• Hurto o pérdida de bulto o cartera con la computadora (“laptop”) y/o documentos de la Organización con información confidencial;
• Documentos con información personal identificable dispuestos en zafacones regulares;
• Exposición de la contraseña que da acceso al sistema;
• Documentos confidenciales expuestos en escritorio sin protección;
• Abrir un correo electrónico de una dirección desconocida y sospechosa; y
• Entre otros

Toda persona con acceso a información propietaria y personal recopilada por la Organización tendrá el deber y responsabilidad de cumplir con lo siguiente:

1. Solo manejará la información necesaria para el desempeño de las responsabilidades y funciones asignadas. Siguiendo los protocolos y contando con la autorización previa cuando sea requerida, se compartirá con terceros ajenos a la Organización únicamente la información mínima y necesaria para que puedan ejecutar sus funciones oficiales.

• Colaborará con la conservación, integridad, disponibilidad, prevención y seguridad de la información confidencial mantenida en cualquier medio de la Organización. Esto incluye, pero no se limita a: mantener el área de trabajo libre de información confidencial durante los recesos y al finalizar la jornada laboral; ser cuidadoso en el envío de comunicaciones escritas y utilizar medios electrónicos seguros para transmitir la información de manera que llegue al destinatario correcto; y mantener los expedientes debidamente identificados y custodiados.
• Cumplirá con los protocolos de seguridad y confidencialidad que la Organización establezca para autenticar o identificar a las personas autorizadas a recibir Información Personal Confidencial.
• Será responsable del cuidado y protección del equipo asignado por la Organización. No dejará el equipo desatendido en ningún lugar. En caso de que, por negligencia, el equipo de ECOEX sea hurtado, se informará inmediatamente y se asumirá la responsabilidad del costo de reemplazo del equipo.
• Si tiene conocimiento o sospecha de que alguien ha logrado acceso o intentado usar sin autorización información confidencial, se notificará inmediatamente al(a la) Director(a) Ejecutivo(a). Además, deberá notificar cualquier vulnerabilidad en los sistemas de protección implantados, para que ECOEX pueda tomar las acciones correctivas pertinentes. Se colaborará con las investigaciones internas o externas en todo momento, sin temor a represalias.
• La Organización provee a sus empleados instalaciones y equipo (internos y externos); así como correo electrónico y otras aplicaciones necesarias para propósitos y usos exclusivos de la Organización y relacionados a sus funciones como empleados de la Organización. Todo empleado deberá ejercer buen juicio al escribir y distribuir mensajes electrónicos.
• Al almacenar documentos, información o datos, es esencial que se almacenen en la red de la Organización o en un disco duro externo que esté protegido con clave (encriptado) y que pertenezca a la Organización. Se prohíbe almacenar documentos, información o datos de la Organización en dispositivos o redes de almacenamiento externos.
• No extraerá ni transmitirá fuera de los predios o sistemas electrónicos de la Organización ningún documento o material que contenga información confidencial, a menos que se obtenga la autorización al(a la) Director(a) Ejecutivo(a). Si las funciones requieren realizar el trabajo fuera de los predios de la Organización, se deberá cumplir igualmente con esta Política.
  

2. Debido a la gran cantidad de virus prevalecientes en el Internet, se requiere el buen uso, razonamiento y juicio al acceder a las páginas, así como bajar información, programas, aplicaciones, u otro material. Es necesario tener autorización del(de la) Director(a) Ejecutivo(a) para poder acceder páginas no visitadas y/o autorizadas previamente y para bajar (“download”) información, programas, aplicaciones, u otro material. Hacerlo sin la debida autorización constituye una falta mayor la cual puede perjudicar nuestro buen nombre como Organización y acarreará la imposición de medidas disciplinarias o administrativas.

3. Tomará los adiestramientos que la Organización provea sobre el uso y manejo adecuado de la información confidencial.

4. En caso de terminación o renuncia de algún empleado o persona con acceso a información recopilada por la Organización bajo esta Política, deberá devolver a la Organización toda la información y/o copia de cualquier documento propietario, contenga o no información confidencial.

5. Una vez fuera de la Organización, cualquier uso o divulgación de esta información estará desautorizada. ECOEX podrá tomar las medidas administrativas y legales necesarias para proteger sus derechos sobre esta información, incluyendo la denuncia a los reguladores concernidos.

5. Medidas Administrativas, Físicas y Técnicas de ECOEX

En ECOEX se han implementado salvaguardas, incluyendo programas, equipos, evaluaciones, políticas y procedimientos, administrativas, físicas, organizacionales y técnicas para prevenir, detectar, contener, mitigar, corregir y resistir violaciones de seguridad, así como proteger la información confidencial. Estas salvaguardas incluyen, pero sin limitarse a:

1. Protección contra ataques cibernéticos y otras amenazas;
2. Equipo interno de seguridad que investiga y/o monitorea cualquier vulnerabilidad y/o riesgo asociado;
3. Marcar correos electrónicos que se reciben de personas fuera de la Organización;
4. Firewall para protección de data;
5. Antivirus actualizado;
6. Protección de acceso Wi-Fi;
7. Protección de todos los equipos conectados con herramientas eficientes y actualizadas;
8. Software actualizado;
9. Análisis interno de servidores;
10. Herramientas para el almacenamiento seguro;
11. Acuerdos con contratistas, entre otros, en el que se comprometen, entre otras cosas, a establecer las medidas de seguridad y salvaguardias adecuadas a fin de evitar cualquier uso y/o divulgación inapropiada de información confidencial;
12. Monitoreo y revisión de las actividades en la red (“auditorías de red”);
13. Copias de seguridad de servidores; y
14. Análisis de riesgos y vulnerabilidades anual.

Además, la Organización ha establecido, como mecanismo preventivo, inspecciones de seguridad de la información para identificar posibles violaciones por exposición o falta de protección adecuada de la información confidencial, incluyendo la información personal y privada.

6. Procedimientos y Acciones Correctivas

Tan pronto se reciba la notificación de un posible incidente de violación de privacidad, la Organización iniciará un proceso de investigación. Todos los incidentes serán evaluados y clasificados como violación menor, moderada o seria, dependiendo del riesgo correspondiente. El oficial designado para llevar a cabo la investigación presentará el informe de la investigación con la documentación y evidencias correspondientes a los supervisores de la división afectada y al (a la) Director(a) Ejecutivo(a). El informe debe incluir los hallazgos, incluyendo la raíz del incidente, e identificar la norma, política, procedimiento, regulación o ley violada. Se notificará a las personas involucradas de la información divulgada y las medidas a tomarse por la Organización.

Anejo de EcoExploratorio Resilience Institute: Training Center

1. Propósito

Este anejo extiende la Política de Privacidad y Manejo de Información de EcoEx para atender específicamente la recopilación, uso, almacenamiento y protección de la información personal y datos generales en el EcoExploratorio Resilience Institute: Training Center (“ERITC”). En caso de contradicción con la Política de Privacidad y Manejo de Información de EcoEx, prevalecerán las aquí presentes.

El objetivo es garantizar que toda la información personal recopilada en el marco de las experiencias de simulación, realidad aumentada y storytelling del ERITC sea manejada en cumplimiento con los más altos estándares de seguridad, confidencialidad y transparencia.

2. Alcance

Este anejo aplica a los participantes de experiencias de simulación; usuarios de experiencias de realidad aumentada desarrolladas en dispositivos iOS; individuos que utilicen estaciones de storytelling para grabar testimonios; y todo contratista, empleado o voluntario que tenga acceso a información recopilada en el ERITC.

3. Tratamiento de Datos Personales en el ERITC

1. Simuladores: Los datos de interacción del usuario, de requerirlos, serán utilizados únicamente para mejorar la experiencia educativa. No se recopilará información personal sensible salvo que sea expresamente provista por el usuario.
2. Storytelling: Los audios grabados por los usuarios podrán ser almacenados en bases de datos de EcoEx para fines educativos y de investigación. Se garantizará su uso exclusivo en el contexto de los programas del ERITC y siempre bajo consentimiento informado.
3. Realidad aumentada y TrueDepth API: Las aplicaciones de realidad aumentada del ERITC utilizan información recolectada automáticamente a través de la cámara del dispositivo y la API TrueDepth de iOS. Nuestras aplicaciones hacen uso de información recolectada automáticamente utilizando la cámara del dispositivo y el TrueDepth API provisto por iOS. El único uso de esta información es rastrear un anclaje en el espacio físico para poder crear una experiencia de realidad aumentada que responda a los movimientos del usuario. Ninguna de la información o data personal recolectada por el TrueDepth API sale del dispositivo del usuario ni se almacena de manera persistente en el mismo. Asimismo, las aplicaciones de realidad aumentada pueden utilizar las localizaciones de los dispositivos del ERITC exclusivamente para apoyar la relocalización dentro de la experiencia de realidad aumentada. Esta información es procesada en tiempo real para mejorar la eficacia de las funciones de realidad aumentada. Los datos de ubicación de los usuarios no se almacenan, comparten ni utilizar para ningún otro fin.

4. Consentimiento y Derechos

Los participantes del ERITC tendrán los mismos derechos y requerirán el mismo consentimiento que aquellos establecidos en la Política de Privacidad del EcoEx.

5. Medidas de Seguridad

El ERITC se encargará de adoptar las mismas medidas de seguridad igual que aquellas establecidas por la Política de Privacidad del EcoEx para la protección de datos de los participantes.