Política de Privacidad
Última actualización: 30 de abril de 2026 · Versión: 1.0
1. Identificación del Responsable del Tratamiento
| Razón social | DESPACHO LEGAL AXSM S.A.S. |
|---|---|
| Nombre comercial | NEXXUS Legal |
| RUC | 0891793793001 |
| Domicilio | OLMEDO 1426 y ROCAFUERTE, Esmeraldas, Ecuador |
| Email contacto LOPDP | privacidad@nexxus.legal |
| Email DPO | dpo@nexxus.legal |
| Teléfono | +593 988 834 398 |
2. Marco legal aplicable
Esta Política de Privacidad se rige por:
- Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP, Registro Oficial Suplemento 459 del 26 de mayo de 2021)
- Reglamento General LOPDP (Decreto Ejecutivo 904 de 2 de octubre de 2023)
- Constitución de la República del Ecuador, art. 66 numeral 19
- Código Orgánico Integral Penal (COIP), art. 178 (Violación a la intimidad) y 234 (Acceso no consentido a sistemas informáticos)
3. ¿Qué datos personales tratamos?
3.1 Datos del Titular (usuario abogado)
| Categoría | Ejemplos | Finalidad | Base legal |
|---|---|---|---|
| Identificación | Nombre, cédula/RUC, email, teléfono | Crear cuenta y prestar servicio | Consentimiento + Contrato |
| Profesional | Matrícula del Foro, especialidad | Validar uso profesional | Consentimiento |
| Pago | Cuenta bancaria, últimos 4 dígitos tarjeta | Procesar suscripción | Contrato |
| Uso del servicio | Logs, IP, navegador | Seguridad y mejora | Interés legítimo |
| Comunicaciones | Emails con soporte | Atender consultas | Consentimiento |
3.2 Datos de los clientes del despacho (datos de terceros)
NEXXUS actúa como encargado del tratamiento respecto de los datos que el despacho cliente carga en la plataforma sobre sus propios clientes (los abogados son los responsables, NEXXUS los procesa por su cuenta).
Tipos de datos de clientes finales:
- Identificación (cédula, RUC, pasaporte, nombres, dirección)
- Datos de procesos judiciales (causa, juzgado, materia, montos)
- Documentos legales escaneados (sentencias, demandas, contratos)
- Comunicaciones cliente-abogado
Estos datos están cifrados con clave que solo conoce el despacho (ver § 7 — Zero-Knowledge).
3.3 Datos sensibles
NEXXUS puede procesar datos sensibles cuando el caso legal lo requiere (origen étnico, salud, ideología, identidad de género, etc.). Estos datos:
- Solo se almacenan cifrados end-to-end con clave del despacho
- NEXXUS NUNCA puede leerlos (zero-knowledge)
- Tu uso de NEXXUS para procesar estos datos requiere consentimiento expreso del cliente final, que tu despacho debe gestionar
4. Finalidad del tratamiento
NEXXUS trata los datos personales para:
- Prestar el servicio SaaS de gestión legal contratado
- Facturar y cobrar la suscripción mensual/anual
- Comunicarse con el titular (notificaciones, soporte, actualizaciones)
- Cumplir obligaciones legales (SRI factura electrónica, LOPDP, retenciones)
- Mejorar el producto (análisis estadístico anónimo de uso)
- Prevenir fraude y abuso (detección de actividad sospechosa, rate limiting)
NEXXUS NO utilizará tus datos para:
- Marketing externo (venta a terceros)
- Profiling automatizado con efectos jurídicos (LOPDP art. 25)
- Entrenamiento de modelos de IA propios
- Ningún uso distinto al consentido
5. Base legal del tratamiento
| Tratamiento | Base legal LOPDP art. 7 |
|---|---|
| Cuenta de usuario | Consentimiento + ejecución contractual |
| Pago / facturación | Cumplimiento contractual + obligación legal SRI |
| Logs de seguridad | Interés legítimo (art. 7 lit. f) |
| Comunicaciones soporte | Consentimiento implícito al consultar |
| Datos clientes finales del despacho | Encargado del tratamiento (DPA con despacho) |
6. Compartición de datos con terceros
NEXXUS comparte datos personales SOLO con los siguientes sub-procesadores, todos vinculados por DPA (Data Processing Agreement):
6.1 Infraestructura
| Sub-procesador | País | Datos | Finalidad |
|---|---|---|---|
| Hetzner Online GmbH | Alemania (UE) | Hosting de servidores | Almacenamiento cifrado |
| Backblaze B2 | EE.UU. | Backups cifrados | Replicación geográfica |
| Cloudflare | EE.UU. | DNS / WAF | Protección DDoS |
6.2 Pasarelas de pago
| Sub-procesador | País | Datos | Finalidad |
|---|---|---|---|
| PayPhone S.A. | Ecuador | Datos de tarjeta (PCI-DSS) + monto | Procesar cobro |
| Datil S.A. | Ecuador | RUC + razón social + monto | Emitir factura electrónica SRI |
6.3 Inteligencia Artificial (sólo si el usuario habilita opt-in)
| Sub-procesador | País | Datos | Finalidad |
|---|---|---|---|
| Anthropic PBC (Claude) | EE.UU. | Texto del caso (opt-in) | Análisis legal |
| Google LLC (Gemini) | EE.UU. | Texto del caso (opt-in) | Análisis legal |
IMPORTANTE: la IA está DESACTIVADA por defecto. El usuario debe habilitar manualmente la "IA por caso" para que NEXXUS envíe contenido a estos servicios. Anthropic y Google se comprometen contractualmente a NO entrenar modelos con tus datos (zero-retention API).
6.4 Comunicaciones
| Sub-procesador | País | Datos | Finalidad |
|---|---|---|---|
| Google LLC (Gmail/Calendar) | EE.UU. | Si conectas tu cuenta Google | Sincronización |
| Telegram FZ-LLC | EAU | Si conectas bot Telegram | Alertas críticas |
7. Arquitectura zero-knowledge
NEXXUS implementa cifrado end-to-end (E2EE) con tres capas:
- Capa metadata (DB): AES-256-GCM con DEK gestionada por servidor (búsquedas)
- Capa PII (DB): CMEK con HSM (emails, RUC, teléfonos)
- Capa contenido legal (E2EE): XChaCha20-Poly1305 con clave del despacho
Esto significa:
- La master key del despacho se deriva de la contraseña del admin con Argon2id (64 MB, 3 iteraciones, 4 paralelismo)
- La clave NUNCA viaja al servidor sin estar cifrada
- NEXXUS Legal NO PUEDE leer el contenido cifrado de tus casos
- Si pierdes la contraseña, la recuperación requiere 2 de 3 piezas Shamir que tú custodias
Acceso de emergencia: en casos extremos (fallo total de claves) existe un protocolo "rotura-de-cristal" con quórum 3-of-5 admins + cool-off 72h + notificación a todos los miembros del despacho + log inmutable.
8. Plazo de conservación
| Tipo de dato | Plazo |
|---|---|
| Cuenta activa | Mientras dure la suscripción |
| Cuenta cancelada (datos) | 30 días para reactivación, luego eliminación |
| Cuenta cancelada (factura SRI) | 7 años (obligación tributaria SRI) |
| Logs de auditoría LOPDP | 5 años (LOPDP art. 27) |
| Backups cifrados | 90 días rolling, luego destrucción criptográfica |
Tras la eliminación, NEXXUS conserva sólo datos anonimizados con fines estadísticos (no permiten reidentificar al titular).
9. Derechos del titular (LOPDP art. 12)
Como titular tienes derecho a:
| Derecho | Cómo ejercerlo |
|---|---|
| Acceso — saber qué datos tenemos | privacidad@nexxus.legal con asunto "Solicitud de Acceso" |
| Rectificación — corregir datos inexactos | Edita tu perfil en NEXXUS o escribe al email |
| Eliminación — borrar tu cuenta | Sección "Cancelar suscripción" o email |
| Oposición — al tratamiento por interés legítimo | Email con motivo |
| Portabilidad — exportar tus datos | Sección "Exportar" devuelve ZIP con JSON + PDFs |
| Limitación — congelar tratamiento | Email con motivo |
| No ser objeto de decisiones automatizadas |
Plazo de respuesta: 15 días hábiles (art. 13 LOPDP).
Si no recibes respuesta: puedes presentar denuncia ante la Superintendencia de Protección de Datos Personales.
10. Seguridad
NEXXUS aplica medidas técnicas y organizativas de seguridad incluyendo:
- Cifrado en tránsito: TLS 1.3 con HSTS, certificados Let's Encrypt
- Cifrado en reposo: AES-256-GCM (DB), XChaCha20-Poly1305 (E2EE)
- Autenticación: contraseña + 2FA TOTP recomendado
- Hardening: UFW firewall, fail2ban, SSH solo con llave
- Backups: cifrados, replicados geográficamente, retención 90d
- Audit log: inmutable, firmado Ed25519, hash chain
- Tests de penetración: anuales por terceros
Más detalles en Política de Seguridad.
11. Transferencias internacionales
Algunos sub-procesadores están fuera del Ecuador (EE.UU., UE, EAU). Estas transferencias se amparan en:
- Cláusulas contractuales tipo aprobadas por la APDPDP (LOPDP art. 56)
- Decisión de adecuación (UE → reconoce nivel de protección equivalente)
- Compromisos contractuales de los sub-procesadores
12. Notificación de brechas de seguridad
En caso de brecha que comprometa datos personales:
- NEXXUS notificará a la Superintendencia de Protección de Datos dentro de 72 horas (LOPDP art. 49)
- Notificará al titular afectado sin demora indebida
- Detallará: naturaleza, datos afectados, posibles consecuencias, medidas adoptadas
13. Modificaciones a esta política
NEXXUS puede modificar esta política. Te notificaremos por:
- Email a la dirección registrada (al menos 30 días antes)
- Banner persistente en la app
Si no aceptas los cambios, puedes cancelar tu suscripción sin penalidad.
14. Contacto
| Para | Tiempo respuesta | |
|---|---|---|
| Solicitudes LOPDP (acceso, rectificación, eliminación) | privacidad@nexxus.legal | 15 días hábiles |
| DPO (Delegado de Protección de Datos) | dpo@nexxus.legal | 5 días hábiles |
| Soporte general | soporte@nexxus.legal | 24h hábiles |
| Ventas | ventas@nexxus.legal | 24h hábiles |
Aprobado por: Dr. Alejandro Sánchez Muñoz, Representante legal · DESPACHO LEGAL AXSM S.A.S.