Saltar al contenido
Volver al inicio

Política de Privacidad

Última actualización: 22 de junio de 2026

Resumen rápido: recopilamos solo los datos necesarios para que la plataforma de firma digital eFILE v3 cumpla su función legal y operativa. No vendemos datos personales. El tratamiento se realiza dentro del marco de la Ley N° 29733 y su Reglamento.

1. Identidad del titular del banco de datos personales

El titular del banco de datos personales y responsable del tratamiento de los datos recopilados a través de la plataforma eFILE v3 es la persona jurídica titular registrada en la Infraestructura Oficial de Firma Electrónica (IOFE) del Indecopi como Sistema de Intermediación Digital y como propietaria del software de firma digital Big Signer.

Razón social: [TODO — completar antes de publicar]
RUC: [TODO]
Domicilio fiscal: [TODO]
Banco de datos inscrito en el RNPDP: [TODO — N° de inscripción]
Canal para ejercicio de derechos: datos@efirmalegal.cloud

2. Alcance de esta política

Esta política aplica a los datos personales recopilados a través del dominio efirmalegal.cloud y los subdominios operados por organizaciones que utilizan la plataforma eFILE v3 (en adelante, la "Plataforma"). El servicio se ofrece a través de una red de partners autorizados; cuando una organización contrata el servicio, dicha organización actúa como responsable del tratamiento respecto de los datos de sus propios usuarios y firmantes, mientras que el titular de la Plataforma actúa como encargado de tratamiento.

Si has llegado a esta política a través del dominio o portal de un partner u organización contratante, te recomendamos revisar también la política de privacidad de dicha organización, que regula el uso específico que hace de tus datos.

3. Datos personales que tratamos

Tratamos exclusivamente los datos personales necesarios para la prestación del servicio de firma digital y la trazabilidad legal exigida por la Ley N° 27269. Las categorías de datos tratadas son:

3.1. Datos de identificación

  • Nombres y apellidos
  • Tipo y número de documento de identidad (DNI, carné de extranjería, pasaporte)
  • Fotografía del anverso del documento de identidad cuando se requiere verificación biométrica
  • Correo electrónico
  • Número de teléfono celular

3.2. Datos biométricos

Cuando la organización contratante habilita el módulo de firma biométrica facial:

  • Imagen facial capturada al momento de la firma
  • Resultado del análisis de prueba de vida (liveness)
  • Puntaje de comparación facial respecto del documento de identidad

Los datos biométricos son considerados datos sensibles conforme al artículo 2.5 de la Ley N° 29733 y su tratamiento requiere consentimiento expreso, previo, libre, inequívoco e informado del titular. Dicho consentimiento se solicita de manera explícita en pantalla antes de la captura biométrica y queda registrado en los logs de auditoría.

3.3. Datos de firma y autenticación

  • Certificados digitales emitidos al titular (cuando aplica firma con certificado propio)
  • Códigos OTP, tokens TOTP y resultados de verificación multifactor
  • Marca visual de firma personalizada (rúbrica digitalizada)

3.4. Datos de uso y trazabilidad

  • Direcciones IP, agente de usuario del navegador y datos del dispositivo
  • Fecha y hora de cada acción ejecutada en la Plataforma
  • Geolocalización aproximada cuando es necesaria para el flujo de firma
  • Logs de auditoría inmutables de cada operación de firma

3.5. Datos del documento firmado

Los documentos cargados a la Plataforma para ser firmados pueden contener datos personales adicionales bajo responsabilidad de la organización contratante. La Plataforma no analiza ni indexa el contenido de dichos documentos para fines distintos a los necesarios para su firma y custodia.

4. Finalidades del tratamiento

Los datos personales son tratados exclusivamente para las siguientes finalidades:

  1. Prestación del servicio de firma digital: ejecutar las operaciones de firma electrónica y firma digital con plena validez jurídica conforme a la Ley N° 27269.
  2. Verificación de identidad: garantizar que la persona que firma es efectivamente la titular del derecho a hacerlo (mediante DNI, OTP, biometría facial, certificado digital u otros factores configurados).
  3. Trazabilidad y auditoría: generar registros inmutables que permitan acreditar legalmente la autoría, integridad y momento de cada firma, así como permitir auditorías exigidas por la regulación IOFE.
  4. Notificaciones operativas: enviar correos, mensajes SMS u otros avisos relacionados con los flujos de firma en los que el usuario participa.
  5. Soporte técnico: atender consultas, reportes de incidencias y solicitudes de los usuarios.
  6. Cumplimiento normativo: conservar evidencia legal y atender requerimientos de autoridades competentes conforme a la legislación peruana aplicable.
No realizamos: elaboración de perfiles comerciales, decisiones automatizadas con efectos jurídicos sin intervención humana revisora, venta o cesión de datos a terceros con fines publicitarios, ni tratamiento con fines distintos a los enumerados en esta sección.

El tratamiento de los datos personales se sustenta en las siguientes bases legales conforme a la Ley N° 29733:

  • Consentimiento (art. 13 y 14): otorgado al momento de aceptar esta política y los Términos del Servicio.
  • Ejecución de contrato: tratamiento necesario para la prestación del servicio contratado por la organización a la que pertenece el titular de los datos.
  • Cumplimiento de obligación legal: deberes derivados de la Ley N° 27269, su Reglamento (D.S. 052-2008-PCM) y demás normativa aplicable a los prestadores acreditados dentro del IOFE.
  • Interés legítimo: registros de auditoría y seguridad de la Plataforma, en los términos del artículo 14 numeral 5 de la Ley N° 29733.

6. Conservación de los datos

Los plazos de conservación se determinan en función del tipo de dato y de las obligaciones legales aplicables:

Tipo de dato Plazo de conservación
Documentos firmados y evidencias de auditoría 10 años desde la firma (conforme al plazo prescriptivo más amplio aplicable a relaciones contractuales)
Datos biométricos (imágenes faciales, evidencias de liveness) Mientras el documento firmado se encuentre en custodia, como evidencia legal de la firma
Datos de la cuenta del usuario Mientras la cuenta permanezca activa más 2 años desde su desactivación
Logs de acceso y trazabilidad 5 años desde la fecha del registro
Datos de soporte técnico 2 años desde la última interacción

Cumplidos los plazos, los datos se eliminan de forma segura o se anonimizan irreversiblemente.

7. Encargados de tratamiento (subprocesadores)

Para la operación de la Plataforma, recurrimos a proveedores tecnológicos que actúan como encargados de tratamiento bajo contratos que garantizan los niveles de seguridad y confidencialidad exigidos por la Ley N° 29733:

Encargado Servicio Ubicación de los datos
Amazon Web Services, Inc. Infraestructura cloud (cómputo, almacenamiento de documentos en S3, base de datos, redes) Estados Unidos de América
Amazon Simple Email Service (Amazon SES) Envío de correos electrónicos transaccionales y notificaciones de firma Estados Unidos de América
Amazon Simple Notification Service (Amazon SNS) Envío de mensajes SMS con códigos OTP y notificaciones operativas Estados Unidos de América
Amazon Rekognition (servicio de AWS) Análisis de prueba de vida (Face Liveness) y comparación facial frente al documento de identidad Estados Unidos de América
Twilio Inc. — sobre la API de WhatsApp Business de Meta Platforms, Inc. Envío de mensajes WhatsApp con códigos OTP y notificaciones de firma Estados Unidos de América (con tránsito por la infraestructura de Meta)

Todos los encargados listados cuentan con certificaciones internacionales de seguridad de la información (ISO 27001, SOC 2, entre otras según el proveedor) y han suscrito Acuerdos de Tratamiento de Datos (DPA) que regulan el tratamiento conforme a la legislación aplicable. La lista podrá actualizarse cuando se incorporen nuevos proveedores; los cambios materiales se reflejarán en la fecha de actualización de esta política.

8. Transferencia internacional de datos

Como consecuencia del uso de servicios de Amazon Web Services, los datos personales pueden ser almacenados y procesados en centros de datos ubicados fuera del territorio peruano, principalmente en los Estados Unidos de América. Esta transferencia se realiza al amparo de los artículos 15 y 26 de la Ley N° 29733, considerando que el encargado mantiene certificaciones internacionales de seguridad de la información (ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3) que aseguran un nivel adecuado de protección.

Los contratos suscritos con dichos proveedores incluyen cláusulas de tratamiento de datos personales, restricciones de uso, deber de confidencialidad y obligaciones de seguridad equivalentes a las exigidas por la normativa peruana.

9. Medidas de seguridad

La Plataforma aplica medidas técnicas y organizativas razonables y proporcionadas a la naturaleza de los datos tratados:

  • Cifrado en tránsito mediante TLS 1.3
  • Cifrado en reposo de archivos almacenados
  • Cifrado adicional AES-256-GCM para certificados de firma remota
  • Aislamiento por organización: cada tenant cuenta con su propia configuración y, según el caso, su propio bucket de almacenamiento dedicado
  • Control de acceso basado en roles, con autenticación multifactor obligatoria para roles administrativos
  • Registros de auditoría inmutables de cada acceso y operación
  • Auditorías anuales aprobadas por la Dirección de Gestión de la IOFE de Indecopi

Sin perjuicio de lo anterior, ningún sistema es totalmente invulnerable. En caso de incidente de seguridad que comprometa datos personales, se notificará al titular y a la Autoridad Nacional de Protección de Datos Personales (ANPDP) conforme a los plazos y formas previstos en el Reglamento de la Ley N° 29733.

10. Derechos del titular de los datos

Conforme a la Ley N° 29733, todo titular de datos personales tiene los siguientes derechos:

  • Información: conocer las condiciones del tratamiento de sus datos.
  • Acceso: obtener una copia de los datos personales tratados.
  • Rectificación: solicitar la corrección de datos inexactos o incompletos.
  • Cancelación (supresión): solicitar la eliminación de los datos cuando ya no sean necesarios o cuando se haya retirado el consentimiento, salvo que exista obligación legal de conservarlos.
  • Oposición: oponerse al tratamiento por motivos legítimos relativos a una situación particular.
  • Tratamiento objetivo: no ser sometido a decisiones con efectos jurídicos sustentadas únicamente en tratamientos automatizados, sin intervención humana.
  • Revocación del consentimiento: retirar en cualquier momento el consentimiento prestado, sin efecto retroactivo.

11. Cómo ejercer tus derechos

Para ejercer cualquiera de los derechos enumerados en la sección anterior, puedes escribir al canal habilitado para tal efecto:

Correo: datos@efirmalegal.cloud
Asunto sugerido: "Ejercicio de derechos ARCO — Ley 29733"

La solicitud debe incluir:

  • Nombres y apellidos del titular de los datos
  • Copia o referencia de su documento de identidad para validar la legitimidad de la solicitud
  • Indicación clara del derecho que ejerce y del tratamiento al que se refiere
  • Domicilio o medio de contacto para la respuesta

Atenderemos la solicitud dentro de los plazos establecidos en el Reglamento de la Ley N° 29733 (D.S. 003-2013-JUS): 20 días hábiles para acceso y 10 días hábiles para rectificación, cancelación u oposición, salvo prórroga debidamente comunicada.

Si la solicitud se refiere a datos cuyo responsable directo es la organización contratante (tenant) y no la Plataforma, te derivaremos al canal correspondiente o coordinaremos con dicha organización para que la atienda.

12. Cookies y tecnologías similares

La Plataforma utiliza cookies estrictamente necesarias para el funcionamiento del servicio:

  • Cookies de sesión: mantienen al usuario autenticado mientras opera la Plataforma.
  • Cookies de seguridad: token CSRF y tokens de validación contra ataques de intermediación.
  • Cookies de preferencia: recordar el usuario al iniciar sesión (cuando se marca expresamente "Recordarme") y configuraciones de idioma o tema.

No utilizamos cookies de publicidad ni de seguimiento de terceros. Si en el futuro se incorporan cookies de analítica, se solicitará tu consentimiento expreso conforme a la normativa aplicable.

13. Tratamiento de datos de menores de edad

La Plataforma no está dirigida a personas menores de 14 años. El tratamiento de datos de menores de edad para fines de firma electrónica solo procede en los supuestos legalmente admitidos y con el consentimiento de quien ejerza la patria potestad o tutela, conforme al artículo 14 numeral 4 de la Ley N° 29733.

14. Cambios a esta política

Esta política puede ser actualizada para reflejar cambios normativos, operativos o tecnológicos. Cualquier modificación material será publicada en esta misma página con su fecha de actualización. Cuando los cambios afecten significativamente los derechos del titular, se notificará por los canales registrados.

15. Reclamos ante la Autoridad de Protección de Datos

Si consideras que el tratamiento de tus datos personales no cumple con la Ley N° 29733, puedes presentar un reclamo ante la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia y Derechos Humanos del Perú:

www.gob.pe/8328 — Reclamo ante la ANPDP

16. Contacto

Para cualquier consulta sobre esta política o el tratamiento de datos personales:

Canal de privacidad y datos personales: datos@efirmalegal.cloud
Contacto general: contacto@efirmalegal.cloud