POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS DE LA AGENCIA DE VIAJES TRAVELNET S.A.

Respetando lo establecido en la legislación vigente, TRAVELNET se compromete a adoptar las medidas técnicas y organizativas necesarias, según el nivel de seguridad adecuado al riesgo de los datos recogidos.

I. Leyes que incorpora esta política de privacidad

Esta política de privacidad está adaptada a la normativa ecuatoriana vigente en materia de protección de datos personales. En concreto, la misma respeta las siguientes normas:

· Constitución de la República del Ecuador (CRE)

· Ley Orgánica de Protección de Datos Personales (LOPDP)

· Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos

· Reglamento General de la Ley Orgánica de Protección de Datos Personales (RGPDP)

· Resoluciones emitidas de la Superintendencia de Protección de Datos Personales

· Demás normativa aplicable.

II. Identidad del responsable del tratamiento de los datos personales

El responsable del tratamiento de los datos personales recogidos en TRAVELNET es: TRAVELNET S.A. provista de RUC: 1792094283001, cuyo representante es: Cabrera Aguirre María Isabel (en adelante, también Responsable del tratamiento). Sus datos de contacto son los siguientes:

Dirección: CALLE WHYMPER N31-58 Y AVENIDA CORUÑA, QUITO – ECUADOR.

Teléfono de contacto: (+593) 99 449 7890

Email de contacto: info@travelnet.com.ec

III. Registro de Datos de Carácter Personal

En cumplimiento de lo establecido en el LOPDP y en el RGLOPDP, le informamos que los datos personales recabados por TRAVELNET mediante los formularios extendidos en sus páginas quedarán incorporados y serán tratados en nuestros ficheros con el fin de poder facilitar, agilizar y cumplir los compromisos establecidos entre TRAVELNET y el Usuario o el mantenimiento de la relación que se establezca en los formularios que este rellene, o para atender una solicitud o consulta del mismo. Asimismo, de conformidad con lo previsto en la LOPDP, se mantiene un registro de actividades de tratamiento que especifica, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en la ley.

Principios aplicables al tratamiento de los datos personales

El tratamiento de los datos personales del Usuario se someterá a los siguientes principios recogidos en la normativa aplicable:

• Principio de licitud, lealtad y transparencia: se requerirá en todo momento el consentimiento del Usuario previa información completamente transparente de los fines para los cuales se recogen los datos personales.

• Principio de limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos.

• Principio de minimización de datos: los datos personales recogidos serán únicamente los estrictamente necesarios en relación con los fines para los que son tratados.

• Principio de exactitud: los datos personales deben ser exactos y estar siempre actualizados.

• Principio de limitación del plazo de conservación: los datos personales solo serán mantenidos de forma que se permita la identificación del Usuario durante el tiempo necesario para los fines de su tratamiento.

• Principio de integridad y confidencialidad: los datos personales serán tratados de manera que se garantice su seguridad y confidencialidad.

• Principio de responsabilidad proactiva: el Responsable del tratamiento será responsable de asegurar que los principios anteriores se cumplen.

IV. Categorías de datos personales

Las categorías de datos que se tratan en TRAVELNET son los siguientes:

a. Identificación y verificación: nombres, apellidos, cédula/pasaporte, nacionalidad, fecha de nacimiento, estado civil, firma, números de documento, imágenes de documento cuando la ruta lo exija, información para verificación de identidad/antifraude y, cuando aplique, datos de representación legal.

b. Contacto y preferencias de comunicación: domicilio, teléfonos, correos, contactos laborales (en cuentas corporativas), usuario en mensajería autorizada, idioma preferido, horarios de contacto.

c. Datos migratorios y de viaje: visas y requisitos de ingreso, números de ticket/PNR/localizadores, itinerarios, fechas, rutas, asientos, equipaje, programas de viajero frecuente, códigos de reserva, proveedores contratados, vouchers, historial de cambios/cancelaciones.

d. Preferencias y requerimientos del servicio: alimentación, accesibilidad, asistencia especial, habitación y acomodación, asientos, actividades; solo cuando sea pertinente y para asegurar la prestación adecuada.

e. Datos sensibles (salud) — uso restringido: alergias, restricciones alimentarias, discapacidades o condiciones que inciden en el viaje exclusivamente para gestionar asistencia/adecuaciones, con consentimiento expreso o base legal aplicable. El Responsable no realiza perfiles médicos ni tratamientos excesivos.

f. Menores de edad: identificación básica y datos del viaje, con autorización del representante legal y observando el interés superior del menor.

g. Terceros vinculados al viaje: datos de acompañantes, contactos de emergencia y garantes en productos corporativos, informados por el titular o su empresa.

h. Facturación, cobros y pagos: RUC/razón social, direcciones fiscales, medios de pago, referencias bancarias, comprobantes. El Responsable no almacena CVV ni datos completos de tarjeta fuera de pasarelas certificadas; utiliza proveedores PCI-DSS u otros equivalentes.

i. Relación comercial y corporativa (B2B): cargo, área, unidad de negocio, políticas internas de viaje, aprobadores, centros de costo, condiciones contractuales y reportes de consumo.

j. Atención, soporte y calidad: tickets, reclamaciones, encuestas, evidencia de gestión, logs de interacción multicanal.

k. Seguridad y fraude: huellas de auditoría, validaciones de identidad, verificaciones en listas de sanciones/alertas cuando la ruta lo exija (p. ej., cumplimiento normativo del proveedor aéreo).

l. Proveedores y aliados: identificación, contacto, bancarios y contractuales para selección, homologación, ejecución y pago.

m. Recursos humanos (si corresponde): postulaciones, currículo, evaluación y datos contractuales de colaboradores del Responsable, tratados bajo políticas internas.

V. Base legal para el tratamiento de los datos personales

La base legal para el tratamiento de los datos personales es el consentimiento. TRAVELNET se compromete a recabar el consentimiento expreso y verificable del Usuario para el tratamiento de sus datos personales para uno o varios fines específicos.

El Usuario tendrá derecho a retirar su consentimiento en cualquier momento. Será tan fácil retirar el consentimiento como darlo. Como regla general, la retirada del consentimiento no condicionará el uso del Sitio Web.

En las ocasiones en las que el Usuario deba o pueda facilitar sus datos a través de formularios para realizar consultas, solicitar información o por motivos relacionados con el contenido del Sitio Web, se le informará en caso de que la cumplimentación de alguno de ellos sea obligatoria debido a que los mismos sean imprescindibles para el correcto desarrollo de la operación realizada.

VI. Fines del tratamiento a que se destinan los datos personales

Los datos personales son recabados y gestionados por TRAVELNET con la finalidad de poder facilitar, agilizar y cumplir los compromisos establecidos entre el Sitio Web y el Usuario o el mantenimiento de la relación que se establezca en los formularios que este último rellene o para atender una solicitud o consulta.

Igualmente, los datos podrán ser utilizados con una finalidad comercial de personalización, operativa y estadística, y actividades propias del objeto social de TRAVELNET, así como para la extracción, almacenamiento de datos y estudios de marketing para adecuar el Contenido ofertado al Usuario, así como mejorar la calidad, funcionamiento y navegación por el Sitio Web.

En el momento en que se obtengan los datos personales, se informará al Usuario acerca del fin o fines específicos del tratamiento a que se destinarán los datos personales; es decir, del uso o usos que se dará a la información recopilada. De igual manera, el Usuario podrá tener mayor información de las finalidades de tratamiento en la Política General de Protección y Tratamiento de Datos Personales perteneciente a TRAVELNET.

FORMULARIO DE CONTACTO.

A través del formulario habilitado en la web, se recogen los siguientes datos: nombre, número de teléfono, email, empresa, asunto y pregunta (obligatorios), así como la confirmación de la aceptación de la política de privacidad y la dirección IP desde donde se hizo la solicitud, datos que legalmente estamos obligados a almacenar como constancia de su consentimiento.

La finalidad de la recogida de estos datos radica en poder dar respuesta a las dudas, quejas, comentarios o inquietudes que se puedan tener relativas a la información incluida en esta web, los servicios que se prestan, el tratamiento de los datos, cuestiones referentes a los textos legales incluidos en la web, así como cualquier otra consulta que se puedan tener y que no estén sujeta a las condiciones de contratación.

VII. Períodos de retención de los datos personales

Los datos personales solo serán retenidos durante el tiempo mínimo necesario para los fines de su tratamiento o hasta que el Usuario solicite su supresión. Este tiempo será indefinido hasta que el Usuario solicite su supresión.

VIII. Destinatarios de los datos personales

Los datos personales del Usuario serán compartidos con los siguientes destinatarios o categorías de destinatarios:

Empresas vinculadas o aliadas estratégicas:

Los datos personales podrán ser compartidos con empresas vinculadas a EL RESPONSABLE (filiales, subsidiarias) o aliados estratégicos, exclusivamente cuando dicha comunicación sea necesaria para la correcta prestación de los servicios o para fines administrativos, logísticos o de gestión operativa, y siempre que exista una base de legitimación para ello.

Proveedores de servicios (Encargados del Tratamiento):

EL RESPONSABLE podrá compartir los datos personales con proveedores externos que actúan como Encargados del Tratamiento y que prestan servicios de apoyo operativo, técnico o profesional, tales como:

- Proveedores de servicios tecnológicos, incluyendo plataformas de hosting, alojamiento en la nube (pudiendo implicar transferencias internacionales como se detalla más adelante), mantenimiento informático, herramientas de gestión de clientes y software de atención al usuario.
- Servicios de mensajería, correo electrónico, notificaciones y facturación electrónica.
- Plataformas de encuestas, análisis de comportamiento del usuario o evaluación de satisfacción. En todos los casos, estos terceros deberán suscribir los correspondientes contratos de encargo de tratamiento que incluyan cláusulas de confidencialidad y protección de datos, y tratarán la información únicamente para los fines autorizados por EL RESPONSABLE y bajo sus instrucciones, garantizando las medidas de seguridad adecuadas.
Autoridades competentes:

Los datos personales podrán ser comunicados a autoridades judiciales, administrativas, regulatorias o de control (como la Superintendencia de Protección de Datos Personales, Superintendencia de Compañías, Valores y Seguros, SRI), cuando exista una obligación legal, orden judicial, requerimiento administrativo o mandato de autoridad competente que así lo exija.

Transferencias Internacionales de Datos:

El Responsable procurará realizar el tratamiento de los datos personales dentro del territorio ecuatoriano. Sin embargo, debido a la naturaleza global de la actividad turística y a las características propias de los servicios que presta, en muchos casos resulta indispensable efectuar transferencias y comunicaciones internacionales de datos personales hacia otros países, con el fin de cumplir las finalidades legítimas vinculadas con la contratación, organización y ejecución de servicios de viaje. Estas transferencias son esenciales para procesar reservas aéreas, gestionar alojamientos, coordinar traslados, contratar seguros de viaje, emitir boletos o váuchers, y garantizar la correcta prestación de los servicios adquiridos por el titular.

En este contexto, los datos personales pueden ser compartidos con proveedores y aliados comerciales ubicados en el extranjero, tales como aerolíneas, hoteles, operadores turísticos, aseguradoras, plataformas globales de distribución (GDS), consolidadores, pasarelas de pago internacionales y autoridades migratorias o de seguridad de los países de destino o tránsito. Dichas transferencias se limitan a la información estrictamente necesaria para cumplir con las finalidades del servicio, siempre bajo los principios de licitud, proporcionalidad, minimización y confidencialidad establecidos en la LOPDP.

El Responsable garantiza que todas las transferencias internacionales se realicen hacia países que ofrezcan un nivel adecuado de protección de datos personales, reconocido por la Autoridad de Protección de Datos Personales del Ecuador. Cuando se requiera transferir información a países que no cuenten con dicho reconocimiento, se implementarán garantías contractuales y técnicas apropiadas que aseguren la confidencialidad y seguridad del tratamiento, tales como cláusulas contractuales tipo, acuerdos de corresponsabilidad o de encargo del tratamiento, instrucciones contractuales claras y medidas de seguridad como el cifrado o la autenticación segura de la información.

En los casos en que la transferencia internacional no se base en una relación contractual, en una obligación legal o en otra base legítima reconocida por la ley, se solicitará previamente el consentimiento expreso e informado del titular, especificando la finalidad, el destinatario y el país de destino. Además, el Responsable mantiene un registro actualizado de todas las transferencias internacionales realizadas y revisa periódicamente las condiciones de los países y proveedores receptores, a fin de garantizar el cumplimiento continuo de la LOPDP y de las directrices emitidas por la autoridad de control.

De esta manera, el Responsable asegura que toda comunicación o transferencia de datos personales al extranjero se efectúe de forma segura, transparente y respetando los derechos de los titulares, garantizando que la información personal mantenga su nivel de protección, independientemente del lugar donde sea tratada.

IX. Datos personales de menores de edad

Respetando lo establecido en la LOPDP y en el RDLOPDP, solo los mayores de 15 años podrán otorgar su consentimiento para el tratamiento de sus datos personales de forma lícita a favor de TRAVELNET. Si se trata de un menor de 14 años, será necesario el consentimiento de los padres o tutores para el tratamiento, y este solo se considerará lícito en la medida en la que los mismos lo hayan autorizado.

X. Secreto y confidencialidad de los datos personales

TRAVELNET se compromete a adoptar las medidas técnicas y organizativas necesarias, según el nivel de seguridad adecuado al riesgo de los datos recogidos, de forma que se garantice la seguridad de los datos de carácter personal y se evite la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Sin embargo, debido a que TRAVELNET no puede garantizar la inexpugabilidad de internet ni la ausencia total de hackers u otros que accedan de modo fraudulento a los datos personales, el Responsable del tratamiento se compromete a comunicar al Usuario sin dilación indebida cuando ocurra una brecha en la seguridad o violación de la seguridad de los datos personales que sea probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas. Siguiendo lo establecido en la normativa de protección de datos personales. Se entiende por violación de la seguridad de los datos personales toda violación o brecha de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Los datos personales serán tratados como confidenciales por el Responsable del tratamiento, quien se compromete a informar de y a garantizar por medio de una obligación legal o contractual que dicha confidencialidad sea respetada por sus empleados, asociados, y toda persona a la cual le haga accesible la información.

XI. Derechos derivados del tratamiento de los datos personales

El Usuario tiene sobre TRAVELNET y podrá, por tanto, ejercer frente al Responsable del tratamiento los siguientes derechos reconocidos en la LOPDP:

• Derecho a la Información: Ser informado de manera clara, previa y transparente sobre las finalidades del tratamiento, la base jurídica, los destinatarios, el tiempo de conservación, la identidad del responsable, entre otros aspectos.

• Derecho de Acceso: Obtener de El Responsable confirmación de si se están tratando o no datos personales que le conciernan y, en tal caso, acceder a los mismos y a obtener información sobre el tratamiento realizado.

• Derecho de Rectificación y Actualización: Solicitar la corrección de datos personales que sean inexactos o incompletos.

• Derecho de Supresión (Cancelación o Eliminación): Solicitar la eliminación de los datos cuando estos ya no resulten necesarios para la finalidad para la que fueron recogidos, cuando se haya revocado el consentimiento, entre otras circunstancias legalmente previstas. La eliminación no procederá cuando exista una obligación legal de conservarlos o en otros supuestos establecidos por ley.

• Derecho de Oposición: Oponerse al tratamiento de sus datos personales en determinadas circunstancias (ej. fines de marketing directo, o cuando el tratamiento se base en interés legítimo y no prevalezcan motivos imperiosos del responsable).

• Derecho a la Portabilidad de los Datos: Recibir los datos personales que le incumban y que haya facilitado a El Responsable, en un formato5 estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del6 tratamiento, cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados.

• Derecho a la Suspensión del Tratamiento (Limitación del Tratamiento): Solicitar la suspensión del tratamiento en determinados supuestos, por ejemplo, mientras se verifica la exactitud de los datos o si el tratamiento es ilícito y el titular se opone a la supresión.

• Derecho a no ser objeto de una decisión basada7 única o parcialmente en valoraciones automatizadas:8 Incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales, salvo las excepciones previstas en la ley (ej. consentimiento, ejecución de contrato o autorización legal).

• Derecho de Consulta: Presentar consultas ante la Autoridad de Protección de Datos Personales.

• Derecho a la Revocación del Consentimiento: Retirar el consentimiento otorgado para el tratamiento9 de sus datos personales en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Así pues, el Usuario podrá ejercitar sus derechos mediante comunicación escrita dirigida al Responsable del tratamiento, especificando:

• Nombre, apellidos del Usuario y copia de cédula. En los casos en que se admita la representación, será también necesaria la identificación por el mismo medio de la persona que representa al Usuario, así como el documento acreditativo de la representación. La fotocopia de la cédula podrá ser sustituida, por cualquier otro medio válido en derecho que acredite la identidad.

• Petición con los motivos específicos de la solicitud o información a la que se quiere acceder.

• Domicilio a efecto de notificaciones.

• Fecha y firma del solicitante.

• Todo documento que acredite la petición que formula.

Esta solicitud y todo otro documento adjunto podrá enviarse a la siguiente dirección y/o correo electrónico:

Dirección: CALLE WHYMPER N31-58 Y AVENIDA CORUÑA, QUITO – ECUADOR.

Email de contacto:

XII. Enlaces a sitios web de terceros

El Sitio Web puede incluir hipervínculos o enlaces que permiten acceder a páginas web de terceros distintos de TRAVELNET, y que por tanto no son operados por TRAVELNET. Los titulares de dichos sitios web dispondrán de sus propias políticas de protección de datos, siendo ellos mismos, en cada caso, responsables de sus propios ficheros y de sus propias prácticas de privacidad.

XIII. Reclamaciones ante la autoridad de control

Si los usuarios y/o clientes del Responsable consideran que el tratamiento realizado respecto a sus datos personales no ha sido realizado con respeto a la legislación vigente, o si consideran que sus derechos no han sido debidamente atendidos, tienen derecho a presentar una reclamación ante la Superintendencia de Protección de Datos Personales de Ecuador. Los datos de contacto de esta autoridad se encuentran disponibles en su sitio web oficial: https://www.superdatos.gob.ec/ (o la URL que corresponda en el momento).

XIV. Cambios en la presente política de privacidad

El Responsable se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas o jurisprudenciales, así como a prácticas de la industria. Cualquier cambio que El Responsable realice en el futuro en la presente política de privacidad se publicará en su Sitio Web y, cuando proceda, se notificará a los usuarios a través de la App o por correo electrónico.

Se recomienda revisar esta Política de Privacidad con frecuencia para estar informado de cualquier actualización o cambio.

Fecha de última actualización: 02/03/2026

POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS DE LA AGENCIA DE VIAJES TRAVELNET S.A.

Esta política describe el tratamiento que lleva a cabo TRAVELNET S.A. (en adelante simplemente como la Agencia) de los datos de carácter personal recogidos a través de las cámaras de videovigilancia, y de los lugares y dispositivos de control de acceso a las oficinas de la agencia.

I. ¿QUIÉN ES EL RESPONSABLE DE LOS DATOS RECOGIDOS?

El responsable de los datos de carácter personal es TRAVELNET S.A. con domicilio social en la Calle Whymper N31-58 y Avenida Coruña, de la ciudad de Quito, provincia de Pichincha.

En caso de duda o consulta en relación con el tratamiento de los datos de carácter personal de los titulares, se deberá contactar en la dirección de correo electrónico:

La Agencia se encargará velar por el cumplimiento de la normativa de protección de datos y las políticas corporativas de privacidad en lo que respecta a los tratamientos realizados por Travelnet, incluidos los relacionados con la videovigilancia y el control de acceso.

II. ALCANCE

La presente política es de aplicación general y obligatoria para todas las personas naturales o jurídicas que, de manera directa o indirecta, mantengan una relación con la Agencia, ya sea en calidad de colaboradores, clientes, proveedores, prestadores, visitantes, contratistas, directivos o cualquier otra figura asociada a las operaciones de la agencia.

Asimismo, esta política abarca a todas aquellas personas cuyas imágenes, voces o actividades sean captadas a través del sistema de videovigilancia instalado en la Agencia, independientemente de la finalidad del registro, garantizando el cumplimiento de los principios de legalidad, transparencia, proporcionalidad y confidencialidad en el tratamiento de dichos datos. Este marco regulador se extiende a todos los entornos físicos y digitales administrados por la Agencia.

El cumplimiento de esta política es obligatorio para todas las áreas de la organización y constituye un pilar fundamental en la gestión responsable de la información personal, asegurando que cada individuo involucrado en las actividades de la Agencia tenga plena certeza de que sus datos serán tratados de manera segura, ética y conforme a la normativa vigente en materia de protección de datos personales.

Adicionalmente, esta política se actualiza de manera periódica para adaptarse a cambios normativos, avances tecnológicos y mejores prácticas en la gestión de datos personales, garantizando que los estándares de privacidad y seguridad sean aplicados de manera efectiva y constante en todas las operaciones de la agencia.

III. OBJETIVO GENERAL

El objetivo general de la presente Política de Videovigilancia es establecer las directrices y principios fundamentales para la captura, almacenamiento, tratamiento y protección de imágenes y videos obtenidos a través del sistema de videovigilancia de La Agencia, garantizando que su uso sea acorde con la normativa de protección de datos personales y respetando los derechos fundamentales de las personas. Esta política tiene como finalidad asegurar que la implementación y operación de los sistemas de videovigilancia se realicen con un propósito legítimo, proporcional y transparente, priorizando la seguridad de los colaboradores, clientes, visitantes, contratistas, proveedores y cualquier otra persona que ingrese a las instalaciones.

Asimismo, busca definir los lineamientos para el acceso, conservación, transmisión y eliminación de los datos recolectados por las cámaras de seguridad, garantizando el cumplimiento de los principios de licitud, finalidad, proporcionalidad, minimización de datos, confidencialidad y seguridad.

IV. MARCO LEGAL

a. Constitución de la República del Ecuador;

b. Ley Orgánica de Protección de Datos Personales;

c. Ley de Comercio Electrónico, Firmas y Mensajes de Datos;

d. Reglamento General de la Ley Orgánica de Protección de Datos Personales; y,

e. Resoluciones de la Superintendencia de Protección de Datos Personales.

V. FINALIDADES DEL TRATAMIENTO

Las finalidades del tratamiento de las grabaciones de videovigilancia en La Agencia son las siguientes:

a. Prevención y Protección de Personas e Instalaciones

· Garantizar la seguridad y protección de los empleados, clientes, visitantes, contratistas y cualquier otra persona que acceda a las instalaciones de La Agencia.

· Prevenir y disuadir la pérdida, sustracción, hurto, robo, vandalismo o cualquier daño que pudiera afectar la integridad de los bienes, equipos e infraestructuras de la agencia.

· Apoyar en la identificación de incidentes de seguridad y colaborar, cuando sea necesario, con las autoridades competentes, fuerzas del orden y cuerpos de seguridad en la investigación y resolución de delitos, permitiendo la entrega de material audiovisual en los casos en que así lo dispongan las leyes vigentes.

b. Investigación de Incidentes y Hechos Ilícitos

· Recopilar evidencia visual de cualquier incidente, acto ilícito o evento sospechoso que ocurra dentro de las instalaciones de La Agencia, con el fin de esclarecer los hechos y adoptar las medidas correctivas o legales pertinentes.

· Contribuir a la identificación de personas involucradas en actos de violencia, fraude, sabotaje o cualquier otra conducta indebida dentro de los espacios monitoreados por la agencia.

c. Supervisión y Cumplimiento Normativo

· Monitorear y supervisar el cumplimiento de normativas internas y externas relacionadas con salud ocupacional, seguridad y prevención de riesgos laborales, garantizando condiciones adecuadas de trabajo y el bienestar del personal dentro de las instalaciones.

· Detectar posibles incumplimientos de las políticas de seguridad establecidas por la agencia, facilitando la aplicación de medidas correctivas para evitar riesgos operacionales.

LA AGENCIA reafirma su compromiso con la protección de la privacidad y la confidencialidad de los datos personales, asegurando que el tratamiento de las grabaciones obtenidas a través de videovigilancia se realice con estricta observancia de la normativa aplicable y bajo principios de legalidad, proporcionalidad y necesidad.

VI. BASES DE LEGITIMACIÓN PARA EL TRATAMIENTO

El tratamiento de datos personales a través de los sistemas de videovigilancia se fundamenta en las siguientes bases de legitimación:

1. Interés legítimo del responsable: La instalación y operación de cámaras se justifica en la necesidad de garantizar la seguridad de las personas, bienes e instalaciones, así como la prevención de incidentes o delitos. Dicho tratamiento se realiza conforme a los principios de necesidad y proporcionalidad, procurando no afectar de forma injustificada los derechos de los titulares. En ningún caso se ubicarán cámaras en espacios donde pueda vulnerarse la intimidad, tales como baños, vestidores, lactarios o comedores.

2. Cumplimiento de obligaciones legales o cumplimiento de una orden de autoridad competente: El tratamiento podrá sustentarse adicionalmente en el cumplimiento de mandatos legales o requerimientos judiciales o administrativos válidamente emitidos, cuando estos impongan la obligación de conservar o entregar registros de videovigilancia. En tales casos, el acceso y uso de las grabaciones se limitará estrictamente a los fines y plazos determinados por la normativa aplicable o por la autoridad correspondiente.

La Agencia documentará la justificación del interés legítimo en los casos que corresponda y adoptará medidas técnicas y organizativas que aseguren la protección de los datos personales tratados, limitando su uso a las finalidades previstas en esta política.

VII. TIPO DE DATOS PERSONALES TRATADOS

- Datos identificativos (nombre, cédula, persona a la que visitáis, etc.). Se pedirán estos datos cuando se presente en el mostrador de recepción, para entregaros una tarjeta de visita que les permita acceder a las instalaciones.

- Grabaciones de vídeo. Mientras esté en el campo de grabación de las cámaras de videovigilancia instaladas en nuestro edificio, la imagen del titular imagen puede ser grabada. No existe ninguna cámara oculta. Todas las cámaras están señalizadas.

VIII. DATOS A TERCEROS

No se comunicarán datos a terceros, excepto por obligación legal. En caso de que detectemos que se ha producido un incidente de seguridad o tengamos indicios de la comisión de algún delito (robo, destrozo de material, agresión a personas, etc.), los datos recogidos por nuestras cámaras de videovigilancia y sistemas de control de acceso se pondrán a disposición de Autoridades Competentes.

IX. TIEMPO DE CONSERVACIÓN

Los datos recogidos se suprimirán en un plazo máximo de 120 días (a contar desde el momento del registro). Excepcionalmente, la agencia conservará una copia de los datos durante un plazo superior cuando se haya producido un incidente de seguridad o haya indicios de comisión de algún delito (por ejemplo, un robo).

X. DERECHOS

La normativa vigente de protección de datos reconoce diferentes derechos:

- Derecho de acceso a datos y a obtener una copia de ellos.

- Derecho de supresión o rectificación.

- Derecho a la limitación del tratamiento.

- Derecho de oposición.

- Derecho a la portabilidad de los datos que ha facilitado.

Por favor, tener en cuenta que, aunque se podrá ejercer cualquiera de los derechos anteriores, las características especiales del tratamiento regulado en esta política no permiten responder positivamente la petición en todos los casos. Por ejemplo, se puede rectificar una grabación de videovigilancia o un log o registro de acceso en el que se muestra automáticamente la hora de entrada a nuestras instalaciones.

La Agencia reconoce, además, el derecho a presentar una queja en caso de que considere que se ha hecho un tratamiento incorrecto los datos de carácter personal. Dicha queja se investigará de forma confidencial y recibirá una respuesta por parte de la Agencia.

Para ejercer sus derechos, se podrá contactar a:

• Presentar un escrito o carta suscrito por el titular con los documentos que acrediten su identificación en las instalaciones de la Agencia: Calle Whymper N31-58 y Avenida Coruña, de la ciudad de Quito, provincia de Pichincha; o por correo electrónico: xxxxxx

En todo caso, como personas afectadas o interesadas, podrá presentar las reclamaciones que considere oportunas ante la Superintendencia de Protección de Datos personales.

XI. MODIFICACIONES A LA POLÍTICA

La agencia se reserva expresamente el derecho a modificar, actualizar o completar en cualquier momento esta política de Videovigilancia. Cualquier modificación, actualización o ampliación producida en la presente política será inmediatamente comunicada a través de los canales de comunicación oficiales.

Documento aprobado por la Gerencia General en fecha 02 de febrero de 2026, como parte del Sistema de Gestión de Protección de Datos Personales de la organización.

Cabrera Aguirre Maria Isabel

GERENTE GENERAL

TRAVELNET S.A.

RUC: 1792094283001

POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS DE LA AGENCIA DE VIAJES TRAVELNET S.A.

2.- Introducción y Alcance

Con el fin de dar cumplimiento a la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento General y demás normativa aplicable en el Ecuador, TRAVELNET S.A. (en adelante, el “Responsable”) informa, mediante la presente Política de Protección y Tratamiento de Datos Personales, sus prácticas respecto de la recolección, uso, conservación, administración, comunicación, transferencia y demás formas de tratamiento de datos personales vinculados con su actividad económica principal: ACTIVIDADES DE LAS AGENCIAS DE VIAJES DEDICADAS PRINCIPALMENTE A VENDER SERVICIOS DE VIAJES, DE VIAJES ORGANIZADOS, DE TRANSPORTE Y DE ALOJAMIENTO, AL POR MAYOR O AL POR MENOR, AL PÚBLICO EN GENERAL Y A CLIENTES COMERCIALES.

Esta política explica de manera clara las finalidades generales del tratamiento, las bases de licitud aplicables, los derechos de los titulares y los canales de contacto para su ejercicio, así como las medidas organizativas, técnicas y contractuales que implementamos para proteger los datos personales en todas las etapas del ciclo de vida del dato.

Esta política aplica a todo tratamiento de datos personales necesario para: (i) cotización, reserva, emisión, modificación y gestión de servicios turísticos y/o corporativos (pasajes, paquetes, circuitos, alojamiento, traslados, seguros de viaje, actividades y asistencia); (ii) gestión precontractual, contractual y poscontractual con clientes finales y clientes comerciales/corporativos; (iii) atención al cliente, reclamos y garantías; (iv) cumplimiento de obligaciones legales, contables, tributarias, de prevención de fraude y gestión de riesgos; (v) marketing permitido por la LOPDP (incluida la gestión de preferencias y oposición); y (vi) proveedores y aliados (GDS, aerolíneas, hoteles, consolidadores, aseguradoras, pasarelas de pago y otros encargados o corresponsables).

Vincula a clientes personas naturales, representantes y usuarios de clientes comerciales, prospectos, proveedores, colaboradores y candidatos, y a cualquier tercero cuyos datos se traten en relación con la prestación de servicios de viaje. Cuando tratemos datos de menores de edad, se exigirá la autorización del representante legal y se observará el interés superior del niño.

Cubre los tratamientos realizados en Ecuador y aquellos necesarios para prestar servicios con proveedores y destinos en el extranjero, incluyendo transferencias y accesos internacionales bajo garantías adecuadas. Aplica a los tratamientos efectuados a través de sitio web, aplicaciones móviles, plataformas de mensajería, canales telefónicos y presenciales, correo electrónico, herramientas de gestión corporativa, sistemas GDS y mid/back-office, y cualquier otro canal habilitado por el Responsable.

3.- Limitación de Responsabilidad

El Responsable adopta medidas técnicas, administrativas y organizativas razonables para proteger los datos personales bajo su custodia, procurando evitar su pérdida, uso indebido, acceso no autorizado, alteración o divulgación. No obstante, el titular reconoce y acepta que ningún sistema es completamente infalible o inmune a riesgos tecnológicos o de seguridad, especialmente cuando la transmisión de información se realiza por medios digitales o a través de internet.

La agencia es responsable exclusivamente del tratamiento de los datos personales de sus propios clientes, es decir, de las personas naturales o jurídicas que han contratado directamente sus servicios turísticos o corporativos. Dicho tratamiento se realiza únicamente con el fin de cumplir las obligaciones contractuales y operativas acordadas, brindar la asistencia necesaria durante el proceso de viaje y garantizar la adecuada gestión administrativa, contable y legal, todo ello bajo el estricto cumplimiento de las leyes de protección de datos aplicables.

La agencia no será responsable por incidentes o vulneraciones que se deriven de causas ajenas a su control, tales como fallas en los servicios de telecomunicaciones, ataques informáticos, accesos indebidos por terceros no autorizados o errores del titular al proporcionar su información.

Asimismo, no asume responsabilidad por el tratamiento que realicen proveedores externos o aliados turísticos (aerolíneas, hoteles, operadores, aseguradoras, pasarelas de pago, sistemas de reservas u otros) cuando actúen como responsables o encargados independientes, conforme a sus propias políticas y marcos legales. En esos casos, la agencia actuará únicamente como intermediaria y procurará informar al titular sobre la naturaleza de dicha relación y las condiciones básicas de transferencia o comunicación de sus datos.

De igual forma, no será responsable por los contenidos, prácticas o políticas de privacidad de sitios web o plataformas de terceros a los cuales se pueda acceder desde sus canales digitales mediante enlaces externos.

Sin perjuicio de lo anterior, el Responsable mantiene su compromiso permanente de revisar, mejorar y fortalecer sus mecanismos de seguridad y protección de datos personales, conforme a la evolución tecnológica y a las disposiciones normativas vigentes.

4.- Objetivo de la Política

El objetivo de la presente Política de Protección y Tratamiento de Datos Personales es establecer los principios, criterios y procedimientos bajo los cuales el Responsable garantiza la protección, confidencialidad, integridad y disponibilidad de los datos personales que trata en el ejercicio de su actividad económica, cumpliendo con la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento General y demás normativa aplicable en el Ecuador.

A través de esta política, el Responsable busca:

a. Asegurar el cumplimiento del marco legal vigente, adoptando medidas que garanticen un tratamiento lícito, transparente, proporcional y orientado a finalidades legítimas.

b. Informar a los titulares sobre las prácticas que la agencia aplica para la recolección, uso, almacenamiento, comunicación, transferencia y eliminación de sus datos personales.

c. Definir las responsabilidades internas de los funcionarios, colaboradores y terceros que intervengan en cualquier fase del tratamiento de datos personales, asegurando la observancia de los principios de confidencialidad y seguridad.

d. Garantizar los derechos de los titulares, proporcionando canales claros y accesibles para ejercer los derechos reconocidos en la LOPDP (acceso, rectificación, actualización, eliminación, oposición y portabilidad).

e. Regular el tratamiento de datos personales derivados de las actividades propias del negocio, tales como la cotización, reserva, emisión, modificación o cancelación de servicios de transporte, alojamiento, paquetes turísticos, seguros de viaje, actividades complementarias, atención al cliente, y demás operaciones asociadas al cumplimiento de obligaciones contractuales.

f. Establecer lineamientos para las relaciones con terceros, incluyendo proveedores, aliados estratégicos, pasarelas de pago, aerolíneas, hoteles y operadores, asegurando que cumplan estándares equivalentes de protección de datos.

g. Promover una cultura organizacional de respeto a la privacidad, mediante la capacitación continua del personal y la incorporación de la gestión de datos personales dentro de los procesos de calidad, seguridad y servicio al cliente.

En definitiva, esta política tiene como propósito que todo tratamiento de datos personales realizado por el Responsable se ejecute de forma ética, responsable y transparente, protegiendo los derechos de los titulares y fortaleciendo la confianza de clientes, colaboradores y socios comerciales.

5.- Términos y definiciones:

Para aplicar el presente instrumento es necesaria la comprensión de los siguientes términos y definiciones:

Anonimización y Pseudonimización: Proceso a través del cual se eliminan o alteran datos para que la persona titular no sea identificable, y la sustitución de Datos Personales, como seudónimos o alias, para proteger la privacidad de la persona.

Autoridad de Protección de Datos Personales: Es aquella autoridad pública independiente, encargada de supervisar la aplicación de la LOPDP, y el Reglamento que se emita, enfocada en los reclamos y resoluciones que se dicten, con el objetivo de proteger los derechos y libertades fundamentales de las personas naturales, y con capacidad sancionatoria.

Base de datos: Es el conjunto ordenado de datos, cualquiera que sea su forma, creación, almacenamiento, procesamiento, soporte o tratamiento.

Consentimiento: La manifestación de voluntad o autorización inequívoca, libre, informada y específica emitida por la persona titular de sus datos, mediante la cual autoriza al responsable el tratamiento de sus Datos Personales.

Dato biométrico: Datos de una persona relativos a su físico o fisiología, o relativos a conductas de la persona, como imágenes captadas por cámaras o datos dactiloscópicos.

Dato personal: Dato que identifica o hace identificable a una persona natural, de manera directa o indirecta; tales como su nombre, seudónimo, dirección domiciliaria o de trabajo, número de teléfono celular o fijo, correo electrónico, datos o imágenes en redes sociales, número de tarjeta de crédito o débito, entre otros. Así mismo son Datos Personales los biométricos, captados por cámaras de video, otros datos relativos a huellas, raza, etnia, género, sexo, identidad cultural o religiosa, datos genéticos, crediticios, de salud, entre otros.

Datos sensibles: Son los Datos Personales relativos a etnia, identidad de género o sexual, identidad cultural o religioso, ideología, filiación política, pasado judicial, condición migratoria salud, genéticos o los que puedan causar discriminación.

Delegado de Protección de Datos Personales: Es la persona encargada de asesorar al responsable y encargados del tratamiento de Datos Personales, supervisar el cumplimiento de la normativa vigente de Protección de Datos Personales, y de cooperar con la Autoridad de Protección de Datos Personales.

Derecho de portabilidad: La persona que se encuentre como titular tiene el derecho a recibir sus Datos Personales. Dicha solicitud deberá ser atendida dentro del plazo de quince (15) días.

Derechos del titular: Conjunto de derechos que tiene el titular de Datos Personales, en concordancia con la Ley, son: acceso, rectificación, cancelación y oposición al tratamiento de sus Datos Personales; y, el derecho a la portabilidad.

Encargado del tratamiento: La persona natural o jurídica, que trate los Datos Personales en nombre del responsable del tratamiento, es el personal que recibe los datos, enfocadas en implementar los métodos y técnicas en eliminación, hacer ilegible o dejar irreconocible de forma definitiva y segura los Datos Personales.

Recopilación: Mecanismo mediante el cual se recopilan u obtienen los Datos Personales.

Responsable del tratamiento: La persona natural o jurídica que decida sobre la finalidad y el tratamiento de Datos Personales.

Seguridad de Datos Personales: Las medidas que deben adoptar los responsables y encargados para proteger los Datos Personales, tales como medidas técnicas y organizativas, para proteger los Datos Personales frente a riesgos y amenazas.

Titular: La persona natural cuyos datos son objeto de tratamiento.

Transferencia o comunicación de datos: El proceso a través del cual se comunican o transmiten Datos Personales a una tercera parte, al responsable o al encargado.

Tratamiento: Es la operación o conjunto de operaciones que se realicen sobre los Datos Personales, principalmente, pero no limitando a recopilación, utilización, eliminación, conservación, custodia, distribución, transferencia y en general cualquier uso lícito de Datos Personales.

Vulneración de seguridad de Datos Personales: Incidente de seguridad, evento o situación, que cause afectación a la confidencialidad, disponibilidad o integridad de los Datos Personales.

6.- Principios de la Política

a. Juridicidad: El tratamiento de datos personales debe realizarse estrictamente conforme a la Constitución, la ley y la normativa aplicable, garantizando el respeto y protección de los derechos de las personas titulares.

b. Lealtad: El tratamiento de datos personales debe realizarse de manera clara y transparente, asegurando que los titulares conozcan cómo se usan sus datos, y prohibiendo cualquier uso ilícito o desleal.

c. Transparencia: El tratamiento de datos personales debe ser claro y accesible, proporcionando a los titulares información comprensible sobre cómo se recogen, utilizan y protegen sus datos, conforme a la normativa vigente.

d. Finalidad: El tratamiento de datos personales debe responder a fines previamente determinados, legítimos y claramente informados al titular. No se podrán usar los datos para propósitos distintos a los autorizados, salvo que exista una causa legal que lo habilite. Cualquier uso posterior debe ser compatible con la finalidad original y respetar las expectativas razonables del titular.

e. Pertinencia y minimización de datos personales: Los datos personales recolectados deben ser adecuados, relevantes y limitados únicamente a lo necesario para cumplir con la finalidad establecida, evitando recopilar información excesiva o irrelevante.

f. Proporcionalidad del tratamiento: El tratamiento de datos personales debe ser adecuado, necesario y no excesivo en relación con la finalidad para la cual fueron recolectados, garantizando un uso justo y equilibrado de la información.

g. Confidencialidad: Los datos personales deben mantenerse bajo estricta reserva, evitando su uso o comunicación para fines distintos a los autorizados. En caso habilitar un nuevo tratamiento se aplicará las medidas técnicas y organizativas necesarias para garantizar su protección.

h. Calidad y exactitud: Los datos personales deben ser precisos, completos y actualizados, asegurando su veracidad, y adoptando medidas para corregir o eliminar información inexacta de manera oportuna.

i. Conservación: Los datos personales deben mantenerse únicamente durante el tiempo necesario para cumplir con su finalidad, estableciendo plazos para su eliminación o revisión, salvo cuando se requiera conservarlos con fines de archivo, investigación o interés público, garantizando siempre su seguridad y protección.

j. Seguridad de datos personales: Los datos personales deben protegerse tanto por el encargado como el responsable, mediante medidas técnicas y organizativas adecuadas, asegurando su integridad y resguardándolos frente a cualquier riesgo o vulnerabilidad.

k. Responsabilidad proactiva y demostrada: El responsable del tratamiento debe implementar y acreditar mecanismos que garanticen el cumplimiento de la normativa de protección de datos, pudiendo valerse de buenas prácticas y estándares, y está obligado a rendir cuentas sobre el manejo de la información ante los titulares y la autoridad competente.

l. Aplicación favorable al titular: En caso de duda sobre la interpretación de normas o contratos relacionados con datos personales, estas deberán aplicarse de manera que protejan al máximo los derechos del titular.

m. Independencia del control: La autoridad de protección de datos debe ejercer su control de manera independiente, imparcial y autónoma, garantizando la prevención, investigación y sanción en el cumplimiento de los derechos de los titulares.

7.- Categorías de los Datos Tratados

El Responsable trata datos personales estrictamente necesarios para prestar servicios turísticos al público en general y a clientes comerciales/corporativos, obtenidos directamente del titular, de sus representantes, de acompañantes del viaje, o de terceros autorizados (p. ej., GDS, aerolíneas, hoteles, aseguradoras, operadores, consolidadores y pasarelas de pago), conforme a la LOPDP y al principio de minimización. Las categorías tratadas pueden incluir: