Vincular mi organización
Política de datos

Política de Tratamiento de Datos Personales

EC Lawyers · Conforme a la Ley 1581 de 2012, el RGPD y la CCPA · Para ejercer derechos: habeasdata@ec-lawyers.co

EC Lawyers (en adelante también "la Firma" o "nosotros")
Domicilio Medellín, Colombia
Correo de contacto general ec-lawyers@ec-lawyers.co
Correo para el ejercicio de derechos como titular habeasdata@ec-lawyers.co
Sitio informativo https://ec-lawyers.co
Plataforma de servicios https://app.ec-lawyers.co
Versión de esta política 3.4
Fecha de vigencia 31 de mayo de 2026

1. Quiénes somos y por qué esta política

EC Lawyers es una firma de abogados con domicilio en Medellín, Colombia, que presta servicios jurídicos de consulta, conceptos, representación extrajudicial y judicial, y servicios accesorios, a través de canales presenciales, telefónicos, electrónicos y de una plataforma digital propia (https://app.ec-lawyers.co) que automatiza parcialmente la operación.

Esta política es transversal y aplica a todos los titulares de datos personales con quienes la Firma tiene relación, no únicamente a sus clientes. Cubre, entre otros, a clientes actuales y potenciales, abogados y demás personal vinculado, candidatos a empleo o vinculación, contratistas y consultores, proveedores de bienes y servicios y su personal de contacto, peritos y colaboradores externos, visitantes a las sedes físicas, usuarios del sitio informativo y del chatbot, y terceros cuya información se trata en el marco de un caso (ver secciones 2.0 y 7).

Esta política describe cómo recopilamos, usamos, compartimos, conservamos, protegemos y permitimos controlar los datos personales que tratamos en el ejercicio de nuestra actividad profesional, en cumplimiento de:

  • Colombia — Ley Estatutaria 1581 de 2012; Decreto Reglamentario 1377 de 2013; Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio (SIC); Ley Estatutaria 1266 de 2008 (modificada por la Ley 2157 de 2021) en lo aplicable a información financiera, crediticia, comercial, de servicios y proveniente de terceros países.[^ley1581][^decreto1377][^ley1266][^ley2157]
  • Unión Europea — Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD).[^gdpr]
  • California, EE.UU. — California Consumer Privacy Act de 2018 (CCPA), modificada por California Privacy Rights Act de 2020 (CPRA).[^ccpa]

Adicionalmente, y de manera transversal a todo lo anterior, EC Lawyers está sujeta a un régimen reforzado de secreto profesional del abogado (Constitución Política art. 74; Ley 1123 de 2007 —Código Disciplinario del Abogado— art. 28 numeral 9, que consagra el deber de guardar el secreto profesional, y art. 34 literal f, que tipifica su violación como falta de lealtad con el cliente)[^const74][^secreto-ley1123] que se describe en la sección 5.

2. Información que recopilamos

Recopilamos información personal por varios canales y para distintas finalidades, y de distintas categorías de titulares. Las siguientes tablas resumen el panorama.

2.0. Categorías de titulares cuyos datos tratamos

Categoría de titular Información típica que tratamos Finalidades específicas
Clientes actuales y potenciales (personas naturales o representantes legales de personas jurídicas) Identificación, contacto, datos del caso, documentos y archivos aportados, historial de servicios, datos de pago. Prestación de los servicios jurídicos, facturación, comunicación, defensa de los derechos del cliente, gestión del expediente.
Peticionarios distintos del pagador (cuando alguien paga el servicio a nombre de un tercero) Identificación, datos de contacto, datos del caso. Prestación del servicio jurídico al peticionario; el pagador autoriza el tratamiento al iniciar.
Terceros mencionados en el caso (contraparte, testigos, familiares, fallecidos en sucesión, deudores o acreedores, socios, etc.) Identificación, hechos relevantes al caso, datos financieros o sensibles cuando el caso lo amerite. Defensa de los derechos del cliente, conforme a las bases descritas en la sección 7 (en particular, tratándose de datos sensibles necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, la excepción del art. 6 lit. d de la Ley 1581).
Abogados, asistentes jurídicos, paralegales y demás personal de la Firma Datos personales y profesionales (nombre, documento, tarjeta profesional, correo SIRNA, especialidades, jurisdicciones, hoja de vida, datos bancarios para nómina, beneficiarios, contactos de emergencia). Vinculación laboral o contractual, asignación de casos, comunicaciones internas, cumplimiento de obligaciones laborales y de seguridad social, control disciplinario interno, registro ante el Ministerio del Trabajo cuando corresponda, acreditación de personal en procesos de contratación en los que participe la Firma (sección 3.5).
Candidatos a vinculación (procesos de selección) Hoja de vida, datos de contacto, referencias profesionales y personales, resultados de pruebas de selección, antecedentes que el candidato aporte voluntariamente. Selección de personal y acreditación de personal en procesos de contratación en los que participe la Firma (sección 3.5). Los datos de candidatos no seleccionados se conservan por los plazos previstos en la sección 11 y luego se eliminan, salvo autorización expresa para conservarlos para futuras oportunidades o para la acreditación de la sección 3.5.
Proveedores y contratistas (incluido su personal de contacto) Razón social o nombre, NIT o documento, dirección, datos de contacto del representante legal y de las personas con quienes la Firma se relaciona operativamente, datos bancarios para pagos, certificaciones (RUT, cámara de comercio, aportes a seguridad social cuando corresponda). Contratación, ejecución contractual, pagos, cumplimiento tributario (reportes DIAN, retenciones), gestión documental y de calidad ISO 9001, auditoría.
Peritos, consultores externos y colaboradores eventuales Datos profesionales, datos de pago, contenido de los informes o entregables que produzcan para la Firma. Apoyo profesional a la operación o a los casos de los clientes.
Visitantes a las sedes físicas de la Firma El control de acceso al inmueble (registro de ingreso, circuito cerrado de televisión cuando exista) lo realiza la administración de la propiedad horizontal donde se ubica la sede de la Firma, en su condición de responsable autónomo de ese tratamiento. EC Lawyers, por su parte, registra en su propia plataforma los datos básicos de la visita que recibe (nombre y documento del visitante, fecha y hora, profesional o área anfitriona, motivo declarado), a efectos de seguridad operacional, trazabilidad de la atención y alineación con su sistema de gestión documental. Control interno de la atención presencial, trazabilidad de las reuniones, cumplimiento de los marcos ISO 9001:2015 e ISO 27001:2022. La política de tratamiento aplicable al control de acceso al edificio es la de la administración de la propiedad horizontal correspondiente.
Usuarios del sitio informativo y del chatbot de soporte Datos de navegación, mensajes intercambiados, correo y datos básicos cuando solicitan derivación humana. Atención de consultas comerciales, soporte de uso de la plataforma, mejora del producto.

Para cada categoría aplican las bases legales que correspondan según las normas vigentes (sección 4) y los plazos de conservación específicos (sección 11).

2.1. Por canal de captura

Canal Información típica
Sitio informativo (ec-lawyers.co) Datos de navegación: dirección IP, identificador de sesión, páginas visitadas, navegador y dispositivo.
Chatbot de soporte (widget incrustado en el sitio) Mensajes de texto que usted envía; correo electrónico y datos básicos de contacto si solicita derivación a un agente humano; identificador hasheado de su conexión (no su IP en claro).
Formulario de inicio de Temis Orienta — Consulta jurídica asistida por IA Tipo de persona (natural o jurídica); nombre completo o razón social; representante legal; tipo y número de documento de identidad; ciudad; dirección de notificación; teléfono; correo electrónico; confirmación de mayoría de edad; aceptación de esta Política y de los Términos y Condiciones.
Conversación con el asistente jurídico (servicio "Temis Orienta — Consulta jurídica asistida por IA") Todo lo que usted comparta voluntariamente sobre los hechos jurídicos de su caso: relato de los sucesos, fechas, lugares, personas involucradas, vínculos, antecedentes; archivos que adjunte como medios de prueba; grabaciones de voz si decide usar la transcripción.
Servicios de consulta con abogado titulado, concepto jurídico, representación extrajudicial y judicial Toda la información necesaria para prestar el servicio: hechos del caso, documentos del expediente, pruebas, datos de la contraparte y terceros involucrados, antecedentes judiciales o disciplinarios cuando se hayan compartido voluntariamente, datos financieros cuando estén vinculados al caso.
Pago de servicios (pasarela Wompi y, cuando aplique, facturación electrónica Alegra) Datos del pagador (nombre, identificación, correo, teléfono); método de pago seleccionado; identificador de la transacción; comprobante de pago. No conservamos datos completos de su tarjeta de crédito o débito — esos los procesa directamente la pasarela Wompi.
Correos transaccionales y comunicaciones del servicio Su correo electrónico; el contenido de los mensajes que intercambiamos con usted; los archivos adjuntos.
Cuenta del cliente registrado en la plataforma Correo electrónico vinculado a su cuenta; identificador único; historial de aceptaciones (Habeas Data, Términos y Condiciones, autorizaciones complementarias) con sus respectivas versiones, fecha y evidencia probatoria; historial de consultas y servicios.

2.2. Por categoría legal

Para efectos del RGPD y de la legislación colombiana, las categorías de información personal que tratamos incluyen:

  • Datos de identificación: nombre, documento de identidad, fecha de nacimiento cuando se aporta voluntariamente.
  • Datos de contacto: correo electrónico, teléfono, dirección postal.
  • Datos financieros: información sobre pagos efectuados a la Firma; información financiera y crediticia que usted nos comparta para el desarrollo de su caso (sujeta al régimen especial descrito en la sección 6).
  • Datos transaccionales: identificadores y registros de pagos por servicios de la Firma.
  • Datos técnicos y de dispositivo: dirección IP (almacenada como hash criptográfico, no en texto plano), agente de usuario del navegador, identificadores de sesión.
  • Datos de comunicación: contenido de mensajes, correos, archivos, transcripciones de voz.
  • Datos de categoría especial (sensibles): véase sección 8.
  • Datos sobre infracciones y procesos: cuando son objeto del servicio jurídico que usted contrata (por ejemplo, antecedentes que usted aporta para su defensa).

3. Finalidades del tratamiento

Tratamos sus datos personales para las siguientes finalidades, todas relacionadas con el objeto social de la Firma:

3.1. Finalidades principales (sin las cuales no podemos prestar el servicio)

  1. Prestación de los servicios jurídicos contratados: consulta, concepto, representación extrajudicial y judicial, gestión de trámites, y servicios accesorios.
  2. Identificación inequívoca del cliente y, cuando corresponda, del peticionario y de terceros involucrados en el caso.
  3. Comunicación con el cliente sobre el desarrollo del servicio: envío de orientaciones, escritos, citas, notificaciones, recordatorios y novedades del caso.
  4. Facturación y cumplimiento de obligaciones tributarias: emisión de factura electrónica o cuenta de cobro; reportes ante la DIAN; soporte de la operación contable.
  5. Procesamiento de pagos mediante pasarelas autorizadas.
  6. Cumplimiento de obligaciones legales, regulatorias y de control: SIC, DIAN, Superintendencia Financiera, Ministerio de Justicia, autoridades judiciales, autoridades disciplinarias del abogado, entre otras.
  7. Gestión interna del expediente del cliente: organización del caso, asignación de abogados, registro de actuaciones, archivo digital.

3.2. Finalidades secundarias (sujetas a su consentimiento expreso adicional)

  1. Envío de comunicaciones comerciales y de contenido jurídico de actualidad: boletines, alertas normativas, novedades de servicios. Solo si usted marca expresamente la casilla correspondiente.
  2. Realización de encuestas de satisfacción y mejora del servicio.
  3. Análisis estadísticos agregados y anonimizados para mejora interna de procesos y de la plataforma.
  4. Medición y optimización de las campañas publicitarias propias de la Firma mediante cookies de marketing y eventos de conversión server-side (ver Sección 15). Solo si usted acepta expresamente el aviso de cookies al ingresar al sitio o a la plataforma.

3.3. Finalidades técnicas y de seguridad

  1. Prevención de fraude, uso indebido de la plataforma y abuso de los servicios (por ejemplo: detección de intentos automatizados, suplantación, fraude en pagos).
  2. Auditoría operacional y cumplimiento de los marcos ISO 9001:2015 e ISO 27001:2022 que la Firma observa para gestión de calidad y seguridad de la información.
  3. Defensa de los intereses legítimos de la Firma ante eventuales reclamaciones o procesos judiciales o administrativos.

3.4. Atribución de origen del cliente (ejecución del contrato)

Cuando usted llega a nuestra plataforma desde un anuncio publicitario de la Firma, los parámetros de origen presentes en la URL —tales como gclid (identificador opaco de Google Ads), fbclid (identificador opaco de Meta), utm_source, utm_medium, utm_campaign— se capturan en su navegador y se asocian al pago que usted realice por nuestros servicios. Estos identificadores son opacos: no contienen información personal directa. Su finalidad es permitir a la Firma saber qué campaña le ofreció el servicio, lo que es esencial para administrar el costo de adquisición y, por consiguiente, mantener los precios de Temis Orienta accesibles. Esta finalidad se ampara en la ejecución del contrato que usted celebra con la Firma al pagar el servicio (Art. 6 lit. c y d Ley 1581/2012) y, en el caso del RGPD, en el interés legítimo del responsable (Art. 6.1.f RGPD). No requiere consentimiento adicional al banner de cookies. Si usted no desea que se realice esta atribución, puede llegar al sitio y a la plataforma escribiendo la URL directamente en la barra de su navegador (sin pasar por un anuncio).

3.5. Acreditación de personal en procesos de contratación

Cuando usted aporta su hoja de vida y sus datos a la Firma —ya sea para postularse a una convocatoria, ya sea por encontrarse vinculado a ella mediante contrato de trabajo o de prestación de servicios— autoriza a EC Lawyers a usar esa información y su hoja de vida para acreditar, ante terceros, que la Firma cuenta con personal con las calidades exigidas en los procesos de contratación (públicos o privados) en los que la Firma participe y en los que se requiera demostrar la idoneidad del equipo que ejecutaría el contrato.

Esta autorización tiene dos garantías expresas:

  1. Compromiso de vinculación condicionado: la Firma solo adquiere el compromiso de vincular a la persona —si aún no lo está— en el evento de que resulte seleccionada en el proceso de contratación en el que la Firma esté participando con base en su perfil.
  2. Alcance: esta finalidad aplica tanto a los candidatos que aporten su hoja de vida a cualquier convocatoria (estén o no seleccionados para vincularse a la Firma) como al personal ya vinculado por contrato laboral o de prestación de servicios.

Esta autorización se entiende otorgada con el aporte de la hoja de vida o con la vinculación, y usted puede revocarla en cualquier momento escribiendo a habeasdata@ec-lawyers.co. Dado que esta autorización es, precisamente, la que habilita a la Firma para presentar su perfil ante terceros, su revocatoria implica que la Firma dejará de postularlo o presentarlo ante clientes de la plataforma (por ejemplo, para asignarle citas o casos) y en los procesos de contratación, públicos o privados, en los que la Firma participe:

  • Tratándose de candidatos, la revocatoria conlleva el desistimiento de su postulación.
  • Tratándose de personal vinculado, la revocatoria de esta autorización no pone fin, por sí sola, a la relación laboral o de prestación de servicios —que se rige por su propia base de tratamiento—, pero impide que la Firma lo presente o postule ante terceros mientras la revocatoria esté vigente.

En todo caso, la revocatoria opera hacia el futuro y no se extiende a los procesos de contratación en los que la Firma ya hubiera presentado su hoja de vida, los cuales continuarán su curso.

4. Bases legales del tratamiento

Cada finalidad anterior se sustenta en una o más bases legales reconocidas por las normas aplicables.

4.1. Bajo la Ley 1581 de 2012 (Colombia)

  • Autorización previa, expresa e informada del titular (regla general, art. 9).
  • Cumplimiento de obligaciones legales que pesan sobre la Firma (DIAN, control disciplinario, requerimientos judiciales).
  • Casos en que la ley no exige autorización (art. 10), entre ellos la información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial (art. 10 lit. a).
  • Datos sensibles necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial (excepción del art. 6 lit. d, relativa a datos sensibles), aplicable de manera particular al tratamiento de datos de terceros que el cliente comparte en el marco de su caso (sección 7).

4.2. Bajo el RGPD (UE)

  • Consentimiento del interesado (art. 6.1.a), para finalidades secundarias y, en general, para el inicio del servicio.
  • Ejecución de un contrato del que el interesado es parte (art. 6.1.b), para la prestación del servicio jurídico contratado.
  • Cumplimiento de obligación legal (art. 6.1.c), para obligaciones tributarias, regulatorias y disciplinarias.
  • Interés legítimo del responsable o de un tercero (art. 6.1.f), para finalidades como prevención de fraude, defensa de los intereses legítimos de la Firma, y tratamiento de datos de terceros necesarios para la defensa de los derechos del cliente.
  • Para datos de categoría especial: consentimiento explícito (art. 9.2.a) y, alternativamente, necesidad para la formulación, ejercicio o defensa de reclamaciones (art. 9.2.f) cuando aplique.

4.3. Bajo la CCPA/CPRA (California)

El tratamiento se enmarca en las "business purposes" definidas en la Sección 1798.140(e) del California Civil Code, en particular las relacionadas con prestación de servicios, gestión de cuentas, cumplimiento legal, seguridad y prevención de fraude. EC Lawyers no vende ni comparte información personal en el sentido definido por la CCPA/CPRA (Sección 1798.140(ad) y (ah)) — nuestros encargados de tratamiento actúan como "service providers" bajo contratos que prohíben expresamente el uso para fines propios.

5. Régimen reforzado de secreto profesional del abogado

Esta es la sección más importante de la política. EC Lawyers no es una plataforma tecnológica común que recopila datos: es una firma de abogados. La información que usted nos comparte en el marco de la relación profesional está doblemente protegida: por la normativa de datos personales que cubre el resto de esta política, y por el secreto profesional del abogado, que es un deber de orden superior consagrado en:

  • Constitución Política, art. 74, inciso segundo: "El secreto profesional es inviolable."
  • Ley 1123 de 2007 (Código Disciplinario del Abogado), art. 28 numeral 9: es deber profesional del abogado "guardar el secreto profesional, incluso después de cesar la prestación de sus servicios".[^secreto-ley1123]
  • Ley 1123 de 2007, art. 34 literal f: revelar o utilizar los secretos que el cliente haya confiado al abogado constituye falta de lealtad con el cliente, sancionable disciplinariamente.[^secreto-ley1123]
  • Jurisprudencia de la Corte Constitucional que reconoce el carácter reforzado e inviolable de este deber: Sentencia C-411 de 1993 (carácter inviolable del secreto profesional y deber de no declarar) y Sentencia C-301 de 2012 (que examinó el art. 34 lit. f de la Ley 1123 y avaló la excepción de revelar para evitar la comisión de un delito, condicionada al estado de necesidad).[^c411][^c301]

5.1. Qué significa esto en la práctica

  • La información que usted comparte con cualquier abogado de la Firma — incluso en una consulta inicial gratuita o exploratoria — queda bajo secreto profesional desde el primer momento. Esa información no puede ser revelada a terceros sin su consentimiento expreso, salvo orden judicial específica o las contadas excepciones legales taxativamente previstas.
  • El secreto profesional se extiende a todo el personal de la Firma (abogados, paralegales, personal administrativo, asesores tecnológicos) que tenga acceso a su información en razón de sus funciones, mediante acuerdos internos de confidencialidad.
  • El secreto profesional prevalece sobre las finalidades secundarias (marketing, análisis, mejora del producto) y sobre cualquier interés comercial. Su información jamás se usará para entrenamiento de modelos de inteligencia artificial de terceros, ni se compartirá con publicistas, brokers de datos o analíticos.

5.2. Niveles de aplicabilidad según el servicio

Los servicios de la Firma tienen niveles distintos de aplicación del secreto profesional, todos protegidos pero con matices operativos:

  1. Sitio informativo y chatbot de soporte — relación pre-contractual. El secreto profesional aún no se ha activado en sentido estricto, pero los principios de confidencialidad y minimización aplican. No comparta hechos jurídicos detallados en estos canales — están diseñados para preguntas comerciales y de uso.
  2. Temis Orienta — Consulta jurídica asistida por IA (servicio 1A) — la información jurídica que usted comparta con el asistente automatizado entra al ámbito de la Firma. Aunque dialogue con una herramienta de inteligencia artificial entrenada por Anthropic (sección 9), la información queda bajo secreto profesional desde su recepción por nuestros sistemas. La conversación es manejada por EC Lawyers, no por Anthropic, y el producto entregado es responsabilidad profesional de la Firma.
  3. Consulta con abogado titulado y Concepto jurídico — secreto profesional pleno entre usted y el abogado titulado responsable. Cuando, con su consentimiento expreso, la consulta se grabe, se transcriba o se materialice en concepto jurídico escrito (modalidad 1B con concepto o 1C complementario), el secreto profesional se extiende también a todo el personal y a los sistemas de la Firma que participen del procesamiento de esa información (paralegales, personal administrativo de soporte, asistentes IA internos como ClaudIA, sistemas de transcripción contratados como Deepgram, almacenamiento Supabase, repositorio documental). Cada uno de esos accesos está sujeto a acuerdos internos de confidencialidad y a controles técnicos de aislamiento, y opera bajo la responsabilidad disciplinaria del abogado titular del caso.
  4. Representación extrajudicial y judicial con poder otorgado — secreto profesional pleno + deberes adicionales del mandatario judicial (Ley 1564 de 2012, Código General del Proceso).
  5. Servicios accesorios y tareas internas — mismo nivel de protección que el servicio principal al que pertenecen.

5.3. Excepciones al secreto profesional

Las únicas circunstancias en las que la Firma puede revelar información protegida son:

a. Consentimiento expreso del cliente para una revelación específica y delimitada. b. Orden judicial específica emanada de autoridad competente y dentro de los límites de su competencia. c. Las excepciones taxativamente previstas en la ley, en particular la del art. 34 literal f de la Ley 1123 de 2007, que permite la revelación cuando el abogado "tenga necesidad de hacer revelaciones para evitar la comisión de un delito" —excepción que la Corte Constitucional, en la Sentencia C-301 de 2012, condicionó a los presupuestos del estado de necesidad—, o las demás que el legislador llegue a establecer. d. Cumplimiento de obligaciones regulatorias específicas (por ejemplo, prevención de lavado de activos cuando aplique a la Firma).

En todos los casos, la revelación se limitará al mínimo estrictamente necesario y se documentará para auditoría.

6. Régimen especial de información financiera y crediticia (Ley 1266 de 2008)

Por la naturaleza de los servicios jurídicos que prestamos, EC Lawyers maneja con frecuencia información financiera, crediticia, comercial, de servicios y proveniente de terceros países, regulada por la Ley Estatutaria 1266 de 2008, modificada por la Ley 2157 de 2021[^ley1266][^ley2157].

6.1. En qué roles puede actuar la Firma

EC Lawyers puede asumir, según el servicio prestado, los siguientes roles definidos por la Ley 1266:

Rol Estado actual Aplicabilidad
Operador (central de información) No aplica. EC Lawyers no es central de riesgo.
Fuente de información Facultad reservada. Cuando corresponda, la Firma se reserva el derecho de reportar a operadores de información (centrales de riesgo) la mora de clientes que incumplan obligaciones líquidas y exigibles con la Firma, así como hacerlo por encargo de clientes corporativos que le deleguen esa función. Cuando esto ocurra, la Firma cumplirá íntegramente los deberes del art. 8 de la Ley 1266 (calidad de la información, oportunidad en la actualización, atención al titular).
Usuario de información Facultad reservada. Cuando lo requiera para la prestación de servicios autorizados por el cliente, y previa suscripción contractual con las centrales de información, la Firma podrá consultar reportes crediticios bajo las restricciones del art. 7 de la Ley 1266 (uso exclusivo para los fines autorizados, no compartir con terceros).
Representante del titular Rutinario. La defensa del consumidor financiero frente a reportes negativos indebidos, la presentación de derechos de petición y reclamaciones a operadores de información, la interposición de recursos administrativos y la acción de tutela constituyen servicios habituales de la Firma.
Receptor incidental Rutinario. Es frecuente que el cliente nos aporte como medio de prueba reportes obtenidos directamente por él en Datacrédito, TransUnion, Procrédito u otras centrales.

6.2. Permanencia y caducidad del dato negativo

Cuando la Firma actúe como fuente reportando información negativa a una central de información, observará los términos de permanencia y caducidad previstos en el artículo 13 de la Ley 1266 de 2008, modificado por el artículo 3 de la Ley 2157 de 2021, que dispone:

  • Permanencia del dato negativo — el término de permanencia es el doble del tiempo de la mora, con un máximo de cuatro (4) años, contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea extinguida la obligación. Vencido ese término, el dato debe ser retirado de modo que los usuarios no puedan consultarlo (art. 13, inciso primero).
  • Caducidad del dato negativo — el dato negativo caduca una vez cumplido el término de ocho (8) años contados a partir del momento en que la obligación entró en mora; cumplido este término debe ser eliminado de la base de datos (art. 13, parágrafo 1). Nótese que la caducidad se cuenta desde la entrada en mora, no desde la extinción de la obligación.
  • Obligaciones de bajo monto — cuando se trate de obligaciones iguales o inferiores al 15 % de un (1) SMLMV, el dato negativo solo podrá reportarse después de al menos dos comunicaciones al titular en días distintos, mediando entre la última comunicación y el reporte veinte (20) días calendario (art. 13, parágrafo 2).

Para reportes sobre obligaciones vigentes (en mora actual, no extinguidas), aplican las reglas generales de permanencia de la Ley 1266, sus modificaciones y la jurisprudencia constitucional aplicable.

6.3. Información financiera del cliente vs. de terceros

Tanto si la información financiera proviene del cliente como de un tercero, EC Lawyers la tratará con estricta sujeción a la finalidad para la cual fue obtenida, sin compartirla más allá del equipo asignado al caso y de los terceros indispensables para su desarrollo (peritos, contraparte cuando proceda, autoridades).

7. Información de terceros que el cliente comparte

Es inherente a los servicios jurídicos que el cliente comparta información sobre personas distintas a sí mismo: contraparte, testigos, familiares, hijos menores en custodia o alimentos, fallecidos en sucesión, deudores o acreedores, socios, contratantes, peritos, etc.

7.1. Base legal del tratamiento

El tratamiento de esta información se ampara en:

  • Colombia
    • Tratándose de datos sensibles de terceros (p. ej. datos de salud, datos de menores, datos sobre la vida sexual), la excepción del art. 6 lit. d de la Ley 1581 de 2012, conforme a la cual sí puede tratarse el dato sensible cuando "el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial".
    • Cuando la información de un tercero es requerida por una autoridad o por orden judicial, el art. 10 lit. a de la Ley 1581 (casos en que no es necesaria la autorización).
    • Para los demás datos de terceros que el cliente aporta como soporte de su caso, el tratamiento se realiza en el marco del ejercicio del derecho de defensa del cliente y del mandato profesional, con sujeción estricta a la finalidad del caso y a los deberes de secreto profesional (sección 5); el tercero conserva íntegros sus derechos como titular (sección 7.3).
  • RGPD — el interés legítimo del cliente o de la Firma (art. 6.1.f) y, cuando aplique a datos de categoría especial, la necesidad para la formulación, el ejercicio o la defensa de reclamaciones (art. 9.2.f).

7.2. Limitaciones

La información sobre terceros se usa única y exclusivamente para el desarrollo del caso concreto del cliente. No se comparte con publicistas, no se incorpora a bases de datos de marketing, no se usa para análisis estadísticos identificables, no se vende ni se cede a terceros distintos a los necesarios para el caso.

7.3. Derechos de los terceros

Los terceros cuyos datos hayan sido aportados al expediente conservan sus derechos como titulares de información personal y pueden ejercerlos directamente ante la Firma escribiendo a habeasdata@ec-lawyers.co, sujeto al deber de secreto profesional del abogado y a las normas procesales aplicables al caso del cliente.

8. Categorías especiales (datos sensibles)

La Ley 1581 de 2012 (art. 5) y el RGPD (art. 9) definen como datos sensibles, entre otros: datos de salud, datos biométricos y genéticos, origen racial o étnico, orientación sexual, convicciones religiosas o filosóficas, afiliación sindical, datos sobre la vida sexual, datos sobre menores y datos sobre infracciones y procesos.

8.1. Recepción rutinaria

Por la naturaleza de los servicios jurídicos, es frecuente que la Firma reciba datos sensibles en el desarrollo de un caso: peritajes médicos, dictámenes psiquiátricos, datos sobre niños en custodia o alimentos, antecedentes judiciales o disciplinarios, datos sobre violencia intrafamiliar, datos sobre orientación o identidad cuando son relevantes al asunto, etc.

8.2. Base legal específica

  • En Colombia, el tratamiento de datos sensibles requiere autorización expresa y separada del titular (Ley 1581 art. 6), salvo las excepciones taxativas allí previstas. Al iniciar el servicio, usted otorga esa autorización con conocimiento de las finalidades específicas.
  • Bajo el RGPD, el tratamiento se ampara adicionalmente en la necesidad para la formulación, ejercicio o defensa de reclamaciones legales (art. 9.2.f).

8.3. Tratamiento reforzado

Los datos sensibles reciben un tratamiento reforzado:

  • Acceso restringido al equipo profesional directamente involucrado en el caso.
  • Segregación lógica dentro de los sistemas de la Firma.
  • Marca específica al subirlos: si usted carga un archivo que contiene datos sensibles, puede señalarlo expresamente al hacerlo, y el sistema lo registrará con un indicador de sensibilidad para tratamiento diferenciado.
  • En caso de brecha de seguridad que involucre datos sensibles, los plazos de notificación se acortan al máximo razonable (sección 17).

9. Encargados de tratamiento (proveedores tecnológicos)

Para prestar nuestros servicios contamos con encargados de tratamiento (proveedores tecnológicos) que procesan datos personales en nombre y por cuenta de EC Lawyers, bajo contrato y con instrucciones específicas. Ninguno de estos encargados puede usar la información para fines propios. La lista vigente es:

Encargado Finalidad Sede principal Transferencia internacional
Supabase (Supabase Inc.) Base de datos relacional, autenticación, almacenamiento de archivos. Estados Unidos. Sí (sección 10).
Anthropic (Anthropic, PBC) Procesamiento de las conversaciones con el asistente jurídico y con el chatbot de soporte mediante el modelo de inteligencia artificial Claude. Estados Unidos. Sí.
Deepgram (Deepgram, Inc.) Transcripción de notas de voz a texto. Estados Unidos. Sí.
Resend (Resend Inc.) Envío de correos electrónicos transaccionales. Estados Unidos. Sí.
Wompi (Wompi S.A.S., parte de Grupo Bancolombia) Procesamiento de pagos electrónicos. Colombia. No.
Alegra (Soluciones Alegra S.A.S.) Facturación electrónica DIAN y cuentas de cobro. Colombia. No.
Cloudflare (Cloudflare, Inc.) Red de distribución de contenidos, protección perimetral, prevención de tráfico automatizado. Estados Unidos, con presencia global. Sí.
Render (Render Inc.) Alojamiento y despliegue de la aplicación. Estados Unidos. Sí.
Zoho (Zoho Corporation) (i) Correo corporativo de la Firma. (ii) Sala de videollamada para las citas con abogado titulado mediante el servicio Zoho Meeting, operado por la Firma bajo dos organizaciones independientes: una organización general para todas las citas no protegidas y una organización reservada para asuntos penales en los que el cliente declare actuar como procesado o potencial procesado conforme a la cláusula II.5.4 del T&C. (iii) Esquema general: por razón estrictamente técnica del servicio, las citas se registran transitoriamente en la infraestructura del proveedor; si el cliente no consiente expresamente la conservación de la grabación, el registro transitorio se elimina automáticamente en un plazo no superior a 24 horas posteriores a la cita, sin descarga ni uso por parte de la Firma; si el cliente sí consiente al ingresar a la sala, la Firma descarga la grabación a su propia infraestructura y la conserva por los plazos de la Sección 11. El abogado titular dispone de la facultad excepcional de suspender momentáneamente la grabación durante la sesión cuando perciba riesgo de autoincriminación o afectación al secreto profesional (cláusula II.5.5 del T&C); los momentos de suspensión y reanudación quedan en los hitos administrativos. (iv) Esquema reservado: las citas se atienden en una organización Zoho Meeting con configuración técnica de no-grabación; en esta organización el registro de las citas no se produce siquiera en forma transitoria, ni descarga, ni transcripción, ni uso por parte de la Firma. India y Estados Unidos. Sí.
Meta Platforms (Meta Platforms, Inc., y filiales: Facebook Ireland Ltd. para titulares en la UE) Medición de la efectividad de las campañas publicitarias de la Firma en Facebook e Instagram mediante Meta Pixel (cliente-side) y Conversions API (server-side). Solo se activa con su consentimiento expreso en el banner de cookies. Los identificadores enviados (correo, teléfono, nombre) son hasheados con SHA-256 antes de salir de nuestros servidores; Meta no recibe el dato en claro. Estados Unidos; Irlanda para titulares UE. Sí (sección 10).
Google LLC Medición de la efectividad de las campañas publicitarias de la Firma en Google Search, YouTube y la Red de Display mediante Google Tag Manager, Google Analytics 4 y Google Ads Conversion Tracking (cliente-side + Offline Conversion Upload server-side). Solo se activa con su consentimiento expreso en el banner de cookies. La subida server-side se realiza con gclid (identificador opaco de Google) y el monto, sin enviar PII directa. Estados Unidos; Irlanda para titulares UE. Sí (sección 10).

EC Lawyers exige a cada encargado, mediante el contrato correspondiente, los estándares de seguridad y confidencialidad necesarios, incluyendo la prohibición de uso para fines propios y la obligación de retornar o eliminar los datos al término de la relación.

9.1. Proveedores de inicio de sesión (autenticación con cuentas de terceros)

Para facilitarle el acceso, la plataforma permite (o permitirá) iniciar sesión con su cuenta de proveedores de identidad externos. Actualmente está disponible el inicio de sesión con Google (Google LLC) y, a futuro, la Firma podrá habilitar el inicio de sesión con Microsoft (Microsoft Corporation), Apple (Apple Inc.) y Meta (Meta Platforms, Inc.).

En el paso de autenticación, estos proveedores no actúan como encargados de EC Lawyers, sino como responsables independientes (controladores autónomos): verifican su identidad bajo sus propias políticas de privacidad y solo nos comunican los datos mínimos que usted autorice al conectarse (típicamente su nombre y su correo electrónico). El tratamiento que el proveedor haga de su cuenta se rige por la política de privacidad de ese proveedor; el tratamiento que EC Lawyers haga del dato recibido se rige por esta Política. Usar estos botones es opcional: usted siempre puede crear y usar su cuenta con su correo electrónico, sin recurrir a un proveedor externo.

9.2. Herramientas internas que no tratan datos de los titulares

Algunas herramientas que la Firma utiliza para desarrollar y mantener la plataforma —por ejemplo, el repositorio de código fuente (GitHub, de GitHub, Inc. / Microsoft) y el editor de código de los desarrolladores (Visual Studio Code, de Microsoft Corporation)— no tienen la calidad de encargados del tratamiento de sus datos personales, porque procesan el código y la configuración de la aplicación, no la información personal de los titulares. Esa información personal reside en los sistemas de los encargados listados en la tabla anterior (principalmente Supabase). Por ello no se incluyen en la lista de encargados. Si en algún momento alguna de estas herramientas llegara a procesar datos personales de titulares, se incorporaría a la lista y se actualizaría esta Política.

10. Transferencias internacionales de datos

Algunos de nuestros encargados procesan datos en jurisdicciones distintas a Colombia, principalmente en Estados Unidos.

10.1. Para titulares en Colombia

La Ley 1581 de 2012 (art. 26) permite la transferencia internacional cuando el país receptor proporciona niveles adecuados de protección o cuando el titular ha otorgado autorización expresa e inequívoca. Al aceptar esta política, usted otorga esa autorización para las transferencias necesarias para la prestación del servicio, en los términos del literal (a) del art. 26.

10.2. Para titulares en la Unión Europea

Las transferencias a Estados Unidos y otros terceros países se realizan bajo los mecanismos previstos en el Capítulo V del RGPD (arts. 44 a 50):

  • Cláusulas contractuales tipo ("Standard Contractual Clauses") aprobadas por la Comisión Europea, suscritas con cada encargado.
  • Data Privacy Framework EU-US cuando el encargado esté certificado.
  • En su caso, las garantías adicionales que correspondan según la naturaleza del tratamiento.

Las copias de las cláusulas contractuales tipo aplicables pueden ser solicitadas a habeasdata@ec-lawyers.co.

10.3. Para titulares en California

Las relaciones con los encargados se rigen por contratos que califican a estos como "service providers" bajo la Sección 1798.140(ag) de la CCPA, prohibiendo el uso de la información personal para fines propios o para "venta" o "compartir" en el sentido legal definido.

11. Tiempo de conservación de los datos

Los datos personales se conservan únicamente durante el tiempo necesario para cumplir las finalidades para las cuales fueron recogidos, los plazos legales aplicables y los términos razonables de defensa de los intereses legítimos de la Firma. Los plazos típicos son:

Tipo de dato Plazo
Datos del expediente del cliente (consultas, mensajes, archivos, escritos) Mientras dure la prestación del servicio, más el plazo de prescripción de la acción ordinaria de responsabilidad civil contractual del profesional, que es de diez (10) años (art. 2536 del Código Civil, modificado por la Ley 791 de 2002). Con independencia de lo anterior, la acción disciplinaria por faltas a la ética del abogado prescribe en cinco (5) años (art. 24 de la Ley 1123 de 2007).
Datos contables y tributarios (pagos, facturas, cuentas de cobro) Mínimo cinco (5) años, conforme al art. 632 del Estatuto Tributario (modulado por el término de firmeza de la respectiva declaración, art. 46 de la Ley 962 de 2005), y hasta diez (10) años conforme al art. 60 del Código de Comercio (conservación de libros y papeles del comerciante), contados desde la emisión o el cierre del documento.
Datos de personal vinculado a la Firma (abogados, asistentes, paralegales, administrativos) Durante la vigencia del vínculo laboral o contractual y, una vez terminado, por el término en que pesen obligaciones laborales o de seguridad social. Las acciones laborales prescriben en tres (3) años contados desde que la respectiva obligación se hizo exigible (art. 488 del CST), sin perjuicio de los derechos imprescriptibles reconocidos por la jurisprudencia (entre ellos el reconocimiento del status pensional, frente al cual solo prescriben las mesadas no reclamadas). Adicionalmente, los documentos laborales se conservan por los términos que imponga la normativa de seguridad social y la conservación documental aplicable.
Datos de candidatos a vinculación no seleccionados Hasta 6 meses contados desde el cierre del proceso de selección, salvo que el candidato autorice expresamente la conservación para procesos futuros (hasta por 2 años o hasta que revoque la autorización) o que el perfil se conserve para la acreditación de personal en procesos de contratación (sección 3.5), caso en el cual se conserva mientras subsista esa finalidad o hasta que el candidato revoque la autorización.
Datos de proveedores y contratistas (datos de identificación, contractuales y de pago) Durante la vigencia del contrato y por el término que la legislación tributaria, comercial y laboral exija (mínimo 5 años, hasta 10 años en lo aplicable).
Aceptaciones de Habeas Data, Términos y Condiciones, y demás autorizaciones del titular Durante toda la vida útil de la cuenta, y al menos 10 años adicionales como prueba del consentimiento, conforme exige el art. 9 de la Ley 1581 de 2012.
Sesiones de consulta automatizada inactivas (servicio Temis Orienta — Consulta jurídica asistida por IA) Hasta 6 meses sin actividad, transcurridos los cuales la sesión se cierra. Los datos del expediente subsisten conforme al primer renglón de esta tabla.
Conversaciones con el chatbot de soporte La conversación se cierra a los 15 minutos sin actividad o de manera inmediata cuando se deriva a un agente humano. El registro queda en la base de datos para auditoría operacional por un plazo no mayor a 2 años, salvo que sea necesario conservarlo más tiempo por motivos legales o de defensa de la Firma.
Registros de auditoría operacional y logs técnicos Hasta 2 años.
Datos contenidos en bases de datos de marketing (cuando usted ha autorizado expresamente) Hasta que usted revoque la autorización o solicite su eliminación, lo que ocurra primero.
Reportes a centrales de información (cuando la Firma actúe como fuente, si llegara a hacerlo) Los términos máximos de permanencia previstos por la Ley 1266 de 2008 y la Ley 2157 de 2021 (sección 6.2).

Transcurridos los plazos aplicables, los datos se eliminan o anonimizan irreversiblemente.

12. Sus derechos como titular

Usted tiene los siguientes derechos sobre sus datos personales. Algunos provienen del régimen colombiano, otros del europeo y otros del californiano; cuando un derecho exista en más de una jurisdicción, lo reconocemos en su versión más amplia.

Derecho Base Qué le permite
Acceso / Derecho a saber Ley 1581 art. 8.b · RGPD art. 15 · CCPA § 1798.110 Conocer qué información tenemos sobre usted, su origen, sus finalidades, sus destinatarios y los plazos de conservación.
Portabilidad RGPD art. 20 Recibir sus datos en formato estructurado y de uso común, y transmitirlos a otro responsable.
Rectificación / Corrección Ley 1581 art. 8.a · RGPD art. 16 · CCPA § 1798.106 Solicitar la actualización, rectificación o corrección de datos inexactos o incompletos.
Supresión / Eliminación ("derecho al olvido") Ley 1581 art. 8.e · RGPD art. 17 · CCPA § 1798.105 Solicitar la eliminación de sus datos, con las excepciones legales aplicables (cumplimiento de obligaciones legales, prescripción de acciones, defensa de derechos).
Oposición RGPD art. 21 Oponerse a tratamientos basados en interés legítimo, incluido el marketing directo.
Limitación del tratamiento RGPD art. 18 Solicitar la suspensión temporal del tratamiento mientras se resuelve una disputa sobre exactitud o legitimidad.
Revocación de autorización Ley 1581 art. 8.c Retirar el consentimiento otorgado, cuando el tratamiento se base en él, sin efecto retroactivo. Aplica en particular a: (a) la autorización para recibir comunicaciones comerciales y de contenido jurídico (Sección 3.2 numeral 8), y (b) la aceptación de cookies de marketing (Sección 15.2). Para revocar cookies de marketing, además del canal habeasdata@ec-lawyers.co, hay un botón directo "Revocar consentimiento de cookies" disponible en el portal del cliente (/cliente/portal.html) y al pie de esta política. La revocación es inmediata para nuevas sesiones; los datos ya enviados a procesadores publicitarios bajo el consentimiento anterior se gestionan conforme a las políticas propias de Meta y Google.
Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos significativos RGPD art. 22 Solicitar revisión humana de cualquier decisión que se haya tomado exclusivamente con base en tratamiento automatizado. Importante: las orientaciones del servicio Temis Orienta — Consulta jurídica asistida por IA son producidas con asistencia de inteligencia artificial pero no constituyen ejercicio de la abogacía (Decreto 196 de 1971); para una decisión vinculante usted debe acceder al servicio de Consulta con abogado titulado o Concepto jurídico.
Presentar queja ante la autoridad de control Ley 1581 art. 8.d · RGPD art. 77 · CCPA/CPRA (ante la California Privacy Protection Agency / Attorney General) Acudir a la SIC (Colombia), a la autoridad nacional de protección de datos de su país miembro de la UE, o a la California Privacy Protection Agency / Attorney General, según corresponda.
No discriminación por ejercer derechos CCPA § 1798.125 No le negaremos el servicio, le cambiaremos el precio o le degradaremos la calidad por ejercer cualquier derecho aquí descrito.
Solicitar el ejercicio mediante representante Aplicable en todas las jurisdicciones A través de poder, representación legal o autorización expresa.

13. Cómo ejercer sus derechos

13.1. Canal único de atención

El canal oficial para ejercer cualquier derecho como titular es:

habeasdata@ec-lawyers.co

En su mensaje, por favor incluya:

  1. Su nombre completo y documento de identidad (para verificar su identidad).
  2. La descripción precisa del derecho que ejerce.
  3. En caso de actuar mediante representante, copia del documento que acredite la representación.
  4. La información o solicitud específica (qué dato quiere consultar, corregir, eliminar, etc.).

13.2. Canales automatizados desde la plataforma

Si tiene cuenta registrada en la plataforma (https://app.ec-lawyers.co), puede ejercer los siguientes derechos directamente desde su sesión autenticada:

  • Exportar todos sus datos (acceso + portabilidad) — un solo clic descarga toda la información que tenemos sobre usted.
  • Eliminar su cuenta y sus datos — sujeto a confirmación expresa y a los plazos legales de conservación obligatoria (sección 11).

13.3. Plazos de respuesta

  • Colombia (Ley 1581 / Decreto 1377): en consultas, máximo 10 días hábiles prorrogables por 5 más; en reclamos, máximo 15 días hábiles prorrogables por 8 más.
  • RGPD: un mes calendario, prorrogable por dos meses adicionales cuando la solicitud sea compleja, con notificación oportuna.
  • CCPA: 45 días calendario prorrogables por otros 45.

13.4. Si su solicitud es denegada

Tiene derecho a recibir explicación motivada y a acudir a las autoridades de control mencionadas en la sección 12.

14. Menores de edad

Los servicios de EC Lawyers están dirigidos a personas con plena capacidad legal para contratar (Código Civil colombiano arts. 1502 y 1503; equivalencias en cada jurisdicción).

14.1. Edad mínima

  • Colombia: 18 años cumplidos.
  • Unión Europea: 16 años o la edad inferior fijada por la legislación del Estado miembro del titular, conforme al art. 8.1 RGPD.
  • California: 16 años, con régimen reforzado para menores de 13 conforme a COPPA.

14.2. Verificación al inicio del servicio

Al iniciar cualquier servicio de la Firma, usted debe declarar bajo gravedad de juramento que cumple la edad mínima aplicable. Sin esa declaración expresa, el servicio no se prestará.

14.3. Datos de menores como objeto del servicio

Lo anterior no impide que adultos legalmente capaces contraten servicios cuyo objeto involucre datos de menores (custodia, alimentos, representación judicial de menores). En esos casos, la Firma trata los datos del menor en su condición de tercero relacionado con el caso del cliente adulto, bajo los mismos principios reforzados aplicables a datos sensibles (sección 8) y siempre amparada en la representación legal del menor.

14.4. Si usted es menor

Si usted es menor de la edad mínima y ha proporcionado datos personales sin autorización de quien ejerce la patria potestad o representación legal, comuníquese de inmediato con nosotros a habeasdata@ec-lawyers.co para proceder a la eliminación.

15. Cookies y tecnologías similares

Esta Sección 15 describe cómo EC Lawyers utiliza cookies y tecnologías equivalentes (localStorage, sessionStorage, identificadores opacos de URL, pixels) en el sitio informativo https://www.ec-lawyers.co y en la plataforma https://app.ec-lawyers.co. Distinguimos dos categorías con regímenes distintos: cookies esenciales (que se activan sin necesidad de su consentimiento) y cookies de marketing (que requieren su aceptación expresa en el banner de cookies).

15.1. Cookies esenciales (siempre activas)

Las siguientes son indispensables para que el servicio funcione y se amparan en la ejecución del contrato que usted celebra con la Firma al usar la plataforma (Art. 6 lit. c-d Ley 1581/2012; Art. 6.1.b RGPD). No requieren su consentimiento previo y no se pueden desactivar sin impedir el uso del servicio.

Cookie / mecanismo Origen Propósito Duración
sb-access-token, sb-refresh-token (Supabase Auth) Supabase (1ª parte) Mantener su sesión iniciada. Sesión + 1 hora (access), 7 días (refresh).
wompi_* Wompi (3ª parte) Procesar el pago durante la transacción. Mientras dura el checkout.
cf_clearance, __cf_bm Cloudflare (3ª parte) Protección anti-bot. Hasta 30 días.
ec_cookies_consent_v1 (localStorage) EC Lawyers (1ª parte) Registrar su decisión sobre cookies de marketing y la versión de la Política aceptada. 1 año o hasta nueva versión de la Política.
ec_tracking_v1 (localStorage) EC Lawyers (1ª parte) Conservar los identificadores opacos de origen del cliente (gclid, fbclid, utm_*) durante 90 días para atribuir correctamente el servicio que usted contrata a la campaña que se lo ofreció. Ver Sección 3.4. 90 días.

15.2. Cookies de marketing (requieren consentimiento expreso)

Si y solo si usted acepta el aviso de cookies que aparece la primera vez que ingresa al sitio o a la plataforma, EC Lawyers activa las siguientes herramientas de medición publicitaria. Su finalidad es medir la efectividad de nuestras propias campañas y reducir el costo de adquisición para mantener accesibles los precios de Temis Orienta. La base legal es su consentimiento expreso (Art. 9 Ley 1581/2012; Art. 6.1.a RGPD).

Mecanismo Procesador Datos que se envían Duración
Meta Pixel (_fbp, _fbc y eventos cliente-side) Meta Platforms, Inc. Eventos de navegación de la plataforma (vista de página, inicio de checkout, compra). Identificadores propios del Pixel. _fbp: 90 días. _fbc: 90 días.
Meta Conversions API (eventos server-side) Meta Platforms, Inc. Eventos de pago confirmado enviados desde nuestro servidor con los siguientes datos del cliente hasheados con SHA-256 antes de salir de nuestros servidores: correo electrónico, teléfono, nombre, apellido, ciudad. Meta NO recibe estos datos en claro. Adicionalmente, dirección IP y user agent del navegador para deduplicación contra el Pixel y detección de fraude (estos sí en claro). El procesamiento es por evento; Meta los retiene conforme a sus políticas.
Google Tag Manager + Google Analytics 4 (_ga, _gid) Google LLC Eventos de navegación. Identificadores propios de Google. _ga: 2 años. _gid: 24 horas.
Google Ads Conversion Tracking (cliente-side) Google LLC Eventos de conversión cuando usted completa un pago. Hasta 540 días.
Google Ads Offline Conversion Upload (server-side) Google LLC gclid (identificador opaco del clic en el anuncio) + monto + identificador interno del pedido. Sin PII directa. Procesamiento por evento.

Estas cookies y mecanismos se desactivan inmediatamente si usted rechaza el aviso o si más adelante revoca su consentimiento desde la plataforma (botón "Revocar consentimiento de cookies" disponible en el portal del cliente y al pie de esta Política).

15.3. Cómo controlar las cookies

Tiene cuatro vías para controlar su consentimiento:

  1. Banner de cookies al ingresar: la primera vez que llega al sitio o a la plataforma, aparece un banner con los botones "Aceptar todas" y "Solo cookies esenciales". Si no toma una decisión, no se activan las cookies de marketing.
  2. Revocar después: en cualquier momento puede revocar el consentimiento desde el portal del cliente (https://app.ec-lawyers.co/cliente/portal.html → opciones de la cuenta → "Revocar consentimiento de cookies"). La revocación toma efecto inmediatamente para nuevas sesiones; las cookies ya escritas se borran del navegador.
  3. Configuración del navegador: puede configurar su navegador para rechazar todas las cookies o eliminarlas en cualquier momento. Rechazar las cookies estrictamente necesarias puede impedir el uso de la plataforma.
  4. Opt-out directo en los procesadores: puede configurar su preferencia general en https://www.facebook.com/adpreferences/ad_settings (Meta) y https://adssettings.google.com/ (Google).

15.4. Atribución sin cookies (gclid, fbclid, utm_* en la URL)

Como se explica en la Sección 3.4, cuando usted llega al sitio desde un anuncio nuestro, la URL puede contener parámetros como gclid, fbclid o utm_*. Estos parámetros NO son cookies y NO requieren su consentimiento bajo Ley 1581/2012 ni bajo la guía de la SIC sobre cookies, porque (a) son identificadores opacos sin PII directa, (b) se generan al momento del clic y se asocian al pago que usted realice, no al perfilamiento de su comportamiento, y (c) son indispensables para que la Firma pueda saber qué campaña le ofreció el servicio (ejecución del contrato + interés legítimo del responsable).

Estos parámetros se persisten en su navegador (localStorage) durante 90 días para que, si usted vuelve a la plataforma sin pasar por el anuncio, el sistema siga sabiendo que su visita inicial provino de esa campaña.

15.5. Qué NO hacemos

  • No realizamos perfilamiento comportamental de los visitantes (no inferimos rasgos personales, intereses, salud, religión, etc. a partir de su navegación).
  • No participamos en mercados de datos: no vendemos, alquilamos ni intercambiamos los identificadores recogidos con corredores de datos (data brokers) ni con terceros distintos a Meta y Google en su rol de procesadores de la medición publicitaria propia descrita arriba.
  • No usamos cookies para decisiones automatizadas con efecto jurídico sobre usted (Art. 22 RGPD; Art. 18 Ley 1581).
  • No realizamos seguimiento entre sitios no afiliados (cross-site tracking) más allá de la sincronización entre www.ec-lawyers.co y app.ec-lawyers.co, que son sitios bajo el mismo grupo controlador.

16. Seguridad de los datos

EC Lawyers aplica medidas técnicas y organizativas razonables para proteger los datos personales contra acceso no autorizado, pérdida, alteración o divulgación indebida. Entre otras:

  • Cifrado en tránsito mediante HTTPS/TLS en todas las comunicaciones entre el navegador y la plataforma.
  • Aislamiento por organización (Row-Level Security) en la base de datos: cada conjunto de datos solo es accesible para los usuarios y sistemas autorizados por su pertenencia organizacional y por su rol.
  • Hash criptográfico de identificadores cuasi-personales (direcciones IP) antes de su almacenamiento, evitando la exposición en caso de brecha.
  • Firma criptográfica de enlaces de acceso (magic links) con HMAC para prevenir su falsificación.
  • Autenticación passwordless mediante magic link nativo de Supabase Auth, evitando la gestión y exposición de contraseñas.
  • Hash SHA-256 de cada documento generado para verificar su integridad.
  • Segregación de accesos por roles dentro del equipo de la Firma.
  • Acuerdos de confidencialidad con todo el personal y con los encargados de tratamiento.
  • Marcos ISO 9001:2015 e ISO 27001:2022 observados de manera transversal para gestión de calidad y seguridad de la información.

Ninguna medida de seguridad es absoluta. Si llegáramos a tener conocimiento de un acceso indebido a datos personales suyos, le notificaremos conforme a la sección 17.

17. Notificación de brechas de seguridad

En caso de que se produzca una violación de seguridad que afecte sus datos personales y que pueda comportar un riesgo para sus derechos, EC Lawyers procederá conforme a las normas aplicables:

  • Colombia: reporte al Registro Nacional de Bases de Datos (RNBD) administrado por la SIC dentro de los quince (15) días hábiles siguientes al momento en que el incidente se detecte y sea puesto en conocimiento del área encargada de atenderlo (Circular Externa 002 de 2015 de la SIC), y notificación a los titulares cuando el riesgo lo justifique.
  • Unión Europea: notificación a la autoridad de control en un plazo máximo de 72 horas desde el conocimiento de la brecha (RGPD art. 33), y al interesado sin dilación indebida cuando la brecha entrañe un alto riesgo (RGPD art. 34).
  • California: notificación al titular en el momento más expedito posible y compatible con las necesidades legítimas de la fuerza pública o de la propia investigación (Cal. Civ. Code § 1798.82).

18. Actualizaciones y versionado de esta política

EC Lawyers podrá actualizar esta política en cualquier momento para reflejar cambios normativos, operacionales o tecnológicos. Cada versión llevará un número y una fecha claramente identificados al inicio del documento.

Versionado: cada vez que usted otorga consentimiento (al inicio del servicio, al aceptar comunicaciones comerciales, al aceptar una autorización específica posterior), la versión exacta de esta política vigente en ese momento queda asociada a su consentimiento como evidencia probatoria.

Cambios sustanciales: cuando la nueva versión introduzca cambios sustanciales en finalidades, encargados, transferencias o derechos, le notificaremos por el medio de contacto que tengamos registrado y, cuando proceda, le requeriremos nueva aceptación expresa.

19. Aviso específico para titulares en la Unión Europea (RGPD)

Si usted reside en un Estado miembro de la Unión Europea o en el Espacio Económico Europeo, esta sección aplica adicionalmente.

  • Responsable del tratamiento: EC Lawyers, con los datos identificados al inicio de esta política.
  • Representante en la UE: [pendiente de designar conforme al art. 27 RGPD si el tratamiento se vuelve regular y a gran escala respecto de interesados en la UE].
  • Delegado de Protección de Datos (DPO): la Firma no está obligada a designar DPO en los términos del art. 37 RGPD por la naturaleza y volumen actual de su actividad. No obstante, las funciones equivalentes se ejercen por el responsable indicado para Habeas Data (habeasdata@ec-lawyers.co).
  • Autoridad de control competente: la del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la presunta infracción (art. 77 RGPD).
  • Transferencias internacionales: aplican los mecanismos descritos en la sección 10.
  • Decisiones automatizadas: aplica lo dispuesto en la sección 12, fila respectiva.

20. Aviso específico para titulares en California (CCPA/CPRA)

Si usted es residente de California, esta sección aplica adicionalmente.

20.1. Categorías de "Personal Information" recopiladas en los últimos 12 meses

Conforme a la Sección 1798.130(a)(5) CCPA, hemos recopilado las siguientes categorías de información personal definidas en la Sección 1798.140(v) del California Civil Code (subdivisión vigente tras la CPRA de 2020):

  • Identificadores (nombre, correo, identificador único de cuenta, dirección IP hasheada).
  • Información personal listada en el Código Civil § 1798.80(e) (registros financieros del cliente, registros profesionales o de empleo cuando son objeto del caso).
  • Características de clasificación protegida bajo la ley federal o estatal (cuando son aportadas voluntariamente para el caso).
  • Información comercial (registros de transacciones por servicios contratados).
  • Actividad de Internet o red electrónica (interacción con la plataforma).
  • Información de geolocalización (de baja precisión, ciudad declarada por el usuario).
  • Información sensible personal (SPI) en los términos del CPRA § 1798.140(ae), únicamente cuando es necesaria para la prestación del servicio jurídico contratado.
  • Inferencias para perfilamiento profesional del caso del cliente (no para marketing).
  • Identificadores publicitarios opacos recibidos a través del navegador (gclid, fbclid, _fbp, _fbc) cuando usted llega al sitio desde un anuncio de la Firma. Estos identificadores no contienen PII directa y se asocian al pago por el servicio (Sección 3.4). Cuando usted consiente cookies de marketing, estos identificadores se reportan a Meta y Google con la finalidad exclusiva de medir nuestras propias campañas (no para perfilamiento de terceros ni para venta de datos).

20.2. Fuentes

  • Directamente del usuario al diligenciar formularios, comunicarse con nosotros o usar la plataforma.
  • De terceros autorizados por el usuario (contraparte, peritos, autoridades, centrales de información).
  • Generadas automáticamente por la operación de la plataforma (logs técnicos).

20.3. Compartición con terceros

EC Lawyers no vende información personal en los términos del CCPA/CPRA. No realiza cross-context behavioral advertising en el sentido de targeting publicitario basado en perfilamiento de comportamiento entre sitios no afiliados de terceros. Los encargados de tratamiento listados en la sección 9 actúan como "service providers" bajo contrato.

Particularidad sobre medición publicitaria: cuando usted consiente cookies de marketing (Sección 15), EC Lawyers comparte con Meta Platforms y Google LLC, en calidad de service providers contratados para esa medición, datos limitados con el solo propósito de medir la efectividad de nuestras propias campañas en plataformas que la Firma controla (página de EC Lawyers en Facebook/Instagram, anuncios pagados en Google Ads). Esto no constituye "sale" ni "sharing for cross-context behavioral advertising" bajo el CPRA, porque (a) los datos se usan para medición de campañas propias de la Firma, no para targeting en redes externas, y (b) el contrato con Meta y Google les prohíbe usar los datos para fines propios distintos a la medición contratada.

20.4. Derechos específicos del consumidor de California

  • Derecho a saber (Sección 1798.110).
  • Derecho a eliminar (Sección 1798.105).
  • Derecho a corregir (Sección 1798.106).
  • Derecho a optar por no vender ni compartir (Sección 1798.120 y 1798.135) — aplica de oficio: nunca lo hacemos.
  • Derecho a limitar el uso de SPI (Sección 1798.121) — al canal habeasdata@ec-lawyers.co.
  • Derecho a la no discriminación (Sección 1798.125).

20.5. Cómo ejercerlos

Mediante el canal habeasdata@ec-lawyers.co. La verificación de identidad puede requerirle aportar documento de identidad y, cuando aplique, prueba de su residencia en California.

21. Aviso específico para titulares de información financiera (Ley 1266 de 2008)

Si usted es titular de información financiera, crediticia, comercial, de servicios o proveniente de terceros países cuya base de datos sea administrada o consultada por EC Lawyers, esta sección aplica adicionalmente.

21.1. Derechos específicos bajo la Ley 1266

  • Derecho a conocer la información sobre usted que repose en bases de datos administradas por la Firma cuando esta actúe como fuente o usuario (art. 6).
  • Derecho a solicitar la actualización, corrección o rectificación de la información.
  • Derecho a presentar reclamos y peticiones ante el operador, la fuente o el usuario.
  • Derecho a recibir notificación previa del primer reporte negativo a una central de información cuando proceda (art. 12).
  • Derechos derivados de la Ley 2157 de 2021 en relación con permanencia y caducidad del dato negativo.

21.2. Cómo ejercerlos frente a EC Lawyers

Mediante el canal habeasdata@ec-lawyers.co, identificándose claramente y describiendo la naturaleza financiera del dato.

21.3. Cuando la Firma actúe como representante del titular

Si usted contrata los servicios de la Firma para defender sus derechos como titular de información financiera frente a operadores, fuentes o usuarios (por ejemplo, recurso contra reporte negativo indebido), la relación profesional cliente-abogado queda enteramente cubierta por el secreto profesional descrito en la sección 5.

22. Aceptación y vigencia

Al utilizar nuestros servicios, al diligenciar nuestros formularios, al contratar nuestros servicios jurídicos o al marcar las casillas correspondientes, usted declara haber leído y aceptado esta política en su versión vigente al momento del consentimiento.

Esta política está vigente desde la fecha indicada al inicio del documento y permanecerá vigente hasta su modificación oficial.

[^ley1581]: Ley Estatutaria 1581 de 2012, "por la cual se dictan disposiciones generales para la protección de datos personales". Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html [^decreto1377]: Decreto 1377 de 2013, "por el cual se reglamenta parcialmente la Ley 1581 de 2012". Disponible en: http://www.suin-juriscol.gov.co/viewDocument.asp?ruta=Decretos/1276081 [^ley1266]: Ley Estatutaria 1266 de 2008, "por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países". Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html [^ley2157]: Ley 2157 de 2021, "por medio de la cual se modifica y adiciona la Ley Estatutaria 1266 de 2008, y se dictan disposiciones generales del habeas data con relación a la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones". Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_2157_2021.html [^gdpr]: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos). Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32016R0679 [^ccpa]: California Consumer Privacy Act de 2018 (Cal. Civ. Code §§ 1798.100 et seq.), modificada por la California Privacy Rights Act de 2020. Texto disponible en: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5 [^const74]: Constitución Política de Colombia, art. 74, inciso segundo: "El secreto profesional es inviolable." Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/constitucion_politica_1991_pr002.html [^secreto-ley1123]: Ley 1123 de 2007, "por la cual se establece el Código Disciplinario del Abogado": art. 28 numeral 9 (deber de guardar el secreto profesional, incluso después de cesar la prestación de los servicios) y art. 34 literal f (revelar o utilizar los secretos confiados por el cliente como falta de lealtad con el cliente). Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_1123_2007.html [^c411]: Corte Constitucional, Sentencia C-411 de 1993, M.P. Carlos Gaviria Díaz (carácter inviolable del secreto profesional). Disponible en: https://www.corteconstitucional.gov.co/relatoria/1993/c-411-93.htm [^c301]: Corte Constitucional, Sentencia C-301 de 2012 (examen del art. 34 literal f de la Ley 1123 de 2007; excepción de revelación para evitar la comisión de un delito, condicionada al estado de necesidad). Disponible en: https://www.corteconstitucional.gov.co/relatoria/2012/c-301-12.htm

Si en algún momento quiere retirar su consentimiento para cookies de marketing: