- Mostramos información pública del SERCOP. Esa data no es nuestra; es del Estado ecuatoriano.
- Tus datos personales que tratamos son mínimos: navegación anónima por defecto, email opcional para verificación anti-bot.
- Puedes usar la plataforma con identidad real o pseudónimo. Aceptamos emails desechables (Hide My Email, SimpleLogin, aliases). No correlacionamos email con identidad real.
- No vendemos tus datos a anunciantes ni redes publicitarias.
- Cualquier queja: contáctanos o denuncia directamente en spdp.gob.ec.
- Los planes pagos (Pro y Max) dan acceso a más funcionalidades de analítica sobre la misma información pública del SERCOP. No recopilan datos personales adicionales y se rigen por esta misma política.
- Aceptación: el uso continuado de la plataforma equivale a aceptación de esta política. Al crear una cuenta confirmas explícitamente que la has leído y la aceptas.
1.Quiénes somos y qué hacemos
Zidko Analytics LLC., persona jurídica domiciliada en Wyoming, USA (Tax ID: taxID, domicilio legal: Wyoming, USA), opera la plataforma DatosPúblicosEc.
Somos una empresa de analítica de información pública de contratación del SERCOP. No somos una red social, ni una entidad financiera, ni vendemos perfiles de usuarios. La protección de menores se trata en la Sección 7.
Contacto: [email protected].
2.Información pública vs. datos personales
DatosPúblicosEc es un visualizador de información pública. Los datos sobre procesos de contratación, entidades contratantes, oferentes, montos y fechas que verás en este sitio provienen del Sistema Oficial de Contratación Pública (SOCE) operado por el SERCOP, y son públicos por mandato de:
- LOSNCP — Ley Orgánica del Sistema Nacional de Contratación Pública
- LOTAIP — Ley Orgánica de Transparencia y Acceso a la Información Pública
- COPEYP — Código Orgánico de Planificación y Finanzas Públicas
El Responsable del Tratamiento de esos datos públicos es el SERCOP, no DatosPúblicosEc. Si tienes una solicitud, rectificación o queja sobre el contenido de un proceso, un oferente o una entidad contratante, debes dirigirte al SERCOP. Nosotros únicamente los visualizamos, analizamos y republicamos como información pública.
Esta política de privacidad cubre exclusivamente los datos personales del usuario de la plataforma — es decir, la información que generas al navegar, buscar o registrarte. Los detalles están en la Sección 3.
Enlaces externos: esta política cubre únicamente la plataforma DatosPúblicosEc. Los enlaces a sitios externos que aparezcan en el producto — compraspublicas.gob.ec (SERCOP), spdp.gob.ec (Superintendencia de Protección de Datos), sitios de oferentes, redes sociales y similares — se rigen por las políticas de privacidad de cada uno de esos sitios. No somos responsables de sus prácticas de tratamiento de datos.
3.Datos del usuario que tratamos
Tratamos las siguientes categorías de datos personales (no incluye información pública del SERCOP que mostramos en el producto):
| Categoría | Qué incluye | Propósito | Base legal LOPDP | Retención |
|---|---|---|---|---|
| Identificador anónimo de visitante | Cookie `vid` (UUID v4 aleatorio, primera parte, 1 año). Asociada al navegador, no a la persona. | Reconocer visitantes recurrentes para mejorar el producto y prevenir abuso automatizado. | Art. 7 num. 5 LOPDP — interés legítimo en operar el servicio. | 1 año desde último uso. Borrable desde la configuración del navegador. |
| Datos de cuenta | Email verificable + nombre de usuario (puede ser pseudónimo) + contraseña en hash Argon2. | Crear y operar tu cuenta. El email evita abuso automatizado en funciones de costo computacional. | Art. 7 num. 2 LOPDP — ejecución de contrato del que el titular es parte (Términos aceptados al registrarse). | Hasta que solicites borrado de cuenta. Cuentas no verificadas se eliminan tras 72 horas. |
| Eventos de navegación | Páginas vistas, búsquedas, filtros aplicados, procesos consultados. Asociados a `vid` (anónimo) o `user_id` (cuenta). | Métricas internas para mejorar el producto, prevenir bugs, dimensionar capacidad. | Art. 7 num. 5 LOPDP — interés legítimo en mantener el servicio. | 2 años, comprimidos después de 30 días. Desligables desde `/app/me/privacy`. |
| Datos derivados | País aproximado (IP truncada al /24 antes de persistir, nunca IP completa), tipo de dispositivo (User-Agent hasheado). | Estadísticas agregadas, prevención de fraude regional. | Art. 7 num. 5 LOPDP — interés legítimo. | Mismo TTL que eventos. La IP completa nunca se guarda. |
5.Microsoft Clarity y transferencias internacionales
Microsoft Clarity es la única herramienta externa que recibe interacciones detalladas de usuarios públicos. Captura heatmaps anónimos, clicks, scroll patterns e identificador técnico de sesión. No captura: emails, nombres, RUCs, montos, búsquedas guardadas ni cualquier información de cuenta.
Para minimizar transferencia, Clarity está deshabilitado en las zonas privadas/sensibles del producto: /app/admin, /app/me, /app/proformas, /app/billing, /app/oferente. En zonas públicas (búsqueda, stats, docs, landing) sí corre, salvo que hayas activado el opt-out en /app/me/privacy.
| Proveedor | Jurisdicción | Datos transferidos | Salvaguarda | Opt-out |
|---|---|---|---|---|
| Microsoft Clarity | Estados Unidos | Heatmaps anónimos, clicks, scroll patterns, identificador de sesión técnica. Sin emails ni nombres ni montos. | Cláusulas Contractuales Tipo (Microsoft Data Protection Addendum). | Disponible en /app/me/privacy. |
También usamos Oracle Cloud Infrastructure (OCI) Email Delivery como relay SMTP para enviar correos de verificación. No almacena el contenido del email después de entregarlo. No se considera subprocesador relevante para esta política dado que los emails que se le envían a OCI ya son construidos por nosotros y no contienen perfilado.
6.Tus derechos como titular
Como titular de los datos personales puedes ejercer los derechos reconocidos por la LOPDP (arts. 12-22):
- Acceso — saber qué datos tuyos tratamos y obtenerlos.
- Rectificación — corregir datos inexactos.
- Eliminación — borrar datos cuando ya no son necesarios.
- Oposición — oponerte a tratamientos basados en interés legítimo.
- Portabilidad — exportar tus datos en formato estructurado.
- Suspensión — pausar el tratamiento.
- No a decisiones automatizadas — solicitar revisión humana.
Si tienes una cuenta puedes ejercer todos estos derechos directamente desde /app/me/privacy (exportar JSON de tus eventos, desligar tu historial, controlar Clarity).
También puedes contactarnos en [email protected] — respondemos dentro de 15 días hábiles.
Si consideras que vulneramos tus derechos puedes denunciar directamente ante la Superintendencia de Protección de Datos Personales (SPDP) de Ecuador en spdp.gob.ec.
7.Menores de edad
La plataforma DatosPúblicosEc no está dirigida a menores de 18 años y no recolectamos deliberadamente datos personales de menores. El registro de cuenta y las suscripciones requieren mayoría de edad.
Si detectamos que una cuenta pertenece a una persona menor de edad suspendemos inmediatamente el acceso y borramos los datos asociados.
Si eres padre, madre o representante legal y descubres que un menor a tu cargo creó una cuenta sin tu consentimiento, escríbenos a [email protected] para borrar la cuenta y los datos asociados — responderemos en un plazo máximo de 72 horas.
LOPDP art. 22 reconoce protección reforzada para datos personales de niñas, niños y adolescentes; el tratamiento de esos datos requiere consentimiento explícito del representante legal y medidas adicionales que esta plataforma no implementa.
8.Seguridad y retención
Aplicamos medidas técnicas y organizacionales para proteger tus datos:
- Contraseñas en hash Argon2id (resistente a GPU/ASIC).
- Sesiones con JWT firmados (HS256) + refresh tokens blacklisteables.
- Secretos en base de datos cifrados con Fernet (clave de cifrado rotable).
- Audit log para todas las acciones administrativas.
- Aislamiento multi-tenant validado en cada repositorio.
- TLS obligatorio en todo el tráfico HTTP.
- Rate limiting + verificación anti-bot en endpoints sensibles.
Plazos de retención: los detalles por categoría están en la Sección 3 (columna "Retención"). En general: eventos de uso 2 años, cuenta hasta tu solicitud de borrado, cuentas no verificadas 72 horas.
9.Cambios a esta política
Esta política está versionada (versión actual: v1.0). Cambios menores se notifican en un banner durante 30 días. Cambios sustantivos (nuevas categorías de datos, nuevos subprocesadores, cambio de base legal) pueden requerir tu re-aceptación al iniciar sesión.
Última actualización: 02 de marzo de 2026.