1. Responsable del Tratamiento de Datos
De conformidad con el artículo 3 de la Ley Orgánica de Protección de Datos Personales (LOPDP), el responsable del tratamiento de los datos personales recopilados a través de la plataforma MiBoleto.ec es:
2. Datos Personales que Recopilamos
MiBoleto.ec recopila únicamente los datos personales necesarios para prestar sus servicios, conforme al principio de minimización establecido en la LOPDP.
2.1 Datos proporcionados directamente por el usuario
- Datos de identificación: nombre completo, número de cédula de identidad o pasaporte.
- Datos de contacto: correo electrónico, número de teléfono celular.
- Datos de cuenta: nombre de usuario, contraseña (almacenada en forma cifrada, nunca en texto plano).
- Datos del pasajero al comprar: nombre, cédula o pasaporte del viajero (puede ser distinto al usuario que compra).
- Datos de pago: información de la transacción procesada a través de PayPhone o transferencia bancaria. MiBoleto.ec no almacena datos completos de tarjetas de crédito o débito.
2.2 Datos recopilados automáticamente
- Dirección IP del dispositivo desde el que se accede a la plataforma.
- Tipo de dispositivo, sistema operativo y navegador web utilizado.
- Fecha, hora y duración de las sesiones en la plataforma.
- Páginas visitadas dentro de la plataforma y acciones realizadas (clics, búsquedas de rutas).
- Datos de geolocalización aproximada derivados de la dirección IP (ciudad/país), no se accede al GPS del dispositivo sin autorización explícita.
- Cookies y tecnologías similares de seguimiento (ver sección de Cookies).
2.3 Datos que NO recopilamos
MiBoleto.ec no recopila ni trata datos de categorías especiales o sensibles conforme a la LOPDP, tales como:
- Datos de salud, origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas.
- Datos biométricos con fines de identificación única.
- Datos de menores de 12 años. En caso de identificar que un usuario menor de esta edad ha creado una cuenta, procederemos a su cancelación inmediata.
3. Finalidad del Tratamiento y Base Legal
Conforme al principio de finalidad de la LOPDP, cada tratamiento de datos tiene una finalidad específica y una base legal que lo legitima:
4. Compartición de Datos con Terceros
MiBoleto.ec podrá compartir datos personales con las siguientes categorías de terceros, únicamente en la medida necesaria para la prestación del servicio:
4.1 Empresas Transportistas
Compartimos los datos del pasajero (nombre, número de identificación) con la empresa transportista que opera el servicio adquirido, a efectos de verificación de identidad al momento del abordaje. Dicha empresa actúa como encargada del tratamiento respecto a estos datos y está sujeta a las obligaciones de la LOPDP conforme al acuerdo comercial suscrito con MiBoleto.ec.
4.2 Pasarelas de Pago
Compartimos los datos de la transacción con PayPhone para el procesamiento del pago con tarjeta de débito o crédito. PayPhone actúa como encargado del tratamiento y cuenta con sus propias políticas de privacidad y medidas de seguridad. Los datos de tarjeta son gestionados directamente por PayPhone bajo estándares PCI-DSS; MiBoleto.ec no almacena datos sensibles de tarjetas.
4.3 Proveedores de Servicios Tecnológicos
MiBoleto.ec utiliza proveedores externos para servicios como alojamiento web, envío de correos electrónicos transaccionales y análisis de uso de la plataforma. Estos proveedores actúan como encargados del tratamiento, procesando los datos únicamente según las instrucciones de MiBoleto.ec y bajo garantías contractuales de protección de datos.
4.4 Autoridades Competentes
MiBoleto.ec podrá comunicar datos personales a autoridades administrativas o judiciales ecuatorianas cuando así lo exija la ley, una orden judicial o una solicitud legítima de autoridad competente (Fiscalía, SPDP, SRI, ANT u otras).
4.5 Transferencias Internacionales de Datos
En caso de que alguno de los proveedores tecnológicos utilizados por MiBoleto.ec procese datos en servidores ubicados fuera de Ecuador, MiBoleto.ec verificará que dichos países cuenten con un nivel adecuado de protección reconocido por la SPDP, o implementará las garantías contractuales apropiadas conforme a la Resolución SPDP-SPD-2025-0006-R.
5. Plazos de Conservación de los Datos
Una vez vencidos estos plazos, los datos serán eliminados o anonimizados de forma irreversible, salvo que exista una base legal que justifique su conservación adicional.
6. Sus Derechos sobre sus Datos Personales (ARCO+)
Conforme a la LOPDP, usted tiene los siguientes derechos sobre sus datos personales:
| Derecho | Qué significa | Cómo ejercerlo |
|---|---|---|
| Acceso | Conocer qué datos suyos tratamos, con qué finalidad y durante cuánto tiempo. | Solicitud a privacidad@miboleto.ec |
| Rectificación | Corregir datos inexactos o incompletos que tengamos sobre usted. | Solicitud a privacidad@miboleto.ec |
| Cancelación / Eliminación | Solicitar la supresión de sus datos cuando ya no sean necesarios para la finalidad que motivó su tratamiento. | Solicitud a privacidad@miboleto.ec |
| Oposición | Negarse al tratamiento de sus datos para finalidades como marketing directo. | Solicitud a privacidad@miboleto.ec |
| Portabilidad | Recibir sus datos en formato estructurado e interoperable para trasladarlos a otro responsable. | Solicitud a privacidad@miboleto.ec |
| Limitación | Solicitar que se restrinja temporalmente el tratamiento de sus datos en casos específicos establecidos en la LOPDP. | Solicitud a privacidad@miboleto.ec |
6.1 Procedimiento para ejercer sus derechos
- Enviar una solicitud por escrito al correo privacidad@miboleto.ec, indicando claramente el derecho que desea ejercer y adjuntando copia de su documento de identidad.
- MiBoleto.ec responderá su solicitud en un plazo máximo de 15 días hábiles, prorrogables por 15 días adicionales en casos complejos, previa notificación al titular.
- El ejercicio de estos derechos es gratuito para el titular.
6.2 Derecho a presentar reclamación ante la SPDP
Si considera que MiBoleto.ec no ha atendido correctamente su solicitud o ha vulnerado sus derechos, puede presentar una reclamación ante la Superintendencia de Protección de Datos Personales (SPDP) a través del portal oficial: www.spdp.gob.ec.
7. Medidas de Seguridad
MiBoleto.ec implementa medidas técnicas y organizativas proporcionales al riesgo del tratamiento, conforme al principio de seguridad de la LOPDP y las resoluciones de la SPDP sobre gestión de riesgos (SPDP-SPD-2025-0003-R).
7.1 Medidas Técnicas
- Cifrado de contraseñas de usuarios mediante algoritmos de hash seguros (bcrypt o equivalente). Las contraseñas nunca se almacenan en texto plano.
- Transmisión de datos mediante protocolo HTTPS con certificado SSL/TLS vigente en todas las páginas de la plataforma.
- Separación de ambientes: desarrollo, pruebas y producción se mantienen aislados.
- Control de acceso basado en roles: cada usuario del sistema accede únicamente a los datos necesarios para su función.
- Respaldos (backups) cifrados y periódicos de las bases de datos.
- Monitoreo activo de intentos de acceso no autorizado y actividad sospechosa.
7.2 Medidas Organizativas
- Política interna de acceso a datos: solo el personal autorizado puede acceder a datos personales de usuarios.
- Contratos de confidencialidad y protección de datos con todos los empleados y proveedores que accedan a datos personales.
- Protocolo de notificación de brechas de seguridad: ante un incidente que comprometa datos personales, MiBoleto.ec notificará a la SPDP en un plazo máximo de 72 horas desde su detección, y a los usuarios afectados en cuanto sea técnicamente posible.
8. Política de Cookies
Una cookie es un pequeño archivo de texto que un sitio web almacena en el dispositivo del usuario al acceder a él. MiBoleto.ec utiliza cookies y tecnologías similares para garantizar el correcto funcionamiento de la plataforma, analizar su uso y mejorar la experiencia del usuario.
| Tipo de Cookie | Finalidad | ¿Requiere consentimiento? |
|---|---|---|
| Esenciales / Técnicas | Permiten el funcionamiento básico de la plataforma: sesión de usuario, carrito de compra, seguridad. | NO — Base legal: ejecución del contrato / interés legítimo. |
| Analíticas | Miden el rendimiento de la plataforma y el comportamiento de navegación de forma agregada y anonimizada (ej. Google Analytics). | SÍ — Se requiere consentimiento expreso del usuario. |
| Funcionales | Recuerdan preferencias del usuario: idioma, ciudad de origen frecuente, método de pago guardado. | SÍ — Se requiere consentimiento expreso. |
| Marketing / Publicidad | Muestran publicidad personalizada. Solo si MiBoleto.ec usa redes publicitarias en el futuro. | SÍ — Consentimiento explícito e independiente. |
Al acceder por primera vez a www.miboleto.ec, el usuario verá un banner de cookies que le permite aceptar o rechazar las cookies no esenciales de forma granular. Para más información consulte nuestra Política de Cookies.
9. Protección de Datos de Menores de Edad
MiBoleto.ec no está dirigida a menores de 18 años para la creación de cuentas y la compra de boletos de forma autónoma. Conforme al Código Civil ecuatoriano, los menores de edad requieren la autorización de su representante legal para celebrar contratos.
En el caso de boletos adquiridos para pasajeros menores de edad por parte de un representante legal adulto, los datos del menor se tratan exclusivamente para la emisión del boleto correspondiente y no se utilizan para ninguna otra finalidad.
Si MiBoleto.ec detecta que ha recopilado datos de un menor de 12 años sin la debida autorización, procederá a la eliminación inmediata de dichos datos. Los representantes legales que detecten este supuesto pueden contactar a privacidad@miboleto.ec.
10. Modificaciones a esta Política
MiBoleto.ec se reserva el derecho de actualizar esta Política de Privacidad en cualquier momento. La versión vigente siempre estará disponible en www.miboleto.ec/privacidad con la fecha de última actualización visible.
Cuando los cambios sean sustanciales y afecten derechos de los titulares, MiBoleto.ec notificará a los usuarios registrados mediante correo electrónico con al menos 15 días de anticipación a la entrada en vigencia de la nueva versión.