POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
COSVIC – INSTITUTO TECNOLÓGICO CENTROAMERICANO
Fecha de vigencia: 13 Enero 2026
Versión: 1.0
Dominio: cosviccentroamerica.com
Correo del Responsable de Datos: info@cosviccentroamerica.com
Países de Operación: Guatemala, Belice, Honduras, El Salvador, Nicaragua, Costa Rica, Panamá
CAPÍTULO I – DISPOSICIONES GENERALES
1.1. Identificación del Responsable
Nombre: COSVIC – Instituto Tecnológico Centroamericano
Naturaleza: Institución educativa privada
Ámbito de Operación: Centroamérica (países especificados)
Correo Electrónico: info@cosviccentroamerica.com
Sitio Web: cosviccentroamerica.com
1.2. Definiciones
-
Datos Personales: Cualquier información concerniente a persona natural identificada o identificable.
-
Titular: Persona natural a quien corresponden los datos personales.
-
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales.
-
Responsable del Tratamiento: COSVIC, quien decide sobre la finalidad del tratamiento.
-
Encargado del Tratamiento: Persona natural o jurídica que trata datos por cuenta del responsable.
1.3. Ámbito de Aplicación
Esta política aplica a todos los tratamientos de datos personales realizados por COSVIC en el desarrollo de sus actividades educativas en los siete países centroamericanos mencionados, tanto en modalidad presencial como virtual.
CAPÍTULO II – BASES LEGALES POR PAÍS
2.1. Marco Legal Aplicable
COSVIC cumple con las siguientes legislaciones nacionales:
Guatemala:
-
Ley de Protección de Datos Personales, Decreto 57-2008
-
Reglamento de la Ley de Protección de Datos Personales, Acuerdo Gubernativo 189-2021
Honduras:
-
Constitución de la República, Artículo 76
-
Ley de Transparencia y Acceso a la Información Pública, Decreto 170-2006
-
Código de Familia, Artículo 75
El Salvador:
-
Constitución de la República, Artículo 2
-
Ley de Acceso a la Información Pública, Decreto 534
Nicaragua:
-
Ley de Protección de Datos Personales, Ley 787
-
Reglamento de la Ley 787, Decreto 19-2013
Costa Rica:
-
Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, Ley 8968
-
Reglamento a la Ley 8968, Decreto Ejecutivo 40924
Panamá:
-
Ley 81 de 26 de marzo de 2019 sobre Protección de Datos Personales
-
Resolución No. 010-2020 de la Autoridad de Transparencia y Acceso a la Información
Belice:
-
Common Law (Derecho Consuetudinario)
-
Ley de Delitos Informáticos, Capítulo 145
-
Principios internacionales de protección de datos
2.2. Bases Legítimas del Tratamiento
El tratamiento de datos se fundamenta en:
-
Consentimiento expreso del titular
-
Ejecución de contrato de servicios educativos
-
Interés legítimo del responsable
-
Cumplimiento de obligaciones legales
-
Protección de intereses vitales
CAPÍTULO III – CATEGORÍAS DE DATOS TRATADOS
3.1. Datos Identificativos
-
Nombres y apellidos completos
-
Documento de identidad (DPI, cédula, pasaporte según país)
-
Nacionalidad
-
Fecha y lugar de nacimiento
-
Fotografía
-
Firma autógrafa o digital
3.2. Datos de Contacto
-
Dirección de residencia (país, departamento, municipio, dirección específica)
-
Números telefónicos (fijo y móvil)
-
Dirección de correo electrónico
-
Usuario de redes sociales (cuando sea necesario para actividades académicas)
3.3. Datos Académicos y Profesionales
-
Historial académico
-
Títulos y certificaciones
-
Experiencia laboral
-
Habilidades y competencias
-
Evaluaciones y calificaciones
-
Asistencia y participación
3.4. Datos Económicos y Transaccionales
-
Información de facturación
-
Historial de pagos
-
Datos bancarios (para devoluciones o pagos)
-
Formas de pago utilizadas
3.5. Datos de Navegación
-
Dirección IP
-
Tipo de dispositivo y navegador
-
Historial de visitas al sitio web
-
Cookies y tecnologías similares
-
Preferencias de país seleccionado
3.6. Datos Especiales (solo cuando sea estrictamente necesario)
-
Información de salud (para adaptaciones especiales)
-
Datos biométricos (para sistemas de seguridad)
CAPÍTULO IV – FINALIDADES DEL TRATAMIENTO
4.1. Finalidades Principales
-
Gestión de procesos de admisión y matrícula
-
Provisión de servicios educativos
-
Comunicación académica e institucional
-
Gestión administrativa y financiera
-
Emisión de certificados y diplomas
-
Seguimiento académico y tutorías
4.2. Finalidades Secundarias
-
Mejora continua de servicios educativos
-
Investigación estadística (datos anonimizados)
-
Envío de información sobre nuevos programas
-
Desarrollo de actividades extracurriculares
-
Cumplimiento de obligaciones regulatorias por país
CAPÍTULO V – TRANSFERENCIAS INTERNACIONALES
5.1. Principio General
COSVIC, al operar en múltiples países, realiza transferencias de datos bajo los siguientes principios:
-
Legalidad
-
Necesidad
-
Proporcionalidad
-
Seguridad
5.2. Mecanismos de Transferencia
-
Cláusulas Contractuales Tipo: Contratos con proveedores que incluyen cláusulas de protección de datos aprobadas.
-
Certificaciones: Proveedores certificados bajo estándares internacionales.
-
Consentimiento Explícito: Para transferencias que no cuenten con decisiones de adecuación.
5.3. Países Destino
Los datos pueden transferirse a:
-
Países centroamericanos donde operamos
-
Estados Unidos (proveedores de tecnología educativa)
-
Otros países con nivel adecuado de protección
CAPÍTULO VI – DERECHOS DE LOS TITULARES
6.1. Catálogo de Derechos
Los titulares tienen derecho a:
-
Acceso: Conocer qué datos tenemos y cómo los tratamos.
-
Rectificación: Actualizar o corregir datos inexactos.
-
Cancelación: Solicitar eliminación de datos (derecho al olvido donde aplique).
-
Oposición: Oponerse a tratamientos específicos.
-
Portabilidad: Recibir datos en formato estructurado.
-
Limitación: Solicitar limitación del tratamiento.
-
No ser Sometido a Decisiones Individualizadas: En procesos automatizados.
-
Revocación del Consentimiento: En cualquier momento.
6.2. Procedimiento para Ejercer Derechos
Paso 1: Enviar solicitud escrita a info@cosviccentroamerica.com
Paso 2: Verificación de identidad (mecanismo seguro)
Paso 3: Respuesta en plazo legal según país (máximo 30 días hábiles)
Paso 4: Ejecución de lo solicitado (10 días adicionales si aplica)
CAPÍTULO VII – MEDIDAS DE SEGURIDAD
7.1. Medidas Técnicas
-
Cifrado de datos en tránsito y en reposo (TLS 1.3, AES-256)
-
Firewalls de última generación
-
Sistemas de detección y prevención de intrusiones
-
Control de acceso basado en roles (RBAC)
-
Copias de seguridad cifradas
-
Anonimización y seudonimización cuando sea posible
7.2. Medidas Organizativas
-
Políticas internas de seguridad de la información
-
Contratos de confidencialidad con empleados
-
Capacitación anual en protección de datos
-
Procedimientos de respuesta a incidentes
-
Auditorías periódicas de seguridad
7.3. Niveles de Seguridad por Categoría de Datos
-
Nivel Alto: Datos especiales y financieros
-
Nivel Medio: Datos identificativos y académicos
-
Nivel Básico: Datos de navegación anonimizados
CAPÍTULO VIII – CONSERVACIÓN DE DATOS
8.1. Plazos de Conservación
Los datos se conservarán durante:
| Categoría de Datos | Plazo de Conservación | Base Legal |
|---|---|---|
| Datos académicos | 50 años | Obligación legal educativa |
| Datos financieros | 10 años | Obligación tributaria |
| Datos de matrícula | 10 años después de la última actividad | Interés legítimo |
| Datos de navegación | 2 años | Consentimiento |
8.2. Procedimiento de Eliminación
-
Identificación de datos a eliminar
-
Bloqueo preventivo por 30 días
-
Eliminación segura (método DoD 5220.22-M)
-
Registro de eliminación en bitácora
CAPÍTULO IX – COOKIES Y TECNOLOGÍAS SIMILARES
9.1. Tipología de Cookies Utilizadas
| Tipo de Cookie | Finalidad | Duración |
|---|---|---|
| Cookies Técnicas | Funcionamiento del sitio | Sesión |
| Cookies de Preferencias | Recordar país seleccionado | 1 año |
| Cookies Analíticas | Análisis de tráfico por país | 2 años |
| Cookies de Marketing | Promoción de programas | 1 año |
9.2. Gestión de Cookies
El usuario puede:
-
Aceptar todas las cookies
-
Rechazar cookies no esenciales
-
Configurar preferencias por categoría
-
Revocar consentimiento en cualquier momento
CAPÍTULO X – COMUNICACIONES COMERCIALES
10.1. Principio de Marketing
Solo enviaremos comunicaciones comerciales cuando:
-
Exista consentimiento previo y expreso
-
Se trate de clientes actuales (soft opt-in)
-
El contenido sea relevante para servicios contratados
10.2. Mecanismos de Opt-out
Cada comunicación incluirá:
-
Enlace para dejar de recibir mensajes
-
Instrucciones claras para revocar consentimiento
-
Plazo máximo de 10 días para procesar la solicitud
CAPÍTULO XI – TRANSFERENCIA INTERNACIONAL DE DATOS
11.1. Mecanismos de Transferencia Aplicables
Dada nuestra operación multinacional, utilizamos:
-
Decisiones de Adecuación: Países con nivel de protección adecuado
-
Garantías Adecuadas: Cláusulas contractuales tipo
-
Situaciones Específicas: Consentimiento explícito
11.2. Países con Nivel Adecuado Reconocido
-
Estados Unidos (proveedores adheridos a Privacy Shield o nuevo marco)
-
Países de la Unión Europea
-
Reino Unido
-
Otros países con legislación equivalente reconocida
CAPÍTULO XII – DEBER DE CONFIDENCIALIDAD
12.1. Ámbito de Aplicación
El deber de confidencialidad aplica a:
-
Personal permanente y temporal
-
Proveedores y contratistas
-
Prácticas profesionales
-
Cualquier persona con acceso a datos
12.2. Duración
El deber persiste incluso después de:
-
Finalización de relación laboral
-
Terminación de contrato
-
Cese de cualquier vinculación
CAPÍTULO XIII – INCIDENTES DE SEGURIDAD
13.1. Procedimiento de Notificación
En caso de violación de seguridad:
-
Contención: Aislar sistemas afectados
-
Evaluación: Determinar alcance y gravedad
-
Notificación: Comunicar a autoridades según plazos legales
-
Información a afectados: Cuando exista riesgo alto
-
Mitigación: Implementar medidas correctivas
13.2. Plazos de Notificación por País
-
Guatemala: 72 horas hábiles
-
Nicaragua: 72 horas
-
Costa Rica: Inmediatamente
-
Panamá: 72 horas
-
Otros países: Según legislación aplicable
CAPÍTULO XIV – AUTORIDADES DE CONTROL
14.1. Autoridades Competentes por País
Guatemala:
-
Ministerio Público
-
Procuraduría de los Derechos Humanos
Honduras:
-
Instituto de Acceso a la Información Pública (IAIP)
El Salvador:
-
Instituto de Acceso a la Información Pública (IAIP)
Nicaragua:
-
Ministerio de Gobernación
Costa Rica:
-
Agencia de Protección de Datos de los Habitantes (Prodhab)
Panamá:
-
Autoridad de Transparencia y Acceso a la Información (ANTAI)
Belice:
-
Oficina del Información del Gobierno
CAPÍTULO XV – DISPOSICIONES FINALES
15.1. Modificaciones a la Política
COSVIC se reserva el derecho de modificar esta política para:
-
Adaptarse a cambios legislativos
-
Mejorar procesos de protección
-
Implementar mejores prácticas
15.2. Notificación de Cambios
Los cambios se comunicarán mediante:
-
Aviso en sitio web 30 días antes
-
Comunicación directa a titulares afectados
-
Versión histórica disponible para consulta
15.3. Ley Aplicable y Jurisdicción
Para conflictos derivados de esta política:
-
Ley Aplicable: Legislación del país del titular
-
Jurisdicción: Tribunales del país del titular
-
Mediación: Mecanismo preferente de solución
15.4. Contacto
Responsable de Protección de Datos Regional:
COSVIC – Instituto Tecnológico Centroamericano
Correo: info@cosviccentroamerica.com
Horario de Atención: Lunes a viernes, 8:00 a 17:00 hora centroamericana
Plazo de Respuesta: Máximo 30 días hábiles según país
ANEXO 1 – GLOSARIO TÉCNICO
-
Cifrado: Proceso de codificación de información.
-
Anonimización: Proceso irreversible de eliminar identificación.
-
Seudonimización: Reemplazo de identificadores por seudónimos.
-
Violación de Seguridad: Incidente que compromete datos.
ANEXO 2 – HISTÓRICO DE VERSIONES
-
Versión 1.0: 13 Enero 2026 – Versión inicial