Aviso de privacidad
Información sobre el tratamiento de datos en LexIAs
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales gestionados a través de LexIAs es el titular del despacho jurídico que contrata el servicio. LexIAs actúa como encargado del tratamiento en los términos del artículo 28 del RGPD.
2. Qué datos se tratan
LexIAs gestiona los datos que cada abogado introduce manualmente o que se reciben por los canales configurados (WhatsApp, Gmail, Outlook). Estos pueden incluir:
- Datos de identificación de clientes: nombre, apellidos, NIF/NIE, email, teléfono
- Contenido íntegro de mensajes y documentos del expediente
- Descripciones de casos, informes IA, borradores de escritos, análisis de documentos
- Notas internas y conversaciones con el asistente IA del abogado
- Datos de uso interno (páginas visitadas, consumo IA) para mejora del producto
Por la materia jurídica tratada, pueden aparecer categorías especiales del artículo 9 RGPD (datos de salud, ideología, vida personal, antecedentes penales). El tratamiento se ampara en el art. 9.2.f RGPD (interposición y defensa de reclamaciones) y en el secreto profesional del abogado.
3. Cifrado y seguridad
Los siguientes campos se almacenan cifrados en reposo con AES-128-CBC + HMAC (Fernet), con clave gestionada separadamente de la base de datos:
- NIF, email, teléfono y notas de cada cliente
- Contenido íntegro de mensajes (remitente, asunto, cuerpo, notas del abogado)
- Descripciones de casos, informes IA largos, borradores de escritos
- Análisis IA: resúmenes, prompts enviados, análisis de adjuntos y documentos, borradores de respuesta
- Texto extraído de documentos del expediente
- Tokens OAuth de Gmail y Outlook
- Contraseñas temporales generadas en el alta de usuarios
- Historial de conversación con el asistente IA
- Datos personales en solicitudes de acceso (formulario de leads)
- Registro interno de incidentes de seguridad
Las comunicaciones entre el navegador y el servidor viajan siempre cifradas mediante HTTPS/TLS. Las contraseñas se almacenan con hash bcrypt — nunca en texto plano.
4. Finalidad del tratamiento
Los datos se tratan exclusivamente para:
- Clasificación y priorización de mensajes entrantes del despacho
- Gestión de plazos y recordatorios internos
- Generación de informes de actividad internos
LexIAs no responde automáticamente a los clientes del despacho ni comparte datos con terceros más allá de los sub-encargados detallados en el apartado 5.
5. Sub-encargados del tratamiento (terceros)
LexIAs subcontrata los siguientes proveedores, todos con contrato de encargo (DPA) firmado y, cuando proceden, con Cláusulas Contractuales Tipo (SCCs) para la transferencia internacional:
| Sub-encargado | Servicio | Ubicación |
|---|---|---|
| Anthropic PBC | Modelo Claude — clasificación, resúmenes, borradores y asistente IA | EE.UU. (SCCs) |
| Twilio Inc. | Recepción de mensajes WhatsApp Business | EE.UU. (SCCs) |
| Google LLC | Gmail OAuth — lectura y envío del correo del despacho | EE.UU. (SCCs) |
| Microsoft Ireland Operations Ltd | Outlook / Microsoft Graph — correo del despacho | UE |
| Replit Inc. | Hosting de la aplicación | EE.UU. (SCCs) |
| Whereby AS | Videollamadas con clientes (cuando el abogado lo activa) | Noruega (territorio asimilado UE) |
6. Derechos de los interesados (RGPD art. 15-22)
Los clientes del despacho cuyos datos se tratan tienen derecho a acceder, rectificar, suprimir, oponerse y solicitar la portabilidad de sus datos (consulta nuestra guía detallada para ejercer tus derechos RGPD). Pueden ejercerlos directamente ante el despacho que es responsable del tratamiento.
LexIAs incorpora la función de "Eliminar ficha" en cada perfil de cliente, que aplica el derecho al olvido (art. 17 RGPD) en cascada: elimina los datos del cliente y todos los datos derivados (mensajes, casos, documentos, análisis IA, recordatorios, sesiones de videollamada, horas registradas y borradores).
Si se solicita la baja completa de la cuenta del abogado, se aplica el mismo borrado en cascada para todos sus clientes y todos los datos asociados a su cuenta.
7. Conservación de datos
Aplicamos el principio de limitación del plazo de conservación (art. 5.1.e RGPD).
La siguiente tabla recoge los plazos vigentes — los marcados con
(automático) se aplican mediante una tarea programada que se
ejecuta cada 24 h (_retention_purge_task):
| Tipo de dato | Plazo de retención | Base legal |
|---|---|---|
| Datos de la cuenta del abogado (perfil, credenciales) | Mientras la cuenta esté activa + 30 días tras baja | Art. 6.1.b RGPD (ejecución del contrato) |
| Datos de clientes finales del despacho (ficha, NIF, contacto) | Vigencia del encargo + 6 años desde el cierre (borrado por el abogado o cascada al eliminar cliente) | Art. 30 C. Comercio + art. 1964 CC (prescripción civil ordinaria) |
| Mensajes entrantes (WhatsApp, email) y sus clasificaciones | Vigencia del expediente + 6 años desde el cierre (borrado en cascada con el cliente / caso) | Art. 30 C. Comercio + obligaciones deontológicas (Estatuto General Abogacía) |
| Adjuntos originales (PDF, imágenes, audio) | No se almacenan — sólo el texto extraído | Art. 5.1.c RGPD (minimización) |
| Expedientes (cases) y documentos asociados | Vigencia del encargo + 6 años desde el cierre (manual) | Art. 30 C. Comercio + plazo prescripción civil |
| Borradores de respuesta y resúmenes generados por IA | Igual que el mensaje / expediente (cascada) | Vinculado al tratamiento principal |
Conversaciones con el asistente IA del abogado (chat_messages) |
180 días desde la última interacción (automático) | Art. 6.1.f RGPD (interés legítimo en el soporte) + minimización |
Solicitudes de acceso al servicio — formulario de leads (access_requests) |
730 días (2 años) desde el envío (automático) | Art. 6.1.a RGPD (consentimiento del interesado) |
Bitácora de visitas a páginas (user_page_visits) |
90 días (automático) | Art. 6.1.f RGPD (interés legítimo en métricas de UX) |
Bitácora de acceso a datos sensibles (data_access_log) |
365 días (automático) | Art. 32 RGPD (medidas de seguridad — detección de accesos indebidos) |
| Tokens OAuth (Gmail, Outlook) | Hasta revocación o cierre de cuenta | Art. 6.1.b RGPD (ejecución del contrato) |
| Tokens de invitación / recuperación de contraseña | 24 h / 1 h respectivamente (caducidad automática) | Art. 32 RGPD (medidas de seguridad) |
Registro de incidentes de seguridad (security_incidents) |
5 años desde el cierre del incidente | Art. 33.5 RGPD (obligación de documentación) |
| Tras baja completa del servicio | Borrado en un plazo máximo de 30 días, salvo obligación legal de conservación (fiscal, mercantil) | Art. 17 RGPD (derecho de supresión) |
El documento maestro con todos los plazos, bases legales y acciones al vencer está publicado en política pública de conservación de datos. Para ejercer cualquier derecho RGPD ve a /derechos-rgpd. Las purgas automáticas se ejecutan diariamente y quedan registradas en los logs internos del sistema.
8. Base jurídica
- Tratamiento de datos de clientes del despacho: ejecución del encargo del despacho responsable (art. 28 RGPD), que a su vez actúa al amparo del contrato con su cliente (art. 6.1.b RGPD) y, para categorías especiales, del art. 9.2.f RGPD (defensa de reclamaciones).
- Datos del abogado titular de la cuenta: ejecución del contrato de prestación de servicios (art. 6.1.b RGPD).
- Solicitudes de información (formulario): consentimiento del interesado (art. 6.1.a RGPD).
- Analítica de uso interno: interés legítimo (art. 6.1.f RGPD).
8.bis Delegado de Protección de Datos (DPO)
Para cualquier consulta sobre el tratamiento de datos en LexIAs, ejercicio de derechos o notificación de un posible incidente de seguridad, puede dirigirse al referente de protección de datos en soporte@lexias.es. Si no obtiene respuesta satisfactoria, puede presentar reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
9. Uso de los servicios de Google API (Gmail y Google Calendar)
LexIAs permite a los abogados conectar su cuenta de Gmail y/o Google Calendar mediante el protocolo OAuth 2.0. El acceso se realiza únicamente con el consentimiento explícito y voluntario del abogado en cada cuenta.
9.1 Permisos (scopes) solicitados
gmail.readonly— lectura de correos entrantes del despachogmail.send— envío de respuestas redactadas por el abogadoemailyprofile— identificación de la cuenta conectada
LexIAs solicita únicamente los permisos estrictamente necesarios para las funciones descritas y no solicita acceso a contactos, Drive ni ningún otro servicio de Google.
9.2 Qué datos de Google se procesan
- Contenido y metadatos de los correos entrantes al despacho (remitente, asunto, cuerpo)
- Dirección de correo electrónico de la cuenta conectada
- Tokens de acceso OAuth necesarios para mantener la integración activa
Los correos se leen, clasifican y almacenan como mensajes dentro del expediente del cliente correspondiente. LexIAs no almacena buzones completos; solo los correos que el abogado procesa o que el sistema identifica como relevantes según los criterios configurados por el propio abogado.
9.3 Cómo se usan los datos de Google
Los datos obtenidos a través de las APIs de Google se utilizan exclusivamente para:
- Clasificar y priorizar correos entrantes del despacho jurídico
- Vincular correos a expedientes y clientes existentes en LexIAs
- Permitir al abogado redactar y enviar respuestas desde la plataforma
LexIAs no vende, alquila, cede ni utiliza con fines publicitarios ningún dato obtenido a través de las APIs de Google. Los datos no se comparten con terceros salvo los sub-encargados indicados en el apartado 5, y únicamente en la medida necesaria para prestar el servicio.
El uso y la transferencia a cualquier aplicación de la información recibida de las APIs de Google cumple la Política de datos de usuario de los servicios de API de Google, incluidos los requisitos de uso limitado (Limited Use).
9.4 Revocación del acceso
El abogado puede revocar el acceso de LexIAs a su cuenta de Google en cualquier momento:
- Desde LexIAs: Configuración → Cuentas conectadas → Desconectar Gmail
- Directamente desde Google: myaccount.google.com/permissions
Tras la revocación, LexIAs elimina los tokens OAuth almacenados en un plazo máximo de 24 horas. Los mensajes ya procesados permanecen en los expedientes salvo que el abogado los elimine manualmente.
9.5 Conservación de datos de Google
Los tokens OAuth se conservan mientras la integración esté activa. El contenido de los correos procesados se conserva mientras el expediente asociado exista en LexIAs. Al cancelar el servicio, todos los datos (incluidos los obtenidos de Google) se eliminan en un máximo de 30 días.
10. Contacto y reclamaciones
Para ejercer sus derechos o resolver dudas sobre el tratamiento de datos, incluido el acceso a datos de Google, contacta en soporte@lexias.es. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
Última actualización: abril de 2026