Saltar al contenido principal
LexFlowSistema legal
Documento legal

Política de privacidad

Cómo tratamos los datos personales bajo la LOPDP del Ecuador.

Política de Privacidad — LexFlow

Versión: 0.1 (borrador inicial) Fecha de emisión: 11 de mayo de 2026 Marco legal aplicable: Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, RO 459 del 21 de mayo de 2021, y su Reglamento.

Aviso: Este documento es un borrador técnico. NO ha sido revisado por un abogado colegiado en Ecuador. NO usar en producción sin revisión profesional previa.

1. A quién aplica esta política

Esta Política de Privacidad describe cómo LexFlow trata los datos personales de los usuarios directos del servicio: administradores, abogados y asistentes de estudios jurídicos que crean cuenta en https://app.tiertec.lat.

Nota importante sobre los clientes finales del estudio: los datos de las personas naturales o jurídicas que los estudios jurídicos atienden (es decir, los clientes finales del Cliente) no son tratados por LexFlow para fines propios. El estudio actúa como responsable del tratamiento de esos datos, y LexFlow actúa como encargado. Esa relación se rige por el Acuerdo de Tratamiento de Datos (documento 03 de esta carpeta).

2. Identidad del responsable del tratamiento

  • Nombre: Gabriel Josías Santos Rivera
  • Cédula: 1724060478
  • Domicilio: Vía Colonia Montúfar Km. 4, Quito - Pichincha, Ecuador
  • Producto comercial: LexFlow
  • Correo de contacto en materia de datos personales: dpo@tiertec.lat
  • Inscripción ante la Superintendencia de Protección de Datos Personales (SPDP): en trámite.

3. Qué datos recolectamos directamente de los usuarios del servicio

Estos son los datos que recolectamos de administradores, abogados y asistentes que usan LexFlow:

3.1. Datos de identificación

  • Nombre completo.
  • Correo electrónico.
  • Teléfono celular (opcional).
  • Foto de perfil (opcional, si la cargan).
  • Identificación profesional (matrícula del Foro, opcional).

3.2. Datos de cuenta

  • Contraseña (almacenada siempre en formato hashed por Supabase Auth — el Prestador nunca conoce la contraseña en texto plano).
  • Rol asignado (administrador, abogado, asistente).
  • Estudio jurídico al que pertenece (tenant_id).
  • Estado de la cuenta (activo, bloqueado por intentos fallidos, bloqueado permanentemente).

3.3. Datos técnicos y de uso

  • Dirección IP desde donde se conecta (para rate limiting y prevención de abuso).
  • Fechas y horas de inicio/cierre de sesión.
  • Intentos fallidos de login (para rate limiting; ver Términos de Uso, cláusula 9 y LexFlow/login_rate_limit.sql).
  • Eventos de auditoría: qué operaciones realiza dentro del sistema (crear caso, eliminar nota, asignar colaborador, etc.).
  • Logs de errores capturados por Sentry (stack trace + contexto del usuario).
  • OneSignal player_id si activa notificaciones push (identificador efímero de dispositivo).

3.4. Datos derivados del uso del asistente IA

  • Texto de las consultas realizadas al asistente legal.
  • Conteo mensual de consultas (para enforcement de la cuota del plan).

4. Para qué tratamos esos datos (fines)

Fin Base de licitud (LOPDP art. 7)
Prestar el servicio LexFlow al estudio que el usuario representa Ejecución del contrato (art. 7.1.b)
Autenticar al usuario y proteger su cuenta Ejecución del contrato + interés legítimo en la seguridad
Enviar notificaciones de recordatorio de vencimientos (email + push) Ejecución del contrato
Detectar y prevenir abuso, brute-force, fraude Interés legítimo
Cumplir obligaciones contables y fiscales (facturación SRI) Cumplimiento de obligación legal (art. 7.1.c)
Mejorar el producto y depurar errores Interés legítimo (con datos pseudonimizados o agregados cuando es posible)
Comunicaciones operativas (avisos de mantenimiento, cambios de términos) Ejecución del contrato

NO realizamos:

  • Marketing a terceros.
  • Venta de datos personales bajo ninguna circunstancia.
  • Perfilado automatizado con efectos jurídicos sobre el titular.
  • Decisiones automatizadas sin intervención humana sobre datos sensibles.

5. Categorías especiales de datos

LexFlow no requiere ni solicita categorías especiales de datos personales (origen étnico, salud, orientación sexual, convicciones religiosas, datos biométricos, etc.) de los usuarios directos del servicio.

Los datos contenidos en los expedientes que los abogados cargan al sistema pueden, por la naturaleza de la actividad jurídica, contener categorías especiales de datos personales de los clientes finales del estudio. Esos datos se tratan bajo el régimen del Acuerdo de Tratamiento de Datos (documento 03), con medidas de seguridad reforzadas descritas en el Anexo A de ese documento.

6. Origen de los datos

Todos los datos personales que tratamos provienen directamente del titular (el usuario) al momento de:

  • Registrarse en el servicio.
  • Iniciar sesión.
  • Interactuar con la plataforma.

Excepción: cuando un administrador del estudio invita a un nuevo usuario subordinado (abogado o asistente), el administrador proporciona el nombre y correo del invitado. En esos casos, el usuario invitado completa el resto de sus datos al aceptar la invitación.

7. Con quién compartimos los datos (encargados y receptores)

LexFlow es operado sobre infraestructura de terceros bajo modelo SaaS. Para prestar el servicio compartimos datos con los siguientes proveedores:

Proveedor Función Sede Datos compartidos
Vercel Inc. Hosting del frontend Next.js Estados Unidos Direcciones IP, headers HTTP, tiempos de respuesta
Supabase Inc. Base de datos PostgreSQL, autenticación, storage de archivos Estados Unidos (región us-east-1 / sa-east-1) Todos los datos almacenados
Hetzner Online GmbH VPS donde corre n8n (orquestador de workflows) Alemania (Falkenstein FSN1) Datos necesarios para ejecutar workflows: emails de destinatarios, plazos de actuaciones
OpenAI L.L.C. Generación de embeddings vectoriales para el asistente legal IA Estados Unidos Texto de la pregunta del usuario (sin identificador personal asociado en la llamada)
Anthropic PBC Modelo conversacional del asistente legal IA (Claude Haiku 4.5) Estados Unidos Texto de la pregunta + contexto legal recuperado. No se envían identificadores personales del usuario en la llamada. DPA estándar de Anthropic en proceso de firma.
Resend Inc. Envío de correos electrónicos transaccionales Estados Unidos Email del destinatario, contenido del email
OneSignal Inc. Notificaciones push a navegadores y PWA Estados Unidos player_id del dispositivo, contenido de la notificación
Functional Software, Inc. (Sentry) Monitoreo de errores en runtime Estados Unidos Stack traces, usuario_id, tenant_id, rol; NO se envía contenido de los datos del Cliente
Namecheap Inc. Registrador del dominio tiertec.lat Estados Unidos Datos de contacto WHOIS del titular del dominio (Gabriel Santos)

Todos los proveedores listados están sujetos a sus propias políticas de privacidad y, donde corresponde, contamos con Cláusulas Contractuales Tipo o medidas equivalentes para las transferencias internacionales conforme al art. 56 LOPDP.

8. Transferencia internacional de datos

LexFlow almacena y procesa datos personales en servidores ubicados fuera del Ecuador, principalmente en Estados Unidos y la Unión Europea (Alemania).

Base de licitud para la transferencia:

  • Consentimiento informado del titular al aceptar esta política (LOPDP art. 56.2.a).
  • Necesidad para la ejecución del contrato (LOPDP art. 56.2.b).

Garantías aplicadas:

  • Contratación únicamente de proveedores con certificación SOC 2 Tipo II o equivalente.
  • Cláusulas Contractuales Tipo (SCC) cuando los proveedores las ofrecen.
  • Cifrado en tránsito (HTTPS / TLS 1.3) y en reposo (AES-256) en los proveedores principales (Supabase, Vercel).

9. Cuánto tiempo conservamos los datos (plazos de retención)

Tipo de dato Plazo de retención
Datos de cuenta activa (mientras el usuario tiene cuenta) Vigencia de la relación contractual
Datos de cuenta tras eliminación a solicitud del usuario 90 días en sistemas activos + hasta 60 días adicionales en backups
Logs de seguridad (rate limiting, intentos de login) 24 horas (limpieza automática pasiva)
Logs de auditoría (audit_log) Mientras el tenant exista, hasta su eliminación
Facturas y comprobantes 7 años (plazo de retención fiscal del SRI Ecuador)
Logs de errores en Sentry 90 días (configuración por defecto del plan)
Backups completos de la base de datos 60 días en rotación

10. Tus derechos (derechos ARCO+ del titular, LOPDP arts. 11 a 17)

Como titular de datos personales tienes derecho a:

10.1. Derecho de acceso

Conocer qué datos tuyos tratamos, con qué fines, y a quiénes se han comunicado.

10.2. Derecho de rectificación

Solicitar la corrección de datos inexactos o incompletos. Para datos del perfil propio, puedes hacerlo directamente desde /perfil en el dashboard. Para otros datos, contáctanos.

10.3. Derecho de eliminación (supresión)

Solicitar la eliminación de tus datos cuando ya no sean necesarios o retires tu consentimiento. La eliminación se ejecuta conforme a los plazos de la cláusula 9.

10.4. Derecho de oposición

Oponerte al tratamiento por motivos relacionados con tu situación particular.

10.5. Derecho de portabilidad

Recibir tus datos en un formato estructurado y de uso común (CSV o JSON). LexFlow entrega la exportación en máximo 15 días hábiles (ver Términos de Uso, cláusula 12).

10.6. Derecho a no ser objeto de decisiones automatizadas

Las respuestas del asistente legal IA son informativas y siempre revisables por el abogado responsable. No tomamos decisiones jurídicas automatizadas que produzcan efectos sobre las personas.

10.7. Derecho a revocar el consentimiento

Cuando el tratamiento se base en tu consentimiento, puedes revocarlo en cualquier momento. La revocación no afecta la licitud del tratamiento previo.

11. Cómo ejercer tus derechos

Escribe a: dpo@tiertec.lat

Incluye en tu solicitud:

  • Tu nombre completo.
  • Tu correo registrado en LexFlow.
  • Qué derecho deseas ejercer y sobre qué datos.
  • Una copia de tu cédula de ciudadanía o documento de identidad equivalente (para verificar tu identidad).

Plazo de respuesta: 15 días calendario.

Si consideras que tu solicitud no fue atendida adecuadamente, puedes presentar reclamo ante:

  • Superintendencia de Protección de Datos Personales del Ecuador (SPDP)
  • Sitio web: https://spdp.gob.ec

12. Seguridad de la información

LexFlow implementa medidas de seguridad técnicas y organizativas detalladas exhaustivamente en el Anexo A del Acuerdo de Tratamiento de Datos (documento 03). Resumen ejecutivo:

  • Cifrado en tránsito (HTTPS / TLS 1.3) y en reposo (AES-256 en Supabase Storage).
  • Hashes seguros para contraseñas (gestionado por Supabase Auth, algoritmo bcrypt).
  • Autenticación con bloqueo automático tras 5 intentos fallidos.
  • Aislamiento multi-tenant a nivel de aplicación y de base de datos (RLS deny-all en las 14 tablas con tenant_id).
  • Validación y sanitización de todos los inputs (lib/validacion.ts con tope absoluto de 50 KB por campo).
  • Rate limiting en endpoints sensibles (login, forgot-password, asistente IA).
  • Cabeceras de seguridad HTTP estrictas (CSP, X-Frame-Options DENY, COOP same-origin, etc.).
  • Backups automáticos diarios con rotación de 60 días.
  • Monitoreo en tiempo real de errores con Sentry.
  • Infraestructura sobre proveedores con certificación SOC 2 Tipo II.

13. Datos de menores de edad

LexFlow es un servicio profesional dirigido a abogados mayores de edad, debidamente colegiados. No tratamos datos de menores de edad como usuarios directos del servicio.

Si un expediente cargado por un estudio contiene datos de un menor (cliente final), aplica el régimen del Acuerdo de Tratamiento de Datos, donde el estudio asume responsabilidad sobre la base de licitud que ampara dicho tratamiento (incluyendo, cuando corresponda, autorización del representante legal del menor conforme al art. 21 LOPDP).

14. Cookies y tecnologías similares

LexFlow utiliza cookies estrictamente necesarias para el funcionamiento del servicio:

  • Cookies de sesión (Supabase Auth) — guardan el JWT firmado que identifica al usuario autenticado.
  • Cookies de preferencias — modo claro/oscuro, idioma.

NO usamos:

  • Cookies de analítica de terceros tipo Google Analytics.
  • Cookies de publicidad.
  • Tracking pixels.

Como las cookies que usamos son estrictamente necesarias, no se requiere consentimiento previo conforme al art. 7.1.b LOPDP.

15. Cambios en esta política

LexFlow puede actualizar esta Política de Privacidad. Las modificaciones se publicarán en https://app.tiertec.lat/privacidad con su fecha de última actualización.

Si la modificación es material, notificaremos por correo electrónico a todos los usuarios con cuenta activa con al menos 15 días de anticipación a la entrada en vigencia.

16. Contacto

Para cualquier consulta sobre privacidad y datos personales:

Email: dpo@tiertec.lat Asunto sugerido: "Privacidad — [tu nombre]"

Quito, 11 de mayo de 2026

Versión: 0.1 — borrador inicial pendiente de revisión legal profesional.