Política de Privacidad de la Red Nacional de Confianza (RNC)
La Red Nacional de Confianza (RNC) es un esquema de coordinación interinstitucional liderado por EcuCERT–ARCOTEL, que integra voluntariamente a Centros de Respuesta a Incidentes Informáticos (CSIRT/CERT) y Centros de Operaciones de Seguridad (SOC) públicos y privados para el intercambio de información y la gestión colaborativa de incidentes de ciberseguridad a nivel nacional.
Base legal y principios aplicables
La RNC trata datos personales conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General, observando principios de legalidad, lealtad, transparencia, finalidad, minimización, seguridad y responsabilidad proactiva.
Asimismo, se cumplen las reglas de confidencialidad, uso responsable de información y coordinación interinstitucional previstas en el Estatuto de la RNC.
Alcance de esta política
a { text-decoration: none; color: #464feb; } tr th, tr td { border: 1px solid #e6e6e6; } tr th { background-color: #f5f5f5; } Esta política aplica al tratamiento de datos personales realizado por la RNC en Ecuador, incluyendo:
- Operación del sitio web y sus formularios (registro, contacto, suscripción).
- Gestión de membresías de CSIRT/CERT y SOC registrados.
- Coordinación y respuesta ante incidentes de ciberseguridad (alertas, advertencias, boletines técnicos).
- Intercambio de información entre miembros de la RNC bajo reglas de confidencialidad y seguridad.
Categorías de datos que tratamos
Según el servicio o interacción, la RNC puede tratar:
- Datos de identificación y contacto: nombre, cargo, institución, correo, teléfono.
- Datos organizacionales: acreditación como CSIRT/CERT o SOC, documentación técnica, llaves PGP, información de contacto operativo. [ecucert.gob.ec]
- Datos de evento/incidente: metadatos técnicos (p.ej., direcciones IP, indicadores de compromiso, firmas, vectores de ataque), trazas y evidencias estrictamente necesarias para la gestión del incidente.
- Datos de navegación y cookies: direcciones IP, logs, identificadores de sesión y configuración de cookies del sitio.
La RNC no solicita ni trata deliberadamente categorías especiales de datos personales (salud, credo, etc.), salvo que sean estrictamente necesarios para la atención de incidentes y bajo salvaguardas reforzadas según LOPDP.
Finalidades del tratamiento
Bases de legitimación
El tratamiento se realiza sobre las siguientes bases:
- Cumplimiento de misión/competencia pública y fines estatutarios de coordinación interinstitucional (RNC/EcuCERT–ARCOTEL).
- Ejecución de relaciones y compromisos voluntarios asumidos por miembros registrados (CSIRT/CERT/SOC).
- Interés público en seguridad y resiliencia digital, en el marco de prevención y gestión de incidentes.
- Consentimiento del titular, cuando corresponda (p.ej., comunicaciones no esenciales, cookies no necesarias).
Plazos de conservación
Conservamos los datos solo por el tiempo estrictamente necesario para cumplir las finalidades indicadas, obligaciones legales y auditorías, aplicando criterios de minimización y borrado seguro. Los datos técnicos de incidentes se conservan por plazos proporcionales a la gestión del caso y a los requisitos de trazabilidad y mejora continua.
Destinatarios y transferencias
- Miembros de la RNC (CSIRT/CERT/SOC) y equipos técnicos involucrados en la gestión de incidentes, bajo acuerdos de confidencialidad y uso responsable.
- Autoridades competentes cuando exista obligación legal o requerimiento debidamente fundamentado.
Las transferencias internacionales, si se requieren (p.ej., coordinación con CERT extranjeros), se realizarán con garantías adecuadas y documentación de seguridad, conforme la LOPDP y su Reglamento.
Medidas de seguridad
Implementamos controles técnicos y organizativos acordes al riesgo, incluyendo: cifrado/PGP para intercambio de información, segmentación de redes, control de accesos, registros y auditoría, gestión de vulnerabilidades y Evaluaciones de Impacto en Protección de Datos (EIPD) en tratamientos de alto riesgo.
Derechos de los titulares
Puedes ejercer, en forma gratuita, tus derechos de acceso, rectificación, actualización, eliminación, oposición, portabilidad y limitación del tratamiento, en los términos de la LOPDP. Para ello, escríbenos a [correo de privacidad] indicando tu solicitud y medio de notificación.
Gestión de incidentes y notificación
La RNC mantiene procedimientos de notificación y respuesta ante vulneraciones de seguridad que afecten datos personales. En caso de incidentes relevantes, se informará a la autoridad competente dentro de los plazos aplicables y, cuando corresponda, a los titulares afectados.
Actualizaciones de esta política
Podemos actualizar esta política para reflejar cambios normativos, técnicos o funcionales. Las modificaciones se publicarán en este sitio y entrarán en vigencia desde su publicación. Te recomendamos revisarla periódicamente.
Consentimiento
El tratamiento de datos personales por parte de la Red Nacional de Confianza (RNC) se realiza principalmente sobre bases legales como el cumplimiento de competencias públicas, fines estatutarios y ejecución de relaciones voluntarias con los miembros registrados. Sin embargo, en aquellos casos donde el tratamiento no esté amparado en dichas bases (por ejemplo, envío de comunicaciones no esenciales, uso de cookies no necesarias, participación en encuestas o eventos), se solicitará el consentimiento libre, informado, expreso y previo del titular.
Características del consentimiento:
Libre: sin condicionamientos indebidos para acceder a servicios esenciales.
Informado: con detalle sobre la finalidad, tipo de datos tratados y derechos del titular.
Expreso: mediante una acción afirmativa clara (p.ej., marcar una casilla, aceptar un banner).
Previo: antes de iniciar cualquier tratamiento que requiera consentimiento.
El titular podrá revocar su consentimiento en cualquier momento, sin efectos retroactivos, a través de los canales habilitados por la RNC