Política de Privacidad y Protección de Datos Personales

Antecedentes y compromiso

En Legathea sabemos que, detrás de cada dato, hay una persona real: clientes, proveedores, aliados, colaboradores. No hablamos solo de “registros” o “bases de datos”, sino de nombres, teléfonos, correos, hábitos de compra… en fin, información que dice algo de usted.

El derecho a la protección de datos personales está reconocido como derecho fundamental en la Constitución de la República del Ecuador (art. 66, numeral 19) y desarrollado de forma específica en la Ley Orgánica de Protección de Datos Personales (LOPDP), cuyo objeto es garantizar el ejercicio de este derecho y regular principios, obligaciones y mecanismos de tutela.

Esta Política se inspira directamente en la Política de Protección de Datos Personales de la Superintendencia de Protección de Datos Personales (SPDP) y en los lineamientos y directrices de la política de privacidad y protección de datos personales emitidos por dicha autoridad.

Objeto de esta Política

Esta Política de Privacidad y Protección de Datos Personales (“Política”) explica:

  • Qué datos personales tratamos en Legathea.
  • Para qué los usamos y con qué bases de legitimación (consentimiento, contrato, obligaciones legales, interés legítimo, etc.), de acuerdo con el art. 7 de la LOPDP y su Reglamento General (Decreto Ejecutivo 488).
  • Durante cuánto tiempo los conservamos, conforme al principio de conservación (art. 10 LOPDP y arts. 8 a 11 del Reglamento General).
  • Con quién podemos compartirlos y bajo qué condiciones, siguiendo la normativa general para transferencias nacionales e internacionales y las disposiciones reglamentarias sobre comunicación de datos a terceros.
  • Qué derechos le asisten como titular (acceso, rectificación, eliminación, oposición, portabilidad, suspensión, entre otros) según los arts. 12 a 17 de la LOPDP.
  • Cómo puede ejercer esos derechos y ante quién, de acuerdo con el procedimiento previsto en la LOPDP y su Reglamento (arts. 12 a 16 del Reglamento General).

Al navegar en nuestros sitios web, usar nuestros canales digitales, contratar nuestros productos o servicios o relacionarse comercialmente con Legathea, usted declara conocer y aceptar esta Política, sin perjuicio de los consentimientos específicos que podamos solicitarle en cada formulario o contrato.

Responsable del tratamiento de datos personales

El responsable del tratamiento de sus datos personales es:

  • Nombre o razón social: LEGATHEA
  • Correo electrónico de contacto para protección de datos:
     requerimientos@legathea.com
  • Teléfono de contacto: según datos de contacto corporativos vigentes.

Legathea decide sobre la finalidad y medios del tratamiento de los datos personales, en los términos del art. 4 numeral sobre responsable de tratamiento de la LOPDP.

Delegado de Protección de Datos Personales (DPO)

Cuando, por el tamaño de nuestras operaciones y el tipo de tratamientos que realizamos, resulte obligatorio designar un Delegado de Protección de Datos Personales, Legathea lo hará y registrará ante la SPDP, conforme a la definición de delegado de protección de datos personales del art. 4 LOPDP y a la normativa específica sobre delegados (incluido el reglamento emitido por la SPDP).

Mientras tanto, cualquier consulta o ejercicio de derechos podrá canalizarse al correo de contacto mencionado en el punto anterior.

Marco normativo aplicable

El tratamiento de datos personales realizado por Legathea se rige, entre otras, por las siguientes normas:

  • Constitución de la República del Ecuador.
  • Ley Orgánica de Protección de Datos Personales (Registro Oficial Suplemento 459 de 26-may-2021).
  • Reglamento General a la LOPDP (Decreto Ejecutivo 488, Registro Oficial 130 de 26-jul-2022, y sus reformas).
  • Ley de Comercio Electrónico, Firmas y Mensajes de Datos.
  • Normativa general y resoluciones de la SPDP, incluyendo, entre otras:
    • Lineamientos y directrices de política de privacidad y de protección de datos personales.
    • Normativa general sobre transferencias o comunicaciones nacionales e internacionales de datos personales (Res. SPDP-SPD-2025-0024-R).
    • Normativa general para la aplicación del interés legítimo como base legitimadora (Res. SPDP-SPD-2025-0041-R).
  • Códigos y leyes sectoriales que puedan resultar aplicables (por ejemplo, normativa tributaria, laboral, de defensa del consumidor, etc.).

Definiciones básicas (en lenguaje sencillo)

Tomamos las definiciones del art. 4 de la LOPDP, pero las explicamos de forma cercana:

  • Dato personal: cualquier información que lo identifica o lo hace identificable (nombre, cédula, teléfono, correo, datos de compra, IP, etc.).
  • Dato sensible: datos especialmente protegidos, como salud, orientación sexual, religión, ideología, etnia, datos biométricos, entre otros.
  • Titular: usted, la persona natural cuyos datos tratamos.
  • Tratamiento: cualquier operación sobre datos personales: recolección, registro, organización, almacenamiento, modificación, uso, comunicación, transferencia, eliminación, etc.
  • Responsable del tratamiento: Legathea, que decide para qué y cómo se tratan los datos.
  • Encargado del tratamiento: tercero que trata datos por cuenta de Legathea (por ejemplo, proveedores de hosting, servicios en la nube, plataformas de correo masivo).
  • Transferencia o comunicación: compartir datos personales con un tercero, nacional o extranjero.

Principios de tratamiento

Legathea aplica los principios establecidos en el art. 10 de la LOPDP: juridicidad, lealtad, transparencia, finalidad, minimización, proporcionalidad, confidencialidad, calidad, conservación, seguridad, responsabilidad proactiva y aplicación favorable al titular.

Traducido a la práctica, esto significa, por ejemplo:

  • No pedimos más datos de los necesarios.
  • No usamos sus datos para finalidades que no le hayamos explicado.
  • Intentamos que todo sea claro, entendible y sin letras pequeñas escondidas.
  • Revisamos periódicamente si seguimos necesitando sus datos; cuando ya no, procedemos a su eliminación, bloqueo o anonimización, como exige el Reglamento General.

Cómo obtenemos sus datos

Podemos recopilar sus datos personales por distintas vías:

  1. Datos identificativos y de contacto
    • Nombres y apellidos, número de cédula o pasaporte, RUC (para personas naturales con actividad económica), dirección física, teléfonos, correo electrónico, firma y cargo.
  2. Datos de carácter comercial y de productos
    • Historial de compras, productos adquiridos (agroquímicos para floricultura, por ejemplo), condiciones comerciales pactadas, condiciones de crédito, preferencias de compra.
  3. Datos de facturación y pago
    • Datos bancarios o de medios de pago, únicamente cuando sea estrictamente necesario para la transacción y bajo medidas de seguridad adecuadas.
  4. Datos de navegación y uso de sitios web
    • Dirección IP, identificadores de cookies, logs de acceso, configuración de dispositivo y navegador, comportamiento de navegación en nuestras páginas.
  5. Datos relacionados con comunicaciones
    • Contenido de consultas, reclamos, solicitudes de ejercicio de derechos, registros de atención, correos enviados y recibidos para estos fines, según los requisitos de registro de solicitudes del Reglamento General.

En principio, Legathea no trata datos sensibles de manera sistemática a través de sus canales comerciales ordinarios. Si por la naturaleza de alguna relación llegáramos a requerir datos sensibles, lo haríamos con las salvaguardas reforzadas que exigen la LOPDP y su Reglamento (consentimiento expreso, análisis de riesgos, medidas adicionales, etc.).

Bases de legitimación del tratamiento

Conforme al art. 7 de la LOPDP, el tratamiento de sus datos por parte de Legathea será legítimo cuando se base, al menos, en una de las siguientes condiciones:

  1. Consentimiento
    • Cuando utilicemos sus datos para envíos de comunicaciones comerciales por medios electrónicos, boletines, suscripción a contenidos o acciones de marketing directo, le pediremos su consentimiento previo, libre, específico, informado e inequívoco.
  2. Ejecución de un contrato o medidas precontractuales
    • Cuando tratamos datos para atender cotizaciones, pedidos, contratos de suministro, facturación, pagos, garantía de productos, soporte técnico, etc.
  3. Cumplimiento de obligaciones legales
    • Cuando la legislación tributaria, laboral, de defensa del consumidor u otra normativa nos obligue a conservar determinados datos o a comunicarlos a autoridades competentes.
  4. Interés legítimo de Legathea o de terceros, aplicado conforme a la normativa general emitida por la SPDP sobre esta base de legitimación.
    • Por ejemplo, para seguridad de la red y de la información, prevención del fraude, análisis interno de mejora de procesos, o segmentación básica de clientes.
    • En estos casos, Legathea aplicará un test de interés legítimo que pondera nuestros intereses y sus derechos, tal como exigen las resoluciones de la SPDP y el Reglamento General (evaluación del interés, impacto en titulares, equilibrio provisional y garantías adicionales).

Fines del tratamiento

Resumiendo, usamos sus datos para:

  1. Gestión de relaciones comerciales y contractuales
    • Atender pedidos, cotizaciones y entregas.
    • Gestionar catálogos y condiciones comerciales para productos agroquímicos para flores.
    • Facturar, registrar pagos, gestionar reclamaciones, garantías y devoluciones.
  2. Atención de consultas y servicio al cliente
    • Responder a consultas, quejas o reclamos.
    • Hacer seguimiento de casos hasta su cierre, cumpliendo el derecho a la información y acceso previstos en los arts. 12 y 13 de la LOPDP.
  3. Gestión de proveedores y aliados
    • Evaluar, contratar y gestionar proveedores, incluyendo condiciones económicas, calidad, cumplimiento y contactos logísticos.
  4. Gestión del sitio web y seguridad
    • Permitir que el sitio funcione correctamente (cookies técnicas y de sesión).
    • Habilitar la creación de cuentas de usuario (si aplica).
    • Permitir la publicación y moderación de comentarios, incluyendo medidas contra spam.
    • Mantener registros de actividad para detectar incidentes de seguridad y cumplir con la obligación de notificar vulneraciones de datos personales prevista en la LOPDP y su Reglamento.
  5. Marketing, comunicaciones y mejora de servicios
    • Enviar información sobre productos, promociones, noticias de privacidad y seguridad de la información y contenidos relacionados, siempre que tengamos una base legítima (consentimiento o interés legítimo compatible).
    • Realizar análisis estadísticos y estudios internos para mejorar nuestros productos, procesos comerciales y experiencia de cliente, siguiendo el principio de minimización.

Plazos de conservación

En cumplimiento del principio de conservación de la LOPDP y de los arts. 8 a 11 del Reglamento General, Legathea no conservará los datos personales más tiempo del estrictamente necesario para los fines que justificaron su tratamiento.

A título orientativo:

  • Datos comerciales y contractuales: durante la vigencia de la relación contractual y, luego de terminada, por los plazos de prescripción de responsabilidades civiles, tributarias y administrativas aplicables.
  • Datos para comunicaciones comerciales: hasta que usted retire su consentimiento o ejerza su derecho de oposición.
  • Registros de solicitudes de derechos y reclamos: al menos durante los plazos que exige el Reglamento General para conservar evidencia de la atención de derechos.
  • Datos de comentarios en el sitio web: se conservarán mientras el contenido se mantenga publicado y no se solicite su eliminación o la normativa exija su conservación por más tiempo.

Una vez superados los plazos, aplicaremos procesos de eliminación, bloqueo o anonimización segura, de acuerdo con los criterios del Reglamento General y la normativa técnica aplicable.

Transferencias, encargados y comunicaciones de datos

Legathea no vende sus datos personales. Sin embargo, para cumplir las finalidades indicadas, podemos:

  1. Compartir datos con encargados de tratamiento, tales como:
    • Proveedores de servicios tecnológicos (hosting, nube, correo, CRM, herramientas de marketing, pasarelas de pago, etc.).
    • Prestadores de servicios de soporte técnico, auditorías o consultorías.

En estos casos, suscribimos contratos de encargo de tratamiento que cumplen con la LOPDP, su Reglamento y la normativa general sobre transferencia de datos personales, asegurando que el encargado solo trate los datos siguiendo nuestras instrucciones y con las medidas de seguridad exigidas.

  1. Realizar transferencias o comunicaciones nacionales o internacionales
    • Siempre que sea necesario para la ejecución de contratos, para cumplir obligaciones legales o con su consentimiento, según las hipótesis del art. 21 y siguientes del Reglamento General y la normativa general sobre transferencias nacionales e internacionales emitida por la SPDP.
    • Si se trata de una transferencia internacional hacia un país con menor nivel de protección que Ecuador, Legathea exigirá garantías suficientes (cláusulas contractuales, medidas técnicas y organizativas, etc.) para proteger la confidencialidad, integridad, disponibilidad y resiliencia de los datos, siguiendo los criterios que la propia SPDP ha establecido en su Política y resoluciones.

Derechos de los titulares

En línea con los arts. 12 a 17 de la LOPDP, usted puede ejercer, entre otros, los siguientes derechos:

  • Derecho a la información: a saber, de forma clara y simple, por qué tratamos sus datos, sobre qué base, durante cuánto tiempo, con quién los compartimos, cómo ejercer sus derechos y cómo reclamar ante la SPDP si fuera necesario.
  • Acceso: a conocer qué datos personales suyos tenemos y obtener copia de ellos.
  • Rectificación y actualización: a corregir datos inexactos o desactualizados.
  • Eliminación: a que eliminemos sus datos cuando ya no sean necesarios, cuando retire su consentimiento o cuando el tratamiento sea ilícito, entre otros supuestos.
  • Oposición: a oponerse a ciertos tratamientos, en especial al marketing directo o a tratamientos basados en interés legítimo, cuando prevalezcan sus derechos.
  • Suspensión o limitación: a que se restrinja temporalmente el tratamiento en los casos previstos en la Ley.
  • Portabilidad: a recibir sus datos en un formato estructurado y de lectura mecánica, o a que los transmitamos a otro responsable, cuando sea técnicamente posible.
  • A no ser objeto de decisiones basadas únicamente en valoraciones automatizadas, incluyendo la elaboración de perfiles, en las condiciones previstas por la LOPDP.

Cómo ejercer sus derechos (procedimiento)

En cumplimiento de los arts. 6 de la LOPDP y 12 a 16 del Reglamento General, Legathea habilitará canales sencillos, preferentemente digitales, para el ejercicio de derechos.

Para ejercer cualquier derecho, usted puede:

  1. Enviar un correo electrónico a:
    requerimientos@legathea.com (o la dirección actualizada que se informe en el sitio web).
  2. O presentar su solicitud en formato físico en el domicilio de Legathea.

La solicitud debe incluir, como mínimo, lo que exige el art. 13 del Reglamento General:

  • Nombres y apellidos, número de cédula o pasaporte.
  • Dirección física o electrónica para notificaciones.
  • Descripción clara y precisa de los datos sobre los que desea ejercer el derecho.
  • Derecho(s) que desea ejercer.
  • Documentos que acrediten su identidad o, en su caso, su representación.

Legathea podrá solicitarle, una sola vez, aclaración o información adicional dentro de los 5 días siguientes a la recepción de la solicitud, y usted dispondrá de 10 días para completar la información, según el art. 14 del Reglamento General.

Los plazos de respuesta serán, como regla general, de 15 días para los principales derechos (acceso, rectificación, eliminación, oposición, etc.), tal como prevé la LOPDP, sin perjuicio de las extensiones justificadas que la Ley permita.

Si, luego de nuestra respuesta o si no recibe respuesta en el plazo previsto, considera que sus derechos han sido vulnerados, puede presentar un reclamo ante la Superintendencia de Protección de Datos Personales, conforme al procedimiento previsto en el art. 16 del Reglamento General y la normativa complementaria que emita la SPDP.

Seguridad de los datos personales

Siguiendo el art. 10 literal j) de la LOPDP y las obligaciones sobre vulneración de seguridad contempladas en el Reglamento General, Legathea implementa medidas técnicas, organizativas y administrativas razonables para proteger la confidencialidad, integridad y disponibilidad de los datos personales frente a riesgos y amenazas.

Entre otras:

  • Políticas de control de acceso y gestión de privilegios.
  • Registros de actividad y monitoreo razonable de eventos de seguridad.
  • Cifrado y seudonimización de datos cuando resulte apropiado.
  • Procedimientos de copia de seguridad, continuidad del negocio y recuperación ante desastres, tomando como referencia normas como ISO/IEC 27001, 27002, 27005, 27701, ISO 22301, ISO/IEC 27037 y buenas prácticas como OWASP Top 10 y modelos de gestión de riesgo (por ejemplo, FAIR), al igual que la propia SPDP ha señalado en su Política.
  • Procedimientos para la gestión y notificación de incidentes de seguridad a la SPDP y a los titulares, en los casos exigidos por la LOPDP y su Reglamento (vulneraciones que puedan implicar riesgos para los derechos y libertades de las personas).

Uso de cookies y tecnologías similares

Sabemos que el tema “cookies” suele sonar abstracto. Vamos por partes.

Una cookie es un pequeño archivo que se almacena en su navegador y que puede servir para recordar ciertas preferencias, mantener activa una sesión, medir el uso del sitio, entre otros. La propia SPDP explica que las cookies permiten identificar páginas visitadas, frecuencia y personalizar la experiencia del usuario.

En nuestros sitios web podemos utilizar:

  1. Cookies técnicas o necesarias
    • Permiten que el sitio funcione: gestión de sesión, seguridad, configuración básica, formularios, etc.
    • Por ejemplo, cuando visita la página de inicio de sesión, se instala una cookie temporal para comprobar si su navegador acepta cookies; no contiene datos personales y se elimina al cerrar el navegador.
  1. Cookies de preferencias
    • Recuerdan datos como idioma, zona horaria, preferencias de visualización.
    • Si deja un comentario, puede optar por guardar su nombre, correo y sitio web en cookies para no volver a escribirlos en futuras visitas; estas cookies pueden tener una duración aproximada de un año.
  1. Cookies de análisis y rendimiento
    • Nos ayudan a saber qué páginas se visitan más, cuánto tiempo se permanece en ellas, qué contenido resulta más útil, etc., con fines estadísticos y de mejora de servicios.
  1. Cookies de personalización y marketing (cuando se usen)
    • Podrían emplearse para mostrar contenidos o anuncios más relevantes, o para medir campañas comerciales, siempre con una base de legitimación adecuada (consentimiento o interés legítimo ponderado).

Usted puede gestionar sus cookies:

  • Desde las opciones de configuración de su navegador (bloquear, eliminar o restringir cookies).
  • A través de los mecanismos de configuración de cookies que Legathea ponga a disposición en el sitio (por ejemplo, un banner o panel de preferencias con niveles similares a los descritos por la SPDP: básico, equilibrado, alta personalización).

Comentarios, contenido incrustado y servicios de terceros

  1. Comentarios en el sitio web
    • Cuando deja un comentario, recopilamos lo que usted escribe en el formulario, junto con su IP y la cadena del agente de usuario del navegador, para ayudar a detectar spam.
    • Podremos utilizar servicios de detección automatizada de spam de terceros, que tratarán esos datos bajo sus propias políticas de privacidad.
  1. Servicios tipo avatar
    • Podemos enviar una cadena anonimizada (hash) de su correo electrónico a servicios como avatar para verificar si los utiliza; su foto de perfil, en su caso, puede mostrarse junto a su comentario, conforme a las políticas del proveedor.
  1. Contenido incrustado de terceros (videos, mapas, redes sociales, etc.)
    • Los artículos de nuestro sitio pueden incluir contenido incrustado que se comporta igual que si usted visitara directamente la página del tercero (puede colocar sus propias cookies, recopilar datos adicionales y rastrear su interacción).
    • Le recomendamos revisar las políticas de privacidad de esos servicios (YouTube, Google Maps, redes sociales, etc.) antes de interactuar con el contenido incrustado.

Actualizaciones de la Política

La protección de datos es un ámbito vivo: cambian las leyes, la tecnología y las expectativas de las personas. Por eso, Legathea revisará esta Política de forma periódica y la actualizará cuando:

  • Cambien las normas (por ejemplo, reformas a la LOPDP, su Reglamento o nuevas resoluciones de la SPDP).
  • Cambien nuestras operaciones, procesos o tecnologías que afecten el tratamiento de datos personales.

Publicaremos la versión actualizada en nuestros canales oficiales e indicaremos la fecha de última actualización. Si los cambios afectan de forma relevante sus derechos o el modo en que usamos sus datos, volveremos a solicitar su consentimiento cuando corresponda, siguiendo la misma lógica que la SPDP aplica en su propia política de protección de datos personales.

Contacto

Si, después de leer todo esto, todavía le queda alguna duda (es normal), puede escribirnos a:

  • Correo electrónico para protección de datos:
    requerimientos@legathea.com
  • Domicilio: Quito, República del Ecuador Huachi 619, Quito 170103.

Le responderemos con la mayor claridad posible, siempre dentro de los plazos previstos en la LOPDP y su Reglamento. Y, si aun así no queda satisfecho, recuerde que siempre puede acudir a la Superintendencia de Protección de Datos Personales, que es la autoridad de control independiente encargada de supervisar el cumplimiento de la Ley en Ecuador.

Última actualización: 01/01/2026