Política de privacidad y protección de datos personales

Antecedentes

Blue Nova S.A.S. (en adelante, «Blue Nova») es una empresa ecuatoriana de derecho privado, con domicilio principal en el cantón Quito, Provincia de Pichincha, cuyo objeto social comprende, entre otras actividades:

• Servicios de ciberseguridad y consultoría técnica: auditorías de seguridad, pentesting, hardening, gestión de incidentes y CISO virtual.
• Cumplimiento normativo en protección de datos personales (LOPDP) y otras regulaciones aplicables (ISO 27001, NIST, PCI-DSS).
• Diseño y desarrollo de software, aplicaciones, bases de datos y páginas web.
• Consultoría empresarial en planificación, organización, eficiencia y control.
• Servicios de marketing digital y publicidad.

La presente Política debe leerse íntegra y cuidadosamente por los titulares de los datos personales. Al aceptarla, el titular declara haberla leído y comprendido, y autoriza el tratamiento de sus datos en los términos aquí señalados.

I. Responsable del tratamiento de datos personales

Responsable

Blue Nova S.A.S.

RUC

1793209830001

Domicilio

Jiménez de la Espada N32-262 y Av. González Suárez, Quito — Ecuador

Correo para datos personales

protecciondedatos@bluenova.com.ec

Blue Nova actúa como responsable del tratamiento, definiendo finalidades, medios y decisiones sobre los datos personales de los titulares.

II. Encargado y III. Delegado de Protección de Datos

En cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP), Blue Nova designa como Encargado y Delegado de Protección de Datos a la siguiente persona, quien atenderá consultas, solicitudes, ejercicio de derechos y será punto de contacto con la Autoridad de Protección de Datos Personales (SPDP):

Nombre

David Alexander Benz Zambrano

Cédula

1726678673

Correo DPD

david.benz@bluenova.com.ec · protecciondedatos@bluenova.com.ec

Teléfono

+593 96 392 4184

Domicilio

Jiménez de la Espada N32-262 y Av. González Suárez, Quito

IV. Base legal aplicable

El tratamiento de datos personales se realiza conforme a:

• Constitución de la República del Ecuador.
• Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RLOPDP).
• Ley de Comercio Electrónico, Firmas y Mensajes de Datos.
• Código Orgánico Integral Penal (COIP) reformado 2026, particularmente en lo relativo a delitos informáticos y al ejercicio autorizado de pruebas de penetración (ROE).
• Estándares internacionales aplicados voluntariamente por Blue Nova: ISO/IEC 27001, NIST Cybersecurity Framework, OWASP, PCI-DSS.
• Demás normativa vigente sobre privacidad, seguridad de la información y telecomunicaciones.

V. Principios aplicables al tratamiento

Blue Nova garantiza el tratamiento de datos personales conforme a los principios establecidos en la LOPDP:

• Licitud
• Lealtad
• Finalidad
• Minimización
• Proporcionalidad
• Calidad
• Seguridad
• Confidencialidad
• Responsabilidad proactiva y demostrada
• Transparencia

Compromiso adicional cyber: en nuestra calidad de empresa de ciberseguridad, aplicamos a nuestros propios procesos los mismos controles técnicos que recomendamos a clientes — cifrado en reposo y tránsito, autenticación multifactor, principio de mínimo privilegio, segregación de ambientes, registro de auditoría inmutable y revisión continua de vulnerabilidades.

VI. Definiciones

Autoridad de Protección de Datos Personales (SPDP)

Autoridad pública independiente encargada de supervisar la aplicación de la LOPDP en Ecuador.

Base de datos

Conjunto estructurado de datos cualquiera que sea su forma, soporte o modalidad de tratamiento.

Consentimiento

Manifestación de voluntad libre, específica, informada e inequívoca por la que el titular autoriza el tratamiento de sus datos.

Dato personal

Dato que identifica o hace identificable a una persona natural, directa o indirectamente.

Datos sensibles

Datos relativos a etnia, identidad de género, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, biométricos, genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación.

Encargado del tratamiento

Persona natural o jurídica que trata datos a nombre y por cuenta de un responsable.

Responsable del tratamiento

Quien decide sobre la finalidad y el tratamiento de los datos.

Tratamiento

Cualquier operación realizada sobre datos personales, automatizada o no.

Titular

Persona natural cuyos datos son objeto de tratamiento.

ROE — Rules of Engagement

Documento contractual que delimita alcance, fechas, sistemas y autorización para ejecutar pruebas de penetración. Sin ROE firmado por el cliente, ningún pentest puede ejecutarse — su ausencia podría configurar delito informático bajo el COIP.

Hallazgo de seguridad

Vulnerabilidad, configuración indebida o incidente identificado por Blue Nova durante una auditoría o monitoreo. Es información altamente sensible y se trata como confidencial bajo NDA.

Incidente de seguridad

Evento que compromete la confidencialidad, integridad o disponibilidad de información, incluyendo brechas de datos personales reportables a la SPDP.

VII. Obtención de datos personales

Blue Nova podrá obtener datos personales de las siguientes fuentes:

• Directamente del titular, mediante formularios web, llamadas, correo electrónico, mensajería WhatsApp o reuniones presenciales.
• A través de la prestación de servicios de ciberseguridad (información obtenida durante diagnósticos, auditorías y pruebas de penetración, exclusivamente dentro del scope autorizado por el cliente en el ROE y NDA).
• De terceros autorizados o proveedores que actúan como aliados (estudios jurídicos LOPDP, fabricantes de tecnología, partners del ecosistema Blue Nova — Malgallo Creative).
• De fuentes de acceso público legalmente permitidas (Crunchbase, LinkedIn, registros mercantiles, SRI).

VIII. Categoría de datos personales

Postulantes a empleo

• Datos identificativos: nombre, apellido, fecha de nacimiento, número de identificación, contacto.
• Datos académicos y profesionales: formación, experiencia, certificaciones (OSCP, CEH, CISSP, etc.).
• Información de fuentes públicas verificables.

Colaboradores

• Datos identificativos y de contacto.
• Datos de salud (exámenes pre y post-ocupacionales) y de discapacidad si aplica.
• Características personales y situación familiar.
• Datos académicos, profesionales y de certificaciones técnicas.

Clientes y prospectos

• Datos identificativos del contacto autorizado y representante legal.
• Datos económicos, financieros y crediticios para análisis de capacidad y facturación.
• Información técnica derivada del servicio (datos del scope autorizado): configuraciones de red, inventarios de activos, hallazgos de vulnerabilidades, evidencias de explotación durante pentest, logs y resultados de monitoreo SOC. Esta información se trata bajo NDA y con cifrado extremo a extremo.
• Datos de uso del CRM (GoHighLevel): formularios enviados, etapa del pipeline, historial de mensajes, citas agendadas, notas internas.
• Datos técnicos de trazabilidad: IP, fecha/hora del formulario, dispositivo, navegador.

Proveedores y aliados

• Datos identificativos y de contacto.
• Datos económicos y de cuenta bancaria para pago.
• Información de fuentes públicas verificables (debida diligencia).

IX. Fines del tratamiento

Postulantes

• Gestión de procesos de reclutamiento y selección.
• Verificación de credenciales técnicas y certificaciones de ciberseguridad.
• Evaluaciones técnicas, lab challenges y entrevistas.

Colaboradores

• Cumplimiento de obligaciones laborales y de seguridad social.
• Gestión de beneficios y exámenes ocupacionales.
• Control de accesos físicos y lógicos (incluyendo registro biométrico cuando aplique).
• Capacitación continua en ciberseguridad y formación técnica.
• Evaluación de desempeño y clima laboral.

Clientes y prospectos

• Contacto comercial, agendamiento de diagnóstico gratuito y envío de propuestas.
• Prestación de servicios de ciberseguridad: auditorías, pentest, implementación LOPDP, monitoreo SOC, respuesta a incidentes, capacitación anti-phishing, planes Escudo (retainers).
• Suscripción de contratos, NDA y Rules of Engagement (ROE) requeridos por ley antes de cualquier ejecución técnica.
• Generación de reportes ejecutivos y técnicos, entregables y planes de remediación.
• Facturación y registro contable conforme normativa SRI.
• Comunicación comercial sobre nuevos servicios y artículos del blog técnico (con consentimiento, cancelable en cualquier momento).
• Análisis estadístico anonimizado para mejorar nuestros servicios.

Proveedores

• Selección, calificación y debida diligencia de proveedores con acceso a información sensible.
• Celebración de contratos, NDA y SLA.
• Auditorías de seguridad sobre la cadena de suministro (third-party risk management).

Blue Nova declara expresamente que sus procesos no se basan en decisiones automatizadas con efectos jurídicos significativos. Las decisiones críticas (contratación, alcance de auditoría, clasificación de hallazgos) son tomadas por personal humano cualificado.

X. Bases de legitimación

Las bases jurídicas para el tratamiento son:

1. Consentimiento expreso del titular, otorgado libremente y de forma informada.
2. Cumplimiento de obligaciones legales (LOPDP, COIP, normativa SRI, normativa laboral).
3. Ejecución de relación contractual (contrato de servicios de ciberseguridad, ROE, NDA, contrato laboral).
4. Interés legítimo del responsable o de un tercero, debidamente ponderado.

No será necesaria autorización del titular en los casos previstos por la LOPDP: requerimientos de autoridades competentes, datos de fuentes públicas, urgencias médicas o sanitarias.

Caso especial — Auditorías y pentest: el tratamiento de datos técnicos del cliente durante un servicio de seguridad se basa en ejecución contractual respaldada por NDA y ROE firmados. Cualquier dato personal incidentalmente accesible durante una auditoría (por ejemplo, registros de empleados encontrados en un servidor del cliente) se trata bajo el principio de minimización máxima: no se exfiltra, no se conserva fuera del entorno autorizado y se reporta exclusivamente al cliente.

XI. Tiempo de conservación

Los plazos de conservación se determinan según los siguientes criterios:

• Duración del servicio y de la relación contractual.
• Obligaciones legales de retención (contables, fiscales, laborales).
• Plazos de prescripción de acciones legales.
• Lineamientos internos de gestión documental.

Como regla general, una vez finalizada la relación contractual o laboral, los datos se conservan por hasta tres (3) años, salvo obligación legal mayor. Los reportes técnicos de auditoría y pentest se conservan por cinco (5) años en sistemas cifrados con acceso restringido al equipo asignado, de conformidad con buenas prácticas ISO 27001.

Los datos pseudonimizados/anonimizados con fines estadísticos pueden conservarse de forma indefinida.

XII. Destinatarios y almacenamiento

Para ejecutar las finalidades descritas, Blue Nova podrá compartir datos con encargados de tratamiento autorizados, sujetos a contrato y a las mismas obligaciones de seguridad y confidencialidad. Entre las categorías habituales:

• Plataformas tecnológicas: GoHighLevel (CRM), Hostinger (hosting), N8N (automatizaciones internas), Google Workspace, Titan Mail, Microsoft Clarity (analítica web).
• Aliados del ecosistema Blue Nova: Malgallo Creative (audiovisual y branding) cuando el cliente contrata servicios cruzados.
• Estudios jurídicos especializados en LOPDP cuando el servicio incluye asesoría legal complementaria.
• Autoridades competentes cuando exista requerimiento legal vinculante.

Los datos se almacenan principalmente en infraestructura ubicada en Ecuador (Hostinger Ecuador) y, cuando aplique transferencia internacional, en países que ofrecen nivel adecuado de protección y bajo cláusulas contractuales tipo.

XIII. Derechos del titular

La normativa de protección de datos otorga al titular los siguientes derechos:

1. Acceso — conocer qué datos tenemos y cómo los tratamos.
2. Rectificación y actualización — corregir datos inexactos o incompletos.
3. Supresión — solicitar eliminación, salvo obligación legal de conservación.
4. Oposición — oponerse al tratamiento por motivos relacionados con su situación personal.
5. Portabilidad — recibir los datos en formato estructurado y de uso común.
6. Suspensión — limitar el tratamiento en circunstancias específicas.
7. No ser objeto de decisiones individuales automatizadas con efectos jurídicos.
8. Reclamación ante la Autoridad de Protección de Datos Personales (SPDP).

XIV. Ejercicio de derechos

Para ejercer cualquiera de los derechos anteriores, el titular puede dirigirse a:

• Correo electrónico: protecciondedatos@bluenova.com.ec
• Domicilio físico: Jiménez de la Espada N32-262 y Av. González Suárez, Quito.
• Teléfono del DPD: +593 96 392 4184

Para verificar la identidad del solicitante, Blue Nova podrá requerir copia del documento de identificación. La respuesta se entregará dentro de los plazos legales máximos previstos por la LOPDP.

XV. Responsabilidad sobre los datos facilitados

El titular garantiza que los datos proporcionados son verídicos, exactos, completos y actualizados, y se compromete a mantenerlos vigentes. La entrega de información falsa o inexacta es responsabilidad exclusiva del titular y podrá derivar en suspensión del servicio.

XVI. Datos personales de terceros

Si el cliente proporciona a Blue Nova datos de terceras personas (por ejemplo, listado de empleados a capacitar en anti-phishing, contactos a evaluar en simulaciones), garantiza haberles informado previamente sobre las finalidades y condiciones del tratamiento, y haber obtenido las autorizaciones legales correspondientes. Blue Nova queda liberado de responsabilidad frente a terceros por incumplimiento del cliente respecto de esta obligación.

XVII. Transferencias internacionales

Cuando Blue Nova realice transferencias internacionales de datos personales (por ejemplo, uso de plataformas SaaS con servidores fuera de Ecuador), se garantizará un nivel adecuado de protección mediante:

1. Evaluación previa del nivel de protección del país de destino.
2. Consentimiento del titular cuando no exista otra base de legitimación.
3. Garantías contractuales vinculantes con el receptor (cláusulas tipo).
4. Determinación clara del rol del receptor (encargado o responsable independiente).
5. Medidas técnicas: cifrado AES-256 en reposo, TLS 1.3 en tránsito, controles de acceso, seudonimización cuando sea posible.
6. Principio de minimización: solo se transfieren datos estrictamente necesarios.
7. Mecanismos de supervisión, auditoría y suspensión por incumplimiento.
8. Garantía del ejercicio de derechos del titular incluso fuera del territorio ecuatoriano.
9. Activación de protocolos de notificación ante incidentes.

XVIII. Tratamiento ulterior y cambios en la Política

Blue Nova puede actualizar esta Política en cualquier momento. Los cambios significativos para la privacidad del titular serán notificados por correo electrónico, publicados en este sitio web y, cuando sea legalmente requerido, se solicitará nuevamente el consentimiento. Recomendamos revisar periódicamente esta Política.

XIX. Seguridad y confidencialidad

Como empresa de ciberseguridad, Blue Nova aplica controles técnicos y organizativos de nivel superior al exigido por la LOPDP, incluyendo:

• Cifrado AES-256 en reposo y TLS 1.3 en tránsito para todas las comunicaciones y almacenamiento.
• Autenticación multifactor (MFA) obligatoria para todos los accesos administrativos y al CRM.
• Principio de mínimo privilegio y segregación de roles.
• Registro de auditoría inmutable sobre accesos a información sensible de clientes.
• Bóvedas separadas para hallazgos de pentest, evidencias forenses y reportes ejecutivos, con acceso limitado al equipo asignado.
• NDA mutuo firmado antes de cualquier diagnóstico o auditoría.
• Capacitación trimestral en seguridad para todo el personal y contratistas.
• Plan de respuesta a incidentes con SLA de 4 horas para clientes con Plan Escudo.
• Backups diarios cifrados y pruebas de restauración periódicas.
• Hardening de infraestructura propia bajo benchmarks CIS y revisión continua de vulnerabilidades.

En caso de violación de seguridad que entrañe riesgo para los derechos de los titulares, Blue Nova activará su protocolo de respuesta a incidentes, mitigará los efectos, notificará a los titulares afectados y a la SPDP dentro de los plazos legales aplicables.

XX. Gestión de riesgos y cumplimiento proactivo

Blue Nova adopta un enfoque de gestión de riesgos y cumplimiento proactivo en línea con su práctica profesional:

1. Identificación y evaluación periódica de riesgos, considerando naturaleza de los datos, finalidades, medios y posibles impactos sobre los derechos.
2. Enfoque basado en riesgo: las medidas adoptadas son proporcionales al nivel de riesgo, priorizando datos sensibles, transferencias internacionales y nuevas tecnologías.
3. Medidas preventivas y correctivas de mejora continua: políticas internas, controles, capacitación, respuesta a incidentes.
4. Evaluaciones de impacto (DPIA) para tratamientos de alto riesgo conforme a las directrices de la SPDP.
5. Capacitación y concienciación continua del personal y terceros autorizados.
6. Supervisión interna mediante auditorías y revisiones periódicas.
7. Responsabilidad proactiva: documentación, registro de actividades de tratamiento (RAT) y evidencia de las medidas implementadas.
8. Revisión y mejora continua ante cambios normativos, tecnológicos u organizacionales.

XXI. Privacidad infantil

Los servicios de Blue Nova están dirigidos a personas mayores de edad y a empresas. No tratamos datos de menores de edad de forma directa, salvo que el servicio contratado por un cliente involucre necesariamente esa información (por ejemplo, capacitación en una institución educativa). En tales casos, requerimos la autorización expresa del representante legal y aplicamos las salvaguardas reforzadas previstas en la LOPDP y su Reglamento.