Este documento establece lineamientos internos para el tratamiento seguro, licito y responsable de datos personales en Sol&Luna Turismo, conforme a la Ley Organica de Proteccion de Datos Personales (LOPDP) del Ecuador.

 

Aprobacion: [Gerencia General / Direccion] – [Nombre y cargo]

1. Objetivo

Definir reglas y controles internos para proteger los datos personales de clientes (agencias/empresas), pasajeros, proveedores, colaboradores y postulantes, reduciendo riesgos de acceso no autorizado, perdida, alteracion o divulgacion.

2. Alcance

Aplica a:

• Colaboradores, pasantes y personal temporal.
• Contratistas y proveedores con acceso a datos por cuenta de Sol&Luna.
• Tratamientos realizados en sistemas, archivos fisicos o digitales, y plataformas en la nube autorizadas.

3. Roles y responsabilidades

• Responsable del tratamiento: Sol&Luna Turismo.
• Responsable interno de privacidad (punto focal): [Nombre] – [Cargo] – [Correo].
• Responsable de seguridad de la informacion (si aplica): [Nombre/Cargo].
• Usuarios internos: cumplir confidencialidad, acceso por necesidad y esta politica.
• Encargados: terceros que tratan datos bajo instrucciones de Sol&Luna (por ejemplo, CRM, hosting, analitica, mensajeria).

4. Principios de tratamiento

Sol&Luna se rige por los principios de: licitud, lealtad y transparencia; finalidad; minimizacion y proporcionalidad; exactitud; confidencialidad; integridad; y responsabilidad proactiva.

5. Clasificacion de datos

• Comerciales (B2B): contactos de agencias/empresas, historial de cotizaciones, acuerdos.
• Operacion turistica: datos necesarios para reservas/emisiones (pasajeros, itinerarios, preferencias).
• Administrativo/financiero: facturacion, cobros, comprobantes y soporte (segun aplique).
• RRHH: colaboradores y postulantes (segun aplique).
• Digital/analitica: navegacion web, cookies y eventos.

6. Reglas internas minimas

1. Acceso por necesidad: solo quienes requieran la informacion para su funcion.
2. Confidencialidad: prohibido divulgar datos a terceros no autorizados.
3. Canales autorizados: no compartir bases o listados por chats personales o correos no corporativos.
4. Descargas y copias: restringidas; todo archivo debe permanecer en repositorios aprobados.
5. Credenciales: no compartir usuarios/contrasenas; usar claves robustas y MFA cuando sea posible.
6. Equipos: bloqueo automatico, antivirus, actualizaciones y control de dispositivos.

7. Medidas de seguridad

Medidas minimas recomendadas:

• Control de accesos por roles y gestion de permisos.
• Cifrado en transito (HTTPS) y proteccion de respaldos.
• Copias de seguridad con periodicidad definida.
• Registro y seguimiento de incidentes.
• Capacitacion anual en phishing, manejo de datos y buenas practicas.

8. Gestion de incidentes

Cualquier sospecha de fuga, perdida o acceso no autorizado debe reportarse inmediatamente a: [correo/mesa interna].

Flujo minimo: deteccion -> contencion -> evaluacion (impacto/datos afectados) -> acciones correctivas -> registro -> notificacion (si aplica) -> lecciones aprendidas.

9. Retencion y eliminacion

Sol&Luna conserva los datos solo por el tiempo necesario y por plazos legales aplicables. Referencia interna (ajustar y aprobar):

• Prospectos: –
• Reservas/operacion: –
• Facturacion/contabilidad: contabilidad@solyluna.com.ec
• RRHH:-

Finalizado el plazo, se aplica eliminacion segura, anonimización o bloqueo, segun corresponda.

10. Gestion de terceros (encargados)

Todo tercero con acceso a datos debe firmar clausulas de confidencialidad y encargo, y cumplir estandares minimos de seguridad. Debe notificar incidentes de forma inmediata.

11. Auditoria y cumplimiento

Sol&Luna podra realizar revisiones periodicas de cumplimiento (accesos, procesos, proveedores y seguridad) y definir planes de mejora.

12. Vigencia y actualizacion

Revision: anual o cuando existan cambios relevantes (web, CRM, proveedores, nuevos servicios).