Ir al contenido

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES


RESPONSABLE DE TRATAMIENTO DE DATOS PERSONALES

 

Razón social

MERCHANTVALORES CASA DE VALORES S.A.

Registro Único de Contribuyentes (RUC)

1791268334001

Dirección

Ave. Colón E4-412 y Amazonas. Edif. Arista

Teléfono

026004700

E-mail

datos@mbgrupo.fin.ec

Sitio web

www.mbgrupo.fin.ec  

 

i) Objeto de la Política

 

Esta Política de Tratamiento de Datos Personales, brinda al titular los derechos que le asisten y enuncia los controles que garantizan la privacidad de su información como titular de la misma; le informa los tratamientos a los que serán sometidos sus datos, describe su ciclo de vida (colecta, conservación, circulación, uso y/o explotación y disposición final); igualmente, le permite conocer los canales de comunicación con la entidad responsable para gestionar las solicitudes relacionadas con su información, así como para la presentación de quejas en caso de requerirse.

 

MERCHANTVALORES CASA DE VALORES S.A., en adelante el “Responsable” asume esta Política como un compromiso ante los titulares de la información.

 

ii) Alcance de la Política

 

La presente Política aplica a todos los tratamientos de datos personales que se efectúen directamente por parte del Responsable, como responsable del tratamiento de datos personales, y a los tratamientos específicos que se encomienden a terceros encargados, quienes, en cumplimiento de contratos celebrados con el titular, traten sus datos personales.

iii) Obligatoriedad

 

Esta Política es de obligatorio cumplimiento en todos los procesos y procedimientos que de manera directa o indirecta traten datos personales; igualmente es de obligatorio cumplimiento para todas las áreas administrativas, directivas y organizacionales del Responsable, las cuales incluyen dentro de sus políticas internas, los principios rectores exigidos para el tratamiento de datos personales.

 

iv) Definiciones 

 

Las expresiones y términos (palabras) que se definen a continuación deben recibir el significado y uso que se describe a continuación:

Titular: persona natural cuyos datos son objeto de tratamiento.

Dato personal: Información específica y comprobable que identifica o hace identificable a una persona natural, directa o indirectamente.

Anonimización: la aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin incurrir en esfuerzos desproporcionados.

Base de datos o fichero: conjunto estructurado de datos, cualquiera que sea la forma o modalidad: de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso centralizado, descentralizado o repartido de forma funcional o geográfica.

Consentimiento: manifestación de la voluntad libre, específica, informada e inequívoca, por la cual el titular de los datos personales autoriza al responsable del tratamiento de los datos personales, su intervención.

Dato biométrico: dato personal único (imágenes faciales o datos dactiloscópicos, entre otros.), relativo a las características físicas o fisiológicas; así como conductas de una persona natural que permita o confirme la identificación única de dicha persona.

Dato genético: característica personal única relacionada con particularidades genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre su fisiología o salud como individuo.

Datos personales crediticios: información que integra el antecedente económico de personas naturales en el tiempo, para analizar su comportamiento típico y capacidad financiera.

Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos, datos relativos a las personas apátridas y refugiados que requieren protección internacional y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, o que puedan atentar contra los derechos y libertades fundamentales.

Datos relativos a la salud: información personal relativa a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Datos sensibles: información relativa a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, que atenten o puedan atentar contra los derechos y libertades fundamentales.

Delegado de protección de datos: persona natural encargada de informar al responsable o al encargado del tratamiento de datos personales sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.

Destinatario: persona natural o jurídica que ha sido ubicada, individualizada y contactada mediante el uso de sus datos personales.

Elaboración de perfiles: todo tratamiento de datos personales que permite identificar, evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, habilidad, ubicación o movimiento físico, entre otros.

Encargado del tratamiento de datos personales: persona natural o jurídica, pública o privada; autoridad pública u otro organismo que, solo o conjuntamente con otros, trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.

Responsable de tratamiento de datos personales: MerchantValores Casa de Valores S.A.

Seudoanonimización: tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. 

Transferencia o comunicación: manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que se comuniquen deben ser exactos, completos y actualizados.

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia; o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

Vulneración de la seguridad de los datos personales: incidente de seguridad que afecta la confidencialidad, integridad o disponibilidad de los datos personales.

 

v) Principios aplicables al tratamiento de datos personales

 

Conforme a las disposiciones legales, el Responsable realizará el tratamiento de datos personales bajo los siguientes principios:

a)    Principio de juridicidad: los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la normativa aplicable.

b)    Principio de lealtad: el tratamiento de datos personales deberá́ ser leal, lo que significa que los titulares deben conocer plenamente que sus datos están siendo tratados y con qué propósito. En ningún caso los datos personales podrán ser tratados a través de medios no reconocidos como legales; ni para fines desleales o ilícitos.

c)     Principios de transparencia: el tratamiento de datos personales deberá́ ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá́ ser fácilmente accesible y, mediante un lenguaje sencillo y claro, fácil de entender.

d)    Principio de finalidad: las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular. No podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos establecidos en la ley.

e)    Principios de pertinencia y minimización de datos personales: los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento. 

f)     Principio de proporcionalidad del tratamiento: el tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo en relación con las finalidades para las cuales hayan sido recogidos; o de acuerdo con la naturaleza misma de las categorías especiales de datos.

g)    Principio de confidencialidad:  el tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto; es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos. El responsable del tratamiento deberá adecuar las medidas técnicas y organizativas necesarias para cumplir con este principio.

h)    Principio de calidad y exactitud: los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros y, de ser el caso, debidamente actualizados de tal forma que no se altere su veracidad.

i)     Principio de conservación: los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá́ plazos para su revisión periódica y para efectuar la debida eliminación. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo por: interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales.

j)      Principio de seguridad de datos personales: los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias; entendiéndose por tales, las aceptadas por el Estado, sean estas organizativas, técnicas o de cualquier otra índole para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, y atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto del tratamiento autorizado.

 

vi) Finalidades y tratamiento de datos personales


El tratamiento que realizará el Responsable con relación a los datos personales, corresponderá a la recolección, almacenamiento, actualización, uso, circulación, transmisión o supresión de la información, física o automatizada, la cual será almacenada en las bases de datos correspondientes y será utilizada únicamente para las siguientes finalidades:

 

a) Nómina y recursos humanos

 Datos sobre los cuales se realiza el tratamiento: nombres, apellidos, número de cédula/pasaporte, domicilio, correo electrónico, teléfono, fecha de nacimiento, títulos y certificaciones obtenidos, información laboral, estado civil, etnia, tipo de sangre, información del cónyuge o conviviente en unión de hecho, información de hijos menores de edad y de hijos mayores de edad con discapacidad, información sobre la situación patrimonial, económica, certificado bancario, fotos, imágenes, información de personas políticamente expuestas, información relacionada a salud ocupacional.

Finalidades del tratamiento: Cumplimiento de: i) contratos de pasantía, laborales y de servicios técnicos especializados; ii) Código del Trabajo, Ley de Seguridad Social, Ley de Pasantías en el Sector Empresarial, Ley de Régimen Tributario Interno, Ley Orgánica de Prevención, Detección y Combate del Delito de Lavado de Activos y de la Financiación de otros Delitos; y, demás normativa vigente para el cumplimiento de las obligaciones del Responsable; iii) Otorgamiento de beneficios corporativos, como seguro médico y de vida, telefonía celular, capacitaciones entre otras.

 

b) Clientes

 Datos sobre los cuales se realiza el tratamiento: nombres, apellidos, número de cédula/pasaporte, RUC/ domicilio, correo electrónico, teléfono, fecha de nacimiento, actividad económica, estado civil, información del cónyuge o conviviente en unión de hecho, información sobre la situación patrimonial, económica, información de personas políticamente expuestas, referencias bancarias y comerciales.

 Finalidades del tratamiento: Cumplimiento de:  i) intermediación de valores en el mercado bursátil; ii) administración de portafolios; iii) banca de inversión; iv) Ley de Mercado de Valores – Código Orgánico Monetario y Financiero; v) Ley de Régimen Tributario Interno; vi) Ley Orgánica de Prevención, Detección y Combate del Delito de Lavado de Activos y de la Financiación de otros Delitos; y, demás normativa vigente para el cumplimiento de las obligaciones del Responsable.

 

c) Proveedores:

 Datos sobre los cuales se realiza el tratamiento: nombres, apellidos, número de cédula/pasaporte, RUC/ domicilio, correo electrónico, teléfono, actividad económica, estado civil, información del cónyuge o conviviente en unión de hecho, información sobre la situación patrimonial, económica, información de personas políticamente expuestas, referencias bancarias y comerciales; y demás información necesaria para el servicio o producto a ser contratado.

Finalidades del tratamiento: Cumplimiento de obligaciones con los proveedores y de las obligaciones legales que les sean aplicables.


vii)  Obligaciones de MerchantValores Casa de Valores S.A. como Responsable del Tratamiento de datos personales:

El Responsable se compromete a cumplir con todas las obligaciones establecidas en la Ley, de manera especial: 

a)    Tratar los datos personales en estricto apego a los principios y derechos establecidos en la Ley Orgánica de Protección de Datos Personales, su reglamento de aplicación y demás normativa vigente aplicable en cada caso.

b)    Implementar todas las medidas técnicas, legales y organizativas con el fin de garantizar un adecuado tratamiento de los datos personales.

c)     Realizar procesos periódicos de verificación y evaluación sobre la eficiencia y efectividad de los procedimientos y herramientas aplicadas por el Responsable.

d)    Implementar mecanismos de seguridad para la protección de datos personales y realizar evaluaciones periódicas sobre las políticas de seguridad y niveles de seguridad.

e)    Realizar los respectivos análisis de riesgos y evaluaciones de impacto cuando sea necesario.

f)     Informar a los titulares sobre el tratamiento de sus datos personales. En el evento de que los datos se obtengan directamente del titular, la información será comunicada al momento de recolección de los datos personales.

g)    Garantizar a los titulares el ejercicio de sus derechos.

h)    En los casos en los que el Responsable actúe como encargada de tratamiento de datos personales, cumplirá las obligaciones aquí establecidas.

i)      Obtener el consentimiento de los titulares de los datos y personales y realizar un tratamiento legítimo.

j)      Realizar el tratamiento de datos personales únicamente para las finalidades para las cuales fueron recolectados y autorizados a tratar.

k)    Toda transferencia o comunicación de los datos personales se hará en cumplimiento de las disposiciones legales vigentes.

 

viii) Conservación de los datos personales

El Responsable y sus encargados se comprometen a conservar los datos de los titulares bajo las condiciones necesarias y suficientes, garantizando su conservación bajo la más estricta confidencialidad, integralidad y permanente disponibilidad.

 

El Responsable y sus encargados se comprometen a conservar los datos personales por una duración que no exceda el cumplimiento de las finalidades para las que los datos han sido colectados y tratados, sin exceder los términos máximos que establece la ley.

 

ix)  Disposición final (eliminación) de los datos personales

 

El Responsable se compromete a eliminar los datos personales colectados y tratados una vez se haya satisfecho la finalidad para la cual fueron gestionados, respetando los términos de forma y tiempo definidos por la ley para su conservación.

 

La eliminación de los datos personales se hará ya sea de forma manual o física y se levantará la correspondiente acta firmada por el Responsable del Área y el Delegado de Protección de Datos Personales.

 

x) Derechos de los titulares


El Responsable se obliga a dar trámite a las solicitudes que tengan por objeto hacer efectivos los derechos otorgados por la ley a los titulares de la información y/o a sus representantes.

Como titular de sus datos personales, en tal calidad cuenta con:

i)  Derecho a la información: Todo titular de la información tiene derecho a ser informado sobre los fines del tratamiento, la base legal, el tiempo de conservación y en general todas las condiciones y características del tratamiento de sus datos personales.  

Del mismo modo, tiene derecho a conocer la identidad del responsable y sus datos de contacto, pudiendo revocar el consentimiento en cualquier momento.

ii) Derecho de acceso: El titular tiene, gratuitamente, derecho a conocer y acceder a todos sus datos personales, así como a la información detallada sobre el tratamiento que de estos se realiza; esto sin necesidad de presentar con su solicitud, justificación alguna al responsable.  La respuesta del responsable debe cumplirse en un plazo no superior a 15 días.

iii) Derecho de rectificación y de actualización: La rectificación y corrección del tratamiento de los datos personales es otra de las garantías del titular de la información, este derecho aplica en caso de encontrar el titular que sus datos son inexactos o están incompletos.

iv) Derecho de eliminación: La ley faculta al titular de la información para solicitar la eliminación de sus datos de manera inmediata sin necesidad de presentar justificación alguna.  El responsable deberá gestionar la eliminación e informar al titular dentro de los 15 días siguientes a la comunicación del titular confirmando que ha realizado operación.  

v) Derecho de oposición: La oposición significa que el titular puede manifestarle al responsable su deseo de no autorizar cierto uso o finalidad del tratamiento; no afecta esto la continuidad de los demás los usos de su información. La oposición significa entonces una cancelación o suspensión parcial, y en ningún caso total.  La oposición está sujeta al cumplimiento de unas condiciones establecidas en la ley; en cualquier caso, el responsable deberá dar respuesta en un plazo de 15 días.

vi) Derecho a la portabilidad: El titular tiene derecho a recibir sus datos en un formato digital compatible y poder transferirlos a otros responsables. El responsable debe realizar la transferencia si es posible técnicamente y sin presentar trabas. La portabilidad está sujeta a cumplir con unas condiciones y supuestos previstos en la ley.  La portabilidad no aplica sobre la información inferida a partir de los datos de origen.

vii) Derecho de suspensión: El titular tiene el derecho de solicitar al responsable la suspensión de un tratamiento, en caso de que se cumpla alguna de las condiciones previstas en la ley.  En caso de que se niegue la solicitud de suspensión del tratamiento, el titular podrá solicitar a la autoridad de protección de datos personales, su intervención.

viii) Derecho a no ser objeto de una decisión basada parcial o totalmente en valoraciones automatizadas: Los titulares de la información tienen derecho a no ser sometidos a decisiones basadas parcial o totalmente en valoraciones que sean producto de procesos automatizados, incluidas las elaboraciones de perfiles que produzcan efectos jurídicos o atenten contra sus derechos y libertades; este derecho está condicionado a un conjunto de circunstancias definidas en la ley.  En beneficio del titular, este derecho es irrenunciable.   

 

Para el ejercicio pleno y efectivo de los derechos de los titulares de la información, éstos podrán ejercer sus derechos en el correo electrónico: datos@mbgrupo.fin.ec y/o en el link: https://docs.google.com/forms/d/e/1FAIpQLSdeYq9pycVyB61KyQ8LUmx4drFo-Fb0o2hEDoOfi-rsxNL51w/viewform

 

xi)  Plan de Comunicación y Vigencia de la Política

 

El Responsable publicará la presente política en su página web así como mediante el envío de correos electrónicos a sus clientes.

Al ingreso de un nuevo colaborador se entregará la política de tratamiento de datos personales.

El Responsable ha suscrito acuerdos de confidencialidad y manejo de información con sus trabajadores con el fin de garantizar la debida custodia, disponibilidad, integridad y autenticidad de los datos personales tratados. 

Cualquier modificación sustancial sobre la presente política se comunicará a los titulares por los mismos medios utilizados para colectar sus datos.

La presente política entra en vigor a partir del día 01 de mayo de 2026 y hasta que se modifique algún elemento sustancial.