deley[.io]

Política de Privacidad

Última actualización: 30 de abril de 2026

Antes de comenzar

Esta Política de Privacidad explica cómo tratamos los datos personales en Deley.io. Es importante entender que nuestra plataforma está dirigida exclusivamente a profesionales del derecho. Cuando un abogado carga documentos en la Plataforma, tales documentos suelen contener datos personales de terceros (clientes, contrapartes, testigos). Respecto de los datos de los terceros incluidos en los documentos del Usuario, FIVES LEGAL actúa como encargado del tratamiento, y el Usuario (abogado o estudio jurídico) es el responsable. Esta distinción es relevante para entender cómo se ejercen los derechos.

1. Identificación del responsable y datos de contacto

  • Razón social: FIVES LEGAL SAS.
  • RUC: 1793236906001.
  • Domicilio: Av. Orellana E9 195 y Av. 6 de Diciembre, Quito - Ecuador.
  • Representante legal: Ricardo Espinosa.
  • Correo general: contacto@deley.io.
  • Asuntos de privacidad y derechos del titular: privacidad@deley.io.
  • Delegado de Protección de Datos (DPO): dpo@deley.io. El Delegado es independiente y reporta directamente a la administración de FIVES LEGAL.

2. Definiciones

2.1 Plataforma: el sitio web deley.io, el complemento (add-in) para Microsoft Word y todo desarrollo o integración asociada.

2.2 Usuario: la persona natural o jurídica registrada y autenticada en la Plataforma. Para Cuentas de Firma, el administrador designado y los usuarios bajo su administración.

2.3 Titular: la persona natural a la que pertenecen los datos personales tratados.

2.4 Contenido del Usuario: documentos, archivos, prompts, instrucciones y cualquier otro insumo que el Usuario carga o genera en la Plataforma.

2.5 Datos Personales, Datos Sensibles, Tratamiento, Responsable, Encargado, Brecha de Seguridad: conforme a las definiciones de la LOPDP y su Reglamento.

2.6 LOPDP: Ley Orgánica de Protección de Datos Personales del Ecuador y su Reglamento de aplicación.

2.7 Superintendencia: la Superintendencia de Protección de Datos Personales del Ecuador.

3. Roles del tratamiento

3.1 FIVES LEGAL como responsable. FIVES LEGAL actúa como responsable del tratamiento respecto de: (a) datos de cuenta del Usuario; (b) datos de facturación; (c) datos técnicos de uso de la Plataforma; (d) comunicaciones del Usuario con soporte; (e) datos de marketing cuando el Usuario haya consentido.

3.2 FIVES LEGAL como encargado. FIVES LEGAL actúa como encargado del tratamiento respecto del Contenido del Usuario y de los datos personales de terceros que aparezcan en éste. En esta calidad, FIVES LEGAL trata los datos siguiendo las instrucciones del Usuario, según los términos de esta Política y los Términos y Condiciones de Uso.

3.3 Acuerdo de Tratamiento de Datos (DPA). Para usuarios corporativos o cuando lo soliciten, FIVES LEGAL suscribirá un Acuerdo de Tratamiento de Datos formal que regulará en detalle las instrucciones, finalidades, plazos, medidas de seguridad, subencargados y demás extremos exigidos por la LOPDP.

3.4 Responsabilidad del Usuario respecto de terceros. El Usuario es el único responsable de informar a los Titulares de los datos contenidos en su Contenido (clientes, contrapartes, partes procesales, testigos) sobre el tratamiento que él mismo realiza con apoyo de la Plataforma, así como de obtener las bases de licitud requeridas. FIVES LEGAL no establece relación directa con tales Titulares y no responde por las obligaciones del Usuario hacia ellos.

4. Categorías de datos tratados

En el ejercicio de la Plataforma se tratan las siguientes categorías:

  • Datos de cuenta: nombre, correo electrónico, organización, cargo, datos de autenticación gestionados a través de Clerk (incluido método y factores de autenticación).
  • Datos de facturación y tributarios: razón social, RUC o cédula, dirección, datos de pago, comprobantes electrónicos del SRI.
  • Contenido del Usuario: archivos PDF y DOCX cargados, prompts, instrucciones, configuraciones de especialistas, salidas de IA.
  • Datos personales de terceros incluidos en el Contenido: nombres, identificaciones, direcciones, datos económicos, información procesal, y eventualmente datos sensibles según la naturaleza del expediente.
  • Datos de uso y técnicos: dirección IP, tipo de dispositivo, navegador, sistema operativo, identificadores de sesión, fechas y horas de acceso, páginas visitadas, eventos del producto, modelo de IA utilizado, métricas de rendimiento.
  • Cookies y tecnologías similares: conforme se detalla en la cláusula 15 de esta Política.
  • Comunicaciones: contenido y metadatos de los mensajes que el Usuario envíe a soporte, ventas o el área legal.
  • Datos del Complemento de Word: texto del documento abierto que se transmita temporalmente para su procesamiento, según la cláusula 11.

5. Datos sensibles, de menores y de terceros

5.1 Reconocimiento de tratamiento incidental. FIVES LEGAL reconoce que el Contenido del Usuario podría contener, de manera incidental, datos sensibles (datos de salud, datos judiciales, datos de origen étnico, opinión política, afiliación sindical, orientación sexual, datos genéticos o biométricos) y datos de niñas, niños y adolescentes. FIVES LEGAL no solicita ni induce la carga de tales datos.

5.2 Obligaciones del Usuario. Cuando el Usuario cargue datos sensibles o de menores como parte de un expediente, declara que cuenta con la base de licitud requerida por la LOPDP y que ha cumplido con los deberes de información y consentimiento explícito (cuando aplique) frente al Titular.

5.3 Salvaguardas técnicas y organizativas reforzadas. FIVES LEGAL aplica medidas reforzadas de seguridad al Contenido del Usuario, incluyendo cifrado en reposo y en tránsito, control de acceso por Row Level Security, acceso ad-hoc del personal técnico solo cuando sea estrictamente necesario y bajo registro de auditoría, y minimización del procesamiento.

5.4 Limitación. FIVES LEGAL podrá, a su discreción razonable, rehusar el procesamiento de Contenido del Usuario que (i) parezca contener datos obtenidos de manera ilícita; (ii) corresponda manifiestamente a actuaciones reservadas por mandato legal a las que el Usuario carezca de habilitación; (iii) ponga en riesgo la seguridad de la Plataforma o de otros Usuarios.

6. Finalidades del tratamiento y bases de licitud

FIVES LEGAL trata los datos personales con las siguientes finalidades, sustentadas en las bases de licitud que se indican:

  • Prestación del servicio (autenticar al Usuario, procesar consultas con IA, almacenar Contenido, ejecutar el Complemento de Word). Base: ejecución del contrato.
  • Facturación y obligaciones tributarias (emisión de comprobantes electrónicos, retenciones, declaraciones al SRI, conservación de respaldos contables). Base: cumplimiento de obligación legal.
  • Seguridad de la Plataforma y prevención de fraude (monitoreo de accesos sospechosos, prevención de uso abusivo, registros de auditoría). Base: interés legítimo de FIVES LEGAL y de la generalidad de los Usuarios en mantener la integridad del servicio.
  • Mejora del servicio en forma agregada y anonimizada (análisis de uso, métricas de rendimiento, identificación de errores). Base: interés legítimo. No utilizamos el Contenido del Usuario para entrenar modelos de IA.
  • Comunicaciones operativas (notificaciones del servicio, cambios en términos, alertas de seguridad). Base: ejecución del contrato.
  • Comunicaciones de marketing (boletines, novedades del producto, casos de éxito). Base: consentimiento del Usuario, revocable en cualquier momento.
  • Atención de requerimientos legales y defensa de derechos. Base: cumplimiento legal e interés legítimo en la defensa de FIVES LEGAL.

Sobre el retiro del consentimiento. Cuando una finalidad esté sustentada en consentimiento, el Usuario podrá retirarlo en cualquier momento sin afectar la licitud del tratamiento realizado previamente. El retiro de consentimiento no opera respecto de finalidades sustentadas en otra base de licitud. Cuando el retiro impida la prestación del servicio, FIVES LEGAL podrá suspender o terminar la cuenta.

7. Tratamiento automatizado y decisiones basadas en IA

7.1 La Plataforma realiza tratamiento automatizado de datos para generar las salidas (resúmenes, análisis, sugerencias de edición, búsquedas legales). Las salidas son herramientas de apoyo al ejercicio profesional del Usuario. No constituyen decisiones automatizadas que produzcan efectos jurídicos sobre el Usuario o sobre terceros.

7.2 Toda decisión jurídica relevante debe ser tomada por el Usuario, quien actúa como filtro humano y profesional. FIVES LEGAL no toma decisiones automatizadas sobre los Titulares.

7.3 El Usuario podrá ejercer derecho a explicación general sobre la lógica de tratamiento, las categorías de datos utilizadas y las consecuencias previstas, escribiendo a privacidad@deley.io.

8. Encargados y subencargados del tratamiento

Para prestar el servicio, FIVES LEGAL se apoya en los siguientes encargados o subencargados (proveedores), todos ellos sujetos a obligaciones contractuales de protección de datos equivalentes a las de esta Política:

  • Google Cloud (Google LLC) — Estados Unidos: procesamiento de modelos de IA (Gemini). Los datos no se utilizan para entrenar modelos de Google.
  • Supabase — Estados Unidos: base de datos y almacenamiento de archivos del Usuario, con cifrado en reposo y Row Level Security.
  • Firebase (Google) — Estados Unidos: hosting y entrega de la aplicación.
  • Clerk — Estados Unidos: autenticación y gestión de sesiones.
  • PayPhone — Ecuador: pasarela de pagos para procesar suscripciones y cobros recurrentes.
  • Resend — Estados Unidos: envío de correo electrónico transaccional (notificaciones operativas, alertas, recordatorios de facturación).

8.1 FIVES LEGAL mantiene una lista actualizada de encargados y subencargados, disponible bajo solicitud al correo privacidad@deley.io. FIVES LEGAL podrá modificarla notificando a los Usuarios con al menos quince (15) días de anticipación cuando el cambio sea material.

8.2 Objeción razonada. Para Cuentas de Firma con DPA suscrito, el Usuario podrá objetar de forma razonada la incorporación de un nuevo subencargado. Si la objeción es razonable y no puede subsanarse, el Usuario podrá terminar el contrato sin penalidad. FIVES LEGAL se reserva el derecho de continuar la operación con sus subencargados habituales para los demás Usuarios.

9. Transferencia internacional de datos

9.1 El procesamiento por IA y el almacenamiento de la Plataforma se realizan principalmente en infraestructura ubicada en los Estados Unidos de América.

9.2 Garantías. FIVES LEGAL adopta garantías apropiadas conforme a la LOPDP, incluyendo: (i) cláusulas contractuales con cada subencargado que reproducen los estándares mínimos de la LOPDP; (ii) medidas técnicas (cifrado en reposo y en tránsito); (iii) compromiso de los proveedores de no utilizar el Contenido para entrenamiento; (iv) procedimientos para responder a requerimientos de autoridades extranjeras conforme a la cláusula 14.

9.3 Al aceptar esta Política y los Términos, el Usuario reconoce y consiente la transferencia internacional descrita.

10. Plazos de conservación

Aplicamos plazos diferenciados según la categoría de datos:

  • Datos de cuenta: mientras la cuenta esté activa, más treinta (30) días tras su baja.
  • Contenido del Usuario: mientras la cuenta esté activa o hasta que el Usuario lo elimine. Tras la baja, treinta (30) días para permitir exportación; luego eliminación lógica seguida de eliminación física en el siguiente ciclo de respaldo.
  • Datos de facturación y tributarios: siete (7) años, conforme a la normativa tributaria ecuatoriana.
  • Logs de seguridad y auditoría: doce (12) meses, prorrogables cuando sean necesarios para investigación de incidentes.
  • Logs de comunicaciones con soporte: veinticuatro (24) meses.
  • Caché del Complemento de Word: máximo treinta (30) minutos.
  • Datos sujetos a litigio o investigación (“legal hold”): durante el tiempo razonablemente necesario, suspendiéndose los plazos generales.
  • Copias de respaldo: hasta noventa (90) días, periodo durante el cual la eliminación de datos puntuales no es técnicamente factible pero los datos permanecen aislados de producción.

11. Tratamiento específico del Complemento de Microsoft Word

11.1 Cuando el Usuario activa el Complemento, el contenido del documento abierto (o las secciones seleccionadas) se transmite cifrado mediante TLS 1.3 a los servidores de procesamiento de la Plataforma.

11.2 El contenido se mantiene en caché temporal por un máximo de treinta (30) minutos, exclusivamente para permitir la generación, refinamiento y aplicación de sugerencias en tiempo real.

11.3 El contenido no se almacena permanentemente, no se utiliza para entrenar modelos de IA y se elimina automáticamente al expirar la caché o al cierre de la sesión.

11.4 Las sugerencias se aplican como Control de Cambios para que el Usuario las acepte o rechace de forma individual.

11.5 FIVES LEGAL no responde por la seguridad del entorno local del Usuario (computador, sistema operativo, instalación de Microsoft Word, red local). El Usuario es responsable de mantener actualizados sus sistemas y de no instalar el Complemento en equipos comprometidos.

12. Medidas de seguridad

FIVES LEGAL implementa medidas técnicas y organizativas razonables conforme al estado de la técnica y a la sensibilidad de los datos, incluyendo:

  • Cifrado en reposo de la base de datos y del almacenamiento de archivos.
  • Cifrado en tránsito mediante TLS 1.3.
  • Autenticación gestionada por Clerk con tokens JWT, sesiones expirables y soporte de doble factor cuando esté disponible.
  • Aislamiento por Usuario mediante Row Level Security a nivel de base de datos.
  • Registros de auditoría sobre accesos relevantes.
  • Política de mínimo privilegio para el personal de FIVES LEGAL.
  • Pruebas periódicas de seguridad y revisión de dependencias.
  • Gestión de incidentes con plazos definidos y trazabilidad.

Importante. Ningún sistema de información es absolutamente invulnerable. FIVES LEGAL no garantiza ausencia total de incidentes y solo responde por la diligencia razonable conforme al estado de la técnica.

13. Notificación de brechas de seguridad

13.1 En caso de brecha de seguridad que afecte datos personales, FIVES LEGAL la documentará internamente, evaluará su impacto y, cuando proceda conforme a la LOPDP, la notificará a la Superintendencia y a los Titulares afectados dentro de los plazos legales.

13.2 La notificación incluirá la descripción de la brecha, las categorías de datos afectados, las medidas adoptadas y las recomendaciones para los Titulares.

13.3 Cuando la brecha afecte Contenido del Usuario, FIVES LEGAL notificará al Usuario para que éste, como responsable, pueda cumplir sus propias obligaciones de notificación frente a los Titulares de tales datos.

14. Requerimientos de autoridad y secreto profesional

14.1 FIVES LEGAL entregará datos personales a autoridades únicamente cuando: (i) medie orden de juez o autoridad competente; (ii) la solicitud sea jurídicamente válida y proporcional; (iii) la entrega sea exigida por ley.

14.2 Reconocimiento del secreto profesional. FIVES LEGAL reconoce el carácter privilegiado del Contenido del Usuario que se vincule a la relación abogado-cliente protegida por el ordenamiento ecuatoriano. Cuando la legislación lo permita, FIVES LEGAL notificará al Usuario sobre el requerimiento para que éste pueda oponer las defensas legales pertinentes, incluido el secreto profesional, antes de cualquier entrega.

14.3 FIVES LEGAL no entregará información en exceso de lo estrictamente requerido y agotará los recursos legales razonables frente a requerimientos manifiestamente excesivos o ilegales.

15. Cookies y tecnologías similares

La Plataforma utiliza cookies y tecnologías equivalentes para autenticación, recordar preferencias, medir rendimiento y proteger la seguridad. El Usuario puede configurar sus preferencias en el panel de cookies de la Plataforma. El bloqueo de cookies estrictamente necesarias puede impedir el correcto funcionamiento del servicio. Para conocer en detalle cada categoría, finalidad, proveedor y plazo de retención, el Usuario puede solicitar información al correo privacidad@deley.io.

16. Derechos del Titular

Conforme a la LOPDP, el Titular tiene los siguientes derechos:

  • Información: conocer las finalidades, bases de licitud, encargados y demás extremos del tratamiento.
  • Acceso: conocer si se tratan sus datos y obtener copia de los mismos.
  • Rectificación: corregir datos inexactos o desactualizados.
  • Supresión (eliminación / derecho al olvido): solicitar la eliminación cuando proceda.
  • Oposición: oponerse a tratamientos basados en interés legítimo o para fines de marketing.
  • Suspensión del tratamiento: solicitar la suspensión temporal del tratamiento mientras se resuelve una controversia.
  • Portabilidad: recibir los datos en un formato estructurado, de uso común y lectura mecánica.
  • No ser objeto de decisiones únicamente automatizadas: solicitar intervención humana cuando aplique conforme a la cláusula 7.
  • Reclamación ante la Superintendencia: presentar reclamación ante la Superintendencia de Protección de Datos Personales si considera que sus derechos han sido vulnerados.

17. Procedimiento de ejercicio de derechos

17.1 Canal. Las solicitudes deben enviarse a privacidad@deley.io. FIVES LEGAL responderá en los plazos previstos por la LOPDP, ordinariamente no superiores a quince (15) días, prorrogables cuando la complejidad lo justifique.

17.2 Verificación de identidad. Para proteger al propio Titular, FIVES LEGAL exige verificación robusta de identidad antes de atender solicitudes. Podrán requerirse: identificación oficial, prueba de control de la cuenta o del correo electrónico, y elementos adicionales cuando la solicitud involucre datos sensibles, salidas históricas o exportación masiva. FIVES LEGAL no atenderá solicitudes en las que la identidad no quede razonablemente acreditada.

17.3 Solicitudes formuladas por terceros. Cuando la solicitud provenga de un representante o apoderado, deberá acompañarse poder o autorización notariada, o instrumento equivalente, vigente y específico.

17.4 Solicitudes sobre Contenido del Usuario. Cuando la solicitud verse sobre datos de terceros que aparecen en el Contenido del Usuario (es decir, datos respecto de los cuales FIVES LEGAL actúa como encargado y no como responsable), FIVES LEGAL informará al solicitante que debe dirigirse al Usuario (responsable) y, cuando lo permita la ley y la solicitud sea legítima, notificará al Usuario para que éste atienda el ejercicio del derecho. FIVES LEGAL prestará apoyo técnico razonable al Usuario en la atención de tales solicitudes.

17.5 Solicitudes manifiestamente infundadas, repetitivas o excesivas. FIVES LEGAL podrá denegar, cobrar un costo administrativo razonable o requerir mayor justificación cuando una solicitud sea manifiestamente infundada, repetitiva o excesiva. Se considerarán manifiestamente excesivas, entre otras: solicitudes idénticas presentadas en intervalos breves; solicitudes que impliquen reconstrucción manual desproporcionada; solicitudes formuladas con propósito de hostigamiento, de obstrucción del servicio o de obtención indebida de información sobre terceros.

17.6 Excepciones a la supresión. FIVES LEGAL podrá denegar, total o parcialmente, solicitudes de supresión cuando los datos sean necesarios para: (i) cumplir obligaciones legales (incluida la conservación tributaria y contable); (ii) ejercer o defender reclamaciones; (iii) proteger los derechos o la seguridad de FIVES LEGAL, otros Usuarios o terceros; (iv) prevenir, detectar o investigar fraude o uso abusivo; (v) atender requerimientos de autoridad. La denegación se motivará por escrito.

17.7 Portabilidad — alcance. La portabilidad se limita a los datos que el propio Titular haya proporcionado activamente y se entrega en formato estándar (CSV, JSON o equivalente). No incluye salidas inferidas, modelos derivados, prompts de sistema, ni metadatos cuya divulgación pudiera comprometer la seguridad de la Plataforma o secretos empresariales de FIVES LEGAL.

17.8 Conservación de la trazabilidad. FIVES LEGAL conserva registro auditable de las solicitudes de derechos recibidas y de las respuestas brindadas, durante al menos cinco (5) años, con la única finalidad de acreditar el cumplimiento de la LOPDP frente a la Superintendencia.

17.9 Reclamación ante la Superintendencia. Si el Titular considera que su derecho no ha sido atendido satisfactoriamente, podrá presentar reclamación ante la Superintendencia de Protección de Datos Personales del Ecuador.

18. Prevención de abuso del régimen de protección de datos

Esta Política existe para proteger a los Titulares y a FIVES LEGAL. La buena fe es presupuesto del ejercicio de cualquier derecho. FIVES LEGAL adopta los siguientes mecanismos para prevenir abusos:

18.1 Protección frente a suplantación. FIVES LEGAL podrá rechazar solicitudes en las que existan indicios razonables de suplantación de identidad y notificar al Usuario titular de la cuenta involucrada.

18.2 Protección frente a destrucción de evidencia. Cuando FIVES LEGAL tenga motivos fundados para creer que un Usuario ha cometido fraude, abuso, infracción material de los Términos o un ilícito relacionado con la Plataforma, podrá conservar registros mínimos necesarios para investigación interna o para defensa frente a terceros, aun después de la baja de cuenta y por el tiempo razonablemente necesario, conforme a la cláusula 17.6.

18.3 Protección frente a ataques de denegación por solicitudes. FIVES LEGAL aplicará políticas razonables de “rate limiting” sobre las solicitudes de derechos por persona y por dirección, para prevenir su uso como herramienta de denegación de servicio o de hostigamiento.

18.4 Protección frente al uso de la portabilidad como exfiltración. Las exportaciones se entregan en formato estándar y por canales auditables; no se entregan datos cuyo formato original revele información de seguridad de la Plataforma.

18.5 Datos de terceros como vector de ataque. Cuando un tercero invoque ser Titular de datos contenidos en documentos del Usuario y solicite a FIVES LEGAL actuar directamente, FIVES LEGAL remitirá la solicitud al Usuario responsable y se abstendrá de revelar información de éste sin orden de autoridad o consentimiento expreso, salvo cuando esté legalmente obligada.

18.6 Cooperación con autoridades en casos de abuso. FIVES LEGAL podrá cooperar con autoridades cuando reciba indicios de que la Plataforma se utiliza para cometer fraude, lavado de activos, suplantación, defamación, acoso o cualquier otro acto contrario a derecho, conforme a sus obligaciones como sujeto colaborador.

19. Marketing y comunicaciones

19.1 FIVES LEGAL podrá enviar al Usuario comunicaciones operativas (cambios del servicio, alertas de seguridad, recordatorios de facturación), que son inherentes al contrato y no requieren consentimiento adicional.

19.2 Las comunicaciones de marketing se envían sólo con consentimiento expreso del Usuario, quien podrá revocarlo en cualquier momento mediante el enlace de baja incluido en el correo o escribiendo a privacidad@deley.io.

20. Niños, niñas y adolescentes

20.1 La Plataforma está dirigida exclusivamente a profesionales del derecho mayores de dieciocho (18) años. FIVES LEGAL no recolecta de manera consciente datos personales de menores como Usuarios.

20.2 Cuando los expedientes de los Usuarios contengan datos de menores, el Usuario es el único responsable de cumplir con las exigencias reforzadas de la LOPDP y de obtener los consentimientos correspondientes de quienes ejerzan la patria potestad o representación legal.

21. Cambios a esta Política

21.1 FIVES LEGAL podrá modificar esta Política. Las modificaciones se publicarán con la fecha de entrada en vigencia.

21.2 Las modificaciones materiales se notificarán al Usuario por correo electrónico y mediante aviso destacado en la Plataforma con al menos quince (15) días de antelación.

21.3 El uso continuado de la Plataforma tras la fecha de entrada en vigencia constituye aceptación de la nueva versión. Si el Usuario no acepta los cambios, deberá terminar su cuenta antes de tal fecha.

21.4 FIVES LEGAL conserva un archivo histórico de versiones de esta Política, disponible bajo solicitud al correo privacidad@deley.io.

22. Canal de reclamación y autoridad de control

El Titular podrá presentar reclamación interna ante el Delegado de Protección de Datos en dpo@deley.io. Sin perjuicio de ello, podrá acudir directamente a la Superintendencia de Protección de Datos Personales del Ecuador como autoridad de control.

23. Contacto

Privacidad y derechos del Titular: privacidad@deley.io. Delegado de Protección de Datos: dpo@deley.io. Asuntos generales: contacto@deley.io.