FARMACIAS Y SUPERMERCADOS FARMAPLUS A&V ASOCIADOS FARMAMIGA CIA. LTDA. (en
adelante, “FARMAPLUS”, en cumplimiento del artículo 66 numeral 19 de la Constitución de la
República del Ecuador y de la Ley Orgánica de Protección de Datos Personales (LOPDP), reconoce
el derecho fundamental de las personas a la protección de sus datos personales.
La presente Política establece las condiciones bajo las cuales la Empresa recolecta, utiliza,
almacena, comunica y elimina datos personales, garantizando su tratamiento lícito, leal,
transparente, proporcional, confidencial y seguro.
Esta Política es obligatoria para directivos, trabajadores, proveedores, encargados del
tratamiento y cualquier tercero que actúe por cuenta de la Empresa.
Razón Social: FARMACIAS Y SUPERMERCADOS FARMAPLUS A&V ASOCIADOS FARMAMIGA CIA.
LTDA.
RUC: 1792668948001
Domicilio: Calle Pedregal N34-83 y Rumipamba, Quito – Ecuador
Teléfono: 0999531513
Correo electrónico:documentacion@sufarmaplus.com
Página web: farmalumedical.com
FARMAPLUS actúa como responsable del Tratamiento respecto de los datos personales que
recolecta y gestiona.
La Empresa ha designado un Delegado de Protección de Datos Personales, quien actúa con
independencia funcional y técnica.
Contacto del DPD:
Dirección: Calle Pedregal N34-83 y Rumipamba, Quito – Ecuador
Correo electrónico: documentacion@sufarmaplus.com
El DPD es el punto de contacto para el ejercicio de derechos y consultas en materia de
protección de datos.
Comercialización de productos farmacéuticos y dispositivos médicos.
Verificación y archivo de recetas médicas cuando aplique.
Facturación y cumplimiento tributario.
Gestión de garantías y devoluciones.
Atención de reclamos.
Programas promocionales (previo consentimiento).
Cumplimiento de obligaciones sanitarias y regulatorias.
Gestión contractual.
Evaluación comercial.
Cumplimiento de obligaciones legales y tributarias.
Gestión de procesos de selección.
Administración de la relación laboral.
Pago de remuneraciones y afiliación al IESS.
Cumplimiento de obligaciones laborales.
Videovigilancia para protección de personas e instalaciones.
Prevención de fraude y control interno.
El tratamiento de los datos personales se fundamenta en las siguientes bases legales:
Artículo 66 numeral 19 de la Constitución de la República del Ecuador
Artículo 7 numerales 1, 2, 5 y 8 de la Ley Orgánica de Protección de Datos
Personales, que legitiman el tratamiento por:
La Empresa podrá tratar:
Datos identificativos (nombre, cédula, dirección, teléfono).
Datos de contacto.
Datos financieros y tributarios.
Datos laborales.
Datos de salud estrictamente necesarios (por ejemplo, receta médica), tratados como
categoría especial con mayores medidas de seguridad.
Imágenes captadas por videovigilancia.
En el desarrollo de sus actividades comerciales relacionadas con la venta al por mayor y menor
de productos farmacéuticos, dispositivos médicos e insumos para la salud, FARMACIAS Y
SUPERMERCADOS FARMAPLUS A&V ASOCIADOS FARMAMIGA CIA. LTDA. (en adelante,
“FARMAPLUS”) realiza, de manera lícita, controlada, proporcional y segura, los siguientes tipos
de tratamiento de datos personales:
Obtención de datos personales directamente del titular, su representante legal o mediante
receta médica válidamente emitida, a través de medios físicos (formularios, facturas, recetas),
electrónicos o sistemas informáticos, estrictamente necesarios para la comercialización de
productos y cumplimiento normativo.
Incorporación de los datos personales en sistemas de facturación, registros contables, bases de
datos administrativas, sistemas de inventario o archivos físicos debidamente autorizados.
Clasificación y ordenamiento de los datos conforme a criterios administrativos, contables,
sanitarios y de cumplimiento regulatorio, aplicando principios de minimización y limitación de
finalidad.
Conservación de los datos en archivos físicos y digitales protegidos mediante medidas técnicas
y organizativas adecuadas al nivel de riesgo, especialmente cuando se trate de datos relativos
a la salud, considerados categoría especial conforme la LOPDP.
Acceso restringido únicamente a personal autorizado (administrativo, contable o
farmacéutico), bajo perfiles definidos, principio de mínimo privilegio y deber permanente de
confidencialidad.
Utilización de los datos personales exclusivamente para:
Verificación de recetas médicas cuando corresponda.
Gestión de devoluciones o garantías.
Atención de requerimientos de autoridades competentes.
Cuando se realicen actividades promocionales o de fidelización, se basarán en el
consentimiento previo del titular.
Transmisión de datos personales únicamente cuando exista base legal, a:
Autoridades tributarias o sanitarias.
Entidades de control.
Proveedores que actúen como encargados del tratamiento, bajo contrato y cláusulas de
En todos los casos se aplicarán garantías adecuadas de seguridad y confidencialidad.
Cuando FARMAPLUS trate información contenida en recetas médicas u otros datos
relacionados con la salud del titular, aplicará medidas reforzadas de protección, acceso
restringido y confidencialidad estricta, conforme a la LOPDP y normativa sanitaria aplicable.
Captación, almacenamiento y eventual revisión de imágenes con fines de seguridad,
prevención de fraude y protección de instalaciones, respetando los principios de
proporcionalidad y limitación temporal.
Mantenimiento de los datos durante los plazos legales aplicables (tributarios, laborales o
sanitarios). Una vez cumplida la finalidad o vencidos los plazos de conservación, los datos
serán eliminados, anonimizados o bloqueados de manera segura para evitar su recuperación o
uso indebido.
FARMAPLUS conservará los datos personales únicamente durante el tiempo necesario para
cumplir con las finalidades que motivaron su tratamiento, de conformidad con el principio de
limitación del plazo de conservación establecido en la Ley Orgánica de Protección de Datos
Personales (LOPDP).
Adicionalmente, cuando exista obligación legal de conservación, los datos se mantendrán
durante los plazos establecidos en la normativa ecuatoriana aplicable:
Se conservará durante siete (7) años, conforme lo establece el Código Tributario y la
normativa del Servicio de Rentas Internas (SRI), plazo dentro del cual la Administración
Tributaria puede ejercer facultades de determinación y control.
Se conservarán durante la vigencia de la relación laboral y posteriormente durante el tiempo
necesario para atender posibles reclamaciones laborales, conforme al Código del Trabajo y los
plazos de prescripción establecidos en la legislación laboral ecuatoriana (generalmente hasta
tres años para acciones laborales, sin perjuicio de otras obligaciones documentales exigidas
por la normativa).
Datos relacionados con la salud (recetas médicas u obligaciones sanitarias)
Se conservarán conforme lo establezca la normativa sanitaria emitida por el Ministerio de
Salud Pública y la Agencia Nacional de Regulación, Control y Vigilancia Sanitaria (ARCSA),
particularmente cuando exista obligación de respaldo documental en controles farmacéuticos
o auditorías sanitarias.
Las grabaciones se conservarán por un plazo máximo de 30 días, salvo que deban conservarse
por más tiempo debido a:
Investigación de incidentes.
Requerimiento de autoridad competente.
Procesos administrativos o judiciales.
Se conservarán mientras dure la relación contractual y posteriormente durante el tiempo
necesario para atender responsabilidades civiles o comerciales derivadas de dicha relación,
conforme los plazos de prescripción establecidos en el Código Civil y Código de Comercio.
Una vez cumplida la finalidad del tratamiento y vencidos los plazos legales aplicables, los datos
personales serán:
Bloqueados cuando deban conservarse únicamente para fines probatorios o de
cumplimiento normativo.
En todos los casos se aplicarán medidas técnicas y organizativas que impidan su recuperación,
acceso o uso indebido, en cumplimiento del principio de seguridad y responsabilidad proactiva
previsto en la LOPDP.
La Empresa mantiene bases de datos físicas y digitales que contienen datos personales de
clientes, empleados, ex empleados, proveedores, contratistas, usuarios de servicios, aliados
estratégicos y registros técnicos, incluyendo aquellos generados como resultado de la
prestación de servicios tecnológicos y de ciberseguridad.
Dichas bases de datos se encuentran debidamente identificadas, inventariadas y clasificadas,
y son gestionadas bajo un enfoque de gestión de riesgos, contando con medidas técnicas,
organizativas, administrativas y jurídicas acordes a la naturaleza de los datos tratados, su
nivel de sensibilidad y el impacto potencial ante accesos no autorizados, pérdida, alteración
o divulgación indebida.
Estas medidas incluyen, entre otras, controles de acceso, autenticación, segregación de
funciones, cifrado, monitoreo, respaldos, trazabilidad, políticas internas y procedimientos de
respuesta a incidentes, conforme a la normativa vigente y a los estándares de seguridad de
la información aplicables.
Los datos personales tratados por FarmaPlus pueden provenir de las siguientes fuentes
legítimas:
El propio titular, de forma directa y voluntaria, a través de formularios, contratos,
plataformas digitales, comunicaciones electrónicas o cualquier otro medio
autorizado.
Representantes legales del titular, cuando corresponda y conforme a la ley.
Clientes corporativos o empleadores, en el marco de relaciones contractuales que
impliquen la prestación de servicios tecnológicos o de soporte especializado.
Proveedores tecnológicos, aliados o encargados del tratamiento, cuando sea
necesario para la ejecución del servicio y exista base legal que lo habilite.
Fuentes públicas permitidas por la ley, siempre que los datos sean tratados conforme
a los principios y límites establecidos en la LOPDP.
Cuando los datos personales no provengan directamente del titular, FarmaPlus garantizará
que este sea informado de manera oportuna, clara y transparente sobre el origen de los
datos, las finalidades del tratamiento y los derechos que le asisten, conforme a lo dispuesto
en la normativa aplicable.
FarmaPlus podrá realizar comunicaciones o transferencias de datos personales, únicamente
cuando exista una base legal que las habilite, sean necesarias para el cumplimiento de las
finalidades informadas y se garantice un nivel adecuado de protección de los datos
personales.
Los datos personales podrán ser comunicados, según corresponda (Arts. 35 a 38 LOPDP), a:
Autoridades públicas, judiciales o administrativas competentes, cuando exista una
obligación legal, requerimiento expreso o mandato debidamente fundamentado.
Proveedores y aliados estratégicos que actúen como encargados del tratamiento,
con los cuales FarmaPlus haya suscrito los respectivos contratos de encargo, que
establezcan obligaciones de confidencialidad, seguridad y tratamiento conforme a la
LOPDP.
Clientes o usuarios, exclusivamente cuando la comunicación de los datos resulte
estrictamente necesaria para la prestación de los servicios tecnológicos, de soporte,
ciberseguridad o cumplimiento contractual.
En todos los casos, las transferencias nacionales se realizarán bajo los principios de
minimización, proporcionalidad, confidencialidad y seguridad de la información.
Las transferencias internacionales de datos personales solo se efectuarán cuando se cumpla
al menos una de las siguientes condiciones:
Existan garantías adecuadas que aseguren un nivel de protección equivalente al
Se hayan suscrito contratos de encargo o cláusulas contractuales que garanticen el
cumplimiento de los principios y derechos en materia de protección de datos
Se implementen medidas técnicas, organizativas y de seguridad equivalentes, que
permitan salvaguardar los datos personales frente a accesos no autorizados, pérdida
o uso indebido.
La entrega de los datos personales solicitados por FarmaPlus permite la correcta prestación
de los servicios, el cumplimiento de obligaciones legales y contractuales, así como la
adecuada gestión de la relación con el titular.
La negativa a proporcionar determinados datos personales, cuando estos sean necesarios y
proporcionales para las finalidades informadas, puede dar lugar a:
La imposibilidad de ejecutar contratos o prestar servicios.
La limitación o suspensión de determinadas funcionalidades, accesos o atenciones.
El incumplimiento de obligaciones legales o regulatorias que recaen sobre
FarmaPlus.
El suministro de datos personales erróneos, inexactos, incompletos o desactualizados puede
generar, entre otros efectos:
Fallas en la prestación de los servicios tecnológicos o de soporte.
Riesgos para la seguridad de la información, los sistemas y los activos tecnológicos.
Incumplimientos contractuales o legales, tanto para el titular como para FarmaPlus.
El titular es responsable de mantener sus datos personales veraces y actualizados, sin
perjuicio de su derecho a solicitar su rectificación o actualización.
El titular de los datos personales podrá ejercer, en cualquier momento, los siguientes
derechos (Arts. 12 a 23 LOPDP):
Acceso, para conocer si sus datos están siendo tratados y obtener información sobre
dicho tratamiento.
Rectificación y actualización, cuando los datos sean inexactos, incompletos o
desactualizados.
Eliminación, cuando se cumplan las condiciones previstas en la ley.
Oposición, en los casos legalmente establecidos.
Anulación, cuando el tratamiento carezca de base legal válida.
Limitación del tratamiento, conforme a lo dispuesto en la normativa aplicable.
A no ser objeto de decisiones basadas únicamente en tratamientos automatizados,
incluido el perfilamiento, que produzcan efectos jurídicos o afecten
significativamente al titular.
El titular podrá solicitar la portabilidad de sus datos personales cuando el tratamiento se base
en el consentimiento o en un contrato y se realice por medios automatizados.
FarmaPlus proporcionará los datos en un formato estructurado, de uso común y lectura
mecánica, siempre que ello no afecte derechos de terceros, información confidencial o la
seguridad de los sistemas.
El/la titular de los datos personales podrá ejercer en cualquier momento los derechos
reconocidos en la Ley Orgánica de Protección de Datos Personales, incluyendo, entre otros,
los derechos de acceso, rectificación, actualización, eliminación, oposición, limitación del
tratamiento, portabilidad, a no ser objeto de decisiones automatizadas y la revocatoria del
consentimiento, cuando corresponda.
Para el ejercicio de estos derechos, el/la titular deberá dirigir una solicitud expresa al
Delegado de Protección de Datos Personales, mediante cualquiera de los siguientes canales:
Solicitud escrita presentada de forma presencial en las oficinas de la empresa.
La solicitud deberá indicar claramente el derecho que se desea ejercer (por ejemplo: acceso,
rectificación, eliminación, revocatoria del consentimiento, entre otros), y estar acompañada
de los documentos que acrediten la identidad del titular (copia de la cédula de identidad) o,
de ser el caso, de su representante legal debidamente acreditado.
El Delegado de Protección de Datos Personales será el responsable de recibir, gestionar,
analizar y responder las solicitudes presentadas, dentro de los plazos y condiciones
establecidos en la Ley Orgánica de Protección de Datos Personales, su Reglamento y la
normativa emitida por la Superintendencia de Protección de Datos Personales.
En caso de considerar que sus derechos no han sido debidamente atendidos, el titular podrá
presentar un reclamo ante la Superintendencia de Protección de Datos Personales (SPDP),
conforme a los procedimientos legalmente establecidos.
FarmaPlus no adopta decisiones basadas exclusivamente en tratamientos automatizados
(Art. 19 LOPDP) que produzcan efectos jurídicos significativos o afecten de manera relevante
a los titulares de datos personales.
En caso de que en el futuro se implementen mecanismos de análisis automatizado o
perfilamiento, FarmaPlus garantizará la intervención humana, la transparencia de los
criterios aplicados y el derecho del titular a impugnar la decisión.
FarmaPlus, en su calidad de Responsable del Tratamiento, asume y garantiza frente a los
titulares de datos personales:
Tratar los datos personales conforme a los principios de licitud, lealtad, transparencia,
finalidad, minimización, proporcionalidad, confidencialidad, exactitud, limitación del plazo
de conservación y responsabilidad proactiva.
Implementar y mantener medidas técnicas, organizativas, administrativas y jurídicas acordes
al riesgo, incluyendo controles de acceso, segregación de funciones, monitoreo, gestión de
incidentes y respaldo de la información.
No utilizar los datos personales de los titulares para fines distintos a los informados en esta
Garantizar que el personal autorizado trate los datos personales bajo deber permanente de
confidencialidad, incluso después de finalizada la relación laboral.
Gestionar y notificar oportunamente las vulneraciones de seguridad de datos personales,
conforme a la LOPDP, su Reglamento y los procedimientos internos.
Facilitar el ejercicio efectivo de los derechos del titular, atendiendo solicitudes dentro de los
plazos legales, a través del Delegado de Protección de Datos Personales.
Asegurar que toda comunicación o transferencia de datos personales se realice bajo
garantías legales, contractuales y técnicas adecuadas.
La presente Política de Privacidad y Tratamiento de Datos Personales podrá ser actualizada
en cualquier momento, en función de cambios normativos, operativos o tecnológicos.
La presente Política entra en vigencia a partir de su aprobación y publicación, y sustituye
cualquier versión anterior. Las versiones vigentes serán publicadas a través de los canales
oficiales de FarmaPlus, y estarán disponibles para consulta de los titulares de datos