Política de Privacidad — LexFlow

Versión: 0.2 Fecha de emisión: 19 de mayo de 2026 Marco legal aplicable: Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, RO 459 del 21 de mayo de 2021, y su Reglamento (Decreto Ejecutivo 904, RO Sup. 459, 13-nov-2023).

Aviso: Este documento es un borrador técnico. Sigue pendiente de revisión por abogado colegiado en Ecuador. NO usar como base contractual definitiva sin revisión profesional previa.

Resumen ejecutivo (lo que necesitas saber en 60 segundos)

LexFlow trata los datos personales de sus usuarios (abogados, asistentes y administradores de estudios jurídicos) de la siguiente manera:

Qué datos recolecta: nombre, correo, teléfono (opcional), dirección IP, logs de actividad, texto de consultas al asistente IA.
Para qué los usa: prestar el servicio, proteger la cuenta, enviar notificaciones de vencimientos, cumplir obligaciones fiscales y mejorar el producto.
Con quién los comparte: proveedores de infraestructura listados en la §7 (Vercel, Supabase, Hetzner, OpenAI, Anthropic, Resend, OneSignal, Sentry). No vendemos datos.
Dónde se almacenan: principalmente en Estados Unidos y Alemania (Unión Europea).
Cuánto tiempo: durante la vigencia de la cuenta + hasta 90 días post-cancelación.
Tus derechos: acceso, rectificación, eliminación, oposición, portabilidad y limitación. Escribe a dpo@tiertec.lat.

Para el detalle completo, lee la política a continuación.

1. A quién aplica esta política

Esta Política de Privacidad describe cómo LexFlow trata los datos personales de los usuarios directos del servicio: administradores, abogados y asistentes de estudios jurídicos que crean cuenta en https://app.tiertec.lat.

Nota importante sobre los clientes finales del estudio: los datos de las personas naturales o jurídicas que los estudios jurídicos atienden (es decir, los clientes finales del Cliente) no son tratados por LexFlow para fines propios. El estudio actúa como responsable del tratamiento de esos datos, y LexFlow actúa como encargado. Esa relación se rige por el Acuerdo de Tratamiento de Datos (documento 03 de esta carpeta).

Los usuarios del servicio deben ser mayores de edad. El Cliente garantiza al crear cuentas subordinadas que los usuarios habilitados son personas mayores de edad.

2. Identidad del responsable del tratamiento

Nombre: Gabriel Josías Santos Rivera
Cédula: 1724060478
Domicilio: Vía Colonia Montúfar Km. 4, Quito - Pichincha, Ecuador
Producto comercial: LexFlow
Correo de contacto en materia de datos personales: dpo@tiertec.lat
Inscripción ante la Superintendencia de Protección de Datos Personales (SPDP): en gestión activa. El inicio de operaciones comerciales a clientes externos se realizará únicamente una vez completada la inscripción en el Registro Nacional de Protección de Datos Personales conforme al art. 39 LOPDP.
Delegado de Protección de Datos (DPO): Por el volumen y naturaleza actuales del tratamiento, el Prestador no está obligado a designar un Delegado de Protección de Datos conforme al art. 47 LOPDP. El punto de contacto único en materia de protección de datos es: dpo@tiertec.lat. Esta situación será revisada si el volumen de tratamiento o las categorías de datos tratados cambian materialmente.

3. Qué datos recolectamos directamente de los usuarios del servicio

Estos son los datos que recolectamos de administradores, abogados y asistentes que usan LexFlow:

3.1. Datos de identificación

Nombre completo.
Correo electrónico.
Teléfono celular (opcional).
Foto de perfil (opcional, si la cargan).
Identificación profesional (matrícula del Foro, opcional).

3.2. Datos de cuenta

Contraseña (almacenada siempre en formato hashed por Supabase Auth — el Prestador nunca conoce la contraseña en texto plano).
Rol asignado (administrador, abogado, asistente).
Estudio jurídico al que pertenece (tenant_id).
Estado de la cuenta (activo, bloqueado por intentos fallidos, bloqueado permanentemente).

3.3. Datos técnicos y de uso

Dirección IP desde donde se conecta (para rate limiting y prevención de abuso). Adicionalmente, de la dirección IP puede derivarse una geolocalización aproximada (ciudad o región), que se registra en los logs de seguridad pero no se usa para perfilado.
Fechas y horas de inicio/cierre de sesión.
Intentos fallidos de login (para rate limiting; ver Términos de Uso, cláusula 9 y LexFlow/login_rate_limit.sql).
Eventos de auditoría: qué operaciones realiza dentro del sistema (crear caso, eliminar nota, asignar colaborador, etc.).
Logs de errores capturados por Sentry (stack trace + contexto del usuario).
OneSignal player_id si activa notificaciones push (identificador efímero de dispositivo).
Datos técnicos del navegador (user-agent, idioma configurado, zona horaria) que pueden ser recolectados por Supabase Auth o por librerías de terceros como parte del fingerprinting estándar de sesión. Estos datos se usan exclusivamente para seguridad de la sesión.

3.4. Datos derivados del uso del asistente IA

Texto de las consultas realizadas al asistente legal.
Conteo mensual de consultas (para enforcement de la cuota del plan).
El texto de las consultas puede contener datos personales si el usuario los incluye voluntariamente en su pregunta. El Prestador implementa medidas para no enviar identificadores personales explícitos a los sub-encargados de IA, pero no puede garantizar que el contenido libre de la consulta esté en todos los casos libre de datos personales. Por ello, se recomienda al usuario no incluir datos de identificación directa en las consultas al asistente.

4. Para qué tratamos esos datos (fines y bases de licitud)

Fin del tratamiento	Base de licitud	Artículo LOPDP	Nota operativa
Prestar el servicio LexFlow al estudio que el usuario representa	Ejecución del contrato	Art. 7.1.b	Tratamiento necesario para cumplir la relación contractual establecida en los Términos de Uso
Autenticar al usuario y proteger su cuenta	Ejecución del contrato + interés legítimo	Art. 7.1.b y art. 7.1.f	Interés legítimo documentado: seguridad del sistema y protección de los datos de todos los estudios
Enviar notificaciones de recordatorio de vencimientos procesales (email + push)	Ejecución del contrato	Art. 7.1.b	Funcionalidad nuclear del servicio contratado
Detectar y prevenir abuso, brute-force, fraude	Interés legítimo	Art. 7.1.f	Test de ponderación documentado internamente: interés en seguridad prevalece sobre expectativa razonable del usuario de que sus intentos de login no se registren
Cumplir obligaciones contables y fiscales (facturación SRI)	Cumplimiento de obligación legal	Art. 7.1.c	Reglamento de Comprobantes de Venta; retención mínima 7 años
Mejorar el producto y depurar errores	Interés legítimo	Art. 7.1.f	Solo se usan datos pseudonimizados o agregados cuando sea técnicamente posible; el interés en la mejora del servicio no supera desproporcionadamente los derechos del titular
Comunicaciones operativas (avisos de mantenimiento, cambios de términos)	Ejecución del contrato	Art. 7.1.b	No constituyen comunicaciones de marketing
Comunicaciones de marketing propio sobre el producto (nuevas funcionalidades, ofertas)	Interés legítimo o consentimiento separado	Art. 7.1.f / art. 7.1.a	El usuario puede oponerse en cualquier momento escribiendo a dpo@tiertec.lat

NO realizamos:

Marketing a terceros.
Venta de datos personales bajo ninguna circunstancia.
Perfilado automatizado con efectos jurídicos sobre el titular.
Decisiones automatizadas sin intervención humana sobre datos sensibles.

5. Categorías especiales de datos

LexFlow no requiere ni solicita categorías especiales de datos personales (origen étnico, salud, orientación sexual, convicciones religiosas, datos biométricos, etc.) de los usuarios directos del servicio.

Los datos contenidos en los expedientes que los abogados cargan al sistema pueden, por la naturaleza de la actividad jurídica, contener categorías especiales de datos personales de los clientes finales del estudio. Esos datos se tratan bajo el régimen del Acuerdo de Tratamiento de Datos (documento 03), con medidas de seguridad reforzadas descritas en el Anexo A de ese documento.

6. Origen de los datos

Todos los datos personales que tratamos provienen directamente del titular (el usuario) al momento de:

Registrarse en el servicio.
Iniciar sesión.
Interactuar con la plataforma.

Excepción: cuando un administrador del estudio invita a un nuevo usuario subordinado (abogado o asistente), el administrador proporciona el nombre y correo del invitado. En esos casos, el usuario invitado completa el resto de sus datos al aceptar la invitación.

7. Con quién compartimos los datos (encargados y receptores)

LexFlow es operado sobre infraestructura de terceros bajo modelo SaaS. Para prestar el servicio compartimos datos con los siguientes proveedores:

Proveedor	Función	Sede	Datos compartidos	Garantías
Vercel Inc.	Hosting del frontend Next.js	Estados Unidos	Direcciones IP, headers HTTP, tiempos de respuesta	SOC 2 Tipo II + DPA estándar Vercel
Supabase Inc.	Base de datos PostgreSQL, autenticación, storage de archivos	Estados Unidos (región us-east-1 / sa-east-1)	Todos los datos almacenados	SOC 2 Tipo II + cifrado AES-256 en reposo + TLS 1.3 en tránsito
Hetzner Online GmbH	VPS donde corre n8n (orquestador de workflows)	Alemania (Falkenstein FSN1)	Datos necesarios para ejecutar workflows: emails de destinatarios, plazos de actuaciones	ISO 27001 + GDPR (UE)
OpenAI L.L.C.	Generación de embeddings vectoriales para el asistente legal IA	Estados Unidos	Texto de la pregunta del usuario (sin identificador personal asociado en la llamada)	DPA estándar OpenAI + Zero Data Retention para API
Anthropic PBC	Modelo conversacional del asistente legal IA (Claude Haiku 4.5)	Estados Unidos	Texto de la pregunta + contexto legal recuperado. No se envían identificadores personales del usuario en la llamada.	SOC 2 Tipo II + DPA estándar de Anthropic (en proceso de firma) + retención 7 días por defecto + sin training en datos API
Resend Inc.	Envío de correos electrónicos transaccionales	Estados Unidos	Email del destinatario, contenido del email	SOC 2 Tipo II + DPA estándar Resend
OneSignal Inc.	Notificaciones push a navegadores y PWA	Estados Unidos	`player_id` del dispositivo, contenido de la notificación	SOC 2 Tipo II + DPA estándar OneSignal
Functional Software, Inc. (Sentry)	Monitoreo de errores en runtime	Estados Unidos	Stack traces, `usuario_id`, `tenant_id`, rol; NO se envía contenido de los datos del Cliente	SOC 2 Tipo II + scrubbing automático de PII configurado
Namecheap Inc.	Registrador del dominio tiertec.lat	Estados Unidos	Datos de contacto WHOIS del Prestador (Gabriel Santos), no datos de los usuarios del servicio	—

Todos los proveedores listados están sujetos a sus propias políticas de privacidad. Las transferencias internacionales se sustentan en las bases descritas en la §8 de esta política.

8. Transferencia internacional de datos

LexFlow almacena y procesa datos personales en servidores ubicados fuera del Ecuador, principalmente en Estados Unidos y la Unión Europea (Alemania).

Nota histórica (2026-05-15): hasta esa fecha el componente conversacional del asistente IA utilizaba DeepSeek (China). El modelo fue migrado a Anthropic Claude Haiku 4.5 (Estados Unidos) para alinear con los requisitos de la LOPDP y la Resolución SPDP-SPD-2026-0004-R. Desde la migración, no existen transferencias de datos a China desde la plataforma LexFlow.

Marco legal de las transferencias internacionales.

Ecuador, a través de la SPDP, no ha publicado al momento de emisión de esta política una lista de países con nivel adecuado de protección de datos personales, ni ha aprobado Cláusulas Contractuales Tipo propias. En consecuencia, las transferencias internacionales de datos que realiza LexFlow se sustentan en las siguientes bases, aplicadas acumulativamente:

a. Consentimiento informado del titular al aceptar esta Política de Privacidad (LOPDP art. 56.2.a). b. Necesidad para la ejecución del contrato entre el Cliente y el Prestador, dado que la infraestructura tecnológica del servicio opera sobre proveedores internacionales (LOPDP art. 56.2.b). c. Garantías adicionales consistentes en: (i) contratación de sub-encargados con certificación SOC 2 Tipo II o ISO 27001 vigente, donde está disponible; (ii) cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256); y (iii) suscripción de Data Processing Agreements estándar de cada proveedor, donde estos los ofrecen.

Transferencias al asistente legal IA (Anthropic, Estados Unidos).

Desde el 2026-05-15 el componente conversacional del asistente legal IA utiliza el modelo Claude Haiku 4.5 de Anthropic PBC, con sede en Estados Unidos. Anthropic ofrece DPA estándar (en proceso de firma), retención por defecto de 7 días sobre las llamadas a la API y compromiso documentado de no utilizar datos de API para entrenamiento de modelos.

Las garantías aplicadas por LexFlow para esta transferencia son:

Minimización de datos en la llamada: no se envían nombres de usuario, cédulas, correos electrónicos ni ningún otro identificador directo al API de Anthropic. La llamada contiene únicamente el texto libre de la consulta del usuario y el contexto legal recuperado del índice vectorial interno.
Sin identificadores de sesión: la llamada a Anthropic no incluye el user_id, tenant_id ni ningún otro identificador de la sesión activa.
Advertencia al usuario: se muestra un aviso permanente en la interfaz del asistente IA recomendando expresamente al usuario no incluir datos de identificación personal (nombres de sus clientes, números de cédula, etc.) en el texto de las consultas.
Retención y no-training contractuales: Anthropic retiene los inputs durante un máximo de 7 días por defecto y no los utiliza para entrenar sus modelos, conforme a su política de uso de la API.

El titular que no desee que el texto de sus consultas se transfiera a Estados Unidos puede abstenerse de usar el asistente legal IA conversacional, manteniendo acceso a todas las demás funcionalidades del servicio.

9. Cuánto tiempo conservamos los datos (plazos de retención)

Tipo de dato	Plazo de retención
Datos de cuenta activa (mientras el usuario tiene cuenta)	Vigencia de la relación contractual
Datos de cuenta tras eliminación a solicitud del usuario	90 días en sistemas activos + hasta 60 días adicionales en backups
Logs de seguridad (rate limiting, intentos de login)	24 horas (limpieza automática pasiva)
Logs de auditoría (`audit_log`)	Mientras el tenant exista, hasta su eliminación
Facturas y comprobantes	7 años (plazo de retención fiscal SRI, conforme al art. 41 del Reglamento de Comprobantes de Venta)
Logs de errores en Sentry	Según el plan de Sentry contratado: 30 días en plan Free/Hobby, 90 días en plan Team o superior. Se mantendrá actualizado este plazo conforme a los cambios del proveedor.
Backups completos de la base de datos	60 días en rotación

10. Tus derechos (derechos ARCO+ del titular, LOPDP arts. 11 a 17)

Como titular de datos personales tienes derecho a:

10.1. Derecho de acceso

Conocer qué datos tuyos tratamos, con qué fines, y a quiénes se han comunicado.

10.2. Derecho de rectificación

Solicitar la corrección de datos inexactos o incompletos. Para datos del perfil propio, puedes hacerlo directamente desde /perfil en el dashboard. Para otros datos, contáctanos.

10.3. Derecho de eliminación (supresión)

Solicitar la eliminación de tus datos cuando ya no sean necesarios o retires tu consentimiento. La eliminación se ejecuta conforme a los plazos de la cláusula 9.

10.4. Derecho de oposición

Oponerte al tratamiento por motivos relacionados con tu situación particular, incluyendo oponerte al tratamiento basado en interés legítimo.

10.4-bis. Derecho de limitación del tratamiento

Solicitar que suspendamos el uso activo de tus datos cuando: (a) impugnes la exactitud de los datos, por el tiempo necesario para verificarlos; (b) el tratamiento sea ilícito y prefieras la limitación a la supresión; (c) ya no necesitemos los datos pero los necesites tú para el ejercicio de acciones legales. Durante la limitación, los datos se conservan pero no se usan activamente. Contáctanos a dpo@tiertec.lat para ejercer este derecho.

10.5. Derecho de portabilidad

Recibir tus datos en un formato estructurado y de uso común (CSV o JSON). LexFlow entrega la exportación en máximo 15 días hábiles (ver Términos de Uso, cláusula 12).

10.6. Derecho a no ser objeto de decisiones automatizadas

Las respuestas del asistente legal IA son informativas y siempre revisables por el abogado responsable. El titular puede solicitar intervención humana en cualquier respuesta del asistente IA antes de actuar conforme a ella. No tomamos decisiones jurídicas automatizadas que produzcan efectos sobre las personas.

10.7. Derecho a revocar el consentimiento

Cuando el tratamiento se base en tu consentimiento, puedes revocarlo en cualquier momento. La revocación no afecta la licitud del tratamiento previo.

10.8. Derecho a presentar reclamo ante la SPDP

Si consideras que tus derechos no han sido atendidos adecuadamente, puedes presentar reclamo ante la Superintendencia de Protección de Datos Personales del Ecuador (SPDP): https://spdp.gob.ec.

11. Cómo ejercer tus derechos

Escribe a: dpo@tiertec.lat

Incluye en tu solicitud:

Tu nombre completo.
Tu correo registrado en LexFlow.
Qué derecho deseas ejercer y sobre qué datos.
Una copia de tu cédula de ciudadanía o documento de identidad equivalente (para verificar tu identidad). El Prestador podrá solicitar mecanismos de verificación adicionales proporcionales a la sensibilidad de la solicitud. Para solicitudes de rectificación de datos menores, bastará la verificación por correo. Para solicitudes de supresión total, se requerirá copia del documento de identidad.

Plazo de respuesta: 15 días calendario.

Si tu solicitud estuviera incompleta, el Prestador te lo comunicará dentro de los primeros 5 días hábiles de recibida, otorgándote un plazo adicional de 5 días hábiles para subsanar. Las solicitudes que no sean subsanadas en ese plazo se considerarán desistidas, sin perjuicio de tu derecho a presentarla nuevamente.

Si consideras que tu solicitud no fue atendida adecuadamente, puedes presentar reclamo ante la Superintendencia de Protección de Datos Personales del Ecuador (SPDP): https://spdp.gob.ec.

Incidentes de seguridad que afecten a los titulares

Cuando un incidente de seguridad represente un riesgo alto para los derechos y libertades de los titulares, el Prestador —o el Estudio como responsable, según corresponda— notificará a los titulares afectados en un plazo de 24 a 48 horas desde que se confirme el alcance del incidente. La notificación describirá la naturaleza del incidente, los datos posiblemente afectados, las medidas adoptadas y las recomendaciones para que el titular proteja sus propios intereses.

12. Seguridad de la información

LexFlow implementa medidas de seguridad técnicas y organizativas detalladas exhaustivamente en el Anexo A del Acuerdo de Tratamiento de Datos (documento 03). Resumen ejecutivo:

Cifrado en tránsito (HTTPS / TLS 1.3) y en reposo (AES-256 en Supabase Storage).
Hashes seguros para contraseñas (gestionado por Supabase Auth, algoritmo bcrypt).
Autenticación con bloqueo automático tras 5 intentos fallidos.
Aislamiento multi-tenant a nivel de aplicación y de base de datos (RLS deny-all en las 14 tablas con tenant_id).
Validación y sanitización de todos los inputs (lib/validacion.ts con tope absoluto de 50 KB por campo).
Rate limiting en endpoints sensibles (login, forgot-password, asistente IA).
Cabeceras de seguridad HTTP estrictas (CSP, X-Frame-Options DENY, COOP same-origin, etc.).
Backups automáticos diarios con rotación de 60 días.
Monitoreo en tiempo real de errores con Sentry.
Infraestructura sobre proveedores con certificación SOC 2 Tipo II.

12-bis. Documentación de soporte (RAT y EIPD)

El Prestador mantiene los siguientes documentos internos de soporte, que respaldan las afirmaciones realizadas en esta Política y acreditan la diligencia debida exigida por la LOPDP:

Registro de Actividades de Tratamiento (RAT-LexFlow v0.1): inventario estructurado de todos los tratamientos realizados por LexFlow como Responsable (usuarios del servicio) y como Encargado (datos de clientes finales de los estudios). Disponible ante requerimiento de la SPDP conforme al art. 39 LOPDP.
Evaluación de Impacto en la Protección de Datos (EIPD-LexFlow v0.1): análisis de riesgos del tratamiento realizado conforme al art. 42 LOPDP, con medidas de mitigación identificadas. Disponible ante requerimiento de la SPDP.
Test de Interés Legítimo (LexFlow v0.1): documentación del balance realizado para los tratamientos basados en interés legítimo (LOPDP art. 7.1.f).
Plan de Respuesta a Incidentes (LexFlow v0.1): procedimiento operativo documentado para la detección, contención, notificación y remediación de incidentes de seguridad.

13. Datos de menores de edad

LexFlow es un servicio profesional dirigido a abogados mayores de edad, debidamente colegiados. Los usuarios del servicio deben ser mayores de edad. El Cliente garantiza al crear cuentas de usuarios subordinados que estos son mayores de edad. El Prestador no trata conscientemente datos de menores de edad como usuarios del servicio.

Si un expediente cargado por un estudio contiene datos de un menor (cliente final), aplica el régimen del Acuerdo de Tratamiento de Datos, donde el estudio asume responsabilidad sobre la base de licitud que ampara dicho tratamiento (incluyendo, cuando corresponda, autorización del representante legal del menor conforme al art. 21 LOPDP).

14. Cookies y tecnologías similares

LexFlow utiliza cookies estrictamente necesarias para el funcionamiento del servicio:

Cookies de sesión (Supabase Auth) — guardan el JWT firmado que identifica al usuario autenticado.
Cookies de preferencias — modo claro/oscuro, idioma.
localStorage/sessionStorage del navegador: LexFlow puede usar el almacenamiento local del navegador para guardar preferencias de interfaz y estado de la aplicación. Estos datos se almacenan localmente en el dispositivo del usuario y no se transmiten a servidores del Prestador.

NO usamos:

Cookies de analítica de terceros tipo Google Analytics.
Cookies de publicidad.
Tracking pixels.

Como las cookies que usamos son estrictamente necesarias, no se requiere consentimiento previo conforme al art. 7.1.b LOPDP.

15. Cambios en esta política

LexFlow puede actualizar esta Política de Privacidad. Las modificaciones se publicarán en https://app.tiertec.lat/privacidad con su fecha de última actualización.

Se distinguen dos tipos de modificaciones:

a) Modificaciones materiales (que afecten finalidades del tratamiento, nuevas categorías de datos, nuevos receptores, o reducción de derechos del titular): se notificarán por correo electrónico con al menos 15 días de anticipación y requerirán aceptación expresa del usuario mediante click de confirmación, alineado con lo establecido en la cláusula 3.4.a de los Términos de Uso.

b) Modificaciones menores (actualizaciones de plazos técnicos, correcciones de redacción, nuevos proveedores sin cambio en el nivel de protección): entrarán en vigencia desde su publicación, comunicadas mediante aviso en el dashboard.

16. Contacto

Para cualquier consulta sobre privacidad y datos personales:

Email: dpo@tiertec.lat Asunto sugerido: "Privacidad — [tu nombre]"

Quito, 19 de mayo de 2026

Versión: 0.2 — pendiente de validación legal profesional.