Política de Protección de Datos Personales
Documento dual: (i) política interna que rige cómo la Sociedad y su equipo tratan los datos personales; (ii) base de la política pública que se publicará en
lawra.io/legal/privacy/. Cumplimiento simultáneo con la Ley No. 172-13 (R.D.), GDPR (UE), LGPD (Brasil) y CCPA/CPRA (California).
1. Identificación del Responsable del Tratamiento
| Campo | Valor |
|---|---|
| Razón social | LAWRA, S.R.L. |
| RNC | [pendiente] |
| Domicilio | [domicilio social], República Dominicana |
| Correo de privacidad | privacy@lawra.io |
| Encargado de Protección de Datos | [Nombre — designar dentro de los Socios o externo] |
2. Categorías de Datos Tratados
2.1 Datos de usuarios públicos (visitantes de lawra.io)
| Categoría | Ejemplos | Base legal | Retención |
|---|---|---|---|
| Identificación voluntaria | Nombre, correo, organización | Consentimiento | Hasta retiro del consentimiento |
| Identificación técnica | Dirección IP, user agent, ID de sesión | Interés legítimo | 12 meses |
| Datos de comportamiento | Páginas visitadas, herramientas usadas, tiempo en página | Consentimiento (analytics) | 24 meses |
| Datos de chat con AI | Mensajes intercambiados con Lawra/Lawrena/Lawrelai/Carlos | Consentimiento + ejecución de contrato | 90 días por defecto; 0 días si el usuario opta out |
| Cookies | Esenciales, funcionales, analíticas | Esenciales: interés legítimo; demás: consentimiento | Variable según tipo |
2.2 Datos de clientes profesionales (suscriptores de AI Suite, consultoría)
| Categoría | Ejemplos | Base legal | Retención |
|---|---|---|---|
| Datos del contratante | Nombre, cédula/RNC, datos de facturación | Ejecución de contrato + obligación legal | Vida del contrato + 10 años (norma fiscal R.D.) |
| Documentos legales subidos | Contratos, jurisprudencia, escritos, datos de clientes finales | Ejecución de contrato | Plazo del contrato + 30 días para deletion |
| Datos sensibles incidentales | Información en documentos cargados que puedan contener datos personales de terceros | Procesamiento por encargo (cliente es controlador) | Plazo del contrato |
2.3 Datos de empleados, contratistas y socios
Tratados conforme a la legislación laboral dominicana y a este documento, con base legal de ejecución del contrato laboral / civil y obligaciones legales (TSS, DGII).
3. Principios de Tratamiento (Ley 172-13 + GDPR Art. 5)
La Sociedad trata los datos personales conforme a los siguientes principios:
- Licitud, lealtad y transparencia — Existe siempre una base legal y se informa claramente al titular.
- Limitación de la finalidad — Los datos solo se usan para la finalidad declarada al recogerlos.
- Minimización — Se recolecta lo estrictamente necesario.
- Exactitud — Se mantienen actualizados.
- Limitación del plazo — Se conservan solo el tiempo necesario.
- Integridad y confidencialidad — Protegidos por medidas técnicas y organizativas adecuadas.
- Responsabilidad proactiva (accountability) — La Sociedad mantiene registro de tratamientos y demuestra cumplimiento.
4. Derechos de los Titulares
Los titulares de datos personales pueden ejercer los siguientes derechos en cualquier momento, de forma gratuita, escribiendo a privacy@lawra.io:
| Derecho | Descripción | Plazo de respuesta |
|---|---|---|
| Acceso | Conocer qué datos tiene la Sociedad sobre el titular | 15 días hábiles (R.D.) / 30 días (GDPR) |
| Rectificación | Corregir datos inexactos o incompletos | 15 días hábiles |
| Supresión / “olvido” | Eliminación de los datos cuando proceda | 15 días hábiles |
| Oposición | Oponerse al tratamiento basado en interés legítimo | 15 días hábiles |
| Limitación | Suspender temporalmente el tratamiento | 15 días hábiles |
| Portabilidad | Recibir los datos en formato estructurado | 30 días |
| Revocación del consentimiento | Retirar el consentimiento previamente otorgado | Inmediato |
| No decisiones automatizadas | Solicitar revisión humana de decisiones automatizadas | 30 días |
Procedimiento: Solicitud por escrito al correo de privacidad, identificando al titular. La Sociedad podrá requerir verificación de identidad razonable. Respuesta dentro del plazo. Si la solicitud es rechazada, se proporciona la motivación y la vía de reclamación ante la Autoridad de Protección de Datos.
5. Transferencias Internacionales de Datos
La Sociedad opera con sub-procesadores en jurisdicciones extranjeras. Las transferencias se realizan bajo los siguientes mecanismos:
| Sub-procesador | Función | Jurisdicción | Mecanismo de transferencia |
|---|---|---|---|
| Google (Firebase Auth, Firestore, AI/Gemini) | Autenticación, base de datos, inferencia de IA | EE.UU. | Cláusulas Contractuales Tipo (SCC) UE; adhesión Privacy Framework |
| Anthropic (cuando se integre) | Inferencia de IA | EE.UU. | DPA con SCC; tier de retención cero |
| GitHub (Pages) | Alojamiento del sitio | EE.UU. | SCC + ToS Microsoft |
| Cloudflare (cuando aplique) | CDN | Global | SCC + Trust Hub Cloudflare |
| Resend / SendGrid (newsletter) | Email transaccional | EE.UU. | SCC |
Los titulares pueden solicitar copia de los mecanismos de transferencia escribiendo a privacy@lawra.io.
6. Medidas de Seguridad
La Sociedad implementa medidas técnicas y organizativas razonables, proporcionales al riesgo:
6.1 Técnicas
- Cifrado HTTPS/TLS para todo tráfico
- Cifrado en reposo en bases de datos (cifrado por defecto en Firestore)
- Tokens de autenticación con expiración corta
- Logs de auditoría de acceso a datos
- Backups cifrados con verificación periódica
- Aislamiento de entornos (desarrollo / staging / producción)
6.2 Organizativas
- Acceso a datos basado en el principio de mínimo privilegio
- Capacitación en privacidad para empleados y contratistas
- Acuerdos de confidencialidad firmados antes de acceder a datos
- Procedimiento de gestión de incidentes
- Revisión anual de la política
7. Notificación de Brechas de Seguridad
En caso de brecha de seguridad que afecte datos personales:
| Plazo | Acción |
|---|---|
| 24 horas | Contención inicial; activación del equipo de respuesta |
| 72 horas | Notificación a la Autoridad de Protección de Datos (R.D., UE: GDPR Art. 33; Brasil: ANPD) |
| Sin demora indebida | Notificación a los titulares cuando exista alto riesgo (GDPR Art. 34; LGPD Art. 48) |
| Posterior | Análisis de causa raíz, plan de remediación, documentación |
8. Decisiones Automatizadas e Inteligencia Artificial
Lawra utiliza modelos de IA generativa (Gemini, Claude, GPT) para producir respuestas, redacciones, análisis y simulaciones. Sobre estas decisiones:
(a) Los outputs de IA son orientativos y educativos — no constituyen asesoría legal vinculante. (b) Los usuarios mantienen siempre la decisión final — los outputs deben ser revisados por un profesional humano antes de uso vinculante. (c) Los usuarios pueden solicitar revisión humana de cualquier output generado. (d) Lawra no toma decisiones automatizadas con efectos jurídicos sobre los usuarios sin intervención humana significativa.
9. Datos de Menores
Los servicios de Lawra están dirigidos a profesionales del derecho, mayores de edad. No procesamos conscientemente datos de menores de 18 años sin consentimiento parental. Si descubrimos haber recolectado datos de menores sin consentimiento, los eliminaremos sin demora.
10. Cookies y Tecnologías Similares
| Tipo | Uso | Consentimiento requerido |
|---|---|---|
| Esenciales | Sesión, autenticación, preferencias | No (interés legítimo) |
| Funcionales | Idioma, modo oscuro, persistencia de chat | Implícito al usar la función |
| Analíticas | Métricas de uso agregadas | Sí — banner de consentimiento |
| Marketing | (no usamos cookies de marketing externo) | — |
11. Política de Retención y Eliminación
| Categoría | Plazo |
|---|---|
| Cuentas activas | Vida de la cuenta + retención fiscal R.D. (10 años para datos de facturación) |
| Cuentas inactivas | 36 meses tras última actividad → notificación → eliminación |
| Logs técnicos | 12 meses |
| Datos de chat con IA | 90 días por defecto; 0 días si opt-out activo |
| Backups | Rotación trimestral; eliminación tras 90 días en backup más antiguo |
12. Procedimiento de Quejas y Reclamaciones
Vía interna: privacy@lawra.io → respuesta en 15 días hábiles.
Vías externas:
- República Dominicana: Autoridad Nacional encargada de la protección de datos (cuando se constituya bajo Ley 172-13 modificada).
- Unión Europea: Autoridad de Control del Estado miembro de residencia del titular.
- Brasil: Autoridade Nacional de Proteção de Dados (ANPD).
- California: California Privacy Protection Agency (CPPA).
13. Modificaciones de esta Política
Esta política puede ser modificada para reflejar cambios legales o de operaciones. Las modificaciones materiales se notificarán a los titulares por correo y se publicarán en lawra.io/legal/privacy/ con al menos 30 días de antelación, salvo emergencia.
Versión: 1.0 Vigente desde: [fecha de adopción por la Asamblea] Próxima revisión programada: Al cumplirse 12 meses, o ante cambio normativo material.
14. Adopción
Esta Política de Protección de Datos fue aprobada y adoptada por la Asamblea General de Socios de LAWRA, S.R.L. en su reunión de fecha [__], conforme consta en el Acta correspondiente, y entra en vigor desde dicha fecha.
LAWRA, S.R.L. Por su Gerente, [Nombre]
Comments
Loading comments...