Skip to content

Legal

Política de Privacidad

Versión 3.0 · Vigente desde mayo 2026

1. Introducción

Esta Política de Privacidad ("Política") describe cómo Daleki Lab ("nosotros", "nuestro", "la Empresa") recopila, utiliza, almacena, comparte, transfiere internacionalmente y protege los datos personales de las personas que visitan https://dalekilab.com, contratan nuestros servicios de consultoría en inteligencia artificial, o interactúan con ARCO, nuestro asesor conversacional ("Servicios").

Daleki Lab es una unidad operativa del grupo Daleki World Group, gestionada por dos entidades legales: D-Legacy SAS, sociedad por acciones simplificada constituida en la República del Ecuador, y D-Legacy USA LLC, sociedad de responsabilidad limitada constituida en el Estado de Florida, Estados Unidos de América. Cada entidad actúa como Responsable del Tratamiento respecto de los datos personales que recopila en su jurisdicción, conforme se detalla en la Sección 2.

Esta Política ha sido elaborada para cumplir, como mínimo, con: la Constitución de la República del Ecuador (artículo 66, numeral 19), la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP) y su Reglamento General (RGPDP, Decreto Ejecutivo 904), la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos del Ecuador, el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la California Consumer Privacy Act (CCPA) y la Children's Online Privacy Protection Act (COPPA) de los Estados Unidos.

Le solicitamos leer esta Política con detenimiento. Al utilizar los Servicios usted manifiesta haber sido informado de manera previa, libre, específica, expresa, inequívoca e informada sobre el tratamiento de sus datos personales en los términos aquí descritos. Si no está de acuerdo con alguna disposición, le pedimos abstenerse de utilizar los Servicios.

2. Responsable del Tratamiento

Los Responsables del Tratamiento de sus datos personales, según la jurisdicción que aplique, son:

Ecuador y Latinoamérica

D-Legacy SAS

Quito, Ecuador

Estados Unidos y resto del mundo

D-Legacy USA LLC

Miami, Florida, USA

2.1 Delegado de Protección de Datos

Sebastián Delsalto, en su calidad de fundador y representante de ambas entidades, ejerce las funciones de Delegado de Protección de Datos (DPD) conforme al artículo 47 de la LOPDP y, cuando corresponda, al artículo 37 del GDPR. El DPD es el punto único de contacto para usuarios, autoridades de control y partes interesadas en materia de protección de datos.

Contacto del DPD: privacy@dalekilab.com · lab@dalekilab.com.

3. Definiciones

  • Datos personales: cualquier información concerniente a una persona natural identificada o identificable, conforme al artículo 4 de la LOPDP.
  • Datos sensibles: datos relativos a etnia, identidad de género, orientación sexual, religión, ideología política, afiliación sindical, estado de salud, datos biométricos o genéticos. No solicitamos datos sensibles para la prestación ordinaria de los Servicios.
  • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos manuales o automatizados.
  • Encargado del Tratamiento: persona natural o jurídica que trata datos personales por cuenta del Responsable, por ejemplo Anthropic, Supabase, Vercel.
  • Titular o Usuario: persona natural a quien corresponden los datos personales objeto de tratamiento.
  • ARCO: asistente conversacional propietario de Daleki Lab, ejecutado sobre el modelo Claude Sonnet 4.6 de Anthropic mediante OpenRouter, cuya función es realizar el levantamiento inicial de auditoría operativa.
  • Brief: documento estructurado generado a partir de su conversación con ARCO o del formulario de contacto, que sintetiza los procesos, dolores y oportunidades de su organización.
  • Roadmap: documento PDF generado por nuestro motor de IA tras el uso de la Calculadora de ROI, que estima impacto económico y propone un plan de 90 días.

4. Principios que Rigen el Tratamiento

Conforme al Capítulo II de la LOPDP, al GDPR y a las mejores prácticas internacionales, el tratamiento de sus datos personales se rige por los siguientes principios:

  • Juridicidad y lealtad: tratamos sus datos solo con base legal válida y de manera leal y transparente.
  • Finalidad: los datos se recopilan con fines determinados, explícitos y legítimos, y no se tratan ulteriormente de manera incompatible con dichos fines.
  • Minimización de datos: solicitamos únicamente los datos estrictamente necesarios para cada finalidad.
  • Exactitud: mantenemos sus datos actualizados y permitimos su corrección.
  • Conservación limitada: conservamos los datos solo por el tiempo necesario para cumplir las finalidades del tratamiento o las obligaciones legales aplicables.
  • Seguridad y confidencialidad: implementamos medidas técnicas, organizativas y de gobernanza para garantizar la integridad, disponibilidad y confidencialidad de los datos.
  • Responsabilidad demostrada: documentamos nuestras decisiones de tratamiento y podemos demostrar el cumplimiento ante autoridades de control.
  • Transparencia y privacidad por diseño: desde el diseño y por defecto los Servicios incorporan medidas de protección de datos.

5. Datos que Recopilamos

5.1 Datos que usted nos proporciona

  • Identificación e inicio de sesión: nombre, dirección de correo electrónico, foto de perfil e identificador único de Google cuando inicia sesión con Google OAuth.
  • Formulario de contacto y newsletter: nombre, correo electrónico, teléfono opcional, empresa opcional y el contenido del mensaje. Los campos opcionales se solicitan únicamente si usted decide proporcionarlos.
  • Calculadora de ROI: datos de su empresa (sector, tamaño, costos operativos estimados, número de procesos manuales) más nombre y correo electrónico para recibir el roadmap PDF.
  • Conversaciones con ARCO: mensajes de texto que envía a ARCO, incluyendo descripciones de procesos, dolores operativos, requisitos técnicos, presupuestos referenciales y cualquier otra información que decida compartir durante la sesión.
  • Información comercial y contractual: datos de facturación, RUC o tax ID, dirección fiscal, información del firmante autorizado y términos económicos cuando contrata uno de nuestros Servicios.
  • Información operativa del cliente: información proporcionada durante la fase de auditoría y diseño, incluyendo organigramas, procesos, métricas, accesos y documentación interna que su equipo decida compartir.

5.2 Datos recopilados automáticamente

  • Datos técnicos y de uso: dirección IP (truncada o anonimizada cuando es técnicamente posible), tipo y versión de navegador, sistema operativo, idioma, zona horaria, identificador de sesión, páginas visitadas, tiempo de permanencia, eventos de interacción y referrer.
  • Cookies y tecnologías similares: véase la Sección 12 (Política de Cookies).
  • Registros de seguridad: logs de autenticación, intentos fallidos, errores de aplicación y eventos relevantes para la detección y prevención de fraudes o ataques.

5.3 Datos derivados e inferidos

  • Embeddings vectoriales: representaciones matemáticas de su conversación con ARCO, almacenadas mediante la extensión pgvector de PostgreSQL para mejorar la relevancia de respuestas. Los embeddings no son legibles directamente y no permiten reconstruir el texto original.
  • Brief estructurado: resumen automatizado generado entre los marcadores BRIEF_START y BRIEF_END por ARCO al cierre de la conversación, utilizado por el equipo de Daleki Lab para preparar la propuesta.
  • Métricas agregadas: estadísticas anonimizadas de uso (tasa de conversión, tiempo medio de auditoría, escalas de servicios más solicitadas) que no permiten su identificación.
Daleki Lab no recopila intencionadamente datos sensibles. Si usted los incluye voluntariamente en una conversación con ARCO o en un formulario, los trataremos exclusivamente con la finalidad para la que fueron compartidos y bajo medidas reforzadas de seguridad.

6. Finalidades y Bases de Legitimación

Cada actividad de tratamiento se realiza al amparo de al menos una base legal expresamente prevista en la normativa aplicable. La siguiente tabla resume las principales:

FinalidadBase legal LOPDPBase legal GDPR
Crear y administrar su cuentaEjecución contractual (Art. 7.b)Ejecución contractual (Art. 6.1.b)
Operar ARCO y procesar sus consultasConsentimiento (Art. 7.a) e interés legítimo (Art. 7.f)Consentimiento (Art. 6.1.a) e interés legítimo (Art. 6.1.f)
Generar el roadmap PDF y enviarlo por correoConsentimiento (Art. 7.a)Consentimiento (Art. 6.1.a)
Atender el formulario de contacto y dar seguimiento comercialConsentimiento (Art. 7.a) e interés legítimo (Art. 7.f)Consentimiento (Art. 6.1.a) e interés legítimo (Art. 6.1.f)
Prestar los Servicios contratados (auditoría, diseño, build, operación)Ejecución contractual (Art. 7.b)Ejecución contractual (Art. 6.1.b)
Facturación y obligaciones tributariasObligación legal (Art. 7.c)Obligación legal (Art. 6.1.c)
Comunicaciones de marketing (newsletter, novedades)Consentimiento (Art. 7.a)Consentimiento (Art. 6.1.a)
Analítica de uso y mejora del sitioInterés legítimo (Art. 7.f)Interés legítimo (Art. 6.1.f)
Prevención de fraude y seguridad de la informaciónInterés legítimo (Art. 7.f) y obligación legal (Art. 7.c)Interés legítimo (Art. 6.1.f) y obligación legal (Art. 6.1.c)
Defensa de reclamaciones y cumplimiento normativoInterés legítimo (Art. 7.f) y obligación legal (Art. 7.c)Interés legítimo (Art. 6.1.f) y obligación legal (Art. 6.1.c)

7. Inteligencia Artificial, ARCO y Generación de Roadmaps

7.1 Cómo funciona ARCO y los procesos de IA

ARCO (Architecture & Requirements Co-pilot) ejecuta el modelo Claude Sonnet 4.6 de Anthropic accedido a través de OpenRouter (Reino Unido). Su finalidad es realizar el levantamiento conversacional de su operación. ARCO no toma decisiones automatizadas con efectos jurídicos sobre usted: produce un brief que es revisado siempre por el equipo humano de Daleki Lab antes de cualquier propuesta o acción.

El generador de Roadmap utiliza directamente la API de Anthropic con el modelo Claude Sonnet 4.6 para producir un PDF que se envía por correo electrónico al lead, almacenándose una copia en nuestro Storage privado de Supabase con políticas RLS (Row Level Security) restrictivas.

7.2 Compromisos de Daleki Lab respecto a la IA

  • No utilizamos sus conversaciones, briefs ni inputs de la calculadora para entrenar modelos fundacionales de terceros.
  • Nuestros contratos vigentes con Anthropic y OpenRouter prohíben el uso de los datos enviados a través de la API para fines de entrenamiento del proveedor.
  • Los embeddings vectoriales son irreversibles y se eliminan cuando se eliminan las conversaciones de origen.
  • Cualquier dato agregado y verdaderamente anonimizado que utilicemos para mejorar internamente la calidad de los prompts o métricas se conserva sin posibilidad de reidentificación.
  • Usted puede solicitar en cualquier momento la exclusión de sus conversaciones de cualquier proceso de mejora interna escribiendo al DPD.

7.3 Naturaleza probabilística y advertencias

Los modelos generativos pueden producir resultados inexactos, desactualizados o aparentemente convincentes pero erróneos (alucinaciones). Las salidas de ARCO y del generador de Roadmap se ofrecen como insumos para una conversación consultiva, no como asesoría legal, financiera, contable, médica, fiscal ni de ingeniería regulada. Usted no debe basar decisiones de alto riesgo únicamente en dichas salidas y debe siempre validarlas con un profesional humano competente.

7.4 Decisiones automatizadas y derecho a revisión humana

Conforme al artículo 16 de la LOPDP y al artículo 22 del GDPR, usted tiene derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o le afecten significativamente. Daleki Lab no realiza este tipo de decisiones; en caso de dudas sobre cualquier salida de IA, puede solicitar revisión humana por parte del DPD.

8. Encargados del Tratamiento y Sub-procesadores

No vendemos ni alquilamos sus datos personales. Compartimos información con Encargados del Tratamiento únicamente cuando es estrictamente necesario para prestar los Servicios, bajo contratos que exigen estándares equivalentes o superiores a los nuestros.

ProveedorFunciónPaís / Salvaguardia
Anthropic, PBCModelo Claude Sonnet 4.6 (LLM) usado por ARCO y por el generador de RoadmapEE.UU. · Cláusulas Contractuales Tipo (SCC) y DPA
OpenRouter Inc.Pasarela de inferencia hacia el modelo de AnthropicEE.UU. / Reino Unido · DPA y SCC
Supabase Inc.Base de datos PostgreSQL, autenticación, Storage y RLSEE.UU. (us-west-2) · DPA y SCC
Vercel Inc.Hosting, edge runtime y entrega de la aplicación webEE.UU. · DPA y SCC
Google LLCGoogle OAuth para inicio de sesión y Gmail SMTP para envíos transaccionalesEE.UU. · SCC e ISO 27001
Stripe, Inc.Procesamiento de pagos cuando apliqueEE.UU. · PCI-DSS Nivel 1, DPA y SCC
Sentry (Functional Software, Inc.)Monitoreo de errores en producciónEE.UU. · DPA y SCC
n8n GmbHAutomatización de flujos internosAlemania (UE) · GDPR aplicable directamente
fal.ai, Higgsfield, KIEGeneración multimedia para contenido de marketing y soluciones a clientes (no aplica al landing salvo mención expresa)EE.UU. · DPA cuando se utilice con datos personales
BlotatoDistribución de contenido y publicación socialEE.UU. · DPA cuando se utilice con datos personales

El listado puede actualizarse cuando incorporemos nuevos proveedores. La versión vigente está siempre disponible en esta página y, ante cambios materiales, será notificada conforme a la Sección 17.

8.1 Otras divulgaciones

  • Autoridades públicas competentes cuando exista mandato legal, orden judicial o requerimiento administrativo válidamente notificado.
  • Asesores legales, contables, fiscales o auditores en el marco de obligaciones profesionales y bajo deber de confidencialidad.
  • En caso de fusión, escisión, adquisición o transmisión total o parcial del negocio, sus datos podrán ser transferidos a la entidad sucesora bajo equivalentes garantías.

9. Transferencias Internacionales de Datos

Por la naturaleza global de nuestra infraestructura, sus datos pueden ser transferidos y tratados en países distintos al de su residencia, principalmente Estados Unidos de América. Conforme al artículo 56 de la LOPDP y al Capítulo V del GDPR, garantizamos un nivel adecuado de protección mediante:

  • Cláusulas Contractuales Tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea, suscritas con todos los Encargados ubicados fuera del Espacio Económico Europeo.
  • Acuerdos de Tratamiento de Datos (Data Processing Addendums) que reflejan los principios de la LOPDP y del RGPDP.
  • Decisiones de adecuación cuando estén disponibles para el país destinatario.
  • Su consentimiento explícito en supuestos puntuales que lo requieran.

10. Plazos de Conservación y Eliminación

Conservamos sus datos solo durante el tiempo estrictamente necesario para cumplir las finalidades descritas o las obligaciones legales aplicables, conforme al siguiente esquema:

  • Cuenta de usuario: mientras la cuenta esté activa más treinta (30) días desde la solicitud de cierre, salvo obligación legal de conservación mayor.
  • Conversaciones con ARCO y briefs: hasta veinticuatro (24) meses desde la última interacción, salvo solicitud anticipada de eliminación.
  • Embeddings: se eliminan junto con la conversación de origen o, a más tardar, dentro de los treinta (30) días posteriores a la solicitud de eliminación.
  • Roadmaps PDF en Storage: doce (12) meses desde su generación.
  • Leads comerciales: hasta veinticuatro (24) meses sin interacción, momento en el que serán anonimizados o eliminados.
  • Documentación contractual y tributaria: siete (7) años en Ecuador (artículo 96 del Código Tributario) y el plazo aplicable bajo IRS y leyes estatales en Estados Unidos.
  • Logs de seguridad: doce (12) meses, salvo investigación de incidentes en curso.
  • Métricas anonimizadas: se conservan indefinidamente con fines estadísticos sin posibilidad de reidentificación.

Cumplidos los plazos, los datos serán suprimidos de forma segura o anonimizados de manera irreversible.

11. Seguridad de la Información y Notificación de Incidentes

Implementamos medidas técnicas, organizativas y procedimentales razonables y proporcionales al riesgo, alineadas con marcos como ISO/IEC 27001 y los controles de buena práctica del sector. Entre otras:

  • Cifrado en tránsito mediante TLS 1.2 o superior.
  • Cifrado en reposo de bases de datos y backups.
  • Autenticación federada con Google OAuth 2.0 y políticas RLS en PostgreSQL.
  • Principio de mínimo privilegio para accesos internos y separación de entornos.
  • Gestión de secretos fuera del código fuente, exclusivamente en variables de entorno protegidas.
  • Monitoreo continuo y trazabilidad mediante Sentry.
  • Backups automáticos y pruebas periódicas de restauración.
  • Revisión de dependencias y gestión de vulnerabilidades.
  • Capacitación interna en privacidad, seguridad y uso responsable de IA.

11.1 Notificación de incidentes

En caso de vulneración de seguridad que afecte sus datos personales, notificaremos a la Superintendencia de Protección de Datos Personales del Ecuador en un plazo no mayor a cinco (5) días desde su detección, conforme al artículo 45 de la LOPDP, y a las autoridades europeas en un plazo de setenta y dos (72) horas conforme al artículo 33 del GDPR. Le notificaremos a usted directamente, sin dilaciones indebidas, cuando el incidente entrañe alto riesgo para sus derechos y libertades.

Ningún sistema es absolutamente impenetrable. Pese a las medidas implementadas, no garantizamos seguridad absoluta y le instamos a mantener la confidencialidad de sus credenciales y a comunicarnos cualquier sospecha de uso no autorizado.

12. Política de Cookies

Utilizamos cookies y tecnologías similares para garantizar el funcionamiento del sitio, recordar sus preferencias y entender cómo se utiliza el servicio.

TipoPropósitoDuración
EsencialesSesión, autenticación, preferencia de idioma, protección CSRFSesión / 12 meses
FuncionalesRecordar preferencias del usuario y personalización del sitio12 meses
AnalíticasMedir tráfico y comportamiento de forma agregada y anonimizadaHasta 24 meses

No utilizamos cookies publicitarias ni de seguimiento entre sitios para perfilado comercial. Las cookies esenciales son necesarias y no pueden desactivarse. Puede gestionar las cookies funcionales y analíticas desde la configuración de su navegador o desde nuestro panel de preferencias cuando esté disponible.

13. Sus Derechos como Titular

13.1 Derechos bajo la LOPDP (Ecuador)

  • Información: conocer las características del tratamiento de sus datos.
  • Acceso: obtener confirmación y copia de los datos que tratamos sobre usted.
  • Rectificación y actualización: corregir datos inexactos, incompletos o desactualizados.
  • Eliminación: solicitar la supresión de sus datos cuando ya no sean necesarios o se haya retirado el consentimiento.
  • Oposición: oponerse a tratamientos basados en interés legítimo o marketing directo.
  • Portabilidad: recibir sus datos en formato electrónico estructurado y de uso común.
  • Suspensión: solicitar la suspensión temporal del tratamiento.
  • No ser objeto de decisiones automatizadas: incluyendo profilado, conforme al artículo 16 de la LOPDP.
  • Consulta y reclamo ante la SPDP: presentar reclamos ante la Superintendencia de Protección de Datos Personales del Ecuador.

13.2 Derechos bajo el GDPR (UE/EEE)

  • Acceso, rectificación, supresión, restricción, portabilidad, oposición y a no ser objeto de decisiones individuales automatizadas, conforme a los artículos 15 a 22 del GDPR.
  • Reclamo ante la autoridad de control nacional correspondiente.

13.3 Derechos bajo CCPA/CPRA (California, EE.UU.)

  • Conocer las categorías y elementos específicos de información personal recopilada.
  • Solicitar la eliminación, corrección y restricción del uso de información sensible.
  • No ser discriminado por ejercer sus derechos.
  • Excluirse de la venta o intercambio de información personal. Daleki Lab no vende ni intercambia datos personales.

13.4 Cómo ejercer sus derechos

Envíe su solicitud al Delegado de Protección de Datos a privacy@dalekilab.com, indicando "Solicitud LOPDP/GDPR", su nombre completo, copia o foto de su documento de identidad y descripción precisa del derecho que desea ejercer. Podemos requerir verificación adicional para evitar usurpaciones.

Plazos de respuesta: quince (15) días hábiles bajo LOPDP, prorrogables por quince (15) días adicionales en casos complejos; treinta (30) días bajo GDPR, prorrogables por dos (2) meses; cuarenta y cinco (45) días bajo CCPA/CPRA.

Si considera que no hemos atendido adecuadamente su solicitud, puede presentar reclamo ante la Superintendencia de Protección de Datos Personales del Ecuador, ante la autoridad de control de su país de residencia en la UE/EEE, o ante el Attorney General de California, según corresponda.

14. Privacidad de Menores

Daleki Lab ofrece servicios profesionales de consultoría B2B y no está dirigido a personas menores de dieciocho (18) años. No recopilamos intencionadamente información de menores. En cumplimiento de COPPA y de la LOPDP, si llegamos a tener conocimiento de que hemos recopilado datos de un menor sin el consentimiento verificable de su representante legal, los eliminaremos de inmediato.

Padres, madres o representantes legales que sospechen que su hijo nos ha proporcionado datos pueden contactarnos en privacy@dalekilab.com.

15. Enlaces a Sitios y Plataformas de Terceros

Nuestro sitio puede contener enlaces a otras propiedades del grupo Daleki World (Capital, Trade, Merchito, Art) y a sitios de terceros. No somos responsables de las prácticas de privacidad de terceros y le recomendamos revisar sus políticas antes de entregar cualquier dato.

16. Autoridad de Control

La autoridad de control en Ecuador es la Superintendencia de Protección de Datos Personales (SPDP), creada por la LOPDP. Para usuarios en la UE/EEE, la autoridad competente es la del país de su residencia habitual o del lugar de la presunta infracción. Para residentes de California, la California Privacy Protection Agency (CPPA) y el Attorney General son las autoridades competentes.

17. Modificaciones a esta Política

Podemos actualizar esta Política para reflejar cambios normativos, operativos o tecnológicos. La fecha de vigencia se indicará al inicio. Para cambios materiales le notificaremos por correo electrónico y mediante un aviso destacado en el sitio durante al menos treinta (30) días antes de la entrada en vigor. El uso continuado de los Servicios tras dicha entrada en vigor implicará la aceptación de los nuevos términos.

18. Contacto

Para cualquier consulta sobre esta Política o sobre el tratamiento de sus datos personales:

Daleki Lab Daleki World Group

Delegado de Protección de Datos: Sebastián Delsalto

Correo de privacidad: privacy@dalekilab.com

Correo general: lab@dalekilab.com

Sitio web: https://dalekilab.com

Entidad Ecuador: D-Legacy SAS — Quito, Ecuador

Entidad EE.UU.: D-Legacy USA LLC — Miami, Florida, USA

19. Ley Aplicable

Esta Política se rige por las leyes de la República del Ecuador y, de manera concurrente y según el usuario y la entidad responsable del tratamiento, por las leyes federales y estatales aplicables de los Estados Unidos. Para usuarios en la UE/EEE prevalecerán las disposiciones del GDPR en lo que les sean más favorables. Para residentes de California, las disposiciones de la CCPA/CPRA se aplican adicionalmente.

© 2026 Daleki Lab. D-Legacy USA LLC · D-Legacy SAS. Todos los derechos reservados.