POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA FUNDACIÓN CRISFE
Introducción
Fundación CRISFE (en adelante "la Fundación" o "CRISFE"), en su compromiso con el desarrollo social y el bienestar de la comunidad, reconoce la importancia fundamental de proteger los datos personales de todas las personas naturales con las que interactúa.
La fundación asume con responsabilidad el cuidado de su información entregada en virtud de la naturaleza de los servicios educativos que constituyen la misión institucional. Por ello, cumpliendo con los principios y obligaciones establecidas en la Constitución de la República del Ecuador y la Ley Orgánica de Protección de Datos Personales (LOPDP), aplicando las más altas medidas de seguridad para proteger tu información.
CRISFE podrá modificar esta Política cuando sea necesario. Cualquier cambio será comunicado a través de los canales oficiales de la Fundación y la fecha de actualización será revisada en este documento.
Última actualización: 9/03/2026.
CAPÍTULO I: DISPOSICIONES GENERALES
Artículo 1.- Objeto.
La presente Política tiene como objeto principal informar de manera clara y transparente sobre el tratamiento que la Fundación CRISFE, en calidad de responsable del tratamiento de conformidad con la Ley Orgánica de Protección de Datos. CRISFE como responsable trata datos personales garantizando el derecho fundamental a su protección, este derecho de protección de datos personales incluye a todos los titulares vinculados a la Fundación y su red de colegios.
Artículo 2.- Ámbito de Aplicación.
Esta Política es de aplicación obligatoria para todo tratamiento de datos personales, ya sea por medios automatizados, y no automatizados, realizado en todas las sedes, proyectos y centros educativos gestionados por la Fundación CRISFE a nivel nacional. Aplica a los datos de estudiantes, representantes legales, colaboradores, candidatos, proveedores, potenciales donantes, voluntarios y cualquier otra persona natural cuya información sea tratada por la Fundación.
Artículo 3.- Definiciones Clave.
Para efectos de la presente política, se adoptan las siguientes definiciones conforme a la LOPDP:
- Titular de Datos: Persona natural cuyos datos son objeto de tratamiento.
- Dato Personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
- Datos Sensibles: Datos relativos a etnia, identidad de género, religión, ideología, filiación política, pasado judicial, orientación sexual, salud, datos biométricos y genéticos.
- Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, como la recolección, registro, organización, conservación, uso, comunicación, transferencia o supresión.
- Responsable del Tratamiento: Fundación CRISFE, quien decide sobre la finalidad y el tratamiento de los datos personales.
- Encargado del Tratamiento: Persona natural o jurídica que trata datos personales a nombre y por cuenta de CRISFE.
- Delegado de Protección de Datos (DPD): La persona designada por CRISFE para supervisar el cumplimiento de la LOPDP y servir como punto de contacto con los titulares y la Autoridad de Control.
- LOPDP: Ley Orgánica de Protección de Datos Personales de Ecuador.
- Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.
- Transferencia de datos personales: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales.
- Base de datos: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
CAPÍTULO II: RESPONSABILIDAD Y CONTACTO
Artículo 4.- Identidad del Responsable del Tratamiento.
- Razón Social: Fundación CRISFE
- RUC: 1791297121001
- Domicilio Principal: La Colina N26-70 y San Ignacio, Quito, Ecuador.
- Correo Electrónico: admisiones@crisfe.org
Artículo 5.- Delegado de Protección de Datos (DPD)
Debido al volumen y naturaleza de los datos tratados, CRISFE ha designado un Delegado de Protección de Datos para supervisar el cumplimiento de esta política. Para cualquier consulta o para el ejercicio de sus derechos, puede contactar al DPD a través del correo electrónico: dalvarez@niubox.legal
CAPÍTULO III: FINALIDADES Y BASE DE LEGALIDAD
Artículo 6.- Finalidades del Tratamiento, Base Legal y Tipos de tratamientos.
CRISFE tratará los datos personales de acuerdo con la relación que mantenga con el titular, para las siguientes finalidades:
Para prospectos estudiantiles y estudiantes
| Finalidad | Base legal |
|---|---|
| Ingreso y gestión del proceso de admisión: recepción y evaluación de solicitudes, verificación y validación de documentos y comunicación de resultados. | Cumplimiento de obligaciones contractuales y precontractuales |
| Inicio de la relación educativa: firma y aceptación del contrato y emisión de la matrícula. | Cumplimiento de obligaciones contractuales y precontractuales |
| Realizar transacciones como el pago de pensiones y otros servicios financieros administrativos como becas y devoluciones. | Cumplimiento de obligaciones contractuales y precontractuales |
| Creación y mantenimiento del historial académico y disciplinario del estudiante. | Cumplimiento de obligaciones contractuales |
| Ofrecer servicios asistenciales provistos por terceros. | Interés legítimo |
| Utilizar imágenes, audios y videos con fines de comunicación institucional, pedagógicos y de difusión. | Consentimiento |
| Videovigilancia dentro de las instalaciones para garantizar la seguridad de los estudiantes. | Interés legítimo |
| Emisión de certificados de constancia, boletas de calificación o títulos académicos. | Cumplimiento de obligaciones contractuales y legales |
| Atención del servicio médico, de enfermería y primeros auxilios dentro de la institución. | Protección de intereses vitales |
| Publicación de logros académicos. | Consentimiento |
b) Para representantes legales
| Finalidad | Base legal |
|---|---|
| Gestión del contrato de servicios educativos. | Cumplimiento de obligaciones precontractuales y contractuales |
| Gestión de pagos y facturación: emisión de facturas y cobro de pensiones. | Cumplimiento de obligaciones contractuales y legales |
| Comunicaciones operativas y de emergencia: notificaciones sobre suspensión de clases, citaciones, entre otros de carácter urgente. | Consentimiento |
| Comunicaciones informativas y de participaciones: información sobre actividades escolares, talleres y eventos de la unidad educativa. | Consentimiento |
| Evaluaciones socioeconómicas para la concesión de becas o ayudas en beneficio del estudiante: análisis de ingresos, cargas familiares y situación laboral. | Interés legítimo |
| Gestión de servicios de terceros: servicio de transporte escolar, seguros médicos u otros externos relevantes. | Consentimiento |
a) Para colaboradores y candidatos a puestos de trabajo
| Finalidad | Base legal |
|---|---|
| Inicio de procesos de selección: recepción de hojas de vida, entrevistas, comunicación de resultados. | Cumplimiento de obligación precontractual |
| Elaboración de contratos de trabajo y proceso de vinculación. | Cumplimiento de obligaciones contractuales |
| Administrar la nómina, beneficios sociales y obligaciones laborales. | Cumplimiento de obligaciones contractuales y legales |
| Evaluar el desempeño y gestionar el clima laboral. | Cumplimiento de obligaciones contractuales y legales |
| Cumplir con la normativa de seguridad y salud ocupacional. | Cumplimiento de obligaciones contractuales y legales |
| Gestionar la capacitación y formación continua del personal. | Cumplimiento de obligaciones contractuales y legales |
b) Para proveedores y contratistas
| Finalidad | Base legal |
|---|---|
| Gestionar el proceso de calificación y la relación contractual. | Cumplimiento de obligaciones contractuales |
| Realizar los procesos de contabilidad, facturación y pagos. | Cumplimiento de obligaciones contractuales y legales |
| Cumplir con las normativas de prevención de lavado de activos y financiamiento de delitos. | Cumplimiento de obligaciones contractuales y legales |
c) Para donantes, voluntarios y beneficiarios de programas sociales
| Finalidad | Base legal |
|---|---|
| Gestionar el registro y procesamiento de potenciales donaciones. | Cumplimiento de obligaciones contractuales |
| Coordinar y gestionar las actividades del voluntariado. | Cumplimiento de obligaciones contractuales |
| Evaluar la elegibilidad y dar seguimiento a los participantes de programas sociales. | Interés legítimo |
| Realizar comunicaciones sobre el impacto de las actividades de la Fundación. | Interés legítimo |
Para la consecución de las finalidades antes descritas, así como en el marco de sus actividades legítimas, CRISFE realizará diversos tipos de tratamientos que consisten en operaciones específicas sobre los datos personales, siempre bajo las bases de licitud reconocidas en esta Política y en la LOPDP. Estas operaciones incluyen, pero no se limitan a: la recolección, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, consulta, utilización, posesión, aprovechamiento, comunicación o transferencia para el cumplimiento de sus funciones sustantivas.
CRISFE no realizará tratamientos ulteriores a los detallados en esta política de protección de datos.
Los datos personales están almacenados en la base de datos de (colocar el nombre de la base de datos, repositorio identificado para cumplir con la obligación de informar al titular.) bajo medidas de seguridad que ha implementado el responsable.
Artículo 7.- Categorías de Datos Personales Tratados
Para cumplir con las finalidades descritas, CRISFE podrá tratar, entre otras, las siguientes categorías de datos:
- Categorías especiales: datos sensibles, datos de niñas, niños y adolescentes, datos de salud y datos de personas con discapacidad.
- Datos sensibles: datos relativos a salud y datos biométricos.
- Datos identificativos: nombres, apellidos, número de cédula, imagen, fecha de nacimiento, edad, firmas.
- Datos de contacto: domicilio, correo electrónico, teléfono.
- Datos académicos y profesionales: historial académico, títulos.
- Datos económicos y financieros: información de cuentas bancarias, datos crediticios, historial de pagos, datos de tarjetas de crédito, ingresos y situación económica, datos de seguros (pólizas, beneficiarios).
- Datos de tráfico y navegación: direcciones IP, cookies, registros de actividad en nuestras plataformas digitales.
Artículo 8.- Tratamiento de Datos de Niñas, Niños y Adolescentes
La Fundación, en el desarrollo de sus actividades educativas y programas sociales, reconoce la especial protección que merecen los datos personales de niñas, niños y adolescentes (NNA) y se compromete a su tratamiento bajo los más altos estándares de seguridad y legalidad.
- Principio del interés superior y consentimiento del representante:
Para el tratamiento de datos de NNA menores de 15 años, se requerirá siempre el consentimiento explícito, informado e inequívoco de su representante legal a través de documentación física o digital. Toda información dirigida al titular se presentará en un lenguaje claro y comprensible, asegurando que tanto el representante como el menor, en la medida de su madurez, entiendan las finalidades del tratamiento. - Consentimiento directo de adolescentes:
Conforme a lo dispuesto en la LOPDP, los adolescentes a partir de los 15 años podrán gestionar y ejercer sus derechos de forma autónoma. El consentimiento que otorguen sobre sus datos será válido para tratamientos relacionados con servicios de la sociedad de la información, actividades educativas o sociales adecuadas a su edad. - Compromisos específicos de protección:
La obtención del consentimiento será mediante documentos específicos en formato digital o físico, en los que CRISFE se compromete a:- Tratar los datos de NNA velando siempre por su interés superior.
- Aplicar el principio de minimización, recogiendo únicamente los datos estrictamente necesarios para la finalidad informada.
- Implementar medidas de seguridad reforzadas, tanto técnicas como organizativas, para proteger la confidencialidad e integridad de sus datos y prevenir cualquier acceso o uso no autorizado.
Artículo 9.- Origen de los Datos
Los datos personales son obtenidos lícitamente de las siguientes fuentes.
Las fuentes de obtención son las siguientes:
- Directamente del titular o su representante legal en documentos digitales o físicos específicos para la recolección de datos y consentimiento para iniciar el tratamiento.
- De fuentes de acceso público (registros públicos). Si los datos provienen de fuentes públicas, su uso debe respetar los principios de proporcionalidad, finalidad y minimización.
- De terceros que cuentan con el consentimiento expreso, libre, informado e inequívoco del titular para compartir su información.
Los tipos de tratamientos que realizará CRISFE. Son los descritos en el artículo 6 de la presente política.
CAPÍTULO IV: CONSERVACIÓN DE LOS DATOS
Artículo 10.- Conservación de los Datos.
La Fundación CRISFE utilizará las medidas técnicas y organizativas apropiadas para garantizar la seguridad, confidencialidad, integridad y privacidad de los datos personales evitando accesos no autorizados, procesamiento ilegal o pérdidas, destrucción o daños de los archivos. Se aplicará el principio de limitación del plazo de conservación, reteniendo los datos personales únicamente durante el tiempo indispensable para cumplir con las finalidades para las que fueron recabados y en observancia de las obligaciones legales aplicables. El período de retención específico se definirá según la naturaleza y categoría de los datos, conforme a los criterios establecidos en la normativa aplicable en materia de protección de datos personales. Los plazos específicos de conservación se encuentran detallados en el Registro de Actividades de Tratamiento, documento que es mantenido y actualizado de manera permanente por CRISFE.
Una vez cumplida la finalidad que motivó el tratamiento o finalizada la relación contractual con el titular, CRISFE procederá a la supresión o bloqueo de los datos personales de sus sistemas activos. No obstante, aquellos que deban conservarse para cumplir obligaciones legales o formulación de ejercicio de defensa de reclamaciones durante los plazos de prescripción aplicables serán sometidos a un régimen de bloqueo, permaneciendo exclusivamente a disposición de las autoridades competentes y sin posibilidad de tratamiento adicional, y solo de manera excepcional se podrá autorizar una conservación extendida cuando el propósito sea exclusivamente en función de archivos de interés público, fines de investigación e históricos adoptando las garantías adecuadas para proteger los derechos y libertades de los titulares.
CRISFE implementará procedimientos internos para la revisión periódica y la supresión segura de la información que ya no sea necesaria.
CAPÍTULO V: TRANSFERENCIA Y SEGURIDAD DE LOS DATOS
Artículo 11.- Transferencias y Comunicaciones de Datos.
CRISFE realizará transferencias y comunicaciones de datos personales a terceros, únicamente para las finalidades informadas y bajo la base legitimadora en la que se fundamente el tratamiento. Estas comunicaciones o transferencias serán de carácter nacional o internacional, según la necesidad para la correcta prestación de los servicios y el cumplimiento de las finalidades.
Los principales destinatarios incluyen.
A continuación se detallan los destinatarios principales:
- Autoridades competentes: cuando sea requerido por ley y/o con una orden judicial.
- Encargados de tratamiento: proveedores de servicios nacionales o internacionales (tales como plataformas de gestión académica, servicios de alojamiento en la nube, procesamiento de nómina). Con todos ellos se suscribirán los correspondientes contratos de encargo de tratamiento que garanticen la protección de los datos.
- Otras instituciones educativas: para la gestión de programas de intercambio, convenios interinstitucionales, procesos de admisión a educación superior y cambio de colegio. La transferencia en estos casos ocurrirá únicamente por autorización del titular, mandato legal o el representante legal.
En el caso de transferencias internacionales (por ejemplo, al usar servicios en la nube), estas se realizan únicamente a países que cuenten con un nivel adecuado de protección de datos declarado por la Autoridad de Control. De no ser el caso, CRISFE implementará las garantías adecuadas (como cláusulas contractuales reforzadas que cumplan con la LOPDP).
Artículo 12.- Medidas de Seguridad y Protección de la Información
La Fundación CRISFE se compromete a proteger la seguridad de los datos personales bajo su responsabilidad, aplicando un enfoque integral, basado en la prevención de riesgos y con el cumplimiento de la normativa del país, para garantizar de forma permanente confidencialidad, integridad y disponibilidad de la información.
Estas medidas de seguridad no solo están destinadas a proteger los datos contra accesos no autorizados, pérdida o alteración, sino que son un pilar fundamental para garantizar el ejercicio seguro y efectivo de los derechos de los titulares, tales como el acceso, rectificación, eliminación u oposición.
La Fundación implementará los protocolos técnicos y organizativos necesarios para atender dichas solicitudes de forma segura y dentro de los plazos legales.
Para ello, se implementarán y mantendrán actualizadas las medidas de seguridad apropiadas, teniendo en cuenta el estado de la técnica, los costos de aplicación, y la naturaleza, el alcance, el contexto y las finalidades del tratamiento, así como los riesgos para los derechos y libertades de los titulares. Estas medidas se clasifican en medidas técnicas, organizativas y jurídicas.
CAPÍTULO VI: DERECHOS DE LOS TITULARES Y SU EJERCICIO
Artículo 13.- Derechos del Titular.
CRISFE garantiza al titular el ejercicio de los siguientes derechos, conforme a la LOPDP:
- Acceso: solicitar y recibir información sobre el tratamiento de sus datos personales.
- Rectificación y actualización: corregir datos inexactos o completar datos incompletos.
- Eliminación: solicitar la supresión de sus datos cuando el tratamiento sea ilícito, innecesario o haya finalizado la finalidad.
- Oposición: oponerse al tratamiento de sus datos por motivos legítimos.
- Portabilidad: recibir sus datos en un formato compatible y estructurado, o solicitar que se transmitan a otro responsable.
- Suspensión del tratamiento: limitar temporalmente el uso de sus datos.
- A no ser objeto de decisiones automatizadas: derecho a no ser sometido a decisiones basadas únicamente en procesos automatizados que produzcan efectos jurídicos significativos.
Artículo 14.- Declaración de valoraciones automatizadas supervisadas por humanos.
CRISFE en calidad de responsable del tratamiento de datos declara que todo proceso que implique el uso de herramientas automatizadas para clasificación o apoyo en toma de decisiones que puedan producir efectos jurídicos o impactar significativamente a los titulares será objeto de revisión y validación por una persona competente.
Para la realización de procesos de análisis, estudios estadísticos, reportes institucionales o cualquier actividad de procesamiento de información, CRISFE aplicará las medidas técnicas y organizativas necesarias para garantizar que los datos utilizados en dichos procesos no permitan, directa ni indirectamente, la identificación de los titulares.
A tal efecto, previo al inicio de cualquier proceso de análisis, los datos personales serán sometidos a transformaciones que eliminen o desvinculen los elementos identificadores de los titulares, de modo que la información resultante no pueda asociarse a una persona física determinada o determinable.
Las medidas aplicadas serán proporcionales a la naturaleza y sensibilidad de los datos, y serán verificadas antes de cada proceso a fin de asegurar que ningún elemento identificador permanezca en la información que se analiza.
Bajo ningún caso se adoptarán decisiones basadas exclusivamente en tratamientos automatizados sin intervención humana significativa, garantizando al titular la posibilidad de revisión de los procesos.
Artículo 15.- Proceso para el Ejercicio de Derechos.
El titular podrá ejercer cualquiera de los derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, portabilidad, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas y demás derechos consagrados en la Ley, así como revocar su consentimiento para el tratamiento de sus datos personales enviando un correo electrónico a nuestro Delegado de Protección de Datos Personales al correo electrónico dalvarez@niubox.legal donde se le atenderá en tiempo y forma. Nuestro Delegado de Protección de Datos Personales le proporcionará el formulario de la “Solicitud de ejercicio de derechos”.
Para que nuestro Delegado de Protección de Datos Personales pueda darle seguimiento a su solicitud, usted o su representante legal deberá acreditar correctamente su identidad y la vigencia de la representación, para lo que es necesario que acompañe su solicitud con:
● El nombre y dirección de correo del titular o cualquier otro medio idóneo para recibir respuestas.
● Un documento que acredite la identidad del solicitante y, en caso dado, la de su representante con la respectiva autorización.
● La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos y la solicitud concreta.
En caso de que la solicitud no cumpla con los requisitos o la información proporcionada requiera ser aclarada, o bien no se acompañen los documentos de acreditación correspondientes, nuestro Delegado de Protección de Datos Personales, dentro de los cinco (5) días hábiles siguientes a la recepción de la solicitud, podrá requerir el aporte de los elementos o documentos necesarios para dar trámite a la misma. Usted contará con diez (10) días hábiles para atender el requerimiento o completar la solicitud, contados a partir del día siguiente en que lo haya sido notificado. De no dar respuesta en dicho plazo, el delegado procederá a archivar su solicitud y notificarle sobre su rechazo. Este rechazo no impedirá que presente nuevamente su solicitud.
De resultar procedente, nuestro Delegado de Protección de Datos Personales atenderá su solicitud dentro de los quince (15) días hábiles de haberla recibido y será gratuita.
En caso del derecho de portabilidad.
Se podrá ejercer este derecho siempre que se cumpla con los siguientes requisitos:
- El tratamiento se basa en el consentimiento del titular. La transferencia se realizará siempre que sea técnicamente posible; caso contrario, el titular podrá efectuarla por los medios disponibles.
- El tratamiento se realiza por medios automatizados.
- El tratamiento consiste en un volumen relevante de datos personales.
- Siempre que sea necesario para cumplir obligaciones y ejercicios de derechos del responsable, encargado y titular en el ámbito del derecho laboral y seguridad social.
El presente derecho no será aplicable respecto de aquella información que haya sido elaborada, generada o producida por CRISFE como resultado del procesamiento, cruce o análisis de los datos personales proporcionados por el titular.
Incluyendo de manera enunciativa más no limitativa toda información resultante de procesos internos orientados a la adaptación o personalización de contenidos, servicios o experiencias, a la formulación de recomendaciones basadas en patrones, preferencias o comportamientos identificados, a la clasificación o segmentación del titular dentro de grupos o categorías determinadas, o a la construcción de perfiles de cualquier naturaleza. En estos casos, la información resultante constituye un producto intelectual y operativo propio de CRISFE, por lo que no estará sujeta al ejercicio del derecho invocado por parte del titular.
CAPÍTULO VII: DISPOSICIONES FINALES
Artículo 16.- Veracidad de los Datos y Responsabilidad del Titular.
El titular garantiza que todos los datos personales proporcionados a la Fundación CRISFE son veraces, exactos, completos y se encuentran debidamente actualizados. La responsabilidad de comunicar cualquier modificación de los mismos recae directamente en el titular.
La entrega de información errónea, inexacta o desactualizada puede impactar negativamente en la calidad de los servicios educativos, programas de ayuda o cualquier otro vínculo que el titular mantenga con la Fundación. En tales circunstancias, CRISFE no puede asegurar la correcta prestación de sus servicios o el cumplimiento de sus obligaciones.
El titular será el único responsable por los daños y perjuicios, directos o indirectos, que la información falsa o inexacta pudiera causar a la Fundación o a terceros. En este sentido, la Fundación CRISFE se reserva el derecho de suspender o dar por terminada la prestación de un servicio o beneficio si constata que los datos proporcionados son incorrectos, sin perjuicio de las acciones legales que pudieran corresponder.
El suministro de los datos personales solicitados por CRISFE constituye un requisito necesario para el inicio, desarrollo y continuidad de la relación educativa. Dichos datos son indispensables para el cumplimiento de las finalidades descritas en el presente aviso de privacidad y para la correcta prestación del servicio educativo.
En caso de que el titular se niegue a proporcionar los datos personales requeridos, o de que estos sean incompletos, inexactos o no sean suministrados oportunamente, CRISFE se encontrará imposibilitada para llevar a cabo la prestación del servicio educativo, sin que ello genere responsabilidad alguna para el responsable del tratamiento.
Lo anterior aplica tanto para los datos personales catalogados como obligatorios, cuya entrega condiciona directamente la prestación del servicio, como para aquellos datos cuya negativa pueda limitar parcialmente determinadas funcionalidades, beneficios o procesos vinculados al servicio educativo.
Para asegurar el cumplimiento de esta disposición, recordamos al titular su derecho y deber de solicitar la rectificación y actualización de sus datos a través de los canales establecidos en la presente Política.