1. Responsable del Tratamiento
Actanova es la plataforma responsable del tratamiento de los datos personales descritos en esta política. Para cualquier gestión relativa a privacidad, derechos de los titulares, acuerdos formales de procesamiento (DPA) o notificación de incidentes, el canal oficial es soporte@actanova.ai. El dominio canónico del servicio es actanova.ai y el panel de cliente opera en app.actanova.ai.
2. Información que Recopilamos
Actanova recopila únicamente la información necesaria para brindarle el servicio:
- Datos de cuenta: nombre, correo electrónico, contraseña cifrada, jurisdicción (Costa Rica o Guatemala) y organización a la que pertenece.
- Datos de uso: consultas legales que formula, respuestas generadas, documentos que sube, expedientes que crea, anotaciones personales, marcadores y configuración de alertas.
- Datos técnicos: dirección IP, tipo de navegador, fecha y hora de acceso, identificadores de sesión. Se usan para seguridad y prevención de abuso.
- Datos de facturación: información de la tarjeta de crédito es procesada directamente por Stripe; Actanova no almacena números de tarjeta.
3. Cómo Usamos su Información
Usamos su información exclusivamente para: procesar sus consultas legales mediante inteligencia artificial, mantener el historial de su cuenta, operar la plataforma, cumplir obligaciones legales y enviarle comunicaciones relacionadas con el servicio.
Nunca vendemos, alquilamos ni compartimos su información con terceros para fines de marketing, publicidad o perfilamiento comercial. Sus consultas y documentos tampoco se usan para entrenar modelos de inteligencia artificial — ni propios ni de terceros.
4. Base Legal del Tratamiento
Cada categoría de tratamiento descansa en una base legal específica conforme a la Ley 8968 de Costa Rica y, para usuarios ubicados en la Unión Europea, al Reglamento (UE) 2016/679 (RGPD) Art. 6:
| Categoría de tratamiento | Base legal |
|---|---|
| Alta de cuenta, procesamiento de consultas, almacenamiento de expedientes | Ejecución del contrato de servicio |
| Facturación, registros contables, atención de requerimientos de autoridad | Cumplimiento de una obligación legal |
| Seguridad, prevención de abuso, auditoría interna, métricas agregadas | Interés legítimo del responsable |
| Comunicaciones comerciales opcionales, integraciones con Google Drive o Calendar, cookies no esenciales | Consentimiento del titular, revocable en cualquier momento |
5. Aislamiento de Datos entre Firmas
Cada organización opera en un espacio completamente aislado a nivel de base de datos mediante Row-Level Security (RLS) con aislamiento forzado (FORCE RLS) y cobertura en todas las tablas multi-tenant. Los expedientes, consultas, documentos, anotaciones e historial de su firma son técnicamente invisibles para cualquier otra organización en la plataforma. Este aislamiento se aplica en tres capas: interceptor de aplicación, políticas RLS de PostgreSQL y filtros explícitos en cada consulta.
6. Seguridad
Protegemos su información mediante:
- Encriptación de datos en tránsito (TLS 1.3)
- Almacenamiento de documentos en infraestructura cifrada (Cloudflare R2 con cifrado en reposo)
- Cifrado AES-256-GCM para credenciales sensibles (tokens OAuth de Google, claves de API de proveedores de IA por organización)
- Aislamiento completo por organización (PostgreSQL Row-Level Security)
- Autenticación con tokens JWT de corta duración y refresh rotatorio
- Registro de auditoría de cada consulta, acción administrativa y evento crítico (tabla append-only de adminAuditLogs)
- Verificación de origen en peticiones mutativas (CSRF defense) y rate limiting por organización
El contenido de consultas y respuestas se almacena en PostgreSQL sin cifrado adicional a nivel de columna. El aislamiento se garantiza por RLS — toda consulta a la base incluye automáticamente el filtro de organización bajo un rol de base de datos con privilegios acotados.
7. Procesamiento con Inteligencia Artificial
Sus consultas son procesadas por modelos de lenguaje operados por terceros bajo contratos de uso empresarial que prohíben explícitamente el uso de los datos del cliente para entrenamiento de modelos:
- Anthropic (Claude) — generación de respuestas y razonamiento agéntico
- OpenAI — generación de embeddings (vectores semánticos) para búsqueda
- Voyage AI — embeddings de fallback cuando el proveedor primario no está disponible
Los prompts enviados incluyen su consulta y el contexto legal relevante. No se envían identificadores personales más allá del necesario para operar el servicio.
8. Sub-procesadores
Para operar el servicio, Actanova utiliza los siguientes proveedores externos (sub-procesadores) que procesan datos en nuestro nombre. Esta lista es pública y se mantiene actualizada:
| Proveedor | Jurisdicción | Finalidad |
|---|---|---|
| Anthropic, PBC | Estados Unidos | Procesamiento de consultas con IA (Claude) |
| OpenAI, LLC | Estados Unidos | Generación de embeddings vectoriales |
| Voyage AI | Estados Unidos | Embeddings de fallback |
| Cloudflare, Inc. (R2) | Estados Unidos (almacenamiento distribuido global) | Almacenamiento cifrado de documentos |
| Hetzner Online GmbH | Alemania / Finlandia (Unión Europea) | Infraestructura de cómputo, base de datos PostgreSQL y Redis |
| Stripe, Inc. | Estados Unidos (con filiales UE e Irlanda para clientes europeos) | Procesamiento de pagos y facturación |
| Resend | Estados Unidos | Envío de correos transaccionales |
| Google LLC | Estados Unidos | Integraciones opcionales con Drive y Calendar (solo si el usuario las habilita) |
Todos los sub-procesadores operan bajo acuerdos contractuales que exigen medidas de seguridad equivalentes o superiores a las que aplicamos internamente. Cualquier incorporación o sustitución de sub-procesadores será comunicada al administrador de la organización con al menos 30 días de anticipación. Consultas específicas a soporte@actanova.ai.
9. Cookies y Tecnologías de Seguimiento
Actanova utiliza cookies y tecnologías similares únicamente para operar el servicio. No se emplean cookies publicitarias, de perfilamiento comercial ni de terceros con fines de marketing.
| Categoría | Finalidad | Base legal |
|---|---|---|
| Esenciales | Sesión autenticada, refresh token, protección CSRF, balanceo de carga | Ejecución del contrato — no requieren consentimiento |
| Funcionales | Preferencias de jurisdicción, idioma, tema visual, estado del panel | Interés legítimo — desactivables desde el navegador |
| Analíticas | Métricas agregadas de uso del servicio (conteo de sesiones, errores, latencias) sin identificar al usuario final | Interés legítimo, con posibilidad de oposición |
| Publicitarias o de perfilamiento | No se utilizan | No aplica |
Usted puede bloquear o eliminar cookies desde la configuración de su navegador. El bloqueo de cookies esenciales puede impedir el funcionamiento del servicio.
10. Retención de Datos
Conservamos su información mientras su cuenta esté activa. Políticas específicas de retención:
- Consultas y sesiones de chat: retención configurable por administrador de la organización, eliminación automatizada una vez vencido el período.
- Documentos subidos: conservados mientras la cuenta esté activa; archivos marcados para exportación se eliminan según el período de retención configurado.
- Registros de auditoría: conservados hasta por dos años para fines de seguridad y cumplimiento, luego se anonimizan o eliminan.
- Cuenta cancelada: datos personales y documentos se eliminan dentro de los treinta días siguientes a la solicitud de eliminación, salvo que la ley exija su conservación por un período mayor (por ejemplo, registros contables).
11. Sus Derechos
Usted tiene derecho a:
- Acceder a sus datos personales almacenados en Actanova
- Solicitar la corrección de datos inexactos o desactualizados
- Solicitar la eliminación de su cuenta y datos asociados (derecho al olvido)
- Exportar sus consultas, expedientes e historial en un formato estructurado y legible por máquina (portabilidad)
- Revocar el consentimiento para el tratamiento de sus datos
- Oponerse a tratamientos basados en interés legítimo
- Presentar reclamo ante la autoridad de protección de datos correspondiente
Estos derechos pueden ejercerse desde el panel de configuración de su cuenta o escribiendo a soporte@actanova.ai. Las solicitudes se atienden dentro de un plazo máximo de 10 días hábiles desde la recepción de la solicitud completa y verificada. Cuando por la complejidad del requerimiento se necesite más tiempo, se lo informaremos con la justificación correspondiente antes de vencido ese plazo.
12. Menores de Edad
Actanova es un servicio profesional dirigido a personas mayores de edad en ejercicio de actividades jurídicas. No está diseñado ni orientado a menores de 18 años y no recolectamos de manera consciente datos personales de personas menores de esa edad. Si detectamos que se han registrado datos de un menor sin el consentimiento del representante legal, procederemos a su eliminación inmediata. Cualquier sospecha en este sentido puede comunicarse a soporte@actanova.ai.
13. Marco Normativo — Costa Rica
Para usuarios ubicados en Costa Rica, Actanova opera en cumplimiento con el marco nacional de protección de datos personales y las regulaciones específicas del Poder Judicial que inciden en el uso de bases de datos judiciales.
13.1 Ley 8968 — Protección de la Persona frente al tratamiento de sus datos personales
Actanova trata datos personales conforme a los principios de la Ley 8968 y su Reglamento N° 37554-JP:
- Consentimiento informado: el uso del servicio implica la aceptación expresa de esta política, que describe qué datos se recolectan y con qué finalidad.
- Calidad de la información: usted puede corregir sus datos desde el panel o solicitarlo a soporte.
- Finalidad: los datos se tratan exclusivamente para la prestación del servicio. El aislamiento por organización impide cruces de finalidad entre firmas.
- Seguridad: aplicamos controles técnicos y organizativos descritos en la sección 6.
13.2 Autoridad de control — PRODHAB
La Agencia de Protección de Datos de los Habitantes (PRODHAB) es la autoridad competente para supervisar el tratamiento de datos personales en Costa Rica. Usted puede presentar reclamos o consultas ante PRODHAB si considera que sus derechos bajo la Ley 8968 no están siendo respetados.
13.3 Transferencia internacional de datos (Art. 14 Ley 8968)
Algunos sub-procesadores (ver sección 8) operan desde Estados Unidos u otras jurisdicciones fuera de Costa Rica. Estas transferencias se realizan bajo:
- Su consentimiento informado al aceptar esta política al momento del registro.
- Cláusulas contractuales de tratamiento de datos con cada sub-procesador, que incluyen garantías equivalentes a las exigidas por la Ley 8968 y, cuando aplica, Cláusulas Contractuales Tipo del RGPD para transferencias fuera del Espacio Económico Europeo.
- Necesidad técnica para la prestación del servicio contratado (procesamiento con IA, almacenamiento, envío de correos, cobros).
13.4 Reglamento Corte Plena 33-2024 — Nexus PJ
El módulo de monitoreo de expedientes judiciales opera en estricto cumplimiento del Reglamento 33-2024 sobre bases de datos del Poder Judicial:
- Consulta bajo demanda: las consultas a Nexus PJ se realizan únicamente sobre expedientes que usted explícitamente suscribe al monitoreo. No se generan respaldos masivos ni réplicas de la base de datos del Poder Judicial.
- Finalidad acotada: los datos obtenidos de cada consulta se asocian exclusivamente al expediente específico del caso que usted gestiona, sin cruces entre casos ni uso para fines distintos al solicitado.
- Confidencialidad: la información de los expedientes consultados está protegida por el mismo aislamiento por organización que el resto de sus datos. No se agrega al catálogo público ni al índice compartido de búsqueda jurisprudencial.
- Trazabilidad: cada consulta queda registrada en el historial de auditoría con el usuario que la originó, permitiendo reconstruir cualquier interacción si una autoridad lo requiere.
13.5 Acuerdo de Procesamiento de Datos (DPA)
Para clientes que, por el volumen o sensibilidad de su operación, requieran formalizar la relación de tratamiento de datos, Actanova facilita un Acuerdo de Procesamiento de Datos (DPA) firmable que documenta los roles de responsable y encargado, la lista vigente de sub-procesadores, las medidas técnicas y organizativas de seguridad, las obligaciones de notificación ante incidentes y los mecanismos de auditoría. El borrador del DPA se envía en un plazo máximo de 5 días hábiles tras solicitarlo a soporte@actanova.ai y admite revisión y contra-borrador del cliente antes de la firma.
14. Marco Normativo — Guatemala
Guatemala no cuenta actualmente con una ley específica y general de protección de datos personales equivalente a la Ley 8968 de Costa Rica. Para usuarios ubicados en Guatemala, Actanova aplica voluntariamente los mismos estándares técnicos y organizativos descritos en esta política y reconoce como referencia el marco constitucional vigente:
- Constitución Política de la República de Guatemala, Art. 24 — inviolabilidad de la correspondencia, documentos y libros privados.
- Código Procesal Civil y Mercantil y Ley de Acceso a la Información Pública (Decreto 57-2008) — principios de confidencialidad de datos personales en posesión de sujetos obligados.
- Iniciativas legislativas en curso — cuando entre en vigor una ley general guatemalteca de protección de datos personales, actualizaremos esta política para incorporar los nuevos requisitos formales.
15. Incidentes de Seguridad
En caso de que detectemos una vulneración de seguridad que afecte sus datos personales, notificaremos al administrador de su organización en un plazo máximo de 72 horas desde la detección, con la información disponible en ese momento y las medidas de contención adoptadas. Cuando la ley lo exija, también notificaremos dentro de ese mismo plazo a la autoridad de control competente (PRODHAB en Costa Rica, autoridad equivalente en la jurisdicción del titular afectado). Mantenemos procedimientos internos de respuesta a incidentes y realizamos pruebas periódicas de nuestros controles.
16. Cambios a esta Política
Podemos actualizar esta política para reflejar cambios en el servicio, en la legislación aplicable o en nuestros sub-procesadores. Cualquier cambio sustantivo se notificará por correo electrónico al administrador de su organización con al menos treinta días de anticipación. El uso continuado del servicio después de la entrada en vigor de una nueva versión implica la aceptación de la misma.
17. Contacto
Para cualquier consulta sobre privacidad, ejercicio de derechos, solicitud de DPA o reclamos relacionados con el tratamiento de sus datos, escríbanos a soporte@actanova.ai.