Contáctanos

Política de Privacidad y Tratamiento de Datos Personales

Sección 1: Introducción y Responsable del Tratamiento

1.1. Declaración de Compromiso

Quimcass S.A., operando bajo el nombre comercial de DDO Labs, se compromete firmemente a la protección y el respeto de la privacidad y los datos personales de sus clientes, prospectos, colaboradores y visitantes de su sitio web. Esta política se fundamenta en el cumplimiento estricto de la normativa vigente, en particular el derecho a la protección de datos de carácter personal, reconocido y garantizado por el artículo 66, numeral 19, de la Constitución de la República del Ecuador.[1, 2] La finalidad de este documento es garantizar el ejercicio efectivo del derecho a la protección de datos personales, lo que incluye el acceso y la decisión sobre la información y datos de este carácter, así como su correspondiente protección, en plena conformidad con la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, publicada en el Registro Oficial No. 459 el 26 de mayo de 2021.[3, 4, 5]

1.2. Identificación del Responsable del Tratamiento

La identificación clara y transparente del responsable del tratamiento es un pilar fundamental para la rendición de cuentas y la accountability, principios rectores tanto en la legislación ecuatoriana como en los marcos normativos internacionales. Esta identificación establece la responsabilidad legal directa sobre las actividades de tratamiento de datos y proporciona un punto de contacto inequívoco para los titulares de los datos y las autoridades de control.

Para todos los efectos legales y de conformidad con la LOPDP, la entidad responsable del tratamiento de los datos personales recopilados es:

  • Razón Social: Quimcass S.A.
  • Nombre Comercial: DDO Labs
  • Registro Único de Contribuyentes (RUC): 0993124060001
  • Domicilio Legal: Guayaquil, Ecuador.
  • Correo Electrónico para Asuntos de Privacidad: Para facilitar el ejercicio de los derechos de los titulares y centralizar todas las comunicaciones relativas a la protección de datos, se ha establecido un canal de comunicación dedicado. Cualquier consulta, solicitud o reclamación deberá dirigirse a: privacidad@seo-ecuador.com. La creación de este canal específico asegura que las solicitudes, que deben ser atendidas en plazos legales definidos, sean gestionadas de manera eficiente y diligente, materializando el principio de responsabilidad proactiva.[6, 7]

1.3. Ámbito de Aplicación

La presente Política de Privacidad se aplica a todo tratamiento de datos personales realizado por Quimcass S.A. / DDO Labs. Esto incluye, sin limitación, los datos recopilados de:

  • Visitantes del sitio web oficial de DDO Labs y sus subdominios.
  • Personas que solicitan información sobre nuestros servicios a través de formularios de contacto, correo electrónico, teléfono u otros medios.
  • Clientes actuales con los que se mantiene una relación contractual para la prestación de servicios de optimización de motores de búsqueda (SEO) y marketing digital.
  • Potenciales clientes y contactos comerciales cuyos datos se obtienen en el curso de actividades de marketing y desarrollo de negocio.

Dado que DDO Labs presta servicios a una clientela global, esta política ha sido diseñada no solo para cumplir con la LOPDP de Ecuador, sino también para incorporar los principios y requisitos de las principales regulaciones internacionales de protección de datos. En particular, se han considerado las disposiciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA), enmendada por la Ley de Derechos de Privacidad de California (CPRA), en la medida en que las actividades de tratamiento de DDO Labs involucren a personas ubicadas en dichas jurisdicciones.[8, 9, 10]

1.4. Definiciones Clave

Para asegurar la claridad, la precisión jurídica y la comprensión unívoca de este documento, se definen los siguientes términos clave, de acuerdo con lo establecido en la LOPDP y en armonía con la terminología del RGPD:

  • Dato Personal: Cualquier dato que identifica o hace identificable a una persona natural, directa o indirectamente. Esto incluye, entre otros, nombres, números de identificación, direcciones de correo electrónico, direcciones IP y cualquier otro dato que pueda ser atribuido a un individuo.[11, 12]
  • Titular: La persona natural a quien pertenecen y se refieren los datos personales objeto de tratamiento.
  • Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión o destrucción.[11]
  • Responsable del Tratamiento: La persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o juntamente con otros decide sobre la finalidad y el tratamiento de los datos personales. En el contexto de esta política, el Responsable es Quimcass S.A..[7, 11]
  • Encargado del Tratamiento: La persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que, solo o juntamente con otros, trate datos personales a nombre y por cuenta de un responsable del tratamiento. Ejemplos incluyen proveedores de servicios en la nube, plataformas de marketing por correo electrónico o sistemas de gestión de relaciones con clientes (CRM).[13]
  • Autoridad de Protección de Datos: El organismo público independiente encargado de supervisar la aplicación de la normativa de protección de datos. En Ecuador, esta función corresponde a la Superintendencia de Protección de Datos Personales (SPDP).[14, 15]

Sección 2: Principios Fundamentales del Tratamiento de Datos

Todas las actividades de tratamiento de datos personales llevadas a cabo por DDO Labs se rigen por los principios fundamentales establecidos en la Ley Orgánica de Protección de Datos Personales de Ecuador. Estos principios, que están en consonancia con los estándares internacionales más elevados, como los del RGPD, no son meras directrices, sino obligaciones legales que informan y estructuran cada aspecto de la gestión de datos en la organización.[8, 14, 16] La adhesión explícita a estos principios demuestra un enfoque de «privacidad desde el diseño y por defecto», integrando la protección de datos en el núcleo de las operaciones comerciales.

2.1. Juridicidad, Lealtad y Transparencia

El tratamiento de datos personales se realizará siempre de manera lícita, leal y transparente en relación con el titular. La licitud implica que todo tratamiento debe estar amparado por una de las bases de legitimación previstas en la ley. La lealtad exige que los datos no se traten para fines ilícitos o de manera que se perjudique injustamente al titular. La transparencia se materializa a través de esta política y de otras comunicaciones claras y accesibles, asegurando que el titular esté plenamente informado sobre cómo, por qué y durante cuánto tiempo se tratarán sus datos.[14]

2.2. Limitación de la Finalidad

Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. Esto significa que los datos recopilados para un propósito específico, como la facturación, no se utilizarán para otro fin no relacionado, como el marketing, sin obtener una base de legitimación separada y adecuada para ello. Este principio es crucial para prevenir el «desvío de finalidad» y garantizar que las expectativas de privacidad del titular sean respetadas en todo momento.[11, 14, 17]

2.3. Minimización de Datos

Se recopilarán y tratarán únicamente los datos personales que sean adecuados, pertinentes y estrictamente necesarios en relación con los fines para los que son tratados. DDO Labs se compromete a no recopilar información superflua o excesiva. Cada dato solicitado está justificado por una necesidad operativa o legal concreta, asegurando que la intrusión en la privacidad del titular sea la mínima indispensable.[8, 17]

2.4. Exactitud

Se adoptarán todas las medidas razonables para que los datos personales que se traten sean exactos y, si fuera necesario, se mantengan actualizados. Se facilitarán los medios para que los titulares puedan ejercer su derecho a la rectificación y actualización de datos inexactos o incompletos, garantizando así la calidad y veracidad de la información manejada.[14, 17]

2.5. Limitación del Plazo de Conservación

Los datos personales serán mantenidos de forma que se permita la identificación de los titulares durante no más tiempo del necesario para los fines del tratamiento. Una vez cumplida la finalidad, y transcurridos los plazos de conservación obligatorios por imperativo legal (por ejemplo, en materia fiscal o contable), los datos serán eliminados o anonimizados de forma segura. Se establecerán procedimientos para la revisión periódica de la necesidad de conservar los datos.[12, 14]

2.6. Integridad y Confidencialidad (Seguridad)

Se garantizará la seguridad adecuada de los datos personales mediante la aplicación de medidas técnicas y organizativas apropiadas para protegerlos contra el tratamiento no autorizado o ilícito, contra su pérdida, destrucción o daño accidental. La confidencialidad es un pilar de la relación con el cliente, y su protección se extiende a todos los datos personales bajo nuestra custodia.[14, 17]

2.7. Responsabilidad Proactiva y Demostrada

DDO Labs asume la responsabilidad de cumplir con todos los principios antes mencionados y de ser capaz de demostrar dicho cumplimiento ante los titulares y la Autoridad de Protección de Datos. Esta responsabilidad proactiva implica la implementación de políticas internas, la documentación de las actividades de tratamiento, la realización de análisis de riesgos y la adopción de un enfoque preventivo en materia de protección de datos.[14, 18]

Sección 3: Recopilación y Uso de Datos Personales

La transparencia sobre qué datos se recopilan y para qué fines se utilizan es esencial para construir una relación de confianza con los clientes y cumplir con las obligaciones legales. Esta sección detalla de manera explícita las categorías de datos personales que DDO Labs trata, las finalidades específicas de dicho tratamiento y la base jurídica que legitima cada una de estas actividades, de conformidad con el artículo 7 de la LOPDP.

3.1. Categorías de Datos Personales Recopilados

DDO Labs recopila las siguientes categorías de datos personales, limitándose estrictamente a lo necesario para las finalidades descritas a continuación:

  • Datos de Identificación y Contacto: Incluyen el nombre completo, número de teléfono y dirección de correo electrónico.
  • Datos Profesionales y Corporativos: Incluyen el nombre de la compañía o empresa y la dirección del sitio web.
  • Datos Fiscales: Exclusivamente para clientes en Ecuador que requieren facturación, se recopila el Registro Único de Contribuyentes (RUC).

3.2. Finalidades del Tratamiento

Los datos personales recopilados se utilizan para los siguientes fines específicos, explícitos y legítimos:

  • Para la Prestación de Servicios Contratados: Los datos de la compañía y el sitio web son fundamentales para realizar los análisis, auditorías y la ejecución de las estrategias de SEO y servicios de marketing digital contratados. Los datos de contacto son necesarios para la gestión diaria del proyecto y la entrega de informes.
  • Para la Comunicación y Gestión de la Relación Comercial: El nombre, correo electrónico y teléfono se utilizan para responder a consultas iniciales, enviar propuestas comerciales, gestionar la comunicación durante la prestación del servicio y mantener la relación con el cliente.
  • Para Fines de Marketing y Comunicaciones Comerciales: El nombre y el correo electrónico pueden ser utilizados para enviar boletines informativos (newsletters), análisis de la industria, invitaciones a eventos o información sobre nuevos servicios de DDO Labs. Estas comunicaciones se enviarán únicamente sobre la base del consentimiento explícito del titular o, en su caso, amparadas en el interés legítimo, siempre ofreciendo un mecanismo claro, sencillo y gratuito para oponerse a dicho tratamiento en cada comunicación.[8]
  • Para la Facturación y el Cumplimiento de Obligaciones Legales: El nombre y el RUC se utilizan para la emisión de facturas y para dar cumplimiento a las obligaciones tributarias y contables exigidas por la legislación ecuatoriana.

3.3. Tabla de Actividades de Tratamiento

Para proporcionar la máxima transparencia y demostrar el cumplimiento de los principios de licitud y limitación de la finalidad, a continuación se presenta una tabla que resume las actividades de tratamiento, vinculando cada tipo de dato y finalidad con su correspondiente base legal, conforme a la LOPDP y en armonía con el RGPD. La creación de esta tabla obliga a un ejercicio de mapeo de datos interno, asegurando que cada pieza de información recopilada tenga una justificación legal precisa y documentada, evitando así usos indebidos o no autorizados.

Tipo de Dato Personal

Finalidad del Tratamiento

Base Legal para el Tratamiento (LOPDP / GDPR)

Nombre, Teléfono, Email

Contacto comercial inicial, respuesta a consultas, envío de propuestas.

Tratamiento necesario para la aplicación de medidas precontractuales a petición del titular (Art. 7, numeral 5, LOPDP); o Interés legítimo para responder a una solicitud del titular (Art. 7, numeral 8, LOPDP) / Art. 6(1)(f) GDPR.

Nombre, Email

Envío de comunicaciones de marketing y boletines informativos.

Consentimiento explícito del titular (Art. 7, numeral 1, LOPDP) / Art. 6(1)(a) GDPR.

Nombre, Teléfono, Email, Compañía, Sitio Web

Gestión de la relación con el cliente, entrega de servicios SEO contratados.

Tratamiento necesario para la ejecución de un contrato en el que el titular es parte (Art. 7, numeral 3, LOPDP) / Art. 6(1)(b) GDPR.

Nombre, RUC

Emisión de facturas, cumplimiento de obligaciones fiscales y tributarias.

Tratamiento necesario para el cumplimiento de una obligación legal a la que el responsable del tratamiento está sujeto (Art. 7, numeral 2, LOPDP) / Art. 6(1)(c) GDPR.

Esta tabla representa el núcleo de la transparencia de la política, permitiendo a cualquier titular o autoridad reguladora comprender de un vistazo las prácticas de datos de la agencia. Además, sirve como una herramienta de gobernanza interna para garantizar que los datos no se utilicen fuera de los fines y bases legales aquí establecidos.

Sección 4: Conservación y Seguridad de los Datos

La protección de datos personales no termina con su recopilación y uso legítimo, sino que se extiende a su conservación segura y su eventual eliminación. DDO Labs se compromete a retener los datos solo durante el tiempo estrictamente necesario y a protegerlos con medidas de seguridad robustas, en cumplimiento de los principios de limitación del plazo de conservación e integridad y confidencialidad.

4.1. Política de Retención de Datos

La aplicación de plazos de conservación diferenciados según la naturaleza y finalidad de los datos es un indicador de un programa de privacidad maduro y conforme a la ley. Una política de retención única para todos los datos sería, con toda probabilidad, ilegal y desproporcionada. Por ello, DDO Labs ha establecido los siguientes criterios de retención:

  • Datos de Clientes Activos: Los datos personales vinculados a una relación contractual vigente se conservarán durante toda la duración de dicha relación. Una vez finalizada, los datos se mantendrán bloqueados durante los plazos legalmente exigidos para la atención de posibles responsabilidades legales, fiscales o administrativas. Por ejemplo, la normativa tributaria en Ecuador exige la conservación de documentos contables durante varios años.
  • Datos de Potenciales Clientes (Prospectos): Los datos proporcionados a través de formularios de contacto o solicitudes de información se conservarán durante un período razonable que permita el seguimiento comercial y la posible formalización de una relación contractual. Este período se establece en un máximo de 24 meses desde el último contacto, salvo que el titular solicite su eliminación con anterioridad.
  • Datos para Fines de Marketing: Los datos utilizados para el envío de comunicaciones comerciales se conservarán de manera indefinida mientras sean útiles para la finalidad prevista y hasta que el titular revoque su consentimiento o ejerza su derecho de oposición o supresión.

Estos plazos están sujetos a revisión periódica para asegurar su continua pertinencia y cumplimiento normativo, tal como lo exige la LOPDP y su reglamento.[13, 14]

4.2. Medidas de Seguridad

DDO Labs implementa y mantiene medidas de seguridad técnicas, organizativas y administrativas apropiadas para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados, ya sea de forma accidental o ilícita.[7, 14] Aunque no es prudente detallar públicamente la arquitectura de seguridad específica, las categorías de medidas adoptadas incluyen:

  • Medidas Técnicas:
  • Cifrado de Datos: Uso de protocolos de cifrado como SSL/TLS para la transmisión de datos a través de redes públicas (por ejemplo, en nuestro sitio web).
  • Controles de Acceso: Implementación de sistemas de autenticación y autorización para asegurar que solo el personal autorizado pueda acceder a los datos personales, basado en el principio de mínima necesidad.
  • Seguridad de la Red: Utilización de firewalls y otras tecnologías para proteger los sistemas contra intrusiones no autorizadas.
  • Políticas de Contraseñas Seguras: Exigencia de contraseñas robustas y cambios periódicos para el acceso a los sistemas internos.
  • Medidas Organizativas:
  • Políticas Internas: Desarrollo y aplicación de políticas internas de protección de datos y seguridad de la información para todo el personal.
  • Acuerdos de Confidencialidad: Suscripción de acuerdos de confidencialidad con todos los empleados y contratistas que tengan acceso a datos personales, reforzando su obligación de secreto profesional.[7]
  • Formación y Concienciación: Programas de capacitación periódica para el personal sobre la importancia de la protección de datos y las mejores prácticas de seguridad.
  • Gestión de Incidentes: Establecimiento de un procedimiento para la detección, gestión y respuesta ante posibles brechas de seguridad.

4.3. Notificación de Vulneraciones de la Seguridad

La confianza se construye no solo previniendo incidentes, sino también gestionándolos de manera transparente y responsable cuando ocurren. En caso de producirse una vulneración de la seguridad de los datos personales que suponga un riesgo para los derechos y libertades de los titulares, DDO Labs se compromete a:

  1. Notificar la vulneración a la Superintendencia de Protección de Datos Personales (SPDP) sin dilación indebida y, de ser posible, en un plazo máximo de 2 días desde que se tenga conocimiento de ella.[14]
  2. Comunicar la vulneración a los titulares afectados, sin dilación indebida, cuando sea probable que la vulneración entrañe un alto riesgo para sus derechos y libertades. Dicha comunicación describirá en un lenguaje claro y sencillo la naturaleza de la vulneración, las posibles consecuencias y las medidas adoptadas o propuestas para poner remedio a la situación.

Este compromiso demuestra una comprensión cabal de las obligaciones de respuesta a incidentes y asegura a los clientes que la agencia actuará con la debida diligencia y transparencia en caso de una contingencia.

Sección 5: Comunicación y Transferencia de Datos

La política de DDO Labs sobre la compartición de datos con terceros es clara y restrictiva, basada en el principio de no comercialización de la información personal y en el uso controlado y supervisado de proveedores de servicios.

5.1. No Venta de Datos Personales

DDO Labs declara de manera inequívoca y categórica que no vende, alquila, arrienda ni cede a título oneroso los datos personales de sus clientes o contactos a terceros. Esta práctica es fundamental para el modelo de negocio y la ética de la empresa, y responde directamente a la declaración de intenciones proporcionada.

5.2. Encargados del Tratamiento

Para la prestación de sus servicios y la gestión de sus operaciones, DDO Labs puede requerir la colaboración de terceros proveedores de servicios que, en el curso de su labor, pueden tener acceso a datos personales. Estos proveedores actúan como Encargados del Tratamiento y solo procesan los datos en nombre y bajo las estrictas instrucciones de DDO Labs. Ejemplos de estos servicios incluyen:

  • Proveedores de alojamiento web y servicios en la nube (hosting).
  • Plataformas de gestión de relaciones con clientes (CRM).
  • Herramientas de marketing por correo electrónico y automatización.
  • Software de análisis y monitorización SEO.

Es crucial entender la distinción legal entre «vender datos» y «utilizar un encargado». Mientras que lo primero está prohibido, lo segundo es una práctica comercial legítima, pero sujeta a rigurosos controles legales. DDO Labs se compromete a:

  • Realizar una debida diligencia para seleccionar únicamente a encargados del tratamiento que ofrezcan garantías suficientes de cumplimiento de la LOPDP y otras normativas aplicables.
  • Formalizar un contrato de encargo de tratamiento por escrito (o un instrumento jurídico equivalente, como un Anexo de Procesamiento de Datos o DPA) con cada proveedor. Este contrato obliga al encargado a mantener la confidencialidad, a implementar medidas de seguridad adecuadas y a tratar los datos únicamente para los fines especificados por DDO Labs.[7, 13]

Esta práctica protege a DDO Labs de posibles responsabilidades derivadas de una brecha de seguridad en un proveedor, al demostrar que se han tomado las medidas contractuales y de supervisión exigidas por la ley.

5.3. Transferencias Internacionales de Datos

Dada la naturaleza global de internet y el hecho de que muchos proveedores de servicios tecnológicos de primer nivel tienen su sede fuera de Ecuador, es posible que los datos personales sean transferidos, almacenados o procesados en países distintos. DDO Labs es consciente de que estas transferencias internacionales de datos están sujetas a requisitos específicos para garantizar que el nivel de protección no se vea mermado.

Por lo tanto, cualquier transferencia internacional de datos personales se realizará únicamente si se cumple una de las siguientes condiciones:

  • La transferencia se realiza a un país o una organización internacional que ha sido declarado por la Autoridad de Protección de Datos de Ecuador como poseedor de un nivel adecuado de protección.
  • En ausencia de una decisión de adecuación, la transferencia se realiza bajo garantías adecuadas, como la suscripción de Cláusulas Contractuales Tipo (CCT) aprobadas por la autoridad competente, que imponen obligaciones de protección de datos al importador de los datos.

Esta disposición asegura que, incluso cuando los datos cruzan fronteras, siguen estando protegidos por un marco legal robusto, en cumplimiento con la LOPDP y el RGPD.

Sección 6: Derechos de los Titulares de los Datos

La LOPDP, en línea con las normativas de protección de datos más avanzadas del mundo, otorga a los titulares un conjunto de derechos que les confieren un control efectivo sobre su información personal. DDO Labs no solo reconoce estos derechos, sino que se compromete a facilitar su ejercicio de manera sencilla y accesible. Un procedimiento de solicitud de derechos claro y eficiente es una herramienta fundamental de gestión de riesgos, ya que previene que las consultas se conviertan en reclamaciones formales ante la autoridad de control.

6.1. Sus Derechos de Protección de Datos

Todo titular cuyos datos personales sean tratados por DDO Labs tiene derecho a ejercer los siguientes derechos, conocidos comúnmente por el acrónimo ARSOP+ [6, 8, 19, 20]:

  • Derecho de Acceso: El derecho a obtener confirmación sobre si se están tratando o no sus datos personales y, en caso afirmativo, a acceder a los mismos y a obtener información detallada sobre el tratamiento.[2, 20]
  • Derecho de Rectificación y Actualización: El derecho a solicitar la corrección de los datos personales que sean inexactos o a que se completen los que estén incompletos.[2, 20]
  • Derecho de Eliminación (o Derecho al Olvido): El derecho a obtener la supresión de sus datos personales cuando, entre otros motivos, ya no sean necesarios para los fines para los que fueron recogidos, se haya retirado el consentimiento o el tratamiento sea ilícito.[2, 20]
  • Derecho de Oposición: El derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que sus datos personales sean objeto de un tratamiento basado en el interés legítimo. En particular, el titular tiene un derecho absoluto a oponerse al tratamiento de sus datos con fines de mercadotecnia directa.[20]
  • Derecho a la Portabilidad de los Datos: El derecho a recibir los datos personales que haya proporcionado, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin impedimentos.[20]
  • Derecho a la Limitación del Tratamiento: El derecho a solicitar que se suspenda el tratamiento de sus datos en determinadas circunstancias (por ejemplo, mientras se verifica la exactitud de los datos o si el tratamiento es ilícito).
  • Derecho a no ser objeto de Decisiones Individuales Automatizadas: El derecho a no ser sometido a una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre él o le afecte significativamente de modo similar.

6.2. Procedimiento para Ejercer sus Derechos

Para que el ejercicio de estos derechos sea efectivo, el procedimiento debe ser tan simple como lo fue la entrega de los datos. Cualquier barrera innecesaria puede interpretarse como un intento de obstaculizar los derechos del titular. Por ello, DDO Labs establece el siguiente procedimiento:

  1. Canal de Solicitud: Todas las solicitudes para el ejercicio de derechos deben dirigirse por escrito al correo electrónico designado: privacidad@seo-ecuador.com.
  2. Identificación del Solicitante: La solicitud deberá incluir el nombre y apellidos del titular, y adjuntar una copia de su documento de identidad (cédula de ciudadanía o pasaporte) para verificar su identidad y prevenir el acceso no autorizado a los datos por parte de terceros.[6, 19] En caso de actuar a través de un representante legal, deberá acreditarse dicha representación.
  3. Contenido de la Solicitud: Se deberá especificar con claridad el derecho que se desea ejercer y, si es necesario, los datos concretos a los que se refiere la solicitud.
  4. Plazo de Respuesta: DDO Labs dará respuesta a la solicitud sin dilación indebida y, en cualquier caso, en el plazo máximo de quince (15) días a contar desde la recepción de la misma, tal como establece la LOPDP.[2, 7, 20]
  5. Gratuidad: El ejercicio de estos derechos será gratuito para el titular, sin perjuicio de que, si las solicitudes son manifiestamente infundadas o excesivas, especialmente por su carácter repetitivo, se pueda aplicar un canon razonable.

6.3. Derecho a Presentar una Reclamación

Si un titular considera que el tratamiento de sus datos personales infringe la normativa aplicable o que no se ha satisfecho su solicitud de ejercicio de derechos, se le informa de su derecho a presentar una reclamación ante la autoridad de control competente. En Ecuador, esta autoridad es la Superintendencia de Protección de Datos Personales (SPDP).[14, 15]

Sección 7: Disposiciones Específicas para Clientes Internacionales

La proactividad en el cumplimiento de normativas internacionales no solo mitiga riesgos legales significativos, sino que también posiciona a DDO Labs como una agencia sofisticada y consciente de su responsabilidad en un mercado global. Abordar explícitamente los requisitos del RGPD y la CCPA/CPRA previene sorpresas y demuestra a los clientes de esas regiones que sus derechos específicos son comprendidos y respetados.

7.1. Para Titulares en el Espacio Económico Europeo (EEE)

Si DDO Labs ofrece bienes o servicios a personas ubicadas en el EEE, o monitoriza su comportamiento, sus actividades de tratamiento estarán sujetas al Reglamento General de Protección de Datos (RGPD) de la Unión Europea.[9, 12, 16] En este sentido, se declara que:

  • Los principios, derechos y obligaciones descritos en esta política están alineados con los altos estándares del RGPD.
  • Las bases legales para el tratamiento detalladas en la tabla de la Sección 3.3 son consistentes con las enumeradas en el Artículo 6 del RGPD (consentimiento, ejecución de contrato, obligación legal, interés legítimo, etc.).
  • Los titulares en el EEE gozan de todos los derechos conferidos por el RGPD, incluyendo el derecho de acceso, rectificación, supresión («derecho al olvido»), limitación del tratamiento, portabilidad de los datos y oposición, los cuales pueden ejercer a través del procedimiento descrito en la Sección 6.2.

7.2. Para Residentes de California (EE. UU.)

Si DDO Labs trata datos personales de residentes de California y cumple con los umbrales establecidos por la ley, estará sujeta a la Ley de Privacidad del Consumidor de California (CCPA), enmendada por la Ley de Derechos de Privacidad de California (CPRA).[10] DDO Labs reconoce los siguientes derechos para los residentes de California:

  • Derecho a Saber/Acceder: El derecho a solicitar información sobre las categorías y piezas específicas de información personal que se han recopilado, las fuentes de dicha información, los fines comerciales para su recopilación y las categorías de terceros con quienes se comparte.
  • Derecho de Supresión: El derecho a solicitar la eliminación de la información personal recopilada, sujeto a ciertas excepciones.
  • Derecho a Optar por la No Venta o Compartición (Opt-Out): La CCPA/CPRA otorga a los consumidores el derecho a oponerse a la «venta» o «compartición» de su información personal. DDO Labs reitera su política de no vender datos personales. Por lo tanto, este requisito se cumple por defecto a través de nuestra práctica comercial fundamental.
  • Derecho a la No Discriminación: El derecho a no recibir un trato discriminatorio por ejercer cualquiera de sus derechos de privacidad bajo la CCPA/CPRA.

Los residentes de California pueden ejercer estos derechos a través del canal de contacto especificado en la Sección 6.2.

Sección 8: Política de Cookies y Tecnologías de Seguimiento

Las tecnologías de seguimiento como las cookies son herramientas estándar en la industria del marketing digital y el SEO. Sin embargo, su uso está regulado por las leyes de privacidad, que exigen transparencia y control por parte del usuario. Una política de cookies clara y un mecanismo de consentimiento funcional son a menudo el primer punto de contacto de un usuario con las prácticas de privacidad de una empresa, siendo crucial para generar confianza desde el inicio.

8.1. Uso de Cookies

El sitio web de DDO Labs utiliza cookies. Las cookies son pequeños archivos de texto que se almacenan en el navegador del usuario cuando visita un sitio web. Se utilizan para una variedad de propósitos, como recordar preferencias, permitir la funcionalidad del sitio, analizar el tráfico y, en algunos casos, para fines publicitarios.[11]

8.2. Tipos de Cookies Utilizadas

El sitio web de DDO Labs puede utilizar las siguientes categorías de cookies:

  • Cookies Esenciales o Estrictamente Necesarias: Son indispensables para el funcionamiento básico del sitio web. No se pueden desactivar en nuestros sistemas y no almacenan ninguna información de identificación personal.
  • Cookies de Rendimiento y Analíticas: Estas cookies nos permiten contar las visitas y fuentes de tráfico para poder medir y mejorar el rendimiento de nuestro sitio. Nos ayudan a saber qué páginas son las más o las menos populares, y a ver cómo los visitantes se mueven por el sitio (por ejemplo, a través de herramientas como Google Analytics). La información que recopilan estas cookies es agregada y, por lo tanto, anónima.
  • Cookies de Funcionalidad: Permiten que el sitio web ofrezca una mejor funcionalidad y personalización.
  • Cookies de Marketing o Publicidad: Pueden ser utilizadas para crear un perfil de los intereses del visitante y mostrarle anuncios relevantes en otros sitios. Su uso estará sujeto al consentimiento explícito del usuario.

8.3. Gestión de Cookies y Consentimiento

De conformidad con la normativa aplicable, especialmente en jurisdicciones como la Unión Europea, el uso de cookies no esenciales requiere el consentimiento previo e informado del usuario. DDO Labs se compromete a:

  • Implementar un banner o centro de gestión de consentimiento de cookies en su sitio web, que permita a los usuarios aceptar, rechazar o configurar sus preferencias de cookies de manera granular.
  • Proporcionar en esta política y en el propio banner información clara sobre los tipos de cookies utilizadas y sus finalidades.
  • Facilitar que el consentimiento pueda ser retirado con la misma facilidad con la que se otorgó.
  • Informar a los usuarios de que también pueden gestionar y eliminar las cookies a través de la configuración de su propio navegador web.

Sección 9: Modificaciones de la Política y Contacto

La legislación sobre protección de datos es un campo dinámico y en constante evolución. Una política de privacidad debe ser un documento vivo, capaz de adaptarse a los cambios normativos y a las nuevas prácticas comerciales para mantener su validez y eficacia.

9.1. Actualizaciones de la Política

DDO Labs se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento para adaptarla a novedades legislativas, jurisprudenciales o a cambios en sus prácticas de tratamiento de datos. Cualquier modificación será publicada en nuestro sitio web. En caso de cambios sustanciales que afecten a los derechos de los titulares, se notificará a los mismos por los canales de comunicación habituales.

9.2. Fecha de Última Actualización

Para garantizar la transparencia sobre la vigencia del documento, se indicará siempre la fecha de la última actualización de la política.

Fecha de última actualización: 24 de octubre de 2024.

9.3. Contacto

Para cualquier pregunta, duda o comentario sobre esta Política de Privacidad o sobre el tratamiento de sus datos personales, así como para el ejercicio de sus derechos, se reitera el canal de comunicación designado:

Correo electrónico: privacidad@seo-ecuador.com

Privacy and Personal Data Processing Policy

Section 1: Introduction and Data Controller

1.1. Statement of Commitment

Quimcass S.A., operating under the commercial name DDO Labs, is firmly committed to the protection and respect of the privacy and personal data of its clients, prospects, collaborators, and visitors to its website. This policy is based on strict compliance with current regulations, particularly the right to the protection of personal data, recognized and guaranteed by Article 66, numeral 19, of the Constitution of the Republic of Ecuador. The purpose of this document is to guarantee the effective exercise of the right to personal data protection, which includes access to and decision-making over information and data of this nature, as well as its corresponding protection, in full compliance with the Organic Law on Personal Data Protection (LOPDP) of Ecuador, published in the Official Gazette No. 459 on May 26, 2021.

1.2. Identification of the Data Controller

The clear and transparent identification of the data controller is a fundamental pillar for accountability, a guiding principle in both Ecuadorian legislation and international regulatory frameworks. This identification establishes direct legal responsibility for data processing activities and provides an unequivocal point of contact for data subjects and supervisory authorities.

For all legal purposes and in accordance with the LOPDP, the entity responsible for the processing of collected personal data is:

  • Legal Name: Quimcass S.A.
  • Commercial Name: DDO Labs
  • Unique Taxpayer Registry (RUC): 0993124060001
  • Legal Domicile: Guayaquil, Ecuador.
  • Email for Privacy Matters: To facilitate the exercise of data subjects’ rights and to centralize all communications related to data protection, a dedicated communication channel has been established. Any inquiry, request, or claim should be addressed to: privacidad@seo-ecuador.com. The creation of this specific channel ensures that requests, which must be addressed within defined legal deadlines, are managed efficiently and diligently, materializing the principle of proactive responsibility.

1.3. Scope of Application

This Privacy Policy applies to all personal data processing carried out by Quimcass S.A. / DDO Labs. This includes, without limitation, data collected from:

  • Visitors to the official DDO Labs website and its subdomains.
  • Individuals who request information about our services through contact forms, email, telephone, or other means.
  • Current clients with whom a contractual relationship is maintained for the provision of search engine optimization (SEO) and digital marketing services.
  • Potential clients and business contacts whose data is obtained in the course of marketing and business development activities.

Given that DDO Labs provides services to a global clientele, this policy has been designed not only to comply with Ecuador’s LOPDP but also to incorporate the principles and requirements of major international data protection regulations. In particular, the provisions of the European Union’s General Data Protection Regulation (GDPR) and the California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA), have been considered to the extent that DDO Labs’ processing activities involve individuals located in those jurisdictions.

1.4. Key Definitions

To ensure clarity, legal precision, and a common understanding of this document, the following key terms are defined, in accordance with the LOPDP and in harmony with GDPR terminology:

  • Personal Data: Any data that identifies or makes a natural person identifiable, directly or indirectly. This includes, among others, names, identification numbers, email addresses, IP addresses, and any other data that can be attributed to an individual.
  • Data Subject: The natural person to whom the personal data being processed belongs and refers.
  • Processing: Any operation or set of operations performed on personal data, whether by automated, partially automated, or non-automated technical procedures, such as collection, recording, organization, structuring, storage, adaptation, alteration, retrieval, consultation, use, disclosure by transmission, dissemination, or otherwise making available, alignment or combination, restriction, erasure, or destruction.
  • Data Controller: The natural or legal person, public or private, public authority, or other body that, alone or jointly with others, determines the purposes and means of the processing of personal data. In the context of this policy, the Controller is Quimcass S.A.
  • Data Processor: The natural or legal person, public or private, public authority, or other body that processes personal data on behalf of the data controller. Examples include cloud service providers, email marketing platforms, or customer relationship management (CRM) systems.
  • Data Protection Authority: The independent public body responsible for overseeing the application of data protection regulations. In Ecuador, this function corresponds to the Superintendency of Personal Data Protection (SPDP).

Section 2: Fundamental Principles of Data Processing

All personal data processing activities carried out by DDO Labs are governed by the fundamental principles established in the Organic Law on Personal Data Protection of Ecuador. These principles, which are in line with the highest international standards, such as those of the GDPR, are not mere guidelines but legal obligations that inform and structure every aspect of data management in the organization. Adherence to these principles demonstrates a «privacy by design and by default» approach, integrating data protection into the core of business operations.

2.1. Lawfulness, Fairness, and Transparency

Personal data shall be processed lawfully, fairly, and in a transparent manner in relation to the data subject. Lawfulness implies that all processing must be based on one of the legal bases provided by law. Fairness requires that data not be processed for unlawful purposes or in a way that unfairly prejudices the data subject. Transparency is materialized through this policy and other clear and accessible communications, ensuring that the data subject is fully informed about how, why, and for how long their data will be processed.

2.2. Purpose Limitation

Personal data will be collected for specified, explicit, and legitimate purposes and not further processed in a manner that is incompatible with those purposes. This means that data collected for a specific purpose, such as billing, will not be used for another unrelated purpose, such as marketing, without obtaining a separate and appropriate legal basis for it. This principle is crucial to prevent «purpose creep» and to ensure that the data subject’s privacy expectations are respected at all times.

2.3. Data Minimization

Only personal data that is adequate, relevant, and strictly necessary in relation to the purposes for which it is processed will be collected and processed. DDO Labs is committed to not collecting superfluous or excessive information. Each piece of data requested is justified by a concrete operational or legal need, ensuring that the intrusion into the data subject’s privacy is the minimum necessary.

2.4. Accuracy

All reasonable steps will be taken to ensure that the personal data processed is accurate and, where necessary, kept up to date. Means will be provided for data subjects to exercise their right to rectify and update inaccurate or incomplete data, thereby ensuring the quality and truthfulness of the information handled.

2.5. Storage Limitation

Personal data will be kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed. Once the purpose has been fulfilled, and after the mandatory retention periods required by law (for example, in tax or accounting matters) have elapsed, the data will be securely deleted or anonymized. Procedures will be established for the periodic review of the need to retain data.

2.6. Integrity and Confidentiality (Security)

The appropriate security of personal data will be guaranteed by applying appropriate technical and organizational measures to protect it against unauthorized or unlawful processing, and against its loss, destruction, or accidental damage. Confidentiality is a pillar of the client relationship, and its protection extends to all personal data in our custody.

2.7. Accountability

DDO Labs assumes responsibility for complying with all the aforementioned principles and for being able to demonstrate such compliance to data subjects and the Data Protection Authority. This proactive responsibility involves the implementation of internal policies, the documentation of processing activities, the performance of risk analyses, and the adoption of a preventive approach to data protection.

Section 3: Collection and Use of Personal Data

Transparency about what data is collected and for what purposes it is used is essential to build a relationship of trust with clients and to comply with legal obligations. This section explicitly details the categories of personal data that DDO Labs processes, the specific purposes of such processing, and the legal basis that legitimizes each of these activities, in accordance with Article 7 of the LOPDP.

3.1. Categories of Personal Data Collected

DDO Labs collects the following categories of personal data, strictly limited to what is necessary for the purposes described below:

  • Identification and Contact Data: This includes full name, phone number, and email address.
  • Professional and Corporate Data: This includes the name of the company and the website address.
  • Tax Data: Exclusively for clients in Ecuador who require billing, the Unique Taxpayer Registry (RUC) is collected.

3.2. Purposes of Processing

The personal data collected is used for the following specific, explicit, and legitimate purposes:

  • For the Provision of Contracted Services: The company and website data are essential for performing the analysis, audits, and execution of the contracted SEO and digital marketing strategies. Contact data is necessary for daily project management and report delivery.
  • For Communication and Management of the Business Relationship: The name, email, and phone number are used to respond to initial inquiries, send commercial proposals, manage communication during the service provision, and maintain the client relationship.
  • For Marketing and Commercial Communications: The name and email may be used to send newsletters, industry analysis, event invitations, or information about new DDO Labs services. These communications will only be sent based on the explicit consent of the data subject or, where applicable, based on legitimate interest, always offering a clear, simple, and free mechanism to object to such processing in each communication.
  • For Billing and Compliance with Legal Obligations: The name and RUC are used for issuing invoices and to comply with the tax and accounting obligations required by Ecuadorian legislation.

3.3. Table of Processing Activities

To provide maximum transparency and demonstrate compliance with the principles of lawfulness and purpose limitation, the following table summarizes the processing activities, linking each type of data and purpose with its corresponding legal basis, in accordance with the LOPDP and in harmony with the GDPR. Creating this table forces an internal data mapping exercise, ensuring that each piece of information collected has a precise and documented legal justification, thus avoiding misuse or unauthorized uses.

Type of Personal Data

Purpose of Processing

Legal Basis for Processing (LOPDP / GDPR)

Name, Phone, Email

Initial business contact, response to inquiries, sending proposals.

Processing necessary for the application of pre-contractual measures at the request of the data subject (Art. 7, numeral 5, LOPDP); or Legitimate interest to respond to a request from the data subject (Art. 7, numeral 8, LOPDP) / Art. 6(1)(f) GDPR.

Name, Email

Sending marketing communications and newsletters.

Explicit consent of the data subject (Art. 7, numeral 1, LOPDP) / Art. 6(1)(a) GDPR.

Name, Phone, Email, Company, Website

Management of the client relationship, delivery of contracted SEO services.

Processing necessary for the performance of a contract to which the data subject is a party (Art. 7, numeral 3, LOPDP) / Art. 6(1)(b) GDPR.

Name, RUC

Issuing invoices, compliance with fiscal and tax obligations.

Processing necessary for compliance with a legal obligation to which the controller is subject (Art. 7, numeral 2, LOPDP) / Art. 6(1)(c) GDPR.

This table represents the core of the policy’s transparency, allowing any data subject or regulatory authority to understand the agency’s data practices at a glance. It also serves as an internal governance tool to ensure that data is not used outside the purposes and legal bases established here.

Section 4: Data Retention and Security

The protection of personal data does not end with its lawful collection and use but extends to its secure storage and eventual disposal. DDO Labs is committed to retaining data only for the time strictly necessary and to protecting it with robust security measures, in compliance with the principles of storage limitation and integrity and confidentiality.

4.1. Data Retention Policy

The application of different retention periods according to the nature and purpose of the data is an indicator of a mature and legally compliant privacy program. A single retention policy for all data would, in all likelihood, be illegal and disproportionate. Therefore, DDO Labs has established the following retention criteria:

  • Data of Active Clients: Personal data linked to a current contractual relationship will be kept for the entire duration of that relationship. Once terminated, the data will be kept blocked for the legally required periods to address possible legal, tax, or administrative responsibilities. For example, tax regulations in Ecuador require the retention of accounting documents for several years.
  • Data of Potential Clients (Prospects): Data provided through contact forms or information requests will be kept for a reasonable period that allows for commercial follow-up and the possible formalization of a contractual relationship. This period is set at a maximum of 24 months from the last contact, unless the data subject requests its deletion earlier.
  • Data for Marketing Purposes: Data used for sending commercial communications will be retained indefinitely as long as it is useful for the intended purpose and until the data subject revokes their consent or exercises their right to object or erasure.

These periods are subject to periodic review to ensure their continued relevance and regulatory compliance, as required by the LOPDP and its regulations.

4.2. Security Measures

DDO Labs implements and maintains appropriate technical, organizational, and administrative security measures to protect personal data against accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data. While it is not prudent to publicly detail the specific security architecture, the categories of measures adopted include:

  • Technical Measures:
    • Data Encryption: Use of encryption protocols such as SSL/TLS for data transmission over public networks (e.g., on our website).
    • Access Controls: Implementation of authentication and authorization systems to ensure that only authorized personnel can access personal data, based on the principle of least privilege.
    • Network Security: Use of firewalls and other technologies to protect systems against unauthorized intrusions.
    • Strong Password Policies: Requirement of robust passwords and periodic changes for access to internal systems.
  • Organizational Measures:
    • Internal Policies: Development and application of internal data protection and information security policies for all staff.
    • Confidentiality Agreements: Signing of confidentiality agreements with all employees and contractors who have access to personal data, reinforcing their duty of professional secrecy.
    • Training and Awareness: Periodic training programs for staff on the importance of data protection and best security practices.
    • Incident Management: Establishment of a procedure for the detection, management, and response to potential security breaches.

4.3. Notification of Security Breaches

Trust is built not only by preventing incidents but also by managing them transparently and responsibly when they occur. In the event of a personal data breach that poses a risk to the rights and freedoms of data subjects, DDO Labs commits to:

  1. Notify the breach to the Superintendency of Personal Data Protection (SPDP) without undue delay and, where feasible, within a maximum period of 2 days of becoming aware of it.
  2. Communicate the breach to the affected data subjects, without undue delay, when the breach is likely to result in a high risk to their rights and freedoms. This communication will describe in clear and plain language the nature of the breach, the likely consequences, and the measures taken or proposed to be taken to address the situation.

This commitment demonstrates a full understanding of incident response obligations and assures clients that the agency will act with due diligence and transparency in the event of a contingency.

Section 5: Data Communication and Transfer

DDO Labs’ policy on sharing data with third parties is clear and restrictive, based on the principle of not commercializing personal information and on the controlled and supervised use of service providers.

5.1. No Sale of Personal Data

DDO Labs unequivocally and categorically states that it does not sell, rent, lease, or otherwise transfer for consideration the personal data of its clients or contacts to third parties. This practice is fundamental to the company’s business model and ethics, and directly responds to the provided statement of intent.

5.2. Data Processors

For the provision of its services and the management of its operations, DDO Labs may require the collaboration of third-party service providers who, in the course of their work, may have access to personal data. These providers act as Data Processors and only process the data on behalf of and under the strict instructions of DDO Labs. Examples of these services include:

  • Web hosting and cloud service providers.
  • Customer Relationship Management (CRM) platforms.
  • Email marketing and automation tools.
  • SEO analysis and monitoring software.

It is crucial to understand the legal distinction between «selling data» and «using a processor.» While the former is prohibited, the latter is a legitimate business practice but is subject to rigorous legal controls. DDO Labs commits to:

  • Performing due diligence to select only data processors that provide sufficient guarantees of compliance with the LOPDP and other applicable regulations.
  • Formalizing a written data processing agreement (or an equivalent legal instrument, such as a Data Processing Addendum or DPA) with each provider. This contract obligates the processor to maintain confidentiality, implement appropriate security measures, and process the data only for the purposes specified by DDO Labs.

This practice protects DDO Labs from potential liabilities arising from a security breach at a provider by demonstrating that the contractual and supervisory measures required by law have been taken.

5.3. International Data Transfers

Given the global nature of the internet and the fact that many top-tier technology service providers are based outside of Ecuador, it is possible that personal data may be transferred, stored, or processed in other countries. DDO Labs is aware that these international data transfers are subject to specific requirements to ensure that the level of protection is not diminished.

Therefore, any international transfer of personal data will only be carried out if one of the following conditions is met:

  • The transfer is made to a country or international organization that has been declared by the Data Protection Authority of Ecuador as having an adequate level of protection.
  • In the absence of an adequacy decision, the transfer is made under appropriate safeguards, such as the signing of Standard Contractual Clauses (SCCs) approved by the competent authority, which impose data protection obligations on the data importer.

This provision ensures that even when data crosses borders, it remains protected by a robust legal framework, in compliance with the LOPDP and GDPR.

Section 6: Rights of Data Subjects

The LOPDP, in line with the most advanced data protection regulations in the world, grants data subjects a set of rights that give them effective control over their personal information. DDO Labs not only recognizes these rights but is committed to facilitating their exercise in a simple and accessible manner. A clear and efficient rights request procedure is a fundamental risk management tool, as it prevents inquiries from becoming formal complaints to the supervisory authority.

6.1. Your Data Protection Rights

Every data subject whose personal data is processed by DDO Labs has the right to exercise the following rights, commonly known by the acronym ARSOP+ in Spanish contexts:

  • Right of Access: The right to obtain confirmation as to whether or not personal data concerning them is being processed, and, where that is the case, access to the personal data and detailed information about the processing.
  • Right to Rectification and Update: The right to request the correction of personal data that is inaccurate or to have incomplete data completed.
  • Right to Erasure (or Right to be Forgotten): The right to obtain the erasure of their personal data when, among other reasons, the data is no longer necessary for the purposes for which it was collected, consent has been withdrawn, or the processing is unlawful.
  • Right to Object: The right to object at any time, on grounds relating to their particular situation, to the processing of personal data based on legitimate interest. In particular, the data subject has an absolute right to object to the processing of their data for direct marketing purposes.
  • Right to Data Portability: The right to receive the personal data they have provided in a structured, commonly used, and machine-readable format, and to transmit it to another controller without hindrance.
  • Right to Restriction of Processing: The right to request the suspension of the processing of their data in certain circumstances (e.g., while the accuracy of the data is being verified or if the processing is unlawful).
  • Right not to be subject to Automated Individual Decision-Making: The right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning them or similarly significantly affects them.

6.2. Procedure to Exercise Your Rights

For the exercise of these rights to be effective, the procedure must be as simple as it was to provide the data. Any unnecessary barriers can be interpreted as an attempt to obstruct the data subject’s rights. Therefore, DDO Labs establishes the following procedure:

  1. Request Channel: All requests for the exercise of rights must be sent in writing to the designated email address: privacidad@seo-ecuador.com.
  2. Applicant Identification: The request must include the full name of the data subject and attach a copy of their identity document (national ID card or passport) to verify their identity and prevent unauthorized access to the data by third parties. If acting through a legal representative, such representation must be proven.
  3. Content of the Request: The right being exercised must be clearly specified and, if necessary, the specific data to which the request refers.
  4. Response Time: DDO Labs will respond to the request without undue delay and, in any case, within a maximum period of fifteen (15) days from receipt of the request, as established by the LOPDP.
  5. Free of Charge: The exercise of these rights will be free of charge for the data subject, without prejudice to the possibility of charging a reasonable fee if the requests are manifestly unfounded or excessive, especially due to their repetitive character.

6.3. Right to Lodge a Complaint

If a data subject considers that the processing of their personal data infringes the applicable regulations or that their request to exercise rights has not been satisfied, they are informed of their right to lodge a complaint with the competent supervisory authority. In Ecuador, this authority is the Superintendency of Personal Data Protection (SPDP).

Section 7: Specific Provisions for International Clients

Proactivity in complying with international regulations not only mitigates significant legal risks but also positions DDO Labs as a sophisticated agency aware of its responsibility in a global market. Explicitly addressing the requirements of the GDPR and CCPA/CPRA prevents surprises and shows clients in those regions that their specific rights are understood and respected.

7.1. For Data Subjects in the European Economic Area (EEA)

If DDO Labs offers goods or services to individuals located in the EEA, or monitors their behavior, its processing activities will be subject to the European Union’s General Data Protection Regulation (GDPR). In this regard, it is declared that:

  • The principles, rights, and obligations described in this policy are aligned with the high standards of the GDPR.
  • The legal bases for processing detailed in the table in Section 3.3 are consistent with those listed in Article 6 of the GDPR (consent, performance of a contract, legal obligation, legitimate interest, etc.).
  • Data subjects in the EEA enjoy all the rights conferred by the GDPR, including the right of access, rectification, erasure («right to be forgotten»), restriction of processing, data portability, and objection, which they can exercise through the procedure described in Section 6.2.

7.2. For Residents of California (USA)

If DDO Labs processes the personal data of California residents and meets the thresholds established by law, it will be subject to the California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA). DDO Labs recognizes the following rights for California residents:

  • Right to Know/Access: The right to request information about the categories and specific pieces of personal information that have been collected, the sources of such information, the business purposes for its collection, and the categories of third parties with whom it is shared.
  • Right to Delete: The right to request the deletion of personal information collected, subject to certain exceptions.
  • Right to Opt-Out of Sale or Sharing: The CCPA/CPRA gives consumers the right to object to the «sale» or «sharing» of their personal information. DDO Labs reiterates its policy of not selling personal data. Therefore, this requirement is met by default through our fundamental business practice.
  • Right to Non-Discrimination: The right not to receive discriminatory treatment for exercising any of their privacy rights under the CCPA/CPRA.

California residents can exercise these rights through the contact channel specified in Section 6.2.

Section 8: Cookie Policy and Tracking Technologies

Tracking technologies like cookies are standard tools in the digital marketing and SEO industry. However, their use is regulated by privacy laws, which require transparency and user control. A clear cookie policy and a functional consent mechanism are often a user’s first point of contact with a company’s privacy practices, making them crucial for building trust from the outset.

8.1. Use of Cookies

The DDO Labs website uses cookies. Cookies are small text files that are stored in the user’s browser when they visit a website. They are used for a variety of purposes, such as remembering preferences, enabling site functionality, analyzing traffic, and, in some cases, for advertising purposes.

8.2. Types of Cookies Used

The DDO Labs website may use the following categories of cookies:

  • Essential or Strictly Necessary Cookies: These are indispensable for the basic functioning of the website. They cannot be disabled in our systems and do not store any personally identifiable information.
  • Performance and Analytics Cookies: These cookies allow us to count visits and traffic sources so we can measure and improve the performance of our site. They help us know which pages are the most and least popular and see how visitors move around the site (e.g., through tools like Google Analytics). The information these cookies collect is aggregated and therefore anonymous.
  • Functionality Cookies: These enable the website to provide enhanced functionality and personalization.
  • Marketing or Advertising Cookies: These may be used to build a profile of the visitor’s interests and show them relevant ads on other sites. Their use will be subject to the user’s explicit consent.

8.3. Cookie Management and Consent

In accordance with applicable regulations, especially in jurisdictions like the European Union, the use of non-essential cookies requires the user’s prior and informed consent. DDO Labs is committed to:

  • Implementing a cookie consent banner or management center on its website, allowing users to accept, reject, or configure their cookie preferences in a granular way.
  • Providing clear information in this policy and in the banner itself about the types of cookies used and their purposes.
  • Making it as easy to withdraw consent as it was to give it.
  • Informing users that they can also manage and delete cookies through their own web browser settings.

Section 9: Policy Modifications and Contact

Data protection legislation is a dynamic and constantly evolving field. A privacy policy must be a living document, capable of adapting to regulatory changes and new business practices to maintain its validity and effectiveness.

9.1. Policy Updates

DDO Labs reserves the right to modify this Privacy Policy at any time to adapt it to new legislation, jurisprudence, or changes in its data processing practices. Any modification will be published on our website. In the case of substantial changes that affect the rights of data subjects, they will be notified through the usual communication channels.

9.2. Last Updated Date

To ensure transparency about the document’s currency, the date of the last policy update will always be indicated.

Last updated: October 24, 2024.

9.3. Contact

For any questions, doubts, or comments about this Privacy Policy or the processing of your personal data, as well as for the exercise of your rights, the designated communication channel is reiterated:

Email: privacidad@seo-ecuador.com