Política de Privacidad — Ecohuella
Versión: 1.0 · País: Ecuador · Vigente desde: 2026-04-20
Esta política describe cómo Ecohuella trata datos personales conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP, R.O. Suplemento 459 del 26 de mayo de 2021) y su Reglamento.
1. Responsable y encargado
- Responsable del tratamiento: la Cooperativa u organización que contrata el servicio (representada por su presidente).
- Encargado del tratamiento: Ecohuella, que procesa los datos por cuenta y bajo instrucciones del Responsable.
- Delegado de Protección de Datos (DPO) de Ecohuella: dpo@ecohuella.com.
2. Categorías de datos
2.1 Datos de usuarios del panel web
- Email, rol (
presidente,técnico,operador), fecha de último ingreso. - Factor de autenticación configurado (TOTP).
2.2 Datos de productores agrícolas
- Nombre, número de WhatsApp, código interno de la Cooperativa, sector.
- Mensajes enviados y recibidos (texto, audio transcripto, ubicación).
- Registros agrícolas: lotes, polígonos, hectáreas, cosechas, compras, actividades, certificaciones y sus documentos.
- Metadatos técnicos: IP, user agent (cuando aplique), SIDs de Twilio.
2.3 Datos de facturación
- Montos, moneda, referencia de transacción del proveedor de pago (PayPhone / Nuvei), estado. Nunca se almacenan datos de tarjeta.
3. Bases legales del tratamiento (arts. 7 y 8 LOPDP)
| Finalidad | Base legal |
|---|---|
| Creación de cuenta y operación del panel | Consentimiento (art. 7.1) + ejecución contractual (art. 7.2) |
| Registro de mensajes y actividades agrícolas | Consentimiento del productor al vincularse por WhatsApp (art. 7.1) |
| Cálculo de hectáreas, alertas de deforestación, reportes | Interés legítimo para certificación y trazabilidad agrícola (art. 7.5) |
| Facturación y prevención de fraude | Obligación legal tributaria (art. 7.3) + interés legítimo (art. 7.5) |
| Modelos de IA con OpenAI u otros proveedores | Consentimiento explícito del productor al vincularse |
4. Consentimiento (arts. 6, 8 y 9 LOPDP)
- En el panel web, al iniciar sesión por primera vez tras la aceptación de la Cooperativa, un modal bloqueante solicita la aceptación de estos términos antes de continuar.
- En WhatsApp, al vincular un productor por OTP, el agente envía un mensaje con el resumen de esta política y las opciones SI / NO. Sin
SIel agente no registra actividad. ConNO, la Plataforma no procesa mensajes hasta que se vincule nuevamente. - El productor puede retirar su consentimiento en cualquier momento respondiendo
BAJApor WhatsApp o desde el panel/mis-datos.
5. Derechos del titular — ARCO-POL (arts. 11–22 LOPDP)
El titular puede ejercer los siguientes derechos sin costo:
- Acceso: exportar todos sus datos en formato estructurado (CSV dentro de ZIP).
- Rectificación: corregir datos inexactos.
- Cancelación / supresión: anonimizar su perfil y los mensajes asociados.
- Oposición: oponerse a tratamientos fundados en interés legítimo.
- Portabilidad: recibir los datos en formato interoperable.
- Oposición a decisiones automatizadas y limitación del tratamiento.
Canales: panel web /mis-datos, correo privacidad@ecohuella.com, WhatsApp BAJA. Respondemos en un plazo máximo de 15 días hábiles (art. 51 LOPDP). Si su solicitud no es atendida, puede presentar reclamo ante la Superintendencia de Protección de Datos Personales (spdp.gob.ec).
6. Borrado y trazabilidad agrícola
Cuando un productor solicita la supresión, Ecohuella:
- Anonimiza su nombre (
Productor anónimo) y elimina su número de WhatsApp. - Conserva los registros agrícolas agregados y la estructura de lotes y cosechas amparado en el interés legítimo del art. 7.5, porque las certificaciones (orgánico, comercio justo, deforestación cero) imponen obligaciones de trazabilidad posteriores al cese de la relación. Estos registros no permiten reidentificar al productor una vez anonimizado.
7. Conservación
- Mensajes conversacionales: 24 meses desde el último uso.
- Registros agrícolas, compras y certificaciones: mientras la Cooperativa sea cliente + 5 años posteriores (cumplimiento tributario y de trazabilidad).
- Datos de facturación: 7 años (art. 37 Código Tributario EC).
8. Destinatarios y transferencias internacionales (arts. 55–59 LOPDP)
Ecohuella comparte datos con los siguientes encargados:
| Proveedor | Finalidad | País | Base legal |
|---|---|---|---|
| Supabase | Hosting de base de datos + autenticación | Irlanda (UE) | Art. 57: país con nivel adecuado |
| Twilio | Mensajería WhatsApp | EE. UU. | Art. 59: cláusulas contractuales tipo |
| OpenAI | Procesamiento de lenguaje (solo texto del mensaje) | EE. UU. | Art. 59 + consentimiento explícito (art. 7.1) |
| PayPhone | Procesamiento de pagos | Ecuador | Operador interno |
| Nuvei | Procesamiento de pagos internacional | Canadá / EE. UU. | Art. 59 + acuerdo de procesamiento |
Todos los encargados están sujetos a acuerdo de tratamiento (DPA) y al mismo estándar que impone esta política.
9. Medidas de seguridad (art. 39)
- Cifrado en tránsito (TLS 1.3) y en reposo.
- Aislamiento por tenant mediante Row Level Security de PostgreSQL.
- Autenticación multifactor obligatoria para usuarios web.
- Rotación de secretos, registro de auditoría y revisiones periódicas de acceso.
10. Datos de menores
Ecohuella no está dirigido a menores de 18 años. Si se detecta un registro de un menor, se suspenderá y se informará a la Cooperativa responsable.
11. Cambios a esta política
Cuando se publique una nueva versión, los usuarios y productores recibirán un aviso y un nuevo pedido de consentimiento antes de poder continuar operando.
12. Contacto
- DPO: dpo@ecohuella.com
- Privacidad: privacidad@ecohuella.com
- Autoridad de control: Superintendencia de Protección de Datos Personales — spdp.gob.ec