Política de Tratamiento de Datos Personales


COMERCIALIZADORA DE ESTÉTICA Y BELLEZA NOVEP S.A. (“El Peluquero”) informa su Política de Tratamiento de Datos Personales, aplicable a todos los canales (tienda online, tiendas físicas, WhatsApp Business, email, teléfono y redes sociales), así como a proveedores y colaboradores.

Responsable del tratamiento: NOVEP S.A. · RUC 0992951591001 · Lorenzo de Garaycoa 1124, entre Luque y Aguirre, Guayaquil, Ecuador · hola@elpeluquero.ec
Vigencia: 19 de septiembre de 2025

1) Objeto y alcance

Esta Política establece las reglas, principios y procedimientos bajo los cuales tratamos datos personales de clientes y potenciales, visitantes, proveedores, colaboradores y candidatos. Se complementa con la Política de Privacidad (aviso al titular) y con el Documento de Cookies.

2) Principios de tratamiento

  • Licitud, lealtad y transparencia: tratamos datos con bases legales válidas e informamos de forma clara.
  • Finalidad: usamos los datos para fines determinados, explícitos y legítimos.
  • Minimización: recolectamos lo estrictamente necesario.
  • Exactitud: procuramos mantener los datos actualizados.
  • Limitación de conservación: conservamos por el tiempo necesario y legalmente exigido.
  • Integridad y confidencialidad: aplicamos medidas de seguridad proporcionales al riesgo.
  • Responsabilidad proactiva: podemos demostrar cumplimiento (registros, controles, contratos con encargados, capacitaciones).

3) Bases legales

  • Ejecución de contrato (gestión de cuenta, ventas, entregas, garantías y posventa).
  • Obligación legal (tributaria/consumo; respuesta a autoridades).
  • Interés legítimo (seguridad, videovigilancia señalizada, prevención de fraude, comunicaciones estrictamente necesarias, mejora del servicio).
  • Consentimiento (marketing directo email/SMS/WhatsApp; cookies/SDK no esenciales; grabación de llamadas si aplica).

4) Finalidades de tratamiento

Finalidad Ejemplos Base legal
Gestión de cuenta y compras Registro, verificación, carrito/checkout, cobro, facturación, entrega, devoluciones/garantías, soporte Ejecución de contrato / Obligación legal
Atención al cliente WhatsApp, email, teléfono, tienda, redes (@elpeluqueroec) Ejecución de contrato / Interés legítimo
Prevención del fraude y seguridad Controles antifraude de pagos (Datafast/PayPal), monitoreo técnico, videovigilancia señalizada Interés legítimo / Obligación legal
Analítica y mejora Métricas de uso del sitio (Google Analytics), rendimiento, UX Consentimiento (cuando aplique) / Interés legítimo
Marketing directo Email/SMS/WhatsApp, audiencias publicitarias (Meta/TikTok) Consentimiento

5) Categorías de titulares y datos

5.1 Titulares

  • Clientes y potenciales clientes.
  • Visitantes del sitio/tienda.
  • Proveedores y sus representantes.
  • Colaboradores y candidatos (ámbito laboral).

5.2 Datos

  • Identificación y contacto: nombre, cédula/RUC, email, teléfono, dirección.
  • Transaccionales: pedidos, devoluciones, garantías, preferencias.
  • Pago (según método):
    • Tarjetas (Datafast POS): últimos 4 dígitos, marca, código de autorización, importe, fecha/hora, punto de venta. No almacenamos PAN completo ni CVV/CVC.
    • PayPal: identificadores/tokens de la operación.
    • Transferencia/depósito: banco de origen, referencia/operación, cuenta destino, importe, fecha/hora y comprobante remitido.
    • Cheque: banco, número, titular, importe, fecha y estado de compensación.
    • Efectivo: registro de caja (importe, fecha/hora, punto de venta) y número de comprobante.
  • Facturación: datos requeridos por normativa tributaria.
  • Navegación: IP, identificadores de dispositivo, eventos de uso, cookies/SDK (Meta Pixel, TikTok, Google Analytics) conforme a la Política de Cookies.
  • Videovigilancia: imagen en áreas señalizadas de tiendas (seguridad).
  • RR. HH. (cuando aplique): datos laborales/selección conforme a normativa laboral y de protección de datos.

6) Encargados y destinatarios

  • Plataforma/hosting: Shopify.
  • Pagos: PayPal; adquirente/procesador de tarjetas (p. ej., Datafast) y bancos emisores/adquirentes; bancos de NOVEP para liquidaciones de transferencias/depósitos/cheques.
  • Logística: Servientrega, Urbano, Tramaco Express (entregas/devoluciones).
  • Marketing/analítica: Meta Pixel, TikTok Pixel, Google Analytics y proveedor de email-SMS.
  • Autoridades competentes: cuando la ley lo exija.

No vendemos datos personales. Todos los encargados operan bajo contrato y medidas de seguridad adecuadas.

7) Transferencias internacionales

Al trabajar con proveedores globales (como Shopify y PayPal), pueden realizarse transferencias internacionales de datos. NOVEP S.A. implementa garantías contractuales y técnicas adecuadas y documenta dichas transferencias según la normativa aplicable.

8) Conservación

  • Comprobantes/documentación tributaria: 7 años.
  • Soporte de pagos (vouchers POS, referencias PayPal/transferencia/depósito/cheque): por el tiempo necesario para conciliación, contracargos, garantías y responsabilidades legales.
  • Cuenta/pedidos y soporte: mientras dure la relación y plazos legales asociados.
  • Marketing: hasta revocar el consentimiento u oponerse.
  • Videovigilancia: según matriz interna de seguridad y proporcionalidad.
  • RR. HH.: según ciclos de selección/relación laboral y obligaciones legales.

9) Seguridad de la información e incidentes

Aplicamos medidas técnicas y organizativas proporcionales al riesgo (control de accesos, cifrado en tránsito, segmentación de roles, registros de actividad, retención mínima, acuerdos con encargados, pruebas razonables). Aunque trabajamos para proteger la información, ningún método es 100% infalible. En caso de una vulneración de seguridad que pueda afectar derechos de los titulares, cumpliremos con las obligaciones de notificación aplicables.

Pagos con tarjeta: el procesamiento se realiza en terminales/pasarelas certificadas; no almacenamos PAN completo ni CVV/CVC. Conservamos solo la información mínima del comprobante para conciliación y contracargos.

10) Derechos de los titulares y procedimiento

Los titulares pueden ejercer: acceso, rectificación/actualización, eliminación, oposición, portabilidad, limitación y el derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados.

Canal y plazos

  • Canal: hola@elpeluquero.ec.
  • Plazo de respuesta: hasta 15 días desde la recepción de la solicitud.
  • Verificación: podremos solicitar información mínima adicional para confirmar identidad/titularidad.
  • Solicitudes infundadas o excesivas: podremos rechazarlas o aplicar un cargo razonable, debidamente motivado, cuando la ley lo permita.

11) Menores de edad

Tratamos datos de niñas, niños y adolescentes con consentimiento del representante legal; los adolescentes pueden consentir progresivamente en los casos permitidos por la normativa.

12) Decisiones automatizadas

No adoptamos decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente sin garantías. Si en el futuro aplicara, informaremos y habilitaremos intervención humana.

13) Gobernanza y cumplimiento

  • Punto de contacto de privacidad: hola@elpeluquero.ec.
  • Registro de Actividades de Tratamiento (RAT/ROPA): NOVEP S.A. mantiene internamente un inventario de tratamientos, bases legales, responsables y encargados.
  • Contratos con encargados: todos incluyen cláusulas de confidencialidad, seguridad y cumplimiento.
  • Capacitación: sensibilización periódica del personal que trata datos personales.
  • Evaluación de riesgos: se realizan análisis de impacto cuando corresponda, con medidas mitigantes.

14) Actualizaciones

Podemos actualizar esta Política por cambios legales, técnicos u operativos. Publicaremos la nueva fecha de vigencia y, si el cambio es sustancial, lo comunicaremos por medios razonables.

15) Anexos operativos (referenciales)

  • Anexo A: Matriz de finalidades vs. bases legales y categorías de datos.
  • Anexo B: Procedimiento interno para atención de derechos (SOP) y formatos de respuesta.
  • Anexo C: Registro de incidencia de seguridad y plan de respuesta.
  • Anexo D: Listado de encargados y subencargados con fecha de última revisión.

Los anexos se gestionan de forma interna y estarán disponibles para la autoridad competente cuando corresponda.