Política de Clasificación y Manejo de Datos
Política operativa interna. Establece cómo Lawra, S.R.L. clasifica y trata la información según su nivel de sensibilidad. Aprobada por la Asamblea en [__]. Versión: 1.0.
1. Propósito y Alcance
1.1. Esta política establece un esquema uniforme de clasificación de datos que permite a todos los miembros del equipo de Lawra identificar la sensibilidad de la información que manejan y aplicar las medidas de protección apropiadas de forma consistente.
1.2. Una clasificación clara reduce el riesgo de:
- Exposición accidental de datos sensibles;
- Cumplimiento inconsistente con las obligaciones contractuales (DPAs) y regulatorias;
- Uso inadecuado de herramientas externas (incluidas herramientas de IA) con datos que no deben salir del entorno controlado de Lawra.
1.3. — Aplica a: todos los datos generados, recibidos, procesados o almacenados por Lawra, en cualquier formato (digital, impreso, audiovisual) y por cualquier persona con acceso a los sistemas de Lawra (socios, empleados, contratistas, consultores, becarios).
1.4. — Cumplimiento: esta política implementa los controles SOC 2 CC6.7 (restricción de transmisión de información a partes autorizadas), C1.1 y C1.2 (gestión de información confidencial).
2. Clasificación Predeterminada
2.1. Ante la duda, toda información no expresamente clasificada en otro nivel se considera INTERNA.
2.2. Esta clasificación predeterminada asegura que información sin etiquetar no sea tratada como pública ni quede desprotegida.
3. Niveles de Clasificación
Lawra utiliza cuatro niveles de clasificación:
Nivel 1 — PÚBLICA
3.1.1. — Definición: Información aprobada para difusión general, sin restricciones, hacia cualquier audiencia.
3.1.2. — Ejemplos:
- Contenido publicado en lawra.io (artículos, FAQs, páginas de servicios, blog).
- Comunicados de prensa y materiales de marketing aprobados.
- Descripciones de productos y precios publicados en el sitio web.
- Políticas públicas (Términos de Servicio, Política de Privacidad, AUP público).
- Perfiles públicos de los fundadores en redes sociales o medios de comunicación.
3.1.3. — Manejo:
- Sin restricciones de distribución.
- No requiere cifrado especial para transmisión.
- Puede compartirse con cualquier persona, incluidas partes externas.
Nivel 2 — INTERNA
3.2.1. — Definición: Información destinada exclusivamente al personal autorizado de Lawra. Su divulgación no autorizada causa inconveniencia operativa o ventaja competitiva para terceros, pero no daño grave inmediato.
3.2.2. — Ejemplos:
- Organigramas, directorios internos y datos de contacto del equipo.
- Roadmaps de producto no anunciados públicamente.
- Métricas operativas internas (tráfico, uso del AI Suite, KPIs).
- Procedimientos operativos estándar (SOPs) y guías internas.
- Actas de reuniones internas no confidenciales.
- Borrador de políticas internas antes de aprobación.
- Comunicaciones internas de coordinación (Slack, correo interno general).
- Contratos con proveedores con cláusulas de confidencialidad no marcadas como Confidencial.
3.2.3. — Manejo:
- Acceso: solo personal de Lawra con necesidad de saber.
- Transmisión: correo corporativo (@lawra.io) o canales internos aprobados (Slack corporativo). No enviar por correo personal o canales no aprobados.
- Almacenamiento: en sistemas aprobados por Lawra (Google Drive corporativo, GitHub privado, Notion corporativo).
- No publicar en repositorios públicos, redes sociales o foros externos.
- Sin necesidad de cifrado especial salvo que sea accesible desde el exterior.
Nivel 3 — CONFIDENCIAL
3.3.1. — Definición: Información cuya divulgación no autorizada puede causar daño material a Lawra o a sus clientes: pérdida financiera, daño reputacional, violación contractual o regulatoria.
3.3.2. — Ejemplos:
- Datos de clientes: nombres, correos, información de facturación, historial de uso del AI Suite, conversaciones con el asistente Lawra.
- Código fuente de los productos de Lawra (incluyendo system prompts de los asistentes, algoritmos y configuraciones del AI Suite).
- Contratos con clientes, DPAs, acuerdos de nivel de servicio (SLAs), acuerdos de confidencialidad firmados.
- Financieros internos: balances, flujos de caja, informes de auditoría, valuaciones.
- Estrategia de negocio: planes de financiamiento, conversaciones con inversores, estrategias de adquisición.
- Incidentes de seguridad no resueltos: detalles técnicos de vulnerabilidades activas.
- Datos personales de empleados: nómina, expedientes, resultados de evaluaciones de desempeño.
- Información de sub-procesadores: condiciones específicas de precios o SLAs negociados con proveedores.
3.3.3. — Manejo:
- Acceso: solo personas con rol explícitamente autorizado y necesidad de saber documentada.
- Transmisión: cifrado obligatorio en tránsito (TLS 1.2+ para transmisión electrónica; no enviar por SMS o aplicaciones de mensajería no aprobadas). Archivos adjuntos de documentos confidenciales deben enviarse cifrados o por enlace protegido.
- Almacenamiento: en sistemas aprobados con control de acceso (Google Drive con permisos restringidos, GitHub private repositories). Prohibido almacenar en equipos locales no cifrados, USB no cifrados o servicios cloud personales (Dropbox personal, iCloud personal, etc.).
- Transmisión a terceros: solo bajo NDA o DPA vigente, y solo lo estrictamente necesario.
- Uso en herramientas de IA externas: PROHIBIDO sin aprobación explícita del CTO y el Oficial de Cumplimiento. Los datos de clientes nunca se introducen en herramientas de IA no aprobadas (ChatGPT, Claude.ai, Copilot en modo no corporativo, etc.).
- Impresión: solo cuando sea estrictamente necesario; los documentos impresos se tratan como Confidenciales desde el momento de impresión hasta su destrucción.
Nivel 4 — RESTRINGIDA
3.4.1. — Definición: Información de máxima sensibilidad cuya divulgación no autorizada puede causar daño grave o irreparable a Lawra, sus clientes o terceros: violación grave de privacidad, pérdida de ventaja competitiva estratégica, compromiso de seguridad sistémico o responsabilidad legal severa.
3.4.2. — Ejemplos:
- Llaves criptográficas y secretos de producción: claves API de Firebase, Google Cloud, proveedores de AI (Gemini, OpenAI), claves de firma JWT, certificados SSL privados.
- PII a escala: conjuntos de datos con información personal identificable de múltiples clientes o usuarios (ej. exportación masiva de la base de usuarios).
- Información privilegiada abogado-cliente en expedientes procesados a través del AI Suite (cuando Lawra actúa como Encargado de tratamiento).
- Modelos de IA propietarios de Lawra o configuraciones de fine-tuning que constituyen secreto comercial.
- Contraseñas maestras de administración de sistemas (root accounts, recovery codes).
- Información de transacciones financieras en detalle (números de cuenta, datos de tarjeta).
- Resultado de evaluaciones de seguridad y penetration testing con vulnerabilidades activas no parcheadas.
- Información de informantes internos o denuncias de cumplimiento en curso.
3.4.3. — Manejo:
- Acceso: mínimo absoluto — solo las personas estrictamente necesarias para la función, nombradas individualmente. Algunos activos requieren dual control (dos personas para acceder).
- Transmisión: cifrado end-to-end obligatorio (no correo estándar; usar canales cifrados como Signal, sesión privada en sistemas aprobados, o entrega en mano). Las claves API no se transmiten nunca por correo electrónico, Slack o WhatsApp.
- Almacenamiento: en sistemas de gestión de secretos dedicados (Google Secret Manager, HashiCorp Vault, 1Password Teams con vault restringido). Prohibido en cualquier archivo plano, repositorio de código o base de datos no cifrada.
- Copias: el número de copias es el mínimo posible y está documentado.
- Uso en sistemas externos: ABSOLUTAMENTE PROHIBIDO. Las llaves y secretos de producción nunca se introducen en modelos de lenguaje, herramientas de IA, formularios web externos ni servicios de terceros no autorizados.
- Rotación: llaves y secretos se rotan periódicamente (al menos anualmente, o inmediatamente ante sospecha de compromiso) conforme a la política de gestión de secretos del CTO.
- Destrucción: borrado seguro certificado (sobreescritura + confirmación, o destrucción física para medios físicos).
4. Etiquetado y Nomenclatura
4.1. Los documentos digitales en nivel Confidencial o Restringida deben incluir en su nombre de archivo o cabecera uno de los siguientes marcadores:
[CONFIDENCIAL]— para Nivel 3.[RESTRINGIDA]— para Nivel 4.
4.2. Los documentos impresos Confidenciales o Restringidos deben tener impresa la leyenda en el encabezado y pie de página de cada hoja.
4.3. Los correos electrónicos que transmitan información Confidencial o Restringida deben incluir en el asunto: [CONFIDENCIAL] o [RESTRINGIDA] según corresponda.
4.4. La información Pública e Interna no requiere etiqueta obligatoria, aunque puede utilizarse [INTERNO] opcionalmente para documentos internos que circulan frecuentemente entre equipos.
5. Reglas de Retención y Destrucción
| Nivel | Retención mínima | Destrucción |
|---|---|---|
| Pública | Indefinida o según necesidad operativa | Eliminación estándar |
| Interna | 3 años (o según requerimiento contractual / legal) | Eliminación estándar; papeleta digital en papelera con vaciado |
| Confidencial | Según contrato con cliente o ley aplicable (mínimo 5 años para documentos contractuales) | Borrado seguro de medios digitales; trituración física de documentos impresos |
| Restringida | Solo mientras sea necesaria para la función; rotar periódicamente | Borrado seguro certificado (sobreescritura × 3 o destrucción física) |
5.1. Los datos personales de clientes se retienen solo durante el período necesario para la prestación del servicio contratado más el período mínimo legal aplicable (Ley 172-13), y se eliminan conforme al procedimiento de baja del cliente en el DPA.
5.2. Solicitudes de eliminación de datos personales por parte de titulares se tramitan dentro de 30 días conforme a la proteccion-datos policy.
6. Responsabilidades
| Rol | Responsabilidad |
|---|---|
| Propietario de datos (Data Owner) | Asignar y mantener actualizada la clasificación de los datos bajo su área funcional |
| Todo el personal | Aplicar el nivel de protección correcto según la clasificación; reportar mal manejo observado |
| CTO | Implementar controles técnicos (cifrado, gestión de accesos, secret manager) acordes a los niveles |
| Oficial de Cumplimiento | Actualizar esta política; resolver dudas de clasificación; auditar cumplimiento |
7. Mal Manejo y Clasificación Incorrecta
7.1. Si se detecta que información Confidencial o Restringida fue transmitida, almacenada o expuesta de forma inadecuada, el incidente debe reportarse inmediatamente al Oficial de Cumplimiento conforme al Plan de Respuesta a Incidentes (incident-response-plan).
7.2. La clasificación incorrecta deliberada (bajar el nivel para eludir controles) se trata como violación grave de esta política.
7.3. Las dudas sobre clasificación se resuelven consultando al Oficial de Cumplimiento. Ante la duda: escalar un nivel.
8. Referencias Normativas
- SOC 2 Trust Services Criteria: CC6.7 (transmisión de información), C1.1 y C1.2 (información confidencial)
- Ley No. 172-13 (R.D.) — Categorías especiales de datos personales y medidas de protección reforzada
- GDPR Arts. 5, 25, 32 — Minimización de datos, privacidad por diseño, seguridad del tratamiento
- ISO/IEC 27001:2022 — A.5.12 (Clasificación de la información), A.5.13 (Etiquetado de la información)
- NIST SP 800-60 — Guide for Mapping Types of Information and Information Systems to Security Categories
9. Revisión Periódica
Esta política se revisa anualmente o cuando ocurra un cambio material en el tipo de datos procesados, los sistemas utilizados, o los requisitos normativos aplicables.
Próxima revisión: [fecha de adopción + 12 meses].
Adoptada por la Asamblea General de Socios de LAWRA, S.R.L. en fecha [__], conforme consta en el Libro de Actas.
Por LAWRA, S.R.L. — Gerente
Comments
Loading comments...