AVISO DE PROTECCIÓN DE DATOS
ALCANCE
Esta política de tratamiento de datos personales será aplicada a todos los datos personales que sean recolectados, almacenados, consolidados, procesados, analizados y difundidos, a través de los diferentes repositorios institucionales cuyos datos se recolectan de manera digitales y física en el Ministerio de Salud Pública. Así como para los datos recolectados por las dependencias del Ministerio de Salud Pública por medio de mecanismos de consulta con otras instituciones públicas y/o privadas.
Esta política es de acceso público, toda persona, puede disponer de su información en la medida que se encuentre publicada.
OBJETO
Mediante la presente política, el Ministerio de Salud Pública establece los procedimientos para que el titular del dato personal ejerza sus derechos respecto del tratamiento que la Autoridad Sanitaria Nacional realiza acorde al ordenamiento legal vigente.
DATOS QUE SE RECOLECTA
El Ministerio de Salud Pública recolecta datos, personales y relativos a la salud tales como: cedula de ciudadanía, nombres y apellidos, fecha de nacimiento, sexo, estado civil, nacionalidad, etnia, edad, lugar de nacimiento, instrucción, profesión, Información Clínica, a través de los mecanismos físicos, digitales, sistemas y portales web que se detallan a continuación:
| Portales Web – Sistemas |
| PRAS |
| EXTERNALIZACION |
| TAMIZAJE |
| APLICACIONES.MSP.GOB.EC |
| CORESALUD |
| RPIS |
| VACUNACIONCOVID19 |
| EPICOVIDCOVID-19-PCR |
| SGRDACAA |
| SGRDACAA-SIG |
| SGRDACAA-AMED-EXTERNOS |
| SGRDACAA-ADMISION |
| SGRDACAA-ENFERMERIA |
| SGRDACAA-AMED |
| VIEPI |
| FICHATECNICADM |
| FICHATECNICAMED |
| SGR-PLAZAS |
| SIL |
| RDACAAA |
| SIGHOS |
| SAIS |
| HOSVITAL |
| Agendamiento SIRRCPAD |
| Emergencia F008 |
| SIGESH |
| SISHRZ |
| SISTEMA DE GESTION HOSPITALARIA – PICHINCHA |
| SYSHPVC |
| SYS-HEP |
| HGDZ |
| SISTEMA DE GESTION HOSPITALARIA – STO DOMINGO |
| SIGHVCM |
| SCH HOSPITAL |
| SAAS – Sistema Automatizado de Atención de Salud |
| SIHUG |
| SIHUG |
| KYRIOS |
| SIAM SISTEMA INTEGRAL DE ATENCION MEDICA |
| MEGAN |
| SGI-MUERTE VITAL |
| Y otras herramientas que se creen para el efecto |
El Ministerio de Salud Pública no comparte información sobre datos personales a terceros, salvo los casos previstos en el ordenamiento jurídico.
FINALIDAD
El Ministerio de Salud Pública, tratará los datos personales y la información que se genere de estos para:
- Garantizar el acceso a los servicios de salud relacionados a aspectos misionales de la institución;
- Cuidar el estado de salud del titular;
- Garantizar la prevalencia del interés público en salud;
- Aplicar, controlar, y vigilar el cumplimiento de la Ley Orgánica de Salud; y, las normas relacionadas.
- Proporcionar asistencia y servicios.
- Proporcionar información basada en las necesidades, responder a las solicitudes, y proporcionar avisos de nuevos desarrollos de servicios
- Proporcionar información relativa a foros en línea y redes sociales. Algunos servicios disponibles en los sitios web permiten participar en discusiones interactivas, publicar comentarios, oportunidades u otro contenido en un tablón de anuncios o intercambio, o participar en actividades de redes.
- Recopilar, informar y/o verificar información.
- Evaluar el uso de los productos y servicios del Ministerio de Salud Pública
- Obtener retroalimentación o aportación del usuario, con el fin de mejorar y ofertar productos y servicios.
- Evaluar y dar seguimiento a la política en salud que se implementa a nivel Nacional, orientando y focalizando las intervenciones para cumplir las metas establecidas.
- Tratar los datos personales, para fines de investigación científica, según lo establecido en la normativa nacional vigente sobre investigaciones en salud o en modelos de gestión interna.
- Tratar los datos personales, para fines de vigilancia de la salud.
PROCESO PARA EJERCER EL DERECHO DE LOS TITULARES DE LOS DATOS PERSONALES
El Ministerio de Salud Pública, reconoce a los titulares de datos personales, el acceso; rectificación y actualización; eliminación; oposición; limitación; y, suspensión al tratamiento que se realice sobre la información de sus datos personales, garantizando el cumplimiento de la norma vigente.
Para garantizar el cumplimiento de los derechos del titular de la información, se realizará el siguiente procedimiento:
- El titular de la información y/o representante legal puede acceder a su información a través de una solicitud dirigida a la máxima autoridad del nivel desconcentrado y/o establecimiento de salud según corresponda, de manera presencial o a través de la plataforma ec. La instancia correspondiente notificará la respuesta al usuario en el plazo determinado en la normativa vigente.
- El titular de la información y/o representante legal, debe ingresar, a través de la plataforma ec, la solicitud de rectificación y actualización; eliminación; oposición; limitación; y/o, suspensión dirigida al responsable del tratamiento de datos personales; y, adjuntar los documentos justificativos, según sea el caso.
- El responsable del tratamiento de datos personales del Ministerio de Salud Pública, analizará la procedencia del requerimiento en coordinación con las instancias correspondientes.
- En caso de ser procedente, el Ministerio de Salud Pública a través de las instancias técnicas, ejecutará las acciones correspondientes, para el cumplimiento del requerimiento, y notificará al titular de los datos personales en un plazo no mayor a quince (15) días.
- En caso de no ser procedente, el Ministerio de Salud Pública a través del responsable de tratamiento de datos personales notificará la respuesta al titular de los datos personales, debidamente justificada, dentro del plazo de quince (15) días.
NOTIFICACIONES CUANDO EXISTAN CAMBIOS EN LA POLÍTICA
El Ministerio de Salud Pública, se reserva el derecho de actualizar esta política por necesidad institucional, acorde al ordenamiento legal vigente.
MEDIDAS PARA PRECAUTELAR LA SEGURIDAD DE LOS DATOS PERSONALES
El Ministerio de Salud Pública protege la seguridad de los datos personales conforme a los principios de seguridad de la información (confidencialidad, integridad y disponibilidad) y al cumplimiento del Esquema Gubernamental de Seguridad de la Información (EGSI).
Las medidas adoptadas sobre seguridad informática para los sistemas del MSP son las siguientes:
| No. | Características | Definición |
| 1 | Equipamiento de Seguridad Perimétrica | La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar con equipamiento o módulo de seguridad perimétrica (Cortafuegos/Firewall) |
| La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con cortafuegos de aplicaciones WEB (WAF) | ||
| La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con un sistema de administración de eventos de seguridad (SIEM) | ||
| 2 | Equipamiento de Seguridad de Red | La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con un sistema de detección y respuesta incidentes de red (NDR) |
| La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con un sistema/servicio de detección y respuesta de incidentes (MDR) | ||
| 3 | Canal de Comunicaciones | Los diferentes sistemas WEB serán únicamente publicados a través de canales de comunicación de manera segura a través de protocolo HTTPS y mediante certificados de seguridad SSL vigentes y otorgados por una entidad certificadora (CA) reconocida y avalada a nivel mundial. |
| Mecanismos de transferencia de datos/información serán únicamente a través de protocolos SFTP o VPN (Cliente-Sitio, Sitio a Sitio) | ||
| 4 | Bases de Datos | Ninguna base de datos estará publicada directamente a la red de Internet |
| En lo posible se utilizará enmascaramiento de bases de datos (Data Masking) en ambientes de desarrollo y prueba | ||
| En lo posible se utilizará pseudo-anonimización y anonimización sobre las bases de datos en producción | ||
| 5 | Equipamiento de Usuario Final | Los equipos de usuario final (PC), deberán contar con licenciamiento de antivirus vigente |
| La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con un sistema de detección y respuesta de incidentes de punto final (EDR) |
Los sistemas del MSP, deberán cumplir obligatoriamente con los parámetros técnicos establecidos en el “Estándar de seguridad de la información para adquisición, desarrollo y mantenimiento de sistemas de información” vigente (Anexo1).
BASE LEGAL QUE SUSTENTA EL TRATAMIENTO DE LOS DATOS
El Ministerio de Salud Pública fundamenta el tratamiento que da a los datos personales en los siguientes instrumentos legales, como los que se citan a continuación:
- Constitución de la República del Ecuador
- Ley Orgánica de Salud
- Ley Orgánica de Protección de Datos Personales
- Ley Orgánica de Prevención Integral del Fenómeno Socio Económico de las Drogas y de Regulación y Control del uso de Sustancias Catalogadas Sujetas a Fiscalización
- Ley Orgánica de Discapacidades
- Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación
- Acuerdo Ministerial Nro. 012-2019, publicada en el Registro Oficial No. 18 de 15 de agosto 2019, mediante el cual el Ministerio de Telecomunicaciones y Sociedad de la Información expide la “Guía para el tratamiento de datos personales en la administración pública central”.
- Acuerdo Ministerial 5216 publicado en Registro Oficial Suplemento 427 del 29 de enero de 2015, con una reforma realizada en 12 de febrero de 2021, mediante el cual el Ministerio de Salud Pública expide el “Reglamento de Información Confidencial en Sistema Nacional de Salud”.
Además, se deberá considerar la normativa que la autoridad competente emita para el efecto.
TÉRMINOS Y CONDICIONES DE USO
El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme lo dispone la Ley Orgánica de Protección de Datos Personales.
En lo que respecta a los datos relativos en salud, los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este, estarán sujetas al deber de confidencialidad, de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas organizativas apropiadas. Esta obligación será complementaria del secreto profesional de conformidad con cada caso. Y se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
El Ministerio de Salud Pública no se hace responsable por la veracidad o exactitud de los datos entregados por terceros o contenida en sus repositorios físicos o digitales.
Son obligaciones del usuario:
- No dañar, inutilizar, modificar o deteriorar los canales y repositorios institucionales digitales y/o físicos a los que está teniendo acceso, ni los contenidos incorporados y almacenados en estos.
- No utilizar versiones de sistemas modificados con el fin de obtener accesos no autorizados a cualquier canal electrónico, contenido y/o servicios ofrecidos a través de estos.
- No interferir ni interrumpir el acceso, funcionalidad y utilización de canales electrónicos y redes conectados al mismo.
- Dar estricto cumplimiento al Acuerdo Ministerial 5216 publicado en Registro Oficial Suplemento 427 del 29 de enero de 2015, con una reforma realizada en 12 de febrero de 2021, mediante el cual el Ministerio de Salud Pública expide el “Reglamento de Información Confidencial en Sistema Nacional de Salud”.
Si deseas descargar la “Política para el tratamiento de datos personales en el Ministerio de Salud Pública» dar clic aquí.
POLÍTICA DE PRIVACIDAD, CONSENTIMIENTO INFORMADO Y TÉRMINOS DE USO DE LAS APLICACIONES MÓVILES INSTITUCIONALES DEL HEP
Organismo Responsable: Hospital de Especialidades Portoviejo (HEP) – Unidad Desconcentrada del Ministerio de Salud Pública (MSP)
Versión: 1.0 | Fecha de Publicación: 12/11/2025
El presente documento unificado establece las condiciones de uso, el consentimiento informado y el tratamiento de datos personales en el conjunto de **aplicaciones móviles institucionales** provistas por el Hospital de Especialidades Portoviejo, incluyendo **MiHep** y **LabHep**, en cumplimiento con la normativa ecuatoriana vigente.
1. MARCO LEGAL Y ALCANCE NACIONAL
1.1. Base Legal y Alcance
El tratamiento de datos se rige por la **Constitución de la República del Ecuador**, la **Ley Orgánica de Protección de Datos Personales (LOPDP)**, la **Ley Orgánica de Salud** y la **Política para el Tratamiento de Datos Personales del MSP** (Acuerdo Ministerial No. 00027-2022).
Esta política es aplicada a todos los datos personales recolectados, almacenados y procesados en los repositorios institucionales del MSP, de los cuales el HEP es una dependencia. Nuestras aplicaciones acceden a información contenida en sistemas como el **SYS-HEP** y otros del subsistema de salud del MSP.
1.2. Finalidad del Tratamiento
El procesamiento de los datos personales sensibles tiene la finalidad de **garantizar el acceso a los servicios de salud**, el **cuidado del estado de salud del titular**, la **vigilancia epidemiológica** y el **cumplimiento legal** de los procesos misionales del MSP. Esto incluye la gestión de la **Historia Clínica Electrónica** y la **interoperabilidad clínica**.
2. CONSENTIMIENTO Y DATOS TRATADOS
2.1. Consentimiento Expreso para Datos Sensibles
El USUARIO otorga su **consentimiento informado, libre y expreso** para el tratamiento de sus datos personales y **datos personales sensibles (de salud)**. La aceptación digital en cualquiera de las aplicaciones constituye evidencia válida de consentimiento, de conformidad con la LOPDP.
2.2. Datos Accedidos por las Aplicaciones HEP
Las aplicaciones institucionales del HEP acceden y procesan los siguientes tipos de datos, todos tratados como **sensibles**:
- Identificación y Contacto: Nombres, apellidos, número de cédula o pasaporte, correo electrónico, y teléfonos de contacto.
- Datos Clínicos/Salud: Información de salud, diagnósticos, tratamientos, historial de citas, resultados de exámenes y el resumen electrónico de historia clínica.
- Datos de Trazabilidad: Identificadores únicos de dispositivo (para autenticación segura y auditoría) y registros de actividad del usuario.
3. SEGURIDAD INFORMÁTICA Y CUSTODIA
3.1. Medidas de Seguridad Nacionales
El HEP protege la seguridad de los datos personales conforme a los principios de seguridad de la información y al cumplimiento obligatorio del **Esquema Gubernamental de Seguridad de la Información (EGSI)**. Esto incluye:
- Uso obligatorio de canales de comunicación seguros a través de protocolo **HTTPS** y certificados SSL vigentes.
- Aplicación de **Cortafuegos (Firewall/WAF)** y sistemas de administración de eventos de seguridad (SIEM).
- Uso de **SFTP o VPN** para transferencia de datos y, en lo posible, el uso de **Data Masking** en ambientes de desarrollo y prueba.
- Cumplimiento del “Estándar de seguridad de la información para adquisición, desarrollo y mantenimiento de sistemas de información” vigente del MSP.
3.2. Transferencia de Datos
El MSP/HEP **no comparte información sobre datos personales a terceros**, salvo los casos previstos en el ordenamiento jurídico. Los datos podrán ser comunicados únicamente a Autoridades de salud para fines legales o a Instituciones de salud que participen en el tratamiento asistencial del paciente.
4. SOLICITUD DE INACTIVACIÓN O ELIMINACIÓN DE CUENTA DE LAS APLICACIONES HEP
El Hospital de Especialidades Portoviejo (HEP) reconoce su derecho a solicitar la eliminación de su cuenta y la revocatoria del consentimiento para el uso de las aplicaciones móviles (MiHep, LabHep, etc.).
4.1. Procedimiento de Solicitud (Ventanilla Única y Vía Digital)
El proceso de inactivación o eliminación de la cuenta de usuario debe realizarse a través de la **Ventanilla Única** del HEP, conforme a las directrices del Ministerio de Salud Pública. El titular de los datos puede iniciar la solicitud a través de los siguientes métodos:
Vía Física Institucional:
Presente una solicitud formal por escrito en la **Ventanilla Única** del Hospital, llenando el formulario de requerimiento establecido por el MSP. Puede encontrar el formulario en el siguiente enlace:
Formulario de Trámites de Ventanilla Única
Vía Digital (Recomendada para Seguimiento):
Envíe la solicitud formal con sus datos de identificación (Cédula y Nombres) y adjunte el formulario llenado a la dirección de correo electrónico institucional:
4.2. Eliminación de la Cuenta vs. Retención Legal de Datos
Tras la solicitud formal, el HEP procesará la eliminación de la cuenta en un plazo de quince (15) días. Es importante diferenciar:
- ✅ **DATOS ELIMINADOS:** Se elimina el acceso a la cuenta, las credenciales, los tokens de sesión y cualquier dato no clínico asociado directamente al uso de la aplicación. La cuenta queda inactivada.
- ❌ **DATOS RETENIDOS:** El Hospital tiene la **OBLIGACIÓN LEGAL** de conservar la **Historia Clínica Electrónica (HCE)**, diagnósticos y datos de identificación del paciente, de conformidad con la Ley Orgánica de Salud. Estos datos se mantienen custodiados en los repositorios del MSP bajo el Esquema Gubernamental de Seguridad de la Información (EGSI) y no serán eliminados.
Esta diferenciación cumple con la normativa legal ecuatoriana y los requisitos de transparencia de Google Play.
5. DERECHOS DEL TITULAR Y TÉRMINOS DE USO
5.1. Proceso para Ejercer Derechos
El titular de los datos reconoce los derechos generales de acceso, rectificación, eliminación, oposición, limitación y suspensión. Para ejercer estos derechos, el titular debe ingresar la solicitud a través de la **plataforma gob.ec** o iniciar el proceso detallado en la **Sección 4** de este documento.
El consentimiento puede ser **revocado** en cualquier momento, lo cual conlleva la **inactivación de la cuenta en todas las aplicaciones** (manteniendo el registro clínico requerido por ley).
5.2. Términos y Condiciones de Uso
El USUARIO se obliga a dar estricto cumplimiento al **Acuerdo Ministerial 5216** (Reglamento de Información Confidencial en Sistema Nacional de Salud) y a las siguientes obligaciones relativas al **uso de los canales electrónicos (aplicaciones MiHep, LabHep, etc.)**:
- No dañar, inutilizar, modificar o deteriorar los canales y repositorios institucionales (sistemas del MSP).
- No utilizar versiones de sistemas modificados o no autorizados para obtener accesos no autorizados.
- El acceso seguro a las aplicaciones es **exclusivo para usuarios pre-registrados** y queda **restringido al dispositivo o IP autorizada** registrada por el HEP.
- El usuario es responsable exclusivo por el uso y custodia de sus credenciales (usuario y clave) para el acceso a cualquier aplicación del HEP.
La aceptación digital mediante el botón de confirmación en la aplicación constituye evidencia válida de consentimiento expreso, de conformidad con los artículos 7, 9 y 11 de la LOPDP.
6. CONTACTO Y JURISDICCIÓN
Correo Electrónico General de Contacto de Consentimiento Informado: consentimiento.electronico@hep.gob.ec
Correo Electrónico para Trámites (Ventanilla Única): ventanilla.unica@hep.gob.ec
Teléfono: 05-370-3100
Dirección: Avenida 15 de abril y calle Uruguay, Portoviejo, Ecuador.
Jurisdicción: Este documento se rige por las leyes de la República del Ecuador, con jurisdicción en Portoviejo, Manabí.