Política de Privacidad, Protección de Datos Personales, Cookies y Tecnologías Similares de ACATHA S.A.S.

1. Términos del documento

Empresa: ACATHA S.A.S.

RUC: 0195114153001

Versión: 1.0

Fecha: 25 de mayo de 2026

Estado: Documento para aprobación interna, publicación e implementación operativa.

Canal de protección de datos: support@acatha.com / +593 989765272

Relación con Términos y Condiciones de Uso: Documento complementario independiente. No reemplaza los Términos y Condiciones de Uso de ACATHA.

Para efectos de esta Política, toda referencia a ACATHA corresponde exclusivamente a ACATHA S.A.S. para Ecuador. No se utiliza ni reconoce en este documento a ninguna entidad extranjera como responsable o proveedor contractual para Ecuador.

2. Objeto y alcance

Esta Política informa cómo ACATHA trata datos personales en el marco de sus sitios web, plataforma SaaS, aplicación móvil, servicios de facturación electrónica, sistema contable/ERP, soporte, facturación, ventas, comunicaciones, analítica, seguridad, automatizaciones, integraciones, cookies y demás servicios digitales autorizados por ACATHA para Ecuador.

Esta Política reemplaza y actualiza la política publicada previamente en el sitio web de ACATHA, manteniendo la separación documental con los Términos y Condiciones de Uso. Los aspectos contractuales, pagos, cancelaciones, disponibilidad, exportación operativa y responsabilidad se regulan en los Términos y Condiciones de Uso.

La presente Política integra en un solo documento la Política de Privacidad y Protección de Datos Personales, así como la Política de Cookies y Tecnologías Similares de ACATHA para Ecuador.

3. Identidad del responsable y canales

Responsable: ACATHA S.A.S.

RUC: 0195114153001

Domicilio: Francisco Moscoso 6-25 y Av. 10 de Agosto, Cuenca, Azuay, Ecuador.

Sitios y plataforma: www.acatha.com / www.acatha.io / app.acatha.io

Canal de privacidad y derechos: support@acatha.com

Teléfono: +593 989765272

Cuando el Cliente use ACATHA para cargar o tratar datos personales de sus propios clientes, proveedores, empleados, usuarios autorizados o terceros, el Cliente actuará como responsable del tratamiento respecto de dichos datos y ACATHA actuará como encargado, salvo que por la finalidad concreta ACATHA determine medios y fines propios del tratamiento.

4. Relación con los Términos y Condiciones de Uso

Esta Política es complementaria e independiente de los Términos y Condiciones de Uso. No modifica las reglas contractuales de suscripción, pago, renovación, cancelación, disponibilidad, exportación operativa, soporte, suspensión, terminación, jurisdicción, limitación de responsabilidad ni reclamaciones, salvo en aquello estrictamente relacionado con protección de datos personales, cookies y tecnologías similares.

En caso de discrepancia entre esta Política y los Términos y Condiciones de Uso sobre materias contractuales, prevalecerán los Términos y Condiciones de Uso. En materias de protección de datos personales, privacidad, cookies y derechos de titulares, prevalecerá esta Política y los documentos complementarios aplicables.

5. Roles de tratamiento

• ACATHA como responsable: registro de cuenta, contratación, facturación, cobro, soporte, seguridad, auditoría, marketing propio, analítica web/plataforma, comunicaciones y cumplimiento legal.

• ACATHA como encargado: datos personales que el Cliente carga, genera o procesa en la plataforma para facturación, contabilidad, inventarios, cartera, nómina, clientes, proveedores, reportes o integraciones.

• Cliente como responsable: determinación de datos, licitud, exactitud, base legal, información a titulares, carga de datos y uso de la plataforma para sus operaciones.

El detalle de instrucciones, responsabilidades, seguridad, subencargados, conservación, devolución o eliminación de datos del Cliente deberá regularse mediante el Acuerdo de Tratamiento de Datos / DPA y anexos aplicables cuando corresponda.

6. Categorías de titulares y datos personales

• Usuarios administradores y usuarios autorizados: nombres, apellidos, identificación, RUC, correo, teléfono, credenciales, empresa asociada, rol, permisos, IP, dispositivo, logs e historial de uso.

• Clientes, proveedores, trabajadores o terceros del Cliente: datos contenidos en facturas, comprobantes, documentos contables, nómina, cartera, inventario, compras, reportes o formularios cargados por el Cliente.

• Prospectos, contactos comerciales y visitantes web: nombre, empresa, correo, teléfono, país, interacción con formularios, cookies, preferencias comerciales y fuente de contacto.

• Pagadores: estado de pago, monto, fecha, referencia, identificador de transacción, autorización o rechazo de pasarela y datos de facturación.

• Soporte y comunicaciones: mensajes, tickets, adjuntos, capturas, grabaciones o evidencias entregadas por el Usuario e historial de atención.

El Usuario y el Cliente son responsables por la veracidad, actualización, autorización y licitud de los datos entregados, cargados o tratados mediante la Plataforma, sin perjuicio de las obligaciones que correspondan a ACATHA conforme a la normativa aplicable.

7. Finalidades y bases de legitimación

ACATHA podrá tratar datos personales para las siguientes finalidades, según corresponda a la relación concreta, el tipo de titular, el servicio contratado y la base legitimadora aplicable:

• Crear, administrar y proteger cuentas, usuarios, roles, credenciales y permisos.

• Prestar servicios SaaS de facturación electrónica, contabilidad, ERP y módulos asociados.

• Facturar, cobrar, conciliar pagos, gestionar saldos, renovaciones, pasarelas, comprobantes y cobranza.

• Prestar soporte, mantenimiento, diagnóstico, continuidad operativa y atención de incidentes.

• Proteger la seguridad, prevenir fraude, auditar accesos, mantener logs, IP, dispositivos y trazabilidad.

• Enviar comunicaciones operativas, legales, contractuales, de renovación, pago, suspensión, mantenimiento y soporte.

• Enviar marketing, publicidad, novedades, promociones y comunicaciones comerciales, con mecanismos de oposición o baja cuando corresponda.

• Realizar analítica, medición, automatización, personalización, segmentación comercial e inteligencia artificial no decisoria, conforme a esta Política y la normativa aplicable.

• Cumplir obligaciones legales, tributarias, contables, societarias, contractuales, regulatorias y de defensa de ACATHA.

Las bases de legitimación podrán incluir ejecución contractual, medidas precontractuales, cumplimiento legal, interés legítimo, seguridad, consentimiento cuando corresponda y ejercicio o defensa de reclamaciones.

8. Pagos, pasarelas y datos financieros

Los pagos con tarjeta se procesan mediante PayPhone Ecuador u otra pasarela autorizada. ACATHA no solicita, registra, almacena, conserva, manipula ni procesa directamente el número completo de tarjeta, código de seguridad, fecha de expiración o credenciales bancarias del Usuario.

ACATHA solo recibe información operativa necesaria para confirmar, conciliar, registrar o facturar la transacción, tales como estado del pago, identificador de transacción, monto, fecha, referencia, autorización, respuesta de aprobación o rechazo y demás datos necesarios para la prestación del servicio.

9. Acceso interno y confidencialidad

La información del Usuario no es pública para el personal de ACATHA. El acceso interno se limita al personal autorizado que requiera conocerla para prestar el servicio, dar soporte, facturar, cobrar, cumplir obligaciones legales, mantener la seguridad, auditar, investigar incidentes o mejorar la operación.

El personal autorizado estará sujeto a obligaciones de confidencialidad, perfiles de acceso, trazabilidad y uso limitado conforme a sus funciones. ACATHA podrá aplicar controles internos razonables para procurar la confidencialidad, integridad y disponibilidad de la información.

10. Destinatarios, proveedores, subencargados y transferencias

ACATHA podrá compartir o permitir acceso a datos personales a proveedores, subencargados, plataformas de nube, pasarelas de pago, servicios de comunicación, soporte, analítica, automatización, CRM, herramientas de marketing, autoridades competentes o terceros vinculados a la prestación del servicio, únicamente cuando sea necesario para las finalidades informadas y con medidas contractuales, técnicas y organizativas razonables.

Las transferencias nacionales o internacionales se realizarán conforme a la LOPDP, normativa de la Superintendencia de Protección de Datos Personales, garantías contractuales, adecuación, consentimiento, cumplimiento legal o la base que corresponda. La lista operativa de subencargados deberá constar en el Anexo de Subencargados y Transferencias.

11. Conservación, bloqueo y eliminación

ACATHA conservará los datos personales durante el tiempo necesario para cumplir las finalidades informadas, la relación contractual, obligaciones legales, tributarias, contables, societarias, auditoría, seguridad, prevención de fraude, atención de reclamaciones y defensa de ACATHA.

• Cuenta y contrato: durante la relación contractual y posteriormente por el plazo necesario para defensa, auditoría, cumplimiento legal o prescripción de acciones.

• Facturación, pagos y documentos tributarios: por los plazos exigidos por normativa tributaria, contable, societaria y de defensa legal aplicable.

• Datos cargados por el Cliente en plataforma: disponibles operativamente mientras exista suscripción vigente o reactivada conforme a Términos y Condiciones. La conservación legal o técnica posterior se sujetará a esta Política, al DPA, backups y obligaciones aplicables.

• Logs y seguridad: por el plazo necesario para seguridad, auditoría, prevención de fraude, investigación de incidentes, cumplimiento legal y defensa de ACATHA.

• Marketing: hasta oposición, revocatoria o baja, sin perjuicio de conservar listas de supresión para evitar nuevos envíos.

• Soporte: por el plazo necesario para atención, auditoría, calidad, defensa y cumplimiento.

Las solicitudes de eliminación, bloqueo, suspensión o anonimización serán evaluadas conforme a la normativa aplicable. ACATHA podrá conservar datos cuando exista obligación legal, necesidad de defensa, prevención de fraude, seguridad, cumplimiento tributario, preservación de evidencia, atención de reclamaciones o imposibilidad técnica razonable dentro de ciclos de respaldo.

12. Derechos de los titulares

Los titulares podrán ejercer, según corresponda, derechos de acceso, rectificación, actualización, eliminación, oposición, suspensión, limitación, portabilidad, consulta, revocatoria del consentimiento y no ser objeto de decisiones basadas únicamente en valoraciones automatizadas que produzcan efectos jurídicos o afectaciones significativas.

Las solicitudes serán atendidas por ACATHA dentro de los plazos legales aplicables, previa verificación de identidad, titularidad, representación y suficiencia de la información. El ejercicio de derechos no suspende obligaciones contractuales o pagos del Usuario frente a ACATHA.

Cuando la solicitud se refiera a datos cargados por un Cliente en calidad de responsable del tratamiento, ACATHA podrá canalizar, informar o requerir instrucciones del Cliente, según corresponda a su rol de encargado y a la normativa aplicable.

13. Portabilidad y exportación de información

La portabilidad de datos personales se atenderá conforme a la LOPDP cuando resulte procedente y técnicamente posible. No comprende información derivada, inferida, agregada, anonimizada, métricas internas, configuraciones propietarias, secretos empresariales, logs de seguridad o información de terceros que pueda afectar derechos de terceros o la seguridad de la Plataforma.

La exportación operativa de información contable, tributaria, comercial o administrativa de la cuenta se rige por los Términos y Condiciones de Uso: debe realizarse mientras exista suscripción vigente y al día, o reactivada conforme a las reglas comerciales aplicables.

14. Seguridad

ACATHA aplicará medidas técnicas, organizativas, operativas y jurídicas razonables orientadas a preservar la confidencialidad, integridad, disponibilidad y resiliencia de la Plataforma y de los datos personales, considerando el estado de la técnica, naturaleza de los datos, volumen, contexto, finalidad y riesgos.

• Control de accesos y credenciales.

• Perfiles y necesidad de acceso.

• Infraestructura en nube y controles de proveedor.

• Monitoreo, logs y trazabilidad.

• Backups y medidas de continuidad según arquitectura.

• Confidencialidad del personal autorizado.

• Gestión de incidentes y vulnerabilidades.

• Revisión periódica de medidas conforme al riesgo.

15. Incidentes y vulneraciones de seguridad

ACATHA evaluará los eventos de seguridad para determinar si constituyen vulneración de seguridad de datos personales, su alcance, causa, riesgo y medidas de contención. Cuando corresponda, notificará a la autoridad competente, ARCOTEL, responsables, titulares o terceros conforme a la normativa aplicable.

La comunicación de un incidente no implica reconocimiento automático de responsabilidad de ACATHA. ACATHA podrá requerir colaboración del Usuario o del Cliente cuando el incidente se relacione con credenciales, configuración, dispositivos, redes, integraciones, instrucciones, datos cargados o actos bajo responsabilidad del Usuario o Cliente.

16. Niñas, niños y adolescentes

ACATHA presta servicios orientados a empresas, profesionales y usuarios con capacidad legal. No dirige su Plataforma a niñas, niños o adolescentes. Si ACATHA identifica datos de menores cargados por un Cliente, dicho Cliente será responsable de contar con la base legal, autorización e información correspondiente, salvo tratamientos propios que ACATHA determine y documente conforme a la normativa aplicable.

17. Política de cookies y tecnologías similares

ACATHA utiliza cookies y tecnologías similares en sus sitios web, Plataforma, aplicación móvil, canales digitales, campañas comerciales, integraciones, APIs y demás medios operados o autorizados por ACATHA.

Son archivos, identificadores, píxeles, etiquetas, SDK, scripts, objetos locales, registros técnicos u otros mecanismos que permiten operar la Plataforma, autenticar usuarios, mantener sesiones, recordar preferencias, medir uso, prevenir fraude, analizar métricas, personalizar contenidos o ejecutar campañas comerciales.

18. Categorías de cookies y tecnologías utilizadas

• Estrictamente necesarias: autenticación, sesión, seguridad, prevención de fraude, balanceo de carga, soporte, continuidad, facturación, preferencias esenciales y ejecución contractual. No requieren autorización adicional por ser necesarias para operar el servicio.

• Funcionales: recordar preferencias no esenciales, configuraciones de interfaz, idioma, país, módulos o experiencia de usuario. Pueden administrarse cuando ACATHA habilite mecanismos técnicos para ello.

• Analítica y medición: medir tráfico, desempeño, uso, conversiones, errores, interacción con módulos y mejora de servicios. Se gestionan conforme a esta Política, banner, centro de preferencias o configuración aplicable.

• Publicidad y remarketing: campañas, audiencias, medición de anuncios, remarketing, segmentación comercial y contenido relacionado con ACATHA. Sujetos a información previa, oposición o consentimiento cuando corresponda.

• Automatización, personalización e IA: mejorar experiencia, sugerencias, procesos internos, segmentación, automatización de soporte o análisis operativo. Se rigen por esta Política y normativa aplicable cuando impliquen datos personales.

19. Herramientas de terceros

ACATHA podrá utilizar herramientas propias o de terceros, tales como Google Analytics, Meta, LinkedIn, WhatsApp/Meta, CRM, automatización, soporte, marketing, pasarelas de pago u otras plataformas equivalentes. Estas herramientas podrán cambiar por razones técnicas, operativas, comerciales, regulatorias o de seguridad.

La lista operativa de proveedores y subencargados se mantiene en el Anexo de Subencargados y Transferencias. El uso de dichas herramientas no implica que ACATHA comparta más datos de los necesarios para la finalidad autorizada o aplicable.

20. Comunicaciones comerciales y operativas

ACATHA podrá enviar comunicaciones operativas, técnicas, transaccionales, legales, de seguridad, soporte, facturación, renovación, cobro y mantenimiento sin que tengan naturaleza promocional, por ser necesarias para la ejecución contractual.

Las comunicaciones comerciales o promocionales no necesarias podrán gestionarse mediante los mecanismos habilitados por ACATHA. La exclusión de comunicaciones comerciales no afectará comunicaciones operativas, legales, técnicas, de soporte, facturación, cobro, seguridad o continuidad del servicio.

21. Preferencias, configuración y revocatoria

El Usuario podrá configurar o gestionar cookies no necesarias mediante los mecanismos que ACATHA habilite, tales como banner, centro de preferencias, configuración de navegador, enlaces de baja, formularios o canales oficiales. Algunas cookies técnicas son necesarias para el servicio y su bloqueo puede impedir el uso adecuado de la Plataforma.

La revocatoria del consentimiento, oposición o baja respecto de tratamientos no necesarios no afectará la licitud del tratamiento realizado con anterioridad ni las comunicaciones o tratamientos necesarios para la ejecución contractual, seguridad, facturación, soporte, cumplimiento legal o defensa de ACATHA.

22. Retención de cookies

• Cookies de sesión: hasta cerrar sesión, navegador o ventana, salvo retención técnica necesaria.

• Cookies persistentes: durante el plazo configurado por ACATHA o el proveedor, o hasta eliminación por el Usuario.

• Seguridad y logs: por el plazo necesario para seguridad, auditoría, prevención de fraude, cumplimiento y defensa.

• Marketing y analítica: según configuración de herramienta, consentimiento, preferencia y política del proveedor.

23. Cambios de esta Política

ACATHA podrá actualizar esta Política por razones legales, regulatorias, técnicas, comerciales, operativas o de seguridad. Las actualizaciones serán publicadas en los canales oficiales. Cuando los cambios sean sustanciales y legalmente lo requieran, ACATHA aplicará mecanismos de información, consentimiento u oposición según corresponda.

24. Base normativa de referencia

• Ley Orgánica de Protección de Datos Personales (LOPDP), Ecuador.

• Reglamento General a la Ley Orgánica de Protección de Datos Personales, Decreto Ejecutivo No. 904.

• Resoluciones vigentes de la Superintendencia de Protección de Datos Personales (SPDP), incluyendo reglas sobre cláusulas contractuales, transferencias, anonimización, bloqueo, eliminación, delegado de protección de datos, gran escala e inteligencia artificial, cuando resulten aplicables.

• Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, cuando resulte aplicable a comunicaciones electrónicas, aceptación contractual y mensajes de datos.

• Normativa tributaria, societaria, contable y de facturación electrónica aplicable a la operación de ACATHA en Ecuador.