Documento legal

Politica de Privacidad

Version 1.0 — Vigente desde el 16 de abril de 2026

En COGNITEX SST nos tomamos muy en serio la proteccion de tus datos personales. Esta politica explica como recopilamos, usamos, almacenamos y protegemos tu informacion conforme a la Ley Organica de Proteccion de Datos Personales (LOPDP) de Ecuador y el RGPD europeo.

POLITICA DE PRIVACIDAD

COGNITEX SST - Plataforma de Gestion de Seguridad y Salud en el Trabajo

Version 1.0

Fecha de vigencia: 16 de abril de 2026

Ultima actualizacion: 16 de abril de 2026

AVISO LEGAL: Este documento constituye una plantilla con fines informativos. Consulte con un abogado calificado para obtener asesoramiento legal especifico para su situacion.

TABLA DE CONTENIDOS

1. Informacion del responsable del tratamiento

2. Datos personales que recopilamos

3. Datos sensibles (medicos) - Tratamiento especial

4. Base legal del tratamiento

5. Finalidad del tratamiento

6. Uso de inteligencia artificial

7. Comparticion con terceros y encargados del tratamiento

8. Transferencias internacionales de datos

9. Seguridad de los datos

10. Conservacion de datos

11. Derechos del titular (ARCO+)

12. Cookies y tecnologias de rastreo

13. Datos de menores

14. Modificaciones a la politica

15. Contacto y autoridad de control

1. INFORMACION DEL RESPONSABLE DEL TRATAMIENTO

De conformidad con la Ley Organica de Proteccion de Datos Personales del Ecuador (LOPDP), publicada en el Registro Oficial Suplemento 459 del 26 de mayo de 2021, y su Reglamento General, se informa que el responsable del tratamiento de sus datos personales es:

Razon social: COGNITEX

Domicilio: Republica del Ecuador

Correo electronico de contacto: francisecuador1@gmail.com

Correo electronico secundario: benitocabrear@gmail.com

Telefono: +593 98 396 4333

Plataforma: COGNITEX SST (https://sst-ecuador.vercel.app o el dominio que se designe en el futuro)

Actividad: Prestacion de servicios de software como servicio (SaaS) para la gestion del Sistema de Gestion de Seguridad y Salud en el Trabajo (SG-SST) conforme a la normativa ecuatoriana vigente.

COGNITEX actua como responsable del tratamiento respecto de los datos de los usuarios de la plataforma y como encargado del tratamiento respecto de los datos de trabajadores y empresas que los clientes corporativos (empleadores) introducen en el sistema.

2. DATOS PERSONALES QUE RECOPILAMOS

La plataforma COGNITEX SST recopila y trata las siguientes categorias de datos personales, segun el tipo de titular y la funcionalidad utilizada:

2.1. Datos de cuentas de usuario

- Nombre completo

- Direccion de correo electronico

- Contrasena (almacenada exclusivamente en formato hash criptografico; COGNITEX no tiene acceso a la contrasena en texto plano)

- Rol asignado dentro del sistema (super_admin, partner_admin, admin_empresa, responsable_sut, tecnico_sst, medico, auditor, carga_datos)

- Afiliacion empresarial (empresa o empresas a las que pertenece el usuario)

- Metodo de autenticacion utilizado (correo electronico/contrasena o Google OAuth)

2.2. Datos de empresas clientes

- Razon social

- Registro Unico de Contribuyentes (RUC)

- Direccion de la empresa y de sus centros de trabajo

- Nombre del representante legal

- Informacion de contacto empresarial

- Datos de centros de trabajo (nombre, ubicacion, numero de trabajadores)

2.3. Datos de trabajadores

Los empleadores clientes de COGNITEX SST introducen en la plataforma datos de sus trabajadores para cumplir con sus obligaciones legales en materia de SST. Estos datos incluyen:

- Nombre completo

- Numero de cedula de identidad o documento de identificacion

- Fecha de nacimiento

- Sexo

- Tipo de sangre

- Puesto de trabajo, area y proceso asignado

- Tipo de contrato laboral

- Condiciones de prioridad: estado de embarazo, discapacidad

- Datos de contacto laboral

2.4. Datos medicos y de salud ocupacional (datos sensibles -- ver Seccion 3)

- Examenes medicos ocupacionales (preocupacionales, periodicos, de retiro, de reintegro)

- Diagnosticos codificados bajo la Clasificacion Internacional de Enfermedades (CIE-10)

- Resultados de aptitud medica ocupacional

- Historia clinica ocupacional

- Resultados de laboratorio

- Documentos medicos analizados mediante inteligencia artificial

- Profesiogramas

2.5. Grabaciones de voz

- Audio de entrevistas medicas ocupacionales realizadas a traves del navegador web

- Sintesis de voz generada mediante tecnologia text-to-speech (ElevenLabs) para asistencia en entrevistas medicas

2.6. Documentos

- Documentos de SST generados automaticamente por la plataforma mediante inteligencia artificial (politicas, planes, procedimientos, matrices de riesgo)

- Archivos PDF cargados por los usuarios (certificados, informes, actas)

- Certificados de examenes medicos

2.7. Capturas de campo

- Fotografias tomadas durante inspecciones de campo

- Grabaciones de audio realizadas durante inspecciones

- Notas de texto registradas durante visitas de campo

2.8. Datos de uso y tecnicos

- Registros de auditoria (audit logs): acciones realizadas en la plataforma, modulo afectado, fecha, hora, usuario, empresa, identificador del registro modificado y resumen de la accion

- Direccion IP

- Tipo y version del navegador web

- Sistema operativo

- Datos de sesion (tokens de autenticacion, marcas de tiempo de inicio y cierre de sesion)

- Paginas visitadas y funcionalidades utilizadas dentro de la plataforma

3. DATOS SENSIBLES (MEDICOS) - TRATAMIENTO ESPECIAL

De conformidad con los articulos 25 y 26 de la LOPDP y el articulo 9 del Reglamento General de Proteccion de Datos (RGPD/GDPR), los datos relativos a la salud constituyen datos sensibles o categorias especiales de datos personales y estan sujetos a un regimen de proteccion reforzado.

3.1. Categorias de datos sensibles tratados

COGNITEX SST trata las siguientes categorias de datos sensibles:

a) Datos de salud: examenes medicos ocupacionales, diagnosticos CIE-10, resultados de aptitud, historia clinica ocupacional, resultados de laboratorio, profesiogramas.

b) Datos biometricos de voz: grabaciones de audio de entrevistas medicas.

c) Datos sobre condiciones de vulnerabilidad: estado de embarazo, condicion de discapacidad.

3.2. Base legal para el tratamiento de datos sensibles

El tratamiento de datos sensibles se fundamenta en:

a) Consentimiento explicito e informado del titular: Antes de que el empleador introduzca datos medicos de sus trabajadores en la plataforma, debe haber obtenido el consentimiento explicito de cada trabajador para dicho tratamiento, conforme al articulo 26 de la LOPDP.

b) Obligacion legal del empleador: El Reglamento de Seguridad y Salud de los Trabajadores y Mejoramiento del Medio Ambiente de Trabajo (Decreto Ejecutivo 2393), el Instrumento Andino de Seguridad y Salud en el Trabajo (Decision 584 de la CAN) y la normativa del IESS obligan al empleador a realizar vigilancia de la salud de sus trabajadores, lo que requiere el tratamiento de datos medicos.

c) Medicina preventiva y del trabajo: El tratamiento es necesario para fines de medicina preventiva o del trabajo, conforme a las excepciones previstas en el articulo 26 numeral 3 de la LOPDP.

3.3. Medidas de proteccion reforzada

Para los datos sensibles se aplican las siguientes medidas adicionales:

a) Acceso restringido por roles: Solo los usuarios con rol de "medico" tienen acceso a la informacion medica completa de los trabajadores. Los roles de "tecnico_sst", "auditor" y "carga_datos" no pueden visualizar datos clinicos detallados.

b) Aislamiento multi-tenant: Los datos medicos de cada empresa estan completamente aislados mediante Row Level Security (RLS) en la base de datos PostgreSQL. Ningun usuario de una empresa puede acceder a datos de trabajadores de otra empresa.

c) Cifrado: Los datos se transmiten mediante protocolo HTTPS (TLS 1.2 o superior) y se almacenan cifrados en reposo en la infraestructura de Supabase.

d) Registros de auditoria: Todo acceso y modificacion de datos medicos queda registrado en el sistema de auditoria con identificacion del usuario, fecha, hora y naturaleza de la operacion.

e) Minimizacion: Solo se recopilan y tratan los datos medicos estrictamente necesarios para el cumplimiento de las obligaciones en materia de SST.

3.4. Buenas practicas en el manejo de datos medicos

Si bien COGNITEX SST no esta sujeta a la normativa HIPAA de los Estados Unidos de America, la plataforma adopta buenas practicas inspiradas en dicha regulacion, incluyendo:

- Principio de minimo privilegio en el acceso a datos medicos

- Trazabilidad completa de accesos a registros medicos

- Separacion logica de datos medicos del resto de datos personales

- Procedimientos de respuesta ante incidentes de seguridad que involucren datos de salud

4. BASE LEGAL DEL TRATAMIENTO

El tratamiento de datos personales en COGNITEX SST se fundamenta en las siguientes bases legales, conforme a los articulos 7 al 14 de la LOPDP y los articulos 6 y 9 del RGPD/GDPR:

4.1. Ejecucion de un contrato (Art. 7 numeral 2 LOPDP; Art. 6.1.b GDPR)

El tratamiento es necesario para la ejecucion del contrato de prestacion de servicios SaaS entre COGNITEX y la empresa cliente, incluyendo:

- Creacion y gestion de cuentas de usuario

- Provision de las funcionalidades de la plataforma

- Almacenamiento y procesamiento de datos introducidos por el cliente

- Generacion de documentos de SST

4.2. Cumplimiento de una obligacion legal (Art. 7 numeral 3 LOPDP; Art. 6.1.c GDPR)

El tratamiento de determinados datos es necesario para que el empleador cliente cumpla con obligaciones legales en materia de seguridad y salud en el trabajo, incluyendo:

- Decreto Ejecutivo 2393 (Reglamento de Seguridad y Salud de los Trabajadores)

- Decision 584 de la CAN (Instrumento Andino de SST)

- Resolucion C.D. 513 del IESS (Reglamento del Seguro General de Riesgos del Trabajo)

- Acuerdos Ministeriales del Ministerio de Trabajo sobre SG-SST

4.3. Consentimiento (Art. 7 numeral 1 LOPDP; Art. 6.1.a GDPR)

Para el tratamiento de datos sensibles (medicos) y para funcionalidades opcionales como:

- Grabaciones de voz en entrevistas medicas

- Procesamiento de documentos mediante inteligencia artificial

- Capturas de campo (fotos, audio, notas)

El consentimiento se obtiene de forma libre, especifica, informada e inequivoca, y puede ser retirado en cualquier momento sin que ello afecte la licitud del tratamiento previo.

4.4. Interes legitimo (Art. 7 numeral 6 LOPDP; Art. 6.1.f GDPR)

Para actividades como:

- Registros de auditoria y seguridad de la plataforma

- Mejora del servicio y correccion de errores

- Prevencion de fraude y uso indebido

En todos los casos, se ha realizado una ponderacion entre el interes legitimo de COGNITEX y los derechos y libertades de los titulares, prevaleciendo siempre la proteccion de estos ultimos cuando corresponda.

5. FINALIDAD DEL TRATAMIENTO

Los datos personales son tratados exclusivamente para las siguientes finalidades:

5.1. Prestacion del servicio

a) Creacion, gestion y mantenimiento de cuentas de usuario y perfiles empresariales.

b) Gestion de la estructura organizacional de la empresa cliente: procesos, puestos de trabajo, centros de trabajo y asignacion de trabajadores.

c) Administracion de datos de trabajadores para el cumplimiento del SG-SST.

d) Gestion de la vigilancia de la salud ocupacional: examenes medicos, diagnosticos, aptitud laboral.

e) Identificacion, evaluacion y control de riesgos laborales.

f) Gestion de capacitaciones en SST.

g) Administracion de equipos de proteccion personal (EPP).

h) Gestion de emergencias: brigadas, simulacros, inspecciones, planes de emergencia.

i) Registro y gestion de siniestralidad: accidentes, incidentes, enfermedades profesionales, investigaciones, acciones correctivas.

j) Verificacion del cumplimiento normativo mediante checklists regulatorios.

k) Capturas de campo: registro fotografico, de audio y notas durante inspecciones in situ.

5.2. Generacion documental

a) Generacion automatizada de documentos de SST mediante inteligencia artificial (politicas, planes, procedimientos, matrices, reglamentos internos).

b) Almacenamiento y gestion de documentos cargados por los usuarios.

c) Consulta de normativa SST ecuatoriana mediante busqueda semantica.

5.3. Administracion y seguridad

a) Autenticacion de usuarios y gestion de sesiones.

b) Control de acceso basado en roles (RBAC) con siete niveles jerarquicos.

c) Registro de auditoria de todas las acciones realizadas en la plataforma.

d) Deteccion y prevencion de accesos no autorizados.

e) Cumplimiento de obligaciones legales y regulatorias.

5.4. Comunicaciones

a) Envio de notificaciones relacionadas con el servicio (vencimientos de examenes medicos, capacitaciones pendientes, alertas de cumplimiento).

b) Comunicaciones sobre actualizaciones del servicio o cambios en los terminos.

c) Respuesta a solicitudes de soporte tecnico.

COGNITEX no utiliza los datos personales de los usuarios ni de los trabajadores para fines de mercadotecnia, publicidad dirigida, elaboracion de perfiles comerciales ni venta a terceros.

6. USO DE INTELIGENCIA ARTIFICIAL

COGNITEX SST integra tecnologias de inteligencia artificial para mejorar la prestacion del servicio. De conformidad con la Resolucion No. SPDP-SPD-2026-0009-R de la Superintendencia de Proteccion de Datos Personales, informamos lo siguiente:

6.1. Modelos de inteligencia artificial utilizados

a) Anthropic Claude (modelo Claude Sonnet 4.6 o el que se designe): Utilizado para la generacion automatizada de documentos de SST, analisis de riesgos, evaluacion de datos de examenes medicos y realizacion de entrevistas medicas asistidas.

b) OpenAI (modelos de embeddings): Utilizado exclusivamente para la generacion de vectores semanticos (embeddings) que permiten la busqueda semantica dentro del catalogo de normativa SST ecuatoriana almacenado en la plataforma. No se utilizan modelos generativos de OpenAI.

c) ElevenLabs (sintesis de voz): Utilizado para la generacion de audio de voz sintetica en entrevistas medicas asistidas por inteligencia artificial.

6.2. Datos procesados por inteligencia artificial

Los siguientes datos pueden ser procesados por los modelos de IA:

a) Datos empresariales (razon social, actividad economica, estructura organizacional, centros de trabajo) para la generacion de documentos de SST personalizados.

b) Datos de trabajadores (nombre, puesto, area, condiciones de riesgo) para la evaluacion de riesgos y generacion de profesiogramas.

c) Datos medicos (examenes, diagnosticos, aptitud) para el analisis de documentos medicos y la realizacion de entrevistas medicas asistidas.

d) Textos normativos ecuatorianos (no datos personales) para la busqueda semantica.

6.3. Garantias en el uso de IA

a) Supervision humana: Los documentos generados por IA son presentados al usuario como borradores que requieren revision y aprobacion humana antes de su uso oficial.

b) No hay toma de decisiones automatizada con efectos juridicos: La plataforma no utiliza IA para tomar decisiones automatizadas que produzcan efectos juridicos sobre los titulares de los datos o les afecten significativamente de modo similar, conforme al articulo 20 del RGPD/GDPR y la normativa ecuatoriana aplicable.

c) Transparencia algoritmica: Los usuarios son informados cuando una funcionalidad utiliza inteligencia artificial para procesar sus datos o los datos de los trabajadores.

d) Politica de no entrenamiento: COGNITEX no utiliza los datos personales de sus clientes ni de los trabajadores para entrenar, mejorar o refinar los modelos de inteligencia artificial de terceros. Los datos son procesados exclusivamente para generar las respuestas solicitadas.

e) Limitacion de proposito: Los datos enviados a los proveedores de IA se limitan estrictamente a lo necesario para cumplir la funcionalidad solicitada y no se almacenan de forma permanente en los sistemas de dichos proveedores mas alla de lo necesario para procesar la solicitud.

6.4. Derechos del titular respecto al tratamiento por IA

El titular tiene derecho a:

a) Ser informado cuando sus datos sean procesados por sistemas de inteligencia artificial.

b) Solicitar intervencion humana en cualquier resultado producido por IA.

c) Oponerse al tratamiento de sus datos mediante sistemas de IA, en cuyo caso se ofrecera una alternativa manual cuando sea posible.

d) Obtener una explicacion comprensible sobre la logica empleada por los sistemas de IA en el tratamiento de sus datos.

7. COMPARTICION CON TERCEROS Y ENCARGADOS DEL TRATAMIENTO

COGNITEX no vende, alquila ni comercializa datos personales a terceros. Los datos personales son compartidos exclusivamente con los siguientes encargados del tratamiento, que actuan bajo instrucciones de COGNITEX y estan sujetos a obligaciones contractuales de confidencialidad y seguridad:

7.1. Encargados del tratamiento (subprocesadores)

a) Supabase, Inc.

- Sede: Estados Unidos de America

- Servicio: Base de datos PostgreSQL gestionada, autenticacion de usuarios (email/contrasena y Google OAuth), almacenamiento de archivos (Storage)

- Datos tratados: Todos los datos almacenados en la plataforma

- Garantias: Cifrado en reposo y en transito, Row Level Security (RLS), cumplimiento SOC 2 Type II

- Politica de privacidad: https://supabase.com/privacy

b) Vercel, Inc.

- Sede: Estados Unidos de America

- Servicio: Alojamiento y despliegue de la aplicacion web (hosting)

- Datos tratados: Datos de navegacion, direccion IP, contenido de las solicitudes HTTP

- Garantias: Cifrado TLS, cumplimiento SOC 2 Type II, GDPR compliant

- Politica de privacidad: https://vercel.com/legal/privacy-policy

c) Anthropic, PBC

- Sede: Estados Unidos de America

- Servicio: Procesamiento de lenguaje natural para generacion de documentos de SST, analisis de riesgos y asistencia en entrevistas medicas

- Datos tratados: Datos empresariales, datos de trabajadores y datos medicos necesarios para la generacion de documentos y analisis, transmitidos en tiempo real via API

- Garantias: Los datos enviados a la API comercial de Anthropic no son utilizados para entrenar sus modelos. Cifrado en transito. Politica de retencion temporal para procesamiento.

- Politica de privacidad: https://www.anthropic.com/privacy

d) OpenAI, L.L.C.

- Sede: Estados Unidos de America

- Servicio: Generacion de embeddings vectoriales para busqueda semantica en normativa SST

- Datos tratados: Textos normativos ecuatorianos (no datos personales en circunstancias normales)

- Garantias: Los datos enviados a la API de OpenAI no son utilizados para entrenar modelos. Zero data retention en API empresarial.

- Politica de privacidad: https://openai.com/privacy

e) ElevenLabs, Inc.

- Sede: Estados Unidos de America

- Servicio: Sintesis de voz (text-to-speech) para entrevistas medicas asistidas

- Datos tratados: Texto de preguntas y respuestas de entrevistas medicas para su conversion a audio

- Garantias: Cifrado en transito. No utiliza datos de entrada para entrenamiento en planes comerciales.

- Politica de privacidad: https://elevenlabs.io/privacy

f) N8N GmbH

- Sede: Alemania (Union Europea)

- Servicio: Plataforma de automatizacion de flujos de trabajo (generacion automatica de documentos, notificaciones de vencimientos)

- Datos tratados: Identificadores de empresa, datos necesarios para disparar flujos automatizados

- Garantias: Alojamiento configurable, cumplimiento GDPR

- Politica de privacidad: https://n8n.io/privacy

g) Google LLC (a traves de Supabase Auth)

- Sede: Estados Unidos de America

- Servicio: Autenticacion OAuth 2.0 (inicio de sesion con Google)

- Datos tratados: Nombre, correo electronico, identificador de cuenta Google

- Garantias: Cumplimiento GDPR, Privacy Shield (sustituido por DPF)

- Politica de privacidad: https://policies.google.com/privacy

7.2. Comparticion con el empleador

Cuando un trabajador cuyos datos han sido introducidos en la plataforma por su empleador ejerza sus derechos ARCO+, COGNITEX coordinara con el empleador correspondiente para dar respuesta, dado que el empleador actua como responsable del tratamiento respecto de los datos de sus trabajadores.

7.3. Autoridades publicas

COGNITEX podra comunicar datos personales a autoridades publicas ecuatorianas cuando exista una obligacion legal para ello, incluyendo:

- Superintendencia de Proteccion de Datos Personales (SPDP)

- Ministerio de Trabajo

- Instituto Ecuatoriano de Seguridad Social (IESS)

- Autoridades judiciales, mediante orden judicial debidamente fundamentada

8. TRANSFERENCIAS INTERNACIONALES DE DATOS

Dado que los encargados del tratamiento indicados en la Seccion 7 se encuentran mayoritariamente ubicados en los Estados Unidos de America, sus datos personales son objeto de transferencias internacionales.

8.1. Paises destinatarios

- Estados Unidos de America: Supabase, Vercel, Anthropic, OpenAI, ElevenLabs, Google

- Alemania (Union Europea): N8N

8.2. Garantias para las transferencias

De conformidad con los articulos 37 al 39 de la LOPDP y el Capitulo V del RGPD/GDPR, las transferencias internacionales se realizan bajo las siguientes garantias:

a) Clausulas contractuales tipo: COGNITEX ha celebrado o se adhiere a las condiciones de servicio de cada encargado, que incorporan clausulas contractuales que garantizan un nivel de proteccion adecuado.

b) Decisiones de adecuacion: Las transferencias a Alemania (N8N) se benefician de la normativa de proteccion de datos de la Union Europea, que ofrece un nivel de proteccion adecuado.

c) Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework): Los proveedores estadounidenses certificados bajo el DPF ofrecen garantias adecuadas conforme a la normativa europea y ecuatoriana.

d) Medidas tecnicas complementarias: Cifrado de extremo a extremo en las comunicaciones, minimizacion de datos transferidos, control de acceso estricto.

8.3. Derecho a ser informado

El titular tiene derecho a ser informado sobre las transferencias internacionales de sus datos, los paises destinatarios y las garantias aplicables, y puede ejercer sus derechos conforme a la Seccion 11 de esta Politica.

9. SEGURIDAD DE LOS DATOS

COGNITEX implementa medidas tecnicas y organizativas apropiadas para proteger los datos personales contra el tratamiento no autorizado o ilicito, la perdida accidental, la destruccion o el dano, conforme al articulo 37 de la LOPDP y al articulo 32 del RGPD/GDPR.

9.1. Medidas tecnicas

a) Cifrado en transito: Todas las comunicaciones entre el navegador del usuario y la plataforma se realizan mediante protocolo HTTPS con TLS 1.2 o superior.

b) Cifrado en reposo: Los datos almacenados en la base de datos Supabase se encuentran cifrados en reposo mediante AES-256.

c) Hashing de contrasenas: Las contrasenas de usuario se almacenan mediante funciones de hash criptografico bcrypt; COGNITEX no tiene acceso a las contrasenas en texto plano.

d) Row Level Security (RLS): La base de datos PostgreSQL implementa politicas de seguridad a nivel de fila que garantizan que cada empresa solo puede acceder a sus propios datos. Este mecanismo opera a nivel de base de datos, independientemente de la capa de aplicacion.

e) Aislamiento multi-tenant: La arquitectura de la plataforma garantiza el aislamiento logico completo de los datos de cada empresa cliente, operando en un schema dedicado (sst_ecuador) con filtrado obligatorio por identificador de empresa en todas las consultas.

f) Control de acceso basado en roles (RBAC): Siete niveles de roles jerarquicos con permisos granulares que determinan que datos y funcionalidades puede acceder cada usuario.

g) Tokens de sesion seguros: Gestion de sesiones mediante tokens JWT con expiracion temporal, renovados automaticamente por el middleware de la plataforma.

h) Registros de auditoria: Registro automatico de todas las acciones de creacion, actualizacion, eliminacion, cambio de estado, invitacion y desvinculacion, incluyendo usuario, fecha, hora, modulo, tabla y resumen de la operacion.

9.2. Medidas organizativas

a) Principio de minimo privilegio: Cada usuario tiene acceso unicamente a los datos y funcionalidades necesarios para el desempeno de su rol.

b) Capacitacion: El personal de COGNITEX con acceso a datos personales recibe formacion periodica en materia de proteccion de datos.

c) Acuerdos de confidencialidad: Todo el personal y colaboradores de COGNITEX estan sujetos a obligaciones de confidencialidad.

d) Evaluacion de proveedores: Los encargados del tratamiento son seleccionados en funcion de sus garantias de seguridad y cumplimiento normativo.

e) Gestion de incidentes: COGNITEX dispone de procedimientos para la deteccion, evaluacion y notificacion de violaciones de seguridad de datos personales conforme a los plazos establecidos por la LOPDP (72 horas para notificacion a la SPDP) y el RGPD/GDPR.

10. CONSERVACION DE DATOS

COGNITEX conserva los datos personales unicamente durante el tiempo necesario para cumplir con las finalidades para las que fueron recopilados, o durante el periodo exigido por la legislacion aplicable.

10.1. Periodos de conservacion

a) Datos de cuentas de usuario: Durante la vigencia de la relacion contractual con la empresa cliente y hasta 12 meses despues de la terminacion del contrato, salvo obligacion legal de conservacion mas prolongada.

b) Datos de empresas clientes: Durante la vigencia del contrato de prestacion de servicios y por el periodo de prescripcion de obligaciones legales aplicable (hasta 5 anos conforme al Codigo Civil ecuatoriano).

c) Datos de trabajadores y datos medicos: Durante la vigencia de la relacion contractual con la empresa empleadora. Tras la terminacion del contrato, los datos seran conservados por el periodo que la legislacion laboral y de SST exija al empleador (la normativa ecuatoriana de SST requiere la conservacion de registros medicos ocupacionales por un minimo de 20 anos conforme al Reglamento del Seguro General de Riesgos del Trabajo).

d) Grabaciones de voz: Por un periodo maximo de 5 anos desde su realizacion, salvo que el titular solicite su eliminacion anticipada o que exista una obligacion legal de conservacion.

e) Documentos generados y cargados: Durante la vigencia del contrato y conforme a los periodos de conservacion exigidos por la normativa de SST.

f) Registros de auditoria: Por un periodo minimo de 3 anos, conforme a las obligaciones de trazabilidad y rendicion de cuentas.

g) Datos de uso y tecnicos: Por un periodo maximo de 24 meses.

10.2. Eliminacion de datos

Al finalizar los periodos de conservacion aplicables, los datos personales seran eliminados de forma segura o anonimizados de manera irreversible. La eliminacion se realizara mediante procedimientos que impidan la recuperacion de los datos.

10.3. Solicitud de eliminacion anticipada

La empresa cliente puede solicitar la eliminacion de sus datos y los de sus trabajadores antes de la finalizacion de los periodos de conservacion, salvo que exista una obligacion legal que exija su conservacion. Las solicitudes se procesaran en un plazo maximo de 15 dias habiles.

11. DERECHOS DEL TITULAR (ARCO+)

De conformidad con los articulos 16 al 22 de la LOPDP y los articulos 15 al 22 del RGPD/GDPR, el titular de los datos personales tiene los siguientes derechos:

11.1. Derecho de acceso (Art. 16 LOPDP; Art. 15 GDPR)

El titular tiene derecho a obtener confirmacion sobre si se estan tratando sus datos personales, y en caso afirmativo, a acceder a una copia de los mismos junto con informacion sobre las finalidades del tratamiento, las categorias de datos tratados, los destinatarios, los plazos de conservacion y la existencia de decisiones automatizadas.

COGNITEX proporcionara dicha informacion de forma gratuita, en un plazo maximo de 15 dias habiles conforme a la LOPDP.

11.2. Derecho de rectificacion (Art. 17 LOPDP; Art. 16 GDPR)

El titular tiene derecho a solicitar la correccion de datos personales inexactos o incompletos.

11.3. Derecho de eliminacion o cancelacion (Art. 18 LOPDP; Art. 17 GDPR)

El titular tiene derecho a solicitar la eliminacion de sus datos personales cuando:

a) Ya no sean necesarios para las finalidades para las que fueron recopilados.

b) El titular retire su consentimiento y no exista otra base legal para el tratamiento.

c) El titular ejerza su derecho de oposicion y no prevalezcan motivos legitimos.

d) Los datos hayan sido tratados ilicitamente.

Este derecho no es absoluto y puede estar sujeto a excepciones cuando el tratamiento sea necesario para el cumplimiento de una obligacion legal o para la formulacion, ejercicio o defensa de reclamaciones.

11.4. Derecho de oposicion (Art. 19 LOPDP; Art. 21 GDPR)

El titular tiene derecho a oponerse al tratamiento de sus datos personales en los supuestos previstos por la ley, incluyendo el tratamiento basado en interes legitimo o en el cumplimiento de una mision de interes publico.

11.5. Derecho a la portabilidad (Art. 20 LOPDP; Art. 20 GDPR)

El titular tiene derecho a recibir los datos personales que haya proporcionado en un formato estructurado, de uso comun y lectura mecanica (CSV, JSON o Excel), y a transmitirlos a otro responsable del tratamiento sin impedimento.

11.6. Derecho a la limitacion del tratamiento (Art. 18 GDPR)

El titular tiene derecho a solicitar la limitacion del tratamiento de sus datos en los supuestos previstos por la legislacion aplicable, incluyendo cuando se impugne la exactitud de los datos o cuando el tratamiento sea ilicito pero el titular se oponga a la eliminacion.

11.7. Derecho a no ser objeto de decisiones automatizadas (Art. 20 LOPDP; Art. 22 GDPR)

El titular tiene derecho a no ser objeto de una decision basada unicamente en el tratamiento automatizado, incluida la elaboracion de perfiles, que produzca efectos juridicos o le afecte significativamente de modo similar. COGNITEX SST no toma decisiones automatizadas con efectos juridicos sobre los titulares.

11.8. Derecho a la informacion (Art. 15 LOPDP; Arts. 13-14 GDPR)

El titular tiene derecho a ser informado de manera clara, precisa e inequivoca sobre el tratamiento de sus datos personales, lo cual se cumple mediante la presente Politica de Privacidad.

11.9. Procedimiento para ejercer los derechos

Para ejercer cualquiera de los derechos mencionados, el titular debera:

a) Enviar una solicitud escrita al correo electronico: francisecuador1@gmail.com

b) Indicar claramente el derecho que desea ejercer.

c) Proporcionar datos de identificacion suficientes para verificar su identidad (nombre completo, numero de cedula, correo electronico registrado en la plataforma).

d) En caso de actuar mediante representante, adjuntar el poder o autorizacion correspondiente.

COGNITEX respondera a las solicitudes en un plazo maximo de 15 dias habiles conforme a la LOPDP, o 30 dias calendario conforme al RGPD/GDPR, segun la jurisdiccion aplicable. Dicho plazo podra ser prorrogado por un periodo adicional en caso de solicitudes complejas o multiples, informando al titular.

11.10. Rol del empleador

Cuando los datos sean de trabajadores introducidos en la plataforma por su empleador, COGNITEX derivara la solicitud al empleador correspondiente (como responsable del tratamiento de dichos datos) y colaborara con el para atender el ejercicio de derechos.

12. COOKIES Y TECNOLOGIAS DE RASTREO

12.1. Cookies utilizadas

COGNITEX SST utiliza las siguientes cookies:

a) Cookie de sesion de autenticacion (Supabase Auth):

- Nombre: sb-[project-ref]-auth-token (y cookies asociadas)

- Tipo: Cookie estrictamente necesaria

- Proposito: Mantener la sesion del usuario autenticado, renovar tokens de acceso

- Duracion: Sesion (se renueva automaticamente mientras el usuario este activo)

- Base legal: Ejecucion del contrato (no requiere consentimiento, conforme al articulo 5.3 de la Directiva ePrivacy y la LOPDP)

b) Cookie de empresa activa:

- Nombre: empresa_activa

- Tipo: Cookie de funcionalidad estrictamente necesaria

- Proposito: Recordar la empresa seleccionada por el usuario en un entorno multi-tenant

- Duracion: Sesion

- Base legal: Ejecucion del contrato (necesaria para el funcionamiento de la plataforma)

12.2. Cookies de terceros

La plataforma puede cargar cookies de terceros en los siguientes supuestos:

a) Google OAuth: Cuando el usuario inicia sesion con Google, se aplican las cookies propias de Google conforme a su politica de privacidad.

b) Vercel Analytics (si se activa en el futuro): Podria generar cookies de rendimiento anonimizadas.

12.3. Ausencia de cookies de rastreo publicitario

COGNITEX SST no utiliza cookies de rastreo publicitario, cookies de marketing, cookies de redes sociales ni tecnologias de seguimiento con fines de publicidad comportamental o elaboracion de perfiles comerciales.

12.4. Gestion de cookies

Dado que las cookies utilizadas son estrictamente necesarias para el funcionamiento de la plataforma, no se requiere consentimiento previo conforme a la legislacion aplicable. No obstante, el usuario puede configurar su navegador para bloquear o eliminar cookies, teniendo en cuenta que ello podria impedir el correcto funcionamiento de la plataforma.

13. DATOS DE MENORES

13.1. La plataforma COGNITEX SST esta disenada para el cumplimiento de obligaciones empresariales en materia de seguridad y salud en el trabajo. Su uso esta destinado exclusivamente a personas mayores de 18 anos de edad o que tengan la edad minima legal para trabajar conforme a la legislacion ecuatoriana.

13.2. COGNITEX no recopila deliberadamente datos personales de menores de edad. Si COGNITEX tuviere conocimiento de que se han recopilado datos de un menor sin el consentimiento de su padre, madre o representante legal, procedera a eliminar dichos datos de forma inmediata.

13.3. En caso de que un empleador necesite registrar datos de un trabajador menor de edad (en los supuestos permitidos por la legislacion laboral ecuatoriana, como contratos de aprendizaje para mayores de 15 anos), debera contar con la autorizacion del representante legal del menor y comunicarlo a COGNITEX para aplicar las medidas de proteccion reforzada correspondientes, conforme a los articulos 27 y 28 de la LOPDP y la Children's Online Privacy Protection Act (COPPA) de los Estados Unidos cuando aplique.

14. MODIFICACIONES A LA POLITICA

14.1. COGNITEX se reserva el derecho de modificar la presente Politica de Privacidad en cualquier momento para adaptarla a novedades legislativas, regulatorias, jurisprudenciales o tecnicas.

14.2. Notificacion de cambios

Cuando se realicen modificaciones sustanciales a esta Politica, COGNITEX lo notificara a los usuarios mediante:

a) Publicacion de la version actualizada en la plataforma con indicacion de la fecha de la ultima modificacion.

b) Notificacion por correo electronico a los administradores de las empresas clientes registrados en la plataforma.

c) Aviso destacado en la interfaz de la plataforma durante un periodo minimo de 15 dias.

14.3. Se consideran modificaciones sustanciales aquellas que afecten a:

a) Las categorias de datos personales tratados.

b) Las finalidades del tratamiento.

c) Los terceros con quienes se comparten datos.

d) Los derechos de los titulares.

e) Las transferencias internacionales de datos.

f) El uso de inteligencia artificial en el tratamiento de datos.

14.4. El uso continuado de la plataforma despues de la notificacion de cambios constituye la aceptacion de la Politica de Privacidad actualizada. Si el usuario no esta de acuerdo con las modificaciones, podra ejercer su derecho de cancelacion y oposicion conforme a la Seccion 11.

14.5. Historial de versiones

VersionFechaDescripcion
-------------------------------------------------------------
1.016/04/2026Version inicial de la Politica

15. CONTACTO Y AUTORIDAD DE CONTROL

15.1. Contacto del responsable del tratamiento

Para cualquier consulta, solicitud de ejercicio de derechos o reclamacion relacionada con el tratamiento de sus datos personales, puede contactar a COGNITEX a traves de los siguientes medios:

Correo electronico principal: francisecuador1@gmail.com

Correo electronico secundario: benitocabrear@gmail.com

Telefono / WhatsApp: +593 98 396 4333

Horario de atencion: Lunes a viernes, de 09:00 a 18:00 (hora de Ecuador, GMT-5)

15.2. Autoridad de control

Si el titular considera que el tratamiento de sus datos personales vulnera la normativa de proteccion de datos, tiene derecho a presentar una reclamacion ante la autoridad de control competente:

En Ecuador:

Superintendencia de Proteccion de Datos Personales (SPDP)

Sitio web: https://spdp.gob.ec/

Direccion: Quito, Ecuador

En la Union Europea (para usuarios sujetos al RGPD/GDPR):

El titular puede presentar una reclamacion ante la autoridad de control del Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la presunta infraccion.

15.3. Resolución de controversias

COGNITEX se compromete a resolver de buena fe cualquier controversia relacionada con el tratamiento de datos personales. Antes de acudir a la autoridad de control, recomendamos al titular que se comunique directamente con COGNITEX para intentar resolver la cuestion de forma amistosa.

LEGISLACION APLICABLE

La presente Politica de Privacidad se rige por:

1. Ley Organica de Proteccion de Datos Personales del Ecuador (LOPDP), publicada en el Registro Oficial Suplemento 459 del 26 de mayo de 2021.

2. Reglamento General a la Ley Organica de Proteccion de Datos Personales del Ecuador.

3. Resoluciones de la Superintendencia de Proteccion de Datos Personales (SPDP), incluyendo la Resolucion No. SPDP-SPD-2026-0009-R sobre tratamiento de datos personales mediante inteligencia artificial.

4. Reglamento General de Proteccion de Datos de la Union Europea (RGPD/GDPR) - Reglamento (UE) 2016/679, aplicable cuando se traten datos de personas ubicadas en la Union Europea.

5. Constitucion de la Republica del Ecuador, articulos 66 numerales 19 y 20 (derecho a la proteccion de datos personales y a la intimidad personal).

Fecha de publicacion: 16 de abril de 2026

Ultima actualizacion: 16 de abril de 2026

COGNITEX

Republica del Ecuador

AVISO: Este documento constituye una plantilla elaborada con fines informativos y no constituye asesoramiento juridico. Se recomienda encarecidamente consultar con un abogado calificado en proteccion de datos personales y derecho ecuatoriano para revisar, adaptar y validar este documento antes de su publicacion y uso oficial. COGNITEX debera asegurarse de que esta Politica de Privacidad refleje con exactitud sus practicas reales de tratamiento de datos y cumpla con toda la legislacion aplicable vigente al momento de su implementacion.

COGNITEX SST — Version 1.0, Abril 2026Terminos de Servicio →