Acuerdo de Procesamiento de Datos (DPA)
Última actualización: 30 de abril de 2026 · Versión: 1.0
Este Acuerdo se firma electrónicamente al aceptar los Términos y Condiciones de NEXXUS Legal. Cumple con el art. 56 LOPDP Ecuador y los principios del Reglamento (UE) 2016/679 (RGPD) para transferencias UE→Ecuador.
1. Partes
1.1 Responsable del Tratamiento ("el Despacho")
El despacho legal cliente que se suscribe a NEXXUS Legal y que ingresa datos personales de sus propios clientes finales en la plataforma.
| Razón social | __________________ |
|---|---|
| RUC | __________________ |
| Dirección | __________________ |
| Email DPO | __________________ |
1.2 Encargado del Tratamiento ("NEXXUS")
| Razón social | DESPACHO LEGAL AXSM S.A.S. |
|---|---|
| RUC | 0891793793001 |
| Dirección | Esmeraldas, Ecuador |
| Email DPO | dpo@nexxus.legal |
2. Objeto y duración
2.1 Objeto
NEXXUS procesará datos personales de los clientes finales del Despacho con la única finalidad de prestar el servicio SaaS contratado.
2.2 Duración
Mientras dure la suscripción + 30 días de gracia para exportación + 7 años para facturas SRI (obligación tributaria).
3. Naturaleza y categorías de datos
3.1 Categorías de titulares
- Clientes personas físicas del Despacho
- Clientes personas jurídicas (datos de representantes legales)
- Contrapartes en procesos legales
- Testigos, peritos, terceros mencionados
3.2 Tipos de datos
| Categoría | Ejemplos |
|---|---|
| Identificación | Nombres, cédula, RUC, pasaporte, fecha nacimiento |
| Contacto | Email, teléfono, dirección |
| Financiera | Montos en disputa, honorarios, deudas |
| Procesal | Causa, juzgado, materia, providencias |
| Comunicaciones | Emails, mensajes, notas |
| Documentos | Sentencias, contratos, demandas |
3.3 Datos sensibles (art. 25 LOPDP)
NEXXUS puede procesar incidentalmente datos sensibles cuando aparezcan en documentos legales:
- Salud (casos de seguros, accidentes)
- Origen étnico (casos antidiscriminación)
- Ideología, religión, afiliación sindical
- Identidad o expresión de género
- Datos genéticos / biométricos
- Antecedentes penales
Estos datos se procesan con cifrado E2EE — NEXXUS NO PUEDE leerlos.
4. Obligaciones de NEXXUS (Encargado)
NEXXUS se obliga a:
- Procesar SOLO según instrucciones documentadas del Despacho. No procesará datos para sus propios fines.
- Garantizar confidencialidad del personal autorizado (NDA).
- Implementar medidas técnicas y organizativas descritas en § 6.
- No subcontratar sin autorización (sub-procesadores autorizados en § 7).
- Asistir al Despacho en el cumplimiento de:
- Solicitudes de derechos (acceso, rectificación, eliminación, portabilidad)
- Notificación de brechas de seguridad
- Evaluaciones de impacto LOPDP
- Devolver o eliminar todos los datos al finalizar el contrato (a elección del Despacho).
- Permitir auditorías documentales una vez al año (Enterprise) o aportar certificaciones equivalentes.
- Notificar brechas de seguridad dentro de 48 horas desde el conocimiento.
5. Obligaciones del Despacho (Responsable)
El Despacho se obliga a:
- Garantizar que tiene base legal para procesar los datos cargados (consentimiento del cliente, ejecución contractual, obligación legal, interés legítimo).
- Informar a sus clientes finales que sus datos serán procesados por NEXXUS como encargado.
- Mantener actualizada su lista de sub-procesadores propios.
- No cargar datos cuyo tratamiento esté legalmente prohibido.
- Custodiar adecuadamente las credenciales de acceso a NEXXUS (incluida la contraseña que descifra el vault).
- Ejercer y atender los derechos de los titulares (NEXXUS asiste, no responde directamente).
6. Medidas técnicas y organizativas (TOMs)
NEXXUS implementa las siguientes medidas:
6.1 Cifrado
- TLS 1.3 en tránsito con HSTS
- AES-256-GCM en reposo (metadata)
- XChaCha20-Poly1305 end-to-end (contenido legal sensible)
- Argon2id (64MB / t=3 / p=4) para derivación de claves
6.2 Control de acceso
- 2FA TOTP recomendado para todos los usuarios
- Autenticación SSO/SAML disponible (Enterprise)
- Roles granulares: admin / abogado / asistente / cliente lectura
- Aislamiento multi-tenant con RLS (Row-Level Security) PostgreSQL
6.3 Trazabilidad
- Audit log inmutable con hash chain Ed25519
- Replicación WORM (Write-Once-Read-Many) en Backblaze B2 (Enterprise)
- Conservación 5 años (LOPDP art. 27)
6.4 Disponibilidad
- Backups cifrados diarios con retención 90 días
- Replicación geográfica (Hetzner Ashburn + Backblaze B2)
- RPO ≤ 24h, RTO ≤ 4h
6.5 Personal
- Solo personal autorizado con NDA firmado
- Acceso mínimo necesario (principle of least privilege)
- Capacitación anual en LOPDP
6.6 Pen-testing
- Tests anuales de penetración por terceros (Enterprise)
- Bug bounty disponible: security@nexxus.legal
- Análisis estático de código continuo
7. Sub-procesadores autorizados
El Despacho autoriza a NEXXUS a usar los siguientes sub-procesadores:
| Sub-procesador | País | Servicio | Datos | Garantías |
|---|---|---|---|---|
| Hetzner Online GmbH | Alemania (UE) | Hosting | Cifrados | RGPD + DPA Hetzner |
| Backblaze Inc. | EE.UU. | Backups cifrados | Cifrados | SOC 2 + cláusulas tipo |
| Cloudflare Inc. | EE.UU. | DNS / WAF | Solo IPs/headers | SOC 2 + cláusulas tipo |
| PayPhone S.A. | Ecuador | Pagos | RUC + tarjeta | LOPDP + PCI-DSS |
| Datil S.A. | Ecuador | Factura SRI | RUC + razón social | LOPDP + Resolución SRI NAC-DGERCGC18-00000233 |
| Anthropic PBC | EE.UU. | IA Claude (opt-in) | Texto del caso | Zero-retention API + DPA Anthropic |
| Google LLC | EE.UU. | IA Gemini (opt-in) | Texto del caso | Zero-retention API + DPA Google |
| Telegram FZ-LLC | EAU | Notificaciones (opt-in) | Mensajes | Cláusulas tipo |
7.1 Cambios de sub-procesadores
NEXXUS notificará al Despacho con 30 días de antelación cualquier cambio. El Despacho puede oponerse por escrito; en ese caso, las partes negociarán de buena fe una solución (incluyendo cancelación con reembolso prorrateado).
7.2 Sub-procesador de IA — opt-in obligatorio
Los servicios de IA (Anthropic, Google) están DESACTIVADOS POR DEFECTO. El Despacho debe activarlos manualmente:
- Por defecto en Lite/Pro/Firm: pueden activarse globalmente
- En Enterprise: pueden requerir activación caso-por-caso
Sin activación, NEXXUS NO envía contenido a estos servicios.
8. Transferencias internacionales
Las transferencias UE/EEUU/Ecuador se amparan en:
- Cláusulas contractuales tipo (LOPDP art. 56 lit. e)
- Decisión de adecuación UE→Ecuador en proceso
- Compromisos vinculantes corporativos de cada sub-procesador
9. Notificación de brechas
9.1 Procedimiento
NEXXUS notificará al Despacho dentro de 48 horas del conocimiento de una brecha de seguridad que afecte datos personales:
Email a: [DPO_DEL_DESPACHO]
Asunto: [URGENTE-LOPDP] Brecha de seguridad NEXXUS — [FECHA]9.2 Contenido de la notificación
- Naturaleza de la brecha
- Categorías y número aprox. de titulares afectados
- Categorías y volumen de datos afectados
- Posibles consecuencias
- Medidas técnicas adoptadas
- Datos del DPO de NEXXUS para contacto
9.3 Asistencia
NEXXUS asistirá al Despacho en su deber de notificar a:
- Superintendencia de Protección de Datos Personales (LOPDP art. 49: 72h)
- Titulares afectados (sin demora indebida)
10. Derechos del Despacho
El Despacho puede:
- Solicitar listado de actividades de tratamiento
- Solicitar copia de los datos en formato estructurado (export ZIP)
- Solicitar eliminación inmediata
- Auditar las medidas TOMs (Enterprise: anual; otros planes: certificaciones)
- Recibir asistencia para evaluaciones de impacto LOPDP
11. Devolución o eliminación al finalizar
Al terminar el contrato, el Despacho elige una de las siguientes opciones:
Opción A — Exportación + eliminación
- Despacho descarga export ZIP completo desde panel (30 días)
- NEXXUS confirma eliminación con certificado SHA-256
Opción B — Eliminación inmediata
- Despacho solicita eliminación inmediata por email
- NEXXUS elimina en 7 días + emite certificado
Excepción: facturas SRI se conservan 7 años por obligación tributaria (sólo NEXXUS, no el Despacho).
12. Responsabilidad
12.1 Indemnización mutua
Cada parte responde por el incumplimiento de SUS obligaciones de este DPA.
12.2 Tope económico de NEXXUS
La responsabilidad total de NEXXUS por incumplimiento de este DPA se limita a lo establecido en los Términos y Condiciones (12 meses de pagos), salvo dolo o negligencia grave probada.
12.3 Multas LOPDP
Las multas administrativas de la Superintendencia se asignan según responsabilidad probada (Responsable o Encargado).
13. Vigencia
Este DPA entra en vigor con la aceptación electrónica de los Términos y Condiciones de NEXXUS y permanece vigente mientras dure la suscripción.
14. Cláusulas finales
- Ley aplicable: Ecuador
- Jurisdicción: Tribunales de Esmeraldas
- Idioma vinculante: Español
- Modificaciones: sólo por escrito firmado por ambas partes
15. Aceptación electrónica
Al hacer clic en "Acepto el DPA" durante el primer login en NEXXUS, el Despacho confirma:
- Haber leído y entendido este DPA
- Tener facultad para vincular legalmente al Despacho
- Aceptar los sub-procesadores listados en § 7
Hash SHA-256 del documento aceptado se guarda en la base de datos junto con timestamp, IP y user-agent del aceptante.
Anexos: Política de Privacidad · Términos y Condiciones · Política de Seguridad