Política de Privacidad

Recopilamos diferentes tipos de información para proporcionar y mejorar nuestros servicios:

Información Personal:
- Nombre completo y datos de contacto (email, teléfono)
- Información profesional (colegio de abogados, especialidad)
- Datos de facturación y pagos

Información de Uso:
- Registros de actividad en la plataforma
- Documentos subidos y procesados
- Interacciones con el asistente de IA

Información de Blockchain:
- Dirección de wallet pública
- Hashes de documentos certificados
- Historial de transacciones en Polygon

Utilizamos la información recopilada para:

- Proporcionar y mantener nuestros servicios
• Procesar transacciones y pagos
• Certificar documentos en blockchain
• Ejecutar smart contracts (acuerdos de honorarios, escrow)
• Mejorar la experiencia del usuario mediante IA
• Comunicarnos contigo sobre actualizaciones y soporte
• Cumplir con obligaciones legales y regulatorias
• Prevenir fraudes y actividades maliciosas

Podemos compartir tu información con los siguientes terceros:

Proveedores de Servicios:
- Transak: Para procesamiento de pagos con criptomonedas
- Alchemy: Para infraestructura de blockchain y wallets
- Polygon Network: Para registro de transacciones
- Stripe: Para procesamiento de pagos tradicionales

Cumplimiento Legal:
Podemos divulgar información si es requerido por ley, orden judicial, o para proteger nuestros derechos legales.

Con tu Consentimiento:
Compartiremos información adicional solo con tu autorización explícita.

Implementamos medidas de seguridad robustas:

- Encriptación SSL/TLS para todas las comunicaciones
• Almacenamiento encriptado de datos sensibles
• Autenticación de dos factores (2FA)
• Auditorías de seguridad regulares
• Contratos inteligentes auditados por OpenZeppelin
• Wallets protegidas por Alchemy Account Kit

A pesar de nuestros esfuerzos, ningún método de transmisión o almacenamiento electrónico es 100% seguro. No podemos garantizar seguridad absoluta.

Dependiendo de tu ubicación, puedes tener los siguientes derechos:

GDPR (Unión Europea):
- Acceso a tus datos personales
- Rectificación de datos inexactos
- Eliminación de datos ("derecho al olvido")
- Portabilidad de datos
- Oposición al procesamiento
- Retiro del consentimiento

CCPA (California, USA):
- Saber qué datos recopilamos
- Solicitar eliminación de datos
- Optar por no vender datos (no vendemos datos)
- No discriminación por ejercer derechos

Limitación - Blockchain:
Los datos registrados en blockchain (hashes, transacciones) no pueden ser eliminados debido a la naturaleza inmutable de la tecnología.

Para ejercer tus derechos, contáctanos a: [email protected]

Utilizamos cookies y tecnologías similares para:

- Mantener tu sesión activa
• Recordar tus preferencias
• Analizar el uso de la plataforma
• Mejorar el rendimiento

Tipos de Cookies:
- Esenciales: Necesarias para el funcionamiento
- Funcionales: Mejoran la experiencia
- Analíticas: Nos ayudan a entender el uso

Puedes gestionar las cookies desde la configuración de tu navegador.

Para operar la plataforma, detectar errores, optimizar la experiencia y prevenir abuso, recolectamos métricas anónimas de uso del producto. Esta recolección es necesaria para la prestación del servicio y no puede desactivarse — es una condición técnica del contrato.

Qué recolectamos (lista cerrada y auditable):
- Eventos de uso: clicks, navegación entre módulos, vistas renderizadas, idioma y plataforma (Mac/Windows/Linux), versión de la app
- Rendimiento: latencias de API, tiempos de carga, hashes de stack traces de errores (no el contenido del error)
- Cuotas y planes: cuándo se alcanza un límite, cuándo se ve la página de planes (sin valores absolutos del usuario)
- Anti-abuso: rate-limits alcanzados, intentos de autenticación fallidos por motivo (sin email)

Qué NUNCA recolectamos en telemetría:
- Contenido de tus casos, clientes, documentos, mensajes o notas
- Queries literales a la IA (esas requieren tu opt-in explícito separado, ver sección 9)
- Tu nombre, email, teléfono, ni los de tus clientes finales
- Identificadores de caso, número de expediente o IDs de cliente
- Cookies de tracking, fingerprinting de dispositivo más allá de versión y plataforma, ni servicios de analítica de terceros

Cómo se anonimiza:
- Los eventos no contienen identificadores que permitan re-identificarte
- Los reportes derivados se publican únicamente a nivel de población con K ≥ 10 (mínimo 10 usuarios distintos por bucket); buckets con menos se descartan
- Los eventos crudos se conservan máximo 90 días

Bases legales:
- GDPR (UE): ejecución del contrato (Art. 6.1.b) e interés legítimo balanceado (Art. 6.1.f) con DPIA documentada
- LGPD (Brasil): ejecución del contrato (Art. 7º V)
- LFPDPPP (México): finalidad primaria del aviso de privacidad

La especificación técnica completa y auditable está en `docs/legal/telemetry-spec.md`. Cualquier cambio material (nuevo evento, ampliación de retención, reducción del K-anonimato o introducción de trackers de terceros) requiere aviso con 30 días de antelación y reconocimiento explícito de la nueva versión.

De forma opcional y revocable, puedes contribuir con datos anonimizados para que mejoremos nuestros modelos legales propios. Este consentimiento es independiente del uso del servicio: puedes usar la plataforma exactamente igual sin activarlo.

Qué datos pueden usarse SI activas el opt-in (granular):
- Tus consultas a la IA (con identificadores y datos personales removidos)
- Tus documentos (con PII y datos de cliente removidos antes de cualquier uso)
- Tus patrones de uso (qué módulos usas más, agregado a nivel firma)

Cada categoría tiene un checkbox separado. Puedes activar una y dejar las otras en off.

Qué NUNCA usamos para entrenamiento (incluso si das opt-in):
- Contenido literal sin anonimizar
- Nombres de clientes finales, números de expediente o cualquier dato identificable
- Datos sujetos al privilegio abogado-cliente
- Contenido de tus clientes finales (ver sección 10)

Pipeline de anonimización (resumen):
1. Filtrado por consentimiento (si no aceptaste, tus datos no entran al pipeline)
2. Stripping de PII con NER multilingüe: personas → `[PERSONA]`, organizaciones, ubicaciones, emails, teléfonos, IDs (DUI/DPI/CURP/CC) → `[ID]`, números de expediente → `[EXPEDIENTE]`
3. Hashing irreversible de identificadores residuales
4. Agregación K-anonimato a nivel firma (mínimo 10 firmas distintas por bucket)
5. Revisión humana sample-based (1%) antes de admitir cualquier batch al corpus

Tus derechos:
- Revocar en cualquier momento desde Configuración → Privacidad. La revocación retira tu licencia hacia delante; tus contribuciones se marcan para exclusión en futuras generaciones de modelos
- Solicitar exclusión del corpus de training existente escribiendo a [email protected]
- Nunca te penalizamos comercial ni técnicamente por no dar opt-in o por revocarlo

Bases legales:
- GDPR (UE): consentimiento (Art. 6.1.a), libremente otorgado, específico, informado e inequívoco; revocable
- LGPD (Brasil): consentimiento granular (Art. 7º I); el opt-in está separado por finalidad
- LFPDPPP (México): finalidad secundaria con opt-out efectivo que no afecta el servicio
- Argentina (Ley 25.326), Chile (Ley 19.628), Colombia (Ley 1581): consentimiento expreso e informado, ARCO disponible

La especificación técnica del pipeline está en `docs/legal/training-anonymization-spec.md`.

Esta sección es crítica en una plataforma legal: tú procesas datos de tus clientes finales. Como abogado o profesional legal, tú eres el responsable del tratamiento (controlador) de los datos personales de tus clientes; CoreDesk actúa únicamente como encargado del tratamiento (procesador) sobre esos datos.

Compromisos de CoreDesk respecto a datos de tus clientes finales:
- NUNCA los usamos para entrenar nuestros modelos de IA, incluso si tú das opt-in al training. Operamos sobre la presunción conservadora de que TODO contenido de casos contiene datos de terceros, y aplicamos el filtro más estricto antes de admitir cualquier fragmento al corpus de training
- Procesamos dichos datos exclusivamente bajo tus instrucciones documentadas (uso del producto)
- Mantenemos el secreto profesional abogado-cliente intacto: el cifrado at-rest y la separación lógica por usuario impiden el acceso operativo de nuestro personal a tus casos
- No vendemos, cedemos ni compartimos esos datos con anunciantes, brokers de datos ni terceros no esenciales

Por qué tú no puedes consentir por ellos:
Bajo GDPR, LGPD, LFPDPPP y demás regímenes de protección de datos LATAM/EU, el consentimiento debe ser otorgado por el titular del dato. Tu cliente final es el titular respecto a su información personal y tú no puedes otorgar ese consentimiento en su nombre para finalidades distintas a la prestación del servicio legal que te contrató. Esto se traduce técnicamente en que el opt-in de training del producto solo cubre tus datos como abogado (tus consultas, tu estilo de redacción agregado, tus patrones de uso), nunca el contenido de tus casos.

Tu obligación como controlador:
- Informar a tus clientes finales que utilizas CoreDesk como herramienta y nuestra política de privacidad
- Obtener las bases legales aplicables a tu profesión para procesar sus datos (relación contractual con el cliente, obligaciones legales propias del ejercicio profesional, etc.)
- Atender las solicitudes ARCO/derechos del titular que te dirijan; CoreDesk te asistirá técnicamente para extraer, rectificar o eliminar datos según necesites

Acuerdo de Procesamiento de Datos (DPA):
Al usar la plataforma aceptas un DPA por defecto bajo el cual CoreDesk actúa como procesador. Para acuerdos personalizados (necesarios bajo Art. 28 GDPR cuando aplique), escríbenos a [email protected].

Podemos actualizar esta Política de Privacidad periódicamente. Te notificaremos de cambios significativos mediante:

- Publicación en nuestra plataforma
• Email a tu dirección registrada
• Notificación en la aplicación
• Diálogo bloqueante en la aplicación al inicio de sesión cuando se produzca un cambio material que requiera reconocimiento explícito

Para cambios materiales en el alcance del tratamiento (especialmente sobre telemetría obligatoria y uso de datos para training), aplicamos un preaviso de 30 días antes de la entrada en vigor. Te recomendamos revisar esta política regularmente. El uso continuado de nuestros servicios después de cambios constituye tu aceptación de la política actualizada.

Para preguntas sobre privacidad o ejercer tus derechos:

CoreDesk Pro LLC
Jurisdicción: Delaware, USA
Email: [email protected]
Sitio web: https://coredeskpro.com

Responderemos a tu solicitud dentro de 30 días.