01
Información que recopilamos
Al registrarse y utilizar LEXA, recopilamos únicamente la información necesaria para prestar el servicio. El principio de minimización de datos rige nuestra recopilación: no solicitamos ni almacenamos datos que no sean indispensables para operar LEXA.
→
Datos de cuenta Google: nombre, dirección de correo electrónico y foto de perfil, obtenidos mediante Google OAuth2 al iniciar sesión. LEXA también solicita permiso de lectura de Gmail (scope gmail.readonly) con el único fin de detectar correos con notificaciones del Ministerio Público (Fiscalía) y procesar sus archivos adjuntos. No se leen, almacenan ni utilizan correos ajenos a dicho fin.
→
Datos de contacto: número de WhatsApp y/o Telegram proporcionados por el usuario para recibir notificaciones y alertas.
→
Datos profesionales: número de colegiatura (CAL u otro), número de DNI y denominación del estudio jurídico, cuando el usuario los proporcione voluntariamente durante el registro.
→
Credenciales SINOE: usuario y contraseña de la Casilla Electrónica del Poder Judicial, proporcionados voluntariamente para acceder al sistema en nombre del usuario. Se almacenan cifradas con AES-256-CBC y nunca se transmiten en texto plano.
→
Documentos judiciales: notificaciones, resoluciones, cédulas y anexos descargados del sistema SINOE o recibidos por Gmail, durante el procesamiento autorizado por el usuario.
→
Datos de Google Calendar y Drive: accedemos para crear eventos de audiencias y almacenar documentos en la cuenta del usuario, previa autorización explícita mediante OAuth2.
→
Datos de uso y logs: registros técnicos (timestamps, errores, ejecuciones del scraper) para operación, diagnóstico y seguridad del servicio.
→
Datos de pago: procesados directamente por MercadoPago. LEXA no almacena números de tarjeta ni datos bancarios del usuario.
02
Cómo usamos la información
Utilizamos la información recopilada exclusivamente para:
→
Acceder al sistema SINOE con las credenciales del usuario para detectar y descargar notificaciones judiciales nuevas.
→
Monitorear la bandeja de Gmail del usuario en busca de notificaciones fiscales del Ministerio Público (Fiscalía).
→
Analizar documentos judiciales mediante inteligencia artificial (Claude API de Anthropic) para extraer plazos, audiencias y resúmenes informativos.
→
Enviar alertas y resúmenes por WhatsApp y/o Telegram al abogado.
→
Agendar audiencias y diligencias en Google Calendar y organizar documentos en Google Drive del usuario.
→
Gestionar la suscripción y procesar pagos a través de MercadoPago.
→
Mantener y mejorar el servicio, y brindar soporte técnico al usuario.
No usamos los datos del usuario para entrenar modelos de inteligencia artificial propios, ni para fines publicitarios, ni para perfilamiento comercial.
03
Seguridad de los datos
Aplicamos medidas de seguridad razonables conforme a estándares de la industria para proteger su información:
🔐
Cifrado AES-256-CBC: las credenciales SINOE se almacenan cifradas con un algoritmo de grado militar. Ni siquiera el equipo de LEXA puede verlas en texto plano.
🔐
HTTPS/TLS 1.3: toda comunicación entre el navegador del usuario y nuestros servidores se realiza sobre canales cifrados.
🔐
JWT con expiración: las sesiones del dashboard se autentican mediante tokens JWT con vencimiento de 7 días. No se transmiten credenciales en cada solicitud.
🔐
Tokens Google cifrados: los tokens de acceso y refresco de Google OAuth2 se almacenan cifrados en nuestra base de datos. No almacenamos contraseñas de Google.
🔐
Acceso mínimo por rol: el acceso a datos de producción está restringido internamente a quienes lo requieran operativamente.
Aplicamos medidas de seguridad razonables conforme a estándares de la industria. Sin embargo, ningún sistema de información es 100% seguro. El usuario reconoce este riesgo inherente y exime a LEXA de responsabilidad por incidentes derivados de fallas de terceros, ataques externos sofisticados o circunstancias fuera de nuestro control razonable.
04
Terceros proveedores
No vendemos, alquilamos ni cedemos su información personal a terceros con fines comerciales o publicitarios. Únicamente compartimos datos con los proveedores indispensables para operar LEXA, bajo las condiciones descritas a continuación. Al usar LEXA, el usuario acepta los términos y políticas de privacidad de cada proveedor.
→
Anthropic (Claude API) — EE.UU.: los PDFs de notificaciones judiciales se envían a la API de Claude para análisis estructurado de contenido (extracción de plazos, audiencias, resoluciones). El procesamiento es temporal y Anthropic no los utiliza para entrenar sus modelos según sus términos de uso. Política: anthropic.com/legal
→
MercadoPago — Argentina / Perú: procesamiento de pagos de suscripciones. LEXA no accede ni almacena datos de tarjetas del usuario. Política: mercadopago.com.pe/ayuda
→
Evolution API (WhatsApp) — self-hosted: envío de mensajes de alerta y resúmenes al número de WhatsApp del usuario. La instancia está alojada en infraestructura controlada por el Titular de LEXA, en servidores ubicados en la región de la infraestructura contratada.
→
Browserless — self-hosted: automatización de navegador para scraping del sistema SINOE. Alojado en infraestructura controlada por el Titular. No transmite datos a terceros externos.
→
SINOE (Poder Judicial del Perú): accedemos con las credenciales que el usuario nos proporciona, exclusivamente para consultar y descargar sus notificaciones en su nombre.
→
Mistral AI (Francia / Unión Europea): motor de OCR profesional usado por LEXA para extraer texto de PDFs escaneados (parte de la cascada OCR del Organizador y del análisis de carpetas fiscales). El procesamiento es transitorio y Mistral declara no usar el contenido para entrenar modelos en el plan API. Política: mistral.ai/terms
→
Voyage AI (EE.UU.): generación de embeddings vectoriales (modelo voyage-law-2) para búsqueda semántica de jurisprudencia y documentos. Solo se envían fragmentos de texto, sin metadatos identificatorios. Política: voyageai.com/privacy
→
Cloudflare R2 — almacenamiento de objetos: repositorio de jurisprudencia y artefactos de uso interno (PDFs históricos curados por LEXA). NO almacenamos los archivos personales del abogado en R2: tus archivos viven exclusivamente en tu Google Drive. Política: cloudflare.com/privacypolicy
→
Deepgram (EE.UU.) — transcripción de audio: usado por el Transcriptor LEXA para convertir audios de audiencias a texto (modelo Nova-3). Solo aplica si el usuario activa explícitamente esta funcionalidad y otorga consentimiento adicional. Política: deepgram.com/privacy
05
Transferencias internacionales de datos
El uso de LEXA implica transferencias de datos personales fuera del territorio peruano, en los siguientes casos:
→
Anthropic (EE.UU.): los PDFs de notificaciones judiciales (que pueden contener datos personales de partes procesales) se envían a la API de Claude, cuyos servidores operan en Estados Unidos.
→
Google (infraestructura global): los datos procesados mediante Gmail, Drive y Calendar de Google se almacenan y procesan en la infraestructura global de Google, que puede incluir centros de datos fuera del Perú.
→
MercadoPago (Argentina / región): los datos de transacciones de pago son procesados por MercadoPago en su infraestructura regional.
→
Mistral AI (Francia / UE): el contenido textual de los PDFs procesados por OCR profesional se transmite a la Unión Europea. La UE ofrece estándares de protección reconocidos por la jurisprudencia internacional como adecuados.
→
Voyage AI (EE.UU.) y Deepgram (EE.UU.): fragmentos de texto (Voyage) y audio del Transcriptor (Deepgram) son procesados en infraestructura estadounidense. El Transcriptor requiere consentimiento adicional (artículo 14° Ley 29733).
→
Cloudflare R2 (red global): sólo aloja contenido curado por LEXA (jurisprudencia pública, plantillas), no archivos personales del usuario.
Conforme al artículo 15° de la Ley N° 29733, Ley de Protección de Datos Personales del Perú, y el D.S. 016-2024-JUS, el usuario consiente expresamente estas transferencias internacionales al aceptar esta política y utilizar el servicio. Las transferencias se realizan con proveedores que mantienen estándares adecuados de protección de datos según sus propias políticas y marcos regulatorios aplicables.
06
Uso de Google APIs — Uso Limitado
El uso y transferencia de información recibida de las APIs de Google por parte de LEXA cumple con la Política de Datos de Usuario de los Servicios API de Google, incluyendo los requisitos de Uso Limitado. Específicamente:
→
Solo accedemos a los datos de Google necesarios para las funcionalidades del servicio (Gmail readonly, Calendar, Drive, perfil básico).
→
No utilizamos datos de Google para publicidad, estudios de mercado ni para enriquecer perfiles de usuario.
→
No transferimos datos de Google a terceros salvo cuando sea necesario para el funcionamiento del servicio (Anthropic para análisis de PDFs adjuntos), con consentimiento del usuario, o por requerimiento legal.
→
No permitimos que personas distintas al usuario lean datos de Google salvo en los casos estrictamente necesarios para el servicio y con el consentimiento del usuario.
07
Inteligencia artificial y decisiones automatizadas
LEXA utiliza la API de Claude (Anthropic) para analizar el contenido de los PDFs de notificaciones judiciales y fiscales. Este análisis tiene carácter informativo y de apoyo al profesional legal:
→
La IA extrae y estructura información contenida en los documentos (plazos, audiencias, tipos de resolución, partes del proceso), pero no toma decisiones legales.
→
No existen decisiones automatizadas con efectos legales sobre el usuario derivadas del análisis de IA. Toda acción procesal sigue siendo responsabilidad exclusiva del abogado.
→
Los resultados del análisis de IA son orientativos. LEXA no garantiza su exactitud ni completitud. El usuario debe verificar directamente en SINOE y los sistemas oficiales.
→
Los datos del usuario no se utilizan para entrenar modelos de IA propios de LEXA.
08
Cookies y tecnologías de seguimiento
LEXA utiliza tecnologías de almacenamiento local de forma mínima y funcional:
→
localStorage del navegador: se almacena el token JWT de sesión en el localStorage del navegador del usuario para mantener la sesión activa en el dashboard. El token tiene vigencia de 7 días.
→
Cookie lexa_authed: cookie de sesión en el dominio .lexaasistentelegal.com que funciona únicamente como indicador de sesión activa (flag booleano). No contiene el JWT ni datos personales.
→
Sin cookies de tracking publicitario: LEXA no utiliza cookies de terceros, píxeles de seguimiento ni herramientas de analítica publicitaria (Google Ads, Facebook Pixel, etc.).
09
Retención y eliminación de datos
Conservamos su información durante los siguientes plazos:
→
Datos del usuario activo: durante toda la relación contractual (mientras mantenga una cuenta activa en LEXA).
→
Tras cancelación de cuenta: 30 días de gracia para que el usuario descargue su información. Vencido ese plazo, los datos se eliminan de forma permanente e irreversible: credenciales SINOE, datos de perfil, historial de notificaciones y tokens de acceso a Google.
→
Logs operativos: registros técnicos de debugging y seguridad: máximo 90 días.
→
Backups cifrados: 180 días para recuperación ante incidentes. Vencido el plazo, los backups se purgan automáticamente.
→
Datos contables y de facturación: 5 años conforme a las obligaciones tributarias del Reglamento de la SUNAT y el Código Tributario peruano.
Los documentos almacenados en el Google Drive del usuario no serán afectados por la eliminación de cuenta, ya que residen en la propia cuenta de Google del usuario y están bajo su control exclusivo.
10
Sus derechos (Ley N° 29733)
De acuerdo con la Ley N° 29733, Ley de Protección de Datos Personales del Perú, y su Reglamento (D.S. 016-2024-JUS), usted tiene los siguientes derechos respecto a sus datos personales:
→
Acceso: solicitar una copia de los datos personales que mantenemos sobre usted, incluyendo credenciales cifradas, notificaciones procesadas y resultados de análisis de IA.
→
Rectificación: corregir datos inexactos, incompletos o desactualizados.
→
Cancelación: solicitar la eliminación de sus datos personales de nuestros sistemas, sujeto a los plazos de retención legal indicados en la sección 09.
→
Oposición: oponerse al tratamiento de sus datos en determinadas circunstancias.
→
Portabilidad: solicitar la descarga de sus datos en formato estructurado.
→
Revocación del consentimiento: puede revocar en cualquier momento los permisos otorgados a LEXA desde myaccount.google.com/permissions para Google, o contactándonos directamente para la desactivación del servicio.
Procedimiento para ejercer sus derechos: envíe su solicitud a contacto@lexaasistentelegal.com o a través del WhatsApp de soporte. Responderemos en un plazo máximo de 15 días hábiles.
Si considera que su solicitud no fue atendida satisfactoriamente, puede presentar un reclamo ante la Autoridad Nacional de Protección de Datos Personales (ANPDP), adscrita al Ministerio de Justicia y Derechos Humanos del Perú.
11
Notificación de incidentes de seguridad
En caso de que se detecte una brecha de seguridad que afecte datos personales de los usuarios, LEXA adoptará las siguientes acciones:
→
Notificación al usuario: informaremos por correo electrónico y/o WhatsApp dentro de las 72 horas siguientes a la detección del incidente, describiendo la naturaleza del mismo, los datos afectados, las medidas adoptadas y las recomendaciones para el usuario.
→
Reporte a la ANPDP: notificaremos a la Autoridad Nacional de Protección de Datos Personales conforme a la normativa peruana aplicable.
→
Contención y remediación: activaremos de inmediato los procedimientos de contención del incidente, revocación de tokens comprometidos y refuerzo de controles de seguridad.
12
Menores de edad
LEXA es un servicio profesional dirigido exclusivamente a abogados y profesionales legales habilitados. No está dirigido a personas menores de 18 años. No recopilamos conscientemente datos personales de menores de edad. Si tomamos conocimiento de que un menor ha proporcionado datos sin autorización parental, procederemos a eliminarlos de inmediato.
13
Eliminación de cuenta
Puede solicitar la eliminación de su cuenta y todos sus datos personales a través de cualquiera de los siguientes canales:
→
WhatsApp: comuníquese al +51 924 198 250 solicitando la baja del servicio.
→
Desde el dashboard: sección de configuración de cuenta (cuando la funcionalidad esté disponible).
Tras recibir su solicitud, tendrá 30 días para descargar su información. Al vencer dicho plazo, la eliminación será definitiva e irreversible, salvo los datos que debamos retener por obligación legal o contable (ver sección 09).
14
Organizador automático con OCR
El LEXA Organizador es una funcionalidad disponible en los planes Profesional y Estudio que permite al usuario arrastrar archivos legales (PDF, Word, PowerPoint, TXT, MD, RTF, ODT) al panel de archivos para que LEXA los clasifique automáticamente en la carpeta del expediente correspondiente dentro del Google Drive del propio usuario.
→
Procesamiento OCR profesional, sin Claude: el contenido de los archivos se lee con motores OCR de pago (cascada Mistral OCR → Tesseract local → pypdf). No se envía a Anthropic Claude. Esto significa que los archivos del Organizador no contribuyen a la cuota de IA y nunca se usan para entrenar modelos de Anthropic.
→
Uso del conocimiento previo: LEXA compara el texto extraído contra los expedientes y carpetas fiscales que el usuario ya tiene registrados en LEXA, para identificar el expediente al que corresponde cada archivo. No utilizamos esos datos para perfilar al usuario ni para fines distintos a la organización solicitada.
→
Almacenamiento exclusivo en Drive del usuario: los archivos viven en el Google Drive del propio abogado. LEXA no guarda copias en su infraestructura ni en Cloudflare R2. Si el usuario revoca el acceso de Google, LEXA pierde toda visibilidad sobre esos archivos.
→
Movimientos respetuosos del nombre original: cuando una carpeta de cliente ya existe (aunque tenga errores ortográficos), LEXA respeta el nombre tal como está. Nunca renombramos las carpetas creadas por el usuario.
→
Archivos no clasificables: cuando el matching no permite identificar con certeza el expediente correcto, el archivo se mueve a una carpeta visible llamada "LEXA ORGANIZADOR — archivos no indexados" para que el usuario decida manualmente. Nunca se elimina ni se mueve a una carpeta equivocada por defecto.
→
Auditoría procesal automática: tras clasificar un archivo, LEXA ejecuta una auditoría procesal local (sin Claude) sobre el expediente para detectar posibles vicios procesales conforme a fichas-protocolo internas, y los reporta al usuario de forma informativa, sin sustituir el juicio profesional del abogado.
→
Auditoría de uso: cada batch de organización queda registrado en una tabla organizador_jobs con timestamp, IP, archivos procesados y resultado. El registro permanece como evidencia de cumplimiento conforme al artículo 14° de la Ley 29733 y se conserva por el plazo necesario para auditoría operacional.
Consentimiento expreso: antes del primer uso del Organizador, el usuario debe aceptar un consentimiento específico que se registra en base de datos con su IP y la fecha. La aceptación es revocable en cualquier momento desde la sección de configuración del dashboard; al revocarla, el Organizador queda inhabilitado pero los archivos ya organizados permanecen en su carpeta destino dentro del Drive del usuario.
15
Limitación de responsabilidad
LEXA es una herramienta administrativa de apoyo tecnológico. No es un servicio de asesoría legal ni jurídica. El Titular de LEXA no es responsable por daños indirectos, pérdida de oportunidad procesal, lucro cesante, daño moral ni consecuencias procesales adversas derivadas del uso o de la imposibilidad de uso del servicio.
La responsabilidad total del Titular ante cualquier reclamo relacionado con el tratamiento de datos no excederá el monto pagado por el usuario en los últimos tres (3) meses de suscripción.
El usuario es plenamente responsable del seguimiento de sus expedientes y del cumplimiento de sus plazos procesales. LEXA no garantiza la detección de todas las notificaciones ni la precisión del análisis de inteligencia artificial. La verificación directa en SINOE y en los sistemas oficiales sigue siendo obligación irrenunciable del profesional.
Para el detalle completo de las cláusulas de exención de responsabilidad, limitación de daños, indemnidad y demás condiciones contractuales, consulte los Términos y Condiciones v3.0 vigentes desde el 8 de mayo de 2026.
16
Cambios en esta política
Nos reservamos el derecho de actualizar esta política de privacidad cuando sea necesario para reflejar cambios en el servicio, en la legislación aplicable o en nuestras prácticas de tratamiento de datos. Cualquier cambio significativo será notificado a los usuarios a través de los canales de comunicación del servicio (WhatsApp, Telegram o correo electrónico) con al menos 15 días de anticipación. La fecha de última actualización se indicará al inicio de este documento.
La continuación del uso del servicio tras la fecha de entrada en vigencia de la nueva versión implica la aceptación de los cambios introducidos.
17
Jurisdicción y ley aplicable
Esta política de privacidad se rige por la legislación peruana, en particular:
→
Ley N° 29733, Ley de Protección de Datos Personales del Perú.
→
D.S. 016-2024-JUS, Reglamento de la Ley de Protección de Datos Personales.
→
Ley N° 31814, Ley que promueve el uso de la Inteligencia Artificial en el Perú.
Cualquier controversia derivada de esta política que no pueda resolverse por la vía de la ANPDP o en forma directa, será sometida a los tribunales competentes de la ciudad de Piura, Perú, renunciando el usuario a cualquier otro fuero o jurisdicción que pudiere corresponderle.
18
Contacto
Si tiene preguntas sobre esta política de privacidad, sobre el manejo de sus datos o desea ejercer sus derechos ARCO, puede contactarnos:
Nota: Esta política de privacidad fue redactada como propuesta operativa alineada con la Ley N° 29733 de Protección de Datos Personales del Perú y el D.S. 016-2024-JUS. Para auditoría legal formal o respuesta a un incidente, recomendamos revisión por abogado especializado en protección de datos.