1. OBJETO Y ÁMBITO DE APLICACIÓN
La presente política interna de la compañía OM CORP CIA. LTDA. establece las normas y medidas internas que garantizan la seguridad, confidencialidad,
integridad y disponibilidad de los datos personales tratados por OM CORP CIA. LTDA., en cumplimiento de la Ley Orgánica de Protección de Datos Personales, su Reglamento General, Lineamientos de la Superintendencia de Protección de Datos Personales.
Esta política interna de seguridad y privacidad de la información, se aplicará a todo el personal, bajo relación de dependencia, prestadores de servicios, así como a la compañía SATTVA-RX CIA. LTDA. (como corresponsable) y proveedores tecnológicos (ODONTOSTYSK, hosting, mensajería, mantenimiento, marketing y similares) que participen en el tratamiento de datos personales de pacientes, empleados y usuarios. En general a toda persona natural o jurídica que participe en el giro del negocio de la compañía y que se involucre en el tratamiento de datos personales.
Principios rectores: licitud, finalidad, proporcionalidad, transparencia, seguridad, confidencialidad y responsabilidad proactiva.

 
2. ROLES Y RESPONSABILIDADES
Representante Legal: aprueba la política, garantiza recursos y responde ante la Superintendencia de Protección de Datos Personales.
Delegado de Protección de Datos Personales (DPD): Es quién supervisa el cumplimiento, asesora, atiende reclamaciones, notifica incidentes y coordina
auditorías.
Responsable de Seguridad / Tecnología: Aplica medidas técnicas (cifrado, accesos, respaldo, antivirus, control de dispositivos).
Personal Administrativo/prestador de servicios: Debe custodiar la información, mantener la confidencialidad y participar en las capacitaciones obligatorias.
3. GOBERNANZA DE DATOS Y REGISTROS
OM CORP CIA. LTDA. aplica un modelo de gobernanza de datos personales basado en el principio de responsabilidad proactiva, y autoregulación conforme a
al capítulo VIII de la Ley Orgánica de Protección de Datos Personales (LOPDP 2025) y al capítulo XI del Reglamento General Su propósito es asegurar que todo tratamiento de datos personales sea trazable, legítimo y documentado, garantizando transparencia y control en cada etapa del ciclo de vida de la información.

3.1. Registro de Datos
OM CORP CIA. LTDA. mantiene un Registro Básico de Actividades de Tratamiento (RBAT) que identifica los principales procesos de la organización
atención clínica, gestión administrativa, facturación, marketing y recursos humanos indicando para cada uno:
• Las categorías de datos tratados, • La finalidad del tratamiento, • La base jurídica o consentimiento aplicable, • Los responsables o encargados que intervienen, • Los plazos de conservación, y • Las medidas de seguridad implementadas.
• El RBAT se actualiza una vez al año o cada vez que se modifiquen los procesos de tratamiento o se incorporen nuevas tecnologías.
3.2. Registro de Transferencias y Comunicaciones • Toda comunicación de datos personales a terceros como proveedores, corresponsables o autoridades competentes se documenta en un Registro de Transferencias y Comunicaciones, que consigna al menos: fecha, destinatario, finalidad, base legal y responsable que autorizó la transferencia.
• No se realizarán transferencias internacionales sin verificar las garantías adecuadas de protección exigidas por el artículo 74 del Reglamento General.
3.3. Encargados y Subencargados Los proveedores que acceden a información de pacientes o empleados como el sistema CRM ODONTOSTYSK o la empresa SATTVA-RX CIA. LTDA. actúan como encargados o corresponsables del tratamiento.
Todos ellos firman el respectivo Contrato de Encargo de Tratamiento, que incluye cláusulas de confidencialidad, seguridad y supresión segura de datos.
Ningún encargado podrá subcontratar sin autorización previa y documentada de OM CORP CIA. LTDA. o del titular.
3.4. Clasificación y Conservación de la Información La información y los datos se clasifican de acuerdo con su nivel de sensibilidad de
la siguiente manera:
Confidencial: Datos clínicos, biométricos y financieros, tratados bajo cifrado y acceso restringido.
Interna: Incluye datos administrativos, operativos o de gestión interna de la Clínica, cuyo acceso se encuentra limitado al personal autorizado en función de sus responsabilidades laborales.
Pública controlada: Se refiere a la información institucional que puede difundirse con fines comunicacionales o de transparencia, siempre que no contenga datos personales ni permita la identificación directa o indirecta de los titulares. Su publicación requerirá revisión previa del área de Comunicación o de la
Dirección General, según corresponda. Los datos se conservan solo por el tiempo necesario para cumplir su finalidad o los plazos legales correspondientes
Cumplida la finalidad, los datos se bloquean, anonimizan o eliminan siguiendo el Reglamento SPDP-SPD-2025-0030-R.
3.5. Supervisión y Evidencias de Cumplimiento El Delegado de Protección de Datos Personales (DPD) supervisa la actualización de los registros y custodia las evidencias de cumplimiento, tales como:
• Consentimientos informados,
• Actas de capacitación,
• Registros de incidentes y notificaciones.
• Auditorías o revisiones básicas anuales.
• Toda la documentación relacionada con la gobernanza de datos se mantiene disponible para la SPDP en caso de verificación o inspección. 

4. GESTIÓN DE RIESGOS Y EVALUACIONES DE IMPACTO:
OM CORP CIA. LTDA. implementará un sistema continuo de gestión de riesgos en materia de protección de datos personales, orientado a identificar, analizar, evaluar y mitigar las amenazas que puedan afectar la confidencialidad, integridad y disponibilidad de la información. De conformidad con la Guía de Gestión de Riesgos y Evaluación de Impacto emitida por la Superintendencia de Protección de Datos Personales (SPDP), la Clínica se compromete a
realizar:
• Evaluación de riesgos anual o ante cambios tecnológicos (integración SATTVA, nuevos servicios, campañas). La evaluación se realizará mediante la auditoria interna, la cual será realizada por el director/a de talento humano, en conjunto con el delegado de protección de datos, para mitigar riesgos.
• Evaluación de Impacto: obligatoria en tratamientos de alto riesgo (datos clínicos, almacenamiento en nube, marketing audiovisual). En el cual se
realizará un informe técnico-jurídico, en el cual se de seguimiento la protección de los datos personales de alto riesgo.
• Plan de mitigación de riesgos y seguimiento de medidas correctivas. Se velará por una planificación coordinada por el director/a de talento
humano un proceso estandarizado para poder determinar mediadas correctivas respecto de posibles vulneraciones a los datos personales tratados.

 
5. MEDIDAS ORGANIZATIVAS
1. Confidencialidad: Todo el personal de OM CORP CIA. LTDA., incluyendo empleados, odontólogos en nómina, profesionales bajo contrato de
servicios, pasantes y proveedores que tengan acceso a información personal o clínica, deberán firmar un acuerdo de confidencialidad previo al inicio de
sus actividades, o posterior en caso de no haberlo realizado. Este acuerdo establece la obligación de mantener reserva sobre cualquier dato personal o información obtenida en el ejercicio de sus funciones, incluso después de finalizada la relación laboral o contractual.
Capacitación anual: La empresa garantizará la capacitación anual obligatoria del personal sobre temas de protección de datos personales, manejo y custodia de historias clínicas, uso ético y seguro de redes sociales, prevención y gestión de incidentes de seguridad, y actualización normativa emitida por la SPDP. El Delegado de Protección de Datos Personales (DPD) y la Dirección de Talento Humano serán responsables de planificar, registrar y evaluar dichas capacitaciones, conservando las evidencias correspondientes.
2. Gestión de accesos: El acceso a los sistemas informáticos, CRM, historiales clínicos y archivos físicos estará basado en el principio de mínimo acceso a
la información personal de terceros, otorgándose únicamente los permisos necesarios según el rol y función del usuario. Al finalizar la relación laboral
o contractual, se procederá de manera inmediata a la revocación y baja de credenciales, accesos y permisos, con registro verificable de la desactivación.
3. Seguridad física: Las áreas donde se gestione o almacene información sensible (consultorios, servidores, archivos, o estaciones de trabajo con
acceso a historias clínicas) contarán con controles de acceso físico, tales como cerraduras, credenciales, cámaras de seguridad o registros de ingreso.
Solo el personal autorizado podrá acceder a estos espacios.
4. Control de proveedores: evaluación previa, contrato de encargo, medidas de seguridad verificables.

 
6. MEDIDAS TÉCNICAS:
OM CORP CIA. LTDA. implementa medidas de seguridad técnicas, organizativas y administrativas adecuadas al nivel de riesgo asociado al tratamiento de los datos personales, en especial de aquellos considerados sensibles. Estas medidas buscan garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de la información, así como la prevención de accesos no autorizados, pérdida, alteración o divulgación indebida de los datos. Estas realizarán de la siguiente manera:
• Cifrado de datos: Todos los datos personales, clínicos y administrativos se cifrarán dentro de la plataforma CRM, donde se mantendrán seguros.
• Autenticación multifactor y contraseñas seguras: Todas las contraseñas deberán ser seguras, con una longitud mínima de ocho caracteres y combinación de letras, números y símbolos; se renovarán periódicamente conforme a la política interna de acceso.
• Respaldo mensual y restauración verificada semestral: Se realizará un respaldo mensual de la información contenida en los sistemas principales.
Se ejecutará una verificación semestral de restauración de dichos respaldos para garantizar su integridad y disponibilidad ante contingencias
• Protección contra malware, phishing y ransomware: Los sistemas contarán con soluciones activas de protección contra malware, phishing y
ransomware, actualizadas permanentemente.
Se realizarán pruebas y simulacros de ciberseguridad al menos una vez al año, con reportes al Delegado de Protección de Datos Personales (DPD)

 
7. PRIVACIDAD POR DISEÑO Y POR DEFECTO
Los formularios y procesos recogen solo los datos estrictamente necesarios. Los sistemas se configuran por defecto con privacidad máxima.
Consentimientos separados para atención clínica Evaluación previa del DPD en nuevos proyectos tecnológicos.

 
8. CICLO DE VIDA DE LA INFORMACIÓN: y marketing.
El ciclo de vida de la información que mantiene OM CORP CIA. LTDA. se desarrollará de acuerdo a las siguientes medidas de conformidad a la Ley de protección de Datos, su reglamento, y las demás leyes pertinentes de conformidad al giro del negocio de OM CORP CIA. LTDA.
1. Conservación: datos conservados según Ley Orgánica de Salud y finalidad.
2. Bloqueo: ante revocatoria o fin contractual, se impide su uso activo.
3. Anonimización: uso estadístico o educativo sin identificación del titular, conforme al Reglamento SPDP-SPD-2025-0030-R.
4. Eliminación: procedimientos seguros, con registro y certificación de destrucción.

 
9. GESTIÓN DE INCIDENTES:
OM CORP CIA. LTDA. implementará un procedimiento integral de gestión de incidentes de seguridad en materia de protección de datos personales, orientado a prevenir, detectar, contener y mitigar cualquier evento que pueda afectar la confidencialidad, integridad, disponibilidad o trazabilidad de la información tratada:
A) Notificación interna y responsabilidad inmediata: Todo el personal bajo relación de dependencia de OM CORP CIA. LTDA., así como los
prestadores de servicios, deberán reportar de forma inmediata cualquier incidente real o sospechado al Delegado de Protección de Datos Personales (DPD) o, en su defecto, al director/a de talento humano. El DPD notificará a la SPDP en un máximo de 5 días hábiles si existe riesgo a los derechos de los titulares.
Se considerarán incidentes, entre otros:
• Acceso no autorizado a bases de datos, historias clínicas o sistemas informáticos.
• Pérdida, extravío o robo de dispositivos que contengan información personal.
• Envío de información a destinatarios incorrectos.
• Divulgación indebida o publicación no autorizada de datos personales o imágenes clínicas.
• Ataques informáticos, malware o vulneraciones del CRM o de la infraestructura tecnológica.
b) Evaluación y notificación a la autoridad: Una vez detectado el incidente, el DPD evaluará la magnitud del evento, el tipo de datos afectados y la posible afectación a los derechos de los titulares.
Si el incidente implica un riesgo o daño potencial a los derechos de las personas, el DPD deberá notificar a la Superintendencia de Protección de Datos Personales (SPDP) dentro del plazo máximo de cinco (5) días hábiles contados desde la detección del incidente, conforme lo dispone la LOPDP y su Reglamento General.
c) Registro y medidas correctivas: Todos los incidentes serán documentados en un informe de Registro Interno de Incidentes de Seguridad, donde se consignarán:
• Fecha y descripción del evento.
• Tipo de información comprometida.
• Áreas y responsables involucrados.
• Acciones inmediatas adoptadas.
• Medidas correctivas y preventivas implementadas.
Dicho registro formará parte de la evidencia documental exigida por la SPDP como muestra del cumplimiento del principio de responsabilidad proactiva.
d) Simulacros y capacitación: OM CORP CIA. LTDA. realizará, al menos una vez al año, un simulacro de incidente de seguridad, a fin de evaluar la efectividad de los protocolos internos, la capacidad de respuesta del personal y la correcta comunicación con el DPD.
Posteriormente se elaborará un informe de resultados y plan de mejora, que será archivado junto con el registro anual de auditoría y seguimiento de riesgos.

 
10. RELACIÓN CON SATTVA-RX CIA. LTDA.
OM CORP CIA. LTDA. mantiene una relación de corresponsabilidad en el tratamiento de datos personales y clínicos con la empresa SATTVA-RX CIA. LTDA., derivada de la integración de procesos tecnológicos y de servicios vinculados al almacenamiento, gestión y análisis de información odontológica y radiográfica de los pacientes.
1. Corresponsabilidad en el tratamiento:
Ambas entidades actúan en calidad de corresponsables del tratamiento respecto de los datos personales y clínicos que se recopilan, almacenan y procesan de manera conjunta. Esta corresponsabilidad implica la determinación conjunta de finalidades, medios y medidas técnicas aplicables al tratamiento, en estricto cumplimiento de la Ley Orgánica de Protección de Datos Personales, su Reglamento General y los principios de licitud, finalidad, proporcionalidad, confidencialidad y responsabilidad proactiva.
2. Medidas de seguridad y confidencialidad:
OM CORP CIA. LTDA. y SATTVA-RX CIA. LTDA. aplicarán las mismas medidas técnicas, jurídicas y organizativas de seguridad, garantizando la
protección integral de los datos compartidos. Entre ellas se incluyen el control de accesos, cifrado de la información, registro de actividades de tratamiento, gestión de incidentes, anonimización de datos clínicos y capacitación del personal con acceso autorizado.
Ambas partes se comprometen a mantener la confidencialidad absoluta respecto de los datos intercambiados y a utilizarlos únicamente para las finalidades clínicas y administrativas previamente determinadas en la política de privacidad.
3. Auditoría conjunta de cumplimiento y trazabilidad:
Los Directores de Talento Humano de OM CORP CIA. LTDA. y SATTVA RX CIA. LTDA. realizarán de manera conjunta una auditoría anual de
cumplimiento y trazabilidad, conforme al Reglamento para la Elaboración y Aprobación del Plan Anual de Auditorías de la SPDP (2025).
Esta auditoría tendrá como objetivo verificar:
o El cumplimiento de las medidas de seguridad adoptadas por ambas entidades.
o La correcta aplicación de los principios y obligaciones establecidas en la LOPDP. o La trazabilidad de los accesos, transferencias y tratamientos
compartidos.
o La efectividad de los mecanismos de cooperación y respuesta ante incidentes.
Los resultados de la auditoría conjunta se documentarán en un informe de cumplimiento interinstitucional, el cual servirá como evidencia ante la SPDP y como insumo para la mejora continua de los sistemas de protección de datos de ambas empresas

 
11. PROVEEDORES ENCARGADOS Y SUBENCARGADOS
• Los encargados (CRM, hosting, mensajería, soporte) deben firmar Acuerdo de Encargo de Tratamiento.
• Cualquier subencargo requerirá autorización escrita del Responsable.
• Evaluación anual del cumplimiento y registro de subencargados.

 
12. CANALES DIGITALES Y REDES SOCIALES
OM CORP CIA. LTDA. reconoce los canales digitales y redes sociales como herramientas relevantes para la comunicación institucional de la compañía, la información a los pacientes y la promoción de sus servicios odontológicos; sin embargo, su uso deberá en todo momento respetar los principios y obligaciones establecidos en la Ley Orgánica de Protección de Datos Personales, la política de privacidad y la presente política interna, garantizando la confidencialidad y el tratamiento ético de los datos personales y sensibles.
a) Sitio web y cumplimiento normativo: El sitio web de OM CORP CIA. LTDA. deberá incluir, de manera visible y permanente, un aviso de
privacidad que informe a los usuarios sobre el tratamiento de sus datos personales, así como una política de cookies que describa el tipo de
tecnologías utilizadas, sus finalidades, y las opciones disponibles para su aceptación o rechazo. Cualquier formulario de contacto, agendamiento o afiliación en línea deberá incorporar cláusulas informativas y mecanismos de consentimiento expreso.
b) Contenido audiovisual e imagen de pacientes: La publicación de fotografías, videos o cualquier contenido audiovisual que permita
identificar a pacientes solo se realizará con su consentimiento audiovisual expreso, previo, informado y por escrito, otorgado mediante formulario independiente al consentimiento asistencial o de marketing. El uso de imágenes clínicas con fines publicitarios deberá garantizar la anonimización o seudonimización de los datos personales, evitando en todo momento la exposición de información médica o identificable.
c) Prohibición de divulgación de información clínica:
Se encuentra terminantemente prohibido divulgar, compartir o publicar en redes sociales, plataformas digitales, sitios web, material impreso o cualquier otro medio, información que revele directa o indirectamente datos clínicos o personales de los pacientes, salvo autorización expresa y por finalidad legítima. Esta prohibición se extiende al uso de ejemplos clínicos, historias o comentarios que permitan identificar al titular del dato.
d) Uso de mensajería y cuentas corporativas: La comunicación digital con los pacientes se realizará exclusivamente a través de los canales institucionales autorizados, tales como WhatsApp Business, correo corporativo o CRM, garantizando la trazabilidad y seguridad de las interacciones.
Queda prohibido el uso de cuentas personales de mensajería instantánea o redes sociales del personal para la gestión de citas, envío de documentos, fotografías o datos clínicos.
La Dirección y el Delegado de Protección de Datos Personales serán responsables de supervisar y auditar periódicamente el cumplimiento de
esta disposición.

 
13. DERECHOS ARCO+:
En cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y de su Reglamento General, OM CORP CIA. LTDA. reconoce y garantiza a todos los titulares de datos personales el pleno ejercicio de los derechos de acceso, rectificación, eliminación, oposición y portabilidad.
Estos derechos constituyen el núcleo esencial de la autodeterminación informativa y aseguran que toda persona mantenga el control sobre sus datos personales, incluso después de haberlos entregado a OM CORP CIA. LTDA. Por lo tanto:
• Los titulares podrán ejercer sus derechos mediante el correo del DPD o
presencialmente en la clínica.
• Respuesta en un máximo de 15 días hábiles, prorrogables por 5 adicionales.
• Registro de solicitudes, resoluciones y seguimiento.

14. AUDITORÍA Y MEJORA CONTINUA:
OM CORP CIA. LTDA. realizará auditorías periódicas que garanticen la revisión, evaluación y mejora continua de las medidas jurídicas, organizativas y técnicas implementadas en materia de protección de datos personales, en cumplimiento de lo dispuesto por la Ley Orgánica de Protección de Datos Personales (LOPDP) y el Reglamento para la Elaboración y Aprobación del Plan Anual de Auditorías de la
Superintendencia de Protección de Datos Personales (SPDP), año 2025.
A) Auditoría anual de cumplimiento: La auditoría de cumplimiento se efectuará una vez al año, o de manera extraordinaria cuando existan
cambios normativos, tecnológicos o estructurales que impacten en el tratamiento de datos personales dentro de OM CORP CIA. LTDA.
La auditoría abarcará todos los procesos relacionados con la gestión de historias clínicas, el uso del CRM, las comunicaciones por WhatsApp, los consentimientos informados, la gestión de incidentes y la seguridad de la información.
B) Responsables:
La planificación, ejecución y seguimiento de la auditoría serán responsabilidad conjunta del Delegado de Protección de Datos Personales
(DPD) y de la Dirección de Talento Humano, quienes deberán:
I. Elaborar y aprobar el Plan Anual de Auditoría Interna.
II.Coordinar la recolección de evidencias y documentación requerida.
III.Supervisar la implementación de las medidas correctivas derivadas de los hallazgos.
IV.Presentar un informe anual a la Gerencia General
Revisión y mejora continua: Los resultados de la auditoría serán analizados en conjunto por el DPD y la Dirección de Talento Humano, con gerencia general, quienes propondrán las medidas correctivas o preventivas necesarias. En donde se reunirán en un comité extraordinario para determinar las posibles modificaciones o adecuaciones de conformidad con los resultados.

15. SANCIONES INTERNAS
El incumplimiento de esta política se considera falta grave y podrá generar medidas disciplinarias o contractuales, sin perjuicio de la responsabilidad administrativa o civil establecida en la LOPDP.

 
VIGENCIA Y APROBACIÓN
La presente Política Interna de Seguridad y Privacidad de OM CORP CIA. LTDA.
entra en vigencia a partir de su aprobación por la Gerencia General y permanecerá vigente hasta que sea modificada o actualizada por cambios normativos, tecnológicos u organizacionales.
Toda modificación deberá contar con el informe previo del Delegado de Protección de Datos Personales (DPD) y la Dirección de Talento Humano, garantizando la trazabilidad documental de su versión y fecha de actualización.

 
Esta política ha sido revisada y aprobada en la ciudad de ___________, a los ___ días del mes de ___________ de 2025.
OM CORP CIA. LTDA.
Gerente General
Mercedes Rosalia Moscoso Pacheco