Política de Privacidad y Protección de Datos Personales

POLÍTICA DE PRIVACIDAD, PROTECCIÓN DE DATOS PERSONALES (LOPDP) Y COOKIES
UNIDAD EDUCATIVA MARISTA “PIERA GRAZIA BRUCCOLERI”

Última actualización: 2026

1. Identificación del Responsable del Tratamiento
Responsable del tratamiento: Unidad Educativa Marista “Piera Grazia Bruccoleri” (Obra educativa Maristas de Champagnat – Santo Domingo, Ecuador).
Domicilio: Santo Domingo – Ecuador. San Juan de Río Verde, PRGP+4P7, Santo Domingo, Ecuador
Correo de contacto institucional rectorcolpiera@fmsnor.org info@maristasecuador.org 
Teléfono institucional: +593 95 898 2833
Sitio web: https://piera.maristasecuador.org

Delegado de Protección de Datos (DPD): La institución designará un DPD cuando corresponda conforme la LOPDP y su Reglamento. Mientras se formaliza la designación/registro, el canal de contacto para ejercer derechos y consultas será el correo institucional indicado.

2. Alcance
Esta Política aplica al tratamiento de datos personales realizado por la Unidad Educativa Marista “Piera Grazia Bruccoleri” a través de sus portales web, formularios de admisión/matrícula, plataformas académicas, canales de comunicación digital, eventos institucionales y procesos administrativos vinculados a la prestación del servicio educativo.

Importante (canal informativo): Este sitio web es un canal institucional de información y contacto. La plataforma oficial para procesos académicos y comunicación académica/administrativa puede incluir herramientas institucionales como Idukay, conforme se indique en cada formulario o comunicación.

3. Definiciones básicas (uso institucional)
Dato personal: Información que identifica o hace identificable a una persona natural.
Categorías especiales: Incluyen datos de niñas, niños y adolescentes; datos de salud; datos de discapacidad; y datos sensibles.
Responsable: Quien decide finalidades y medios del tratamiento.
Encargado: Tercero que trata datos por cuenta del responsable (proveedores, plataformas, hosting).

4. Principios y bases de licitud
El tratamiento se realizará bajo los principios de legalidad, lealtad, transparencia, finalidad, minimización, exactitud, confidencialidad, integridad y responsabilidad proactiva.

La base de licitud dependerá del caso:
a) Consentimiento: cuando se requiera una autorización libre, específica, informada e inequívoca; con mecanismo de revocatoria sencillo.
b) Ejecución de una relación educativa/contractual: para la prestación del servicio educativo y obligaciones asociadas.
c) Cumplimiento de obligaciones legales: normativa educativa, tributaria, laboral, seguridad y archivo.
d) Interés público / ejercicio de potestades: cuando aplique en coordinación con autoridades competentes.

5. Categorías de datos tratados en una institución educativa
5.1 Identificativos y de contacto: nombres, apellidos, identificación, dirección, correo, teléfono (representante y/o estudiante cuando corresponda).
5.2 Académicos: historial, calificaciones, asistencia, convivencia escolar (según normativa y manual institucional).
5.3 Financieros/administrativos: facturación, comprobantes, pagos, becas/ayudas económicas.
5.4 Imagen y voz: fotografías y videos en actividades académicas, pastorales, deportivas y culturales (con controles y consentimientos).
5.5 Categorías especiales: salud (ficha médica), discapacidad, necesidades educativas específicas, datos de niñas/niños/adolescentes.

6. Finalidades del tratamiento (para publicar)
a) Gestionar procesos de admisión, matrícula, registro y control académico.
b) Gestionar comunicaciones con representantes/estudiantes: avisos, horarios, reuniones, citaciones, circulares.
c) Administrar plataformas académicas (por ejemplo, Idukay) para calificaciones, asistencia, tareas y mensajería.
d) Gestionar facturación y pagos; emisión/descarga de comprobantes.
e) Gestionar becas y ayudas económicas, cuando aplique.
f) Organizar actividades pastorales, deportivas y culturales; evidencias institucionales.
g) Seguridad física y digital: control de acceso a plataformas, auditoría de accesos, prevención de incidentes y protección contra spam/ataques.

7. Tratamiento de Datos de Niñas, Niños y Adolescentes (NNA)
La institución reconoce que el tratamiento de datos de NNA requiere medidas reforzadas de transparencia, minimización y seguridad.
a) No se recolectarán datos de NNA a través de formularios web sin intervención y consentimiento del representante legal, cuando corresponda.
b) Cuando un formulario o plataforma requiera datos del estudiante, la institución informará la finalidad y limitará la información solicitada a lo estrictamente necesario.
c) El ejercicio de derechos podrá requerir verificación del representante legal, conforme normativa aplicable.

8. Encargados del tratamiento y terceros (proveedores)
La institución puede utilizar proveedores que actúan como encargados (por ejemplo: plataforma académica, correo y colaboración, hosting, analítica web, pasarelas de pago). En esos casos se firmarán cláusulas/contratos de tratamiento y confidencialidad, definiendo finalidades, medidas de seguridad, subencargados y retorno/eliminación al finalizar el servicio.

Proveedores típicos (referenciales):
a) Plataforma académica: Idukay (gestión académica y comunicación).
b) Comunicación y colaboración: Microsoft Office 365 (correo institucional y servicios asociados).
c) Infraestructura web: hosting, CDN, servicios de seguridad (WAF), backups.
d) Analítica web: medición de tráfico (si aplica), con controles de cookies/consentimiento.

9. Transferencias y transferencias internacionales
Los datos personales solo se comunicarán a terceros cuando sea necesario para las finalidades descritas, por obligación legal o con consentimiento. Si existieran transferencias internacionales (por ejemplo, servicios cloud), se aplicarán salvaguardas contractuales y medidas técnicas para asegurar confidencialidad, integridad y disponibilidad.

10. Conservación y eliminación
Los datos personales se conservarán únicamente durante el tiempo necesario para cumplir la finalidad del tratamiento y atender obligaciones legales y responsabilidades. Luego serán eliminados, anonimizados o bloqueados conforme a procedimientos internos.

Referencias de conservación (criterios generales):
a) Registros académicos: conforme normativa educativa y archivo institucional.
b) Facturación/tributario: conforme normativa aplicable.
c) Candidatos no admitidos: plazos limitados (recomendado 6–12 meses), salvo obligación distinta.
d) Registros de seguridad (logs): plazos breves y justificados (ej.: 90–180 días), salvo incidentes.

11. Derechos de los titulares y cómo ejercerlos (ARCO y otros)
Los titulares pueden solicitar: acceso; rectificación/actualización; eliminación; oposición; portabilidad; suspensión/limitación; y no ser objeto de decisiones basadas únicamente en valoraciones automatizadas, conforme corresponda.

Canal principal: info@maristasecuador.org (Asunto: “Protección de Datos – Solicitud de derechos”)
Canal alterno (obra Piera): [POR DEFINIR: correo oficial del nodo Piera]
Requisitos mínimos: nombres completos, identificación, relación con el estudiante, detalle del pedido y medio de respuesta.
Las solicitudes serán gratuitas y atendidas en los plazos legales.

12. Medidas de seguridad (mínimos recomendados)
a) Gobernanza de accesos: roles mínimos, MFA/2FA en administradores, revocación de accesos al salir personal.
b) Cifrado: TLS/HTTPS obligatorio; cifrado en tránsito y, cuando aplique, cifrado en reposo.
c) Backups: copias automáticas, verificadas y con retención; idealmente inmutables/offline.
d) Monitoreo y registro: logs de acceso, alertas de cambios de archivos, WAF, escaneo antimalware.
e) Gestión de vulnerabilidades: actualización continua de WordPress/plugins/temas; auditoría de terceros.

Se aplicarán evaluaciones de impacto (DPIA) cuando el riesgo lo amerite; y la gestión de riesgos será documentada.

13. Gestión de incidentes y notificación de vulneraciones
Ante una vulneración de seguridad que pueda afectar derechos y libertades, se activará el protocolo de respuesta a incidentes: contención, erradicación, recuperación, preservación de evidencias y medidas correctivas.

Notificación: cuando corresponda, se notificará a la Autoridad de Protección de Datos Personales y a los titulares afectados.
Registro: se documentará fecha/hora, alcance, sistemas afectados, datos comprometidos y medidas aplicadas.
Lecciones aprendidas: plan de remediación y hardening.

14. Política de Cookies (para web)
El sitio puede utilizar cookies y tecnologías similares para: funcionamiento esencial, seguridad, preferencias, analítica y medición. Cuando una cookie no sea estrictamente necesaria, se habilitará un banner de consentimiento con opción de aceptar, rechazar o configurar.

Tipos:
a) Cookies esenciales: funcionamiento, seguridad, sesión.
b) Preferencias: idioma, configuraciones.
c) Analítica/medición: métricas de uso (siempre con consentimiento cuando aplique).

El usuario debe disponer de un centro de preferencias y la posibilidad de retirar el consentimiento en cualquier momento.

15. Cambios a esta política
La institución podrá actualizar esta Política por cambios normativos, tecnológicos u operativos. Se publicará la versión vigente con fecha y, cuando el cambio afecte derechos o bases de tratamiento, se solicitará nuevamente el consentimiento cuando corresponda.

ANEXO A – Aviso breve para formularios web (copiar y pegar)
“El envío de este formulario implica el tratamiento de datos personales por parte de la Unidad Educativa Marista ‘Piera Grazia Bruccoleri’, con la finalidad de gestionar su solicitud (admisión, matrícula, información académica o contacto). Usted puede ejercer sus derechos de acceso, rectificación, eliminación, oposición y portabilidad escribiendo a info@maristasecuador.org. Para más información consulte nuestra Política de Privacidad (LOPDP) publicada en este sitio.”

ANEXO B – Checklist web mínimo para cumplir LOPDP (sitio institucional)
– Página visible “Política de Privacidad y Protección de Datos Personales (LOPDP)” (esta política).
– Página “Política de Cookies” + banner de consentimiento con centro de preferencias.
– Aviso breve de privacidad en TODOS los formularios (admisiones, contacto, becas, eventos).
– Canal de ejercicio de derechos (correo/formulario) y procedimiento interno de respuesta.
– Publicación del responsable (domicilio y contacto) y, si corresponde, datos del DPD.
– Lista de proveedores/encargados relevantes (Idukay, Office 365, hosting, analítica) y finalidades.
– Menciones explícitas sobre datos de NNA y tratamiento con medidas reforzadas.
– Seguridad web: HTTPS, WAF, backups, hardening, política de contraseñas y 2FA para administradores.
– Control de indexación y exposición: no exponer rutas administrativas; proteger wp-admin; políticas de plugins.
– Monitoreo antimalware y plan de respuesta a incidentes (documentado).
– Documentos complementarios recomendados: Términos de uso del sitio, Política de Entornos Seguros, Manual interno de incidentes y retención documental.

Referencias normativas (para auditoría interna)
– Ley Orgánica de Protección de Datos Personales (LOPDP) – Registro Oficial Suplemento 459 (26/05/2021).
– Reglamento General a la LOPDP (publicación oficial 2023).
– Superintendencia de Protección de Datos Personales (SPDP): guías, modelos y lineamientos aplicables.