Política de Privacidad y Gobierno de Datos Personales
FIRMEASY - Plataforma de Firma Electrónica Avanzada y Firma Digital
Vigencia desde: 27 de abril de 2026
ESTE DOCUMENTO LE EXPLICA, QUÉ INFORMACIÓN SUYA RECOGEMOS, PARA QUÉ LA USAMOS, CÓMO LA PROTEGEMOS Y QUÉ FACULTADES PUEDE EJERCER SOBRE ELLA. LE PEDIMOS QUE LO LEA CON DETENIMIENTO ANTES DE USAR LA PLATAFORMA.
1. Identificación Del Responsable
GIRASOL PE S.C.R.L. (en adelante, "FIRMEASY") es titular de la plataforma alojada en https://firmeasy.legal. Estamos identificados con RUC 20605042512 y nuestra sede principal se encuentra en Jr. Túpac Yupanqui N° 143, distrito de Amarilis, provincia y departamento de Huánuco.
Este documento se redacta cumpliendo la Ley N° 29733 - Ley de Protección de Datos Personales, su Reglamento aprobado por Decreto Supremo N° 016-2024-JUS y las directivas emitidas por la Autoridad Nacional de Protección de Datos Personales (ANPDP).
2. A Quiénes Alcanza este Documento
Las disposiciones aquí contenidas rigen el manejo de información personal que realizamos en relación con:
- Personas que visitan nuestro sitio web aunque no creen una cuenta.
- Suscriptores que se registran y emplean nuestros servicios de firma electrónica avanzada o firma digital.
- Personas convocadas por un Suscriptor para rubricar documentos electrónicos a través de la Plataforma.
- Empresas y representantes legales que gestionan flujos de firma masiva.
- Cualquier individuo que se comunique con FIRMEASY mediante sus canales digitales, comerciales o de soporte.
3. Glosario de Términos Relevantes
Los términos empleados a lo largo del documento se entenderán según las definiciones de la Ley N° 29733 y su Reglamento. De manera enunciativa:
| Información personal | Todo dato sobre una persona natural que permita identificarla o hacerla identificable mediante medios razonables. |
| Información sensible | Datos que afectan la esfera más íntima del individuo. Para FirmEasy, comprenden particularmente los datos biométricos faciales y los obtenidos durante la prueba de vida. |
| Manejo o tratamiento | Cualquier operación —manual o automatizada que involucre recolectar, registrar, organizar, conservar, modificar, consultar, utilizar, bloquear, suprimir, comunicar o difundir datos personales. |
| Persona titular | Individuo a quien corresponde la información personal. |
| Decisor del tratamiento | Persona natural o jurídica que define las finalidades y medios del manejo de la información. |
| Operador del tratamiento | Quien procesa datos por cuenta del Decisor, en virtud de un vínculo jurídico. |
| ANPDP | Autoridad Nacional de Protección de Datos Personales del Perú. |
| Rastro técnico de la firma | Conjunto de registros, marcas temporales, capturas, dirección IP, hashes y demás señales digitales que se generan en cada Operación y permiten reconstruirla a efectos probatorios. |
4. Calidad con la que Actúa FirmEasy frente a sus Datos
Dependiendo de la situación concreta, Firm Easy puede asumir uno de estos dos roles:
4.1. Cuando definimos las finalidades (Decisor)
Es el caso cuando recogemos información directamente del visitante o del suscriptor para fines propios del negocio: alta de cuenta, facturación, soporte, comunicaciones comerciales con consentimiento, prevención de fraude, mejora de la Plataforma y obligaciones legales que recaen sobre nosotros.
4.2. Cuando seguimos instrucciones de un cliente empresarial (Operador)
Sucede cuando una empresa contratante carga al sistema datos de firmantes o terceros para gestionar la firma de sus documentos. En esa hipótesis, la empresa cliente es la que decide los fines del tratamiento; FirmEasy se limita a ejecutar las instrucciones recibidas dentro del marco contractual.
Bajo este segundo rol, FirmEasy se compromete a:
- (i) ceñirse a las instrucciones documentadas del cliente
- (ii) no decidir nuevas finalidades por iniciativa propia
- (iii) aplicar los resguardos de seguridad descritos en este documento
- (iv) colaborar con el cliente cuando un titular ejerza sus derechos
- (v) devolver o suprimir los datos al concluir la relación, con las salvedades que la ley permita
5. Información que Recogemos
Recogemos las categorías de información que detallamos a continuación, en la medida en que resulten necesarias para los fines descritos en el numeral 6:
5.1. Identificación personal
Nombres, apellidos, tipo y número de documento de identidad (DNI, carné de extranjería, pasaporte), fecha de nacimiento, nacionalidad, género, firma manuscrita escaneada y demás señas que individualizan al titular.
5.2. Datos de contacto
Correo electrónico, número de celular, número vinculado a WhatsApp, y cuando corresponda, datos de la persona jurídica representada.
5.3. Información biométrica (categoría sensible)
Imagen facial estática (selfie), grabaciones de video asociadas a procesos de prueba de vida (liveness detection), información derivada del cotejo biométrico contra el documento de identidad. Esta categoría se trata con resguardos reforzados y solo para verificar la identidad y prevenir la suplantación. El consentimiento se obtiene de forma expresa al iniciar el flujo biométrico.
5.4. Señales técnicas de navegación
Dirección IP, tipo de dispositivo, sistema operativo, navegador, identificadores únicos del equipo, geolocalización aproximada, idioma, fechas y horas de acceso, URL de origen y destino, y registros de actividad que se generan al usar la Plataforma.
5.5. Datos asociados a cada Operación de firma
Los documentos electrónicos cargados, los elementos necesarios para garantizar la trazabilidad, las marcas temporales, los hashes criptográficos, los estados de cada firmante y el rastro técnico integro de cada operación.
5.6. Datos para facturación
Razón social, RUC, domicilio fiscal, datos del titular del medio de pago e información asociada al comprobante de pago electrónico. FIRMEASY no almacena el número completo de tarjetas ni códigos de seguridad: ese procesamiento queda en manos de las pasarelas certificadas con estándar PCI-DSS.
5.7. Origen de la información
Los datos pueden provenir de las siguientes fuentes, conforme a lo permitido por la normativa vigente:
- Lo que la propia persona ingresa en el formulario de registro o durante una Operación.
- Lo que un cliente empresarial aporta al cargar documentos en la Plataforma.
- Cotejo contra fuentes oficiales públicas, incluyendo el Registro Nacional de Identificación y Estado Civil (RENIEC).
- Información generada de forma automática por el uso del sitio (rastreadores web, registros de actividad, rastro técnico).
- Datos obtenidos a través de proveedores de cotejo biométrico y verificación documental.
- Información de Acceso Público
6. Para qué Usamos la Información
6.1. Usos esenciales (no requieren consentimiento adicional cuando son necesarios para el contrato)
- Crear y administrar la cuenta del suscriptor en la Plataforma: alta, identificación y autenticación.
- Verificar la identidad del firmante mediante OTP por correo, validación por WhatsApp, biometría facial, cotejo documental.
- Llevar adelante los procesos de firma electrónica avanzada y firma digital sobre los documentos que se carguen.
- Generar, conservar y entregar el rastro técnico de cada operación.
- Asegurar la autenticidad, integridad, trazabilidad de los documentos firmados.
- Detectar, prevenir y mitigar fraudes, suplantación y otras conductas ilícitas.
- Cobrar los servicios, emitir comprobantes electrónicos según las reglas de SUNAT y atender las consultas o reclamos vinculados.
- Brindar soporte técnico, atención al cliente y gestión de incidencias.
- Cumplir mandatos legales, regulatorios y contractuales.
6.2. Usos complementarios
- Enviar comunicaciones comerciales, novedades, anuncios de funcionalidades, eventos (webinars, talleres) y promociones de FIRMEASY.
- Realizar análisis estadísticos, estudios de comportamiento y segmentación destinados a mejorar el servicio y orientar acciones de mercadeo.
- Activar herramientas de medición y publicidad digital (Google Analytics, Pixel de Meta, Google Ads, LinkedIn Insight Tag, TikTok Pixel u otras).
La persona titular puede negarse u oponerse a estos usos complementarios sin que ello afecte la prestación de los servicios contratados.
7. Fundamentos Jurídicos que Habilitan el Uso de Datos
El manejo de la información se ampara, según el caso, en una o varias de las siguientes bases:
- El consentimiento libre, previo, expreso e informado de la persona titular, manifestado al marcar la casilla correspondiente, completar un flujo biométrico o aceptar electrónicamente este documento.
- La ejecución de un vínculo contractual o la aplicación de medidas precontractuales solicitadas por la persona titular.
- El cumplimiento de mandatos legales.
- El interés legítimo de FIRMEASY de mantener la seguridad de la Plataforma, prevenir fraudes y conservar evidencia probatoria, siempre que no prevalezca sobre los derechos fundamentales del titular.
8. Tiempo de Permanencia de la Información
La información se mantiene únicamente durante el tiempo necesario para concretar las finalidades del manejo y, después, durante los plazos que la normativa exija. A continuación se establecen los plazos referenciales:
| Categoría de información | Tiempo de permanencia |
|---|---|
| Cuenta de suscriptor activa | Mientras la cuenta esté vigente |
| Cuenta cancelada o inactiva | 5 años desde la cancelación |
| Documentos firmados y rastro técnico | 1 año desde el último firma, y de 2 hasta 10 años (servicio premium con costo adicional) |
| Información biométrica (selfie y prueba de vida) | Asociada a la Operación: 1 año |
| Comprobantes de pago electrónicos | 5 años |
Atendiendo a criterios de proporcionalidad, eficiencia operativa y razonable distribución de costos, FIRMEASY ha definido un plazo estándar de conservación de un (1) año respecto de los documentos firmados, la información biométrica y el rastro técnico de cada operación. Cumplido este plazo, dicha información se suprime de forma segura.
RECOMENDACIÓN IMPORTANTE PARA EL TITULAR Y EL CLIENTE EMPRESARIAL: se recomienda enfáticamente descargar y conservar bajo custodia propia los documentos firmados, así como el rastro técnico asociado, dentro del plazo de un (01) año desde la firma. Toda la información firmada queda disponible para descarga directa desde la cuenta del suscriptor durante ese período. La conservación de la información más allá de dicho plazo es responsabilidad exclusiva de la persona titular o del cliente empresarial.
FIRMEASY no asumirá responsabilidad alguna —ni frente al titular, ni frente al cliente empresarial, ni frente a terceros por la imposibilidad de proveer documentos, información biométrica o rastro técnico cuya solicitud se efectúe con posterioridad al vencimiento del plazo señalado. La supresión practicada al cumplirse dicho plazo se entenderá realizada en cumplimiento del principio de proporcionalidad y de la presente Política, sin que ello pueda interpretarse como destrucción indebida de prueba.
El cliente empresarial que requiera plazos de conservación más extensos —por mandato legal sectorial (banca, seguros, valores, salud, notariado u otros), por exigencias contractuales con terceros o por política interna— deberá contratar el servicio de custodia extendida mediante un acuerdo específico con FIRMEASY. En ausencia de dicho acuerdo, regirá el plazo estándar definido en este numeral.
Los plazos arriba indicados son referenciales y como tiempo mínimo de conservación. Cumplido el plazo, FIRMEASY procede a la supresión segura de los datos —mediante borrado lógico y físico— o a su anonimización irreversible cuando se requiera conservar registros estadísticos. La persona titular puede consultar el plazo aplicable a su caso concreto a través de los canales señalados
9. Comunicación de Datos a Terceros y Salida del País
Para que el servicio funcione, FIRMEASY comparte información con terceros confiables y, en algunos casos, almacena datos en infraestructura ubicada fuera del Perú. La persona titular reconoce y acepta que estos flujos son indispensables para la operación de la Plataforma.
9.1. Transferencia de Datos
- Entidades de Certificación o de Registro o Verificación acreditadas ante INDECOPI dentro de la IOFE, para la generación y administración de certificados digitales.
- Proveedores de infraestructura en la nube (almacenamiento, procesamiento, copias de respaldo).
- Proveedores de cotejo biométrico e identidad digital.
- Servicios de mensajería y comunicación (WhatsApp, correo electrónico transaccional).
- Pasarelas de pago y procesadores de transacciones financieras.
- Plataformas de medición digital, mercadeo y publicidad.
9.2. Dónde se almacena la información
FIRMEASY mantiene los datos en infraestructura cloud distribuida en regiones de Perú, Estados Unidos de América y Unión Europea, según el proveedor utilizado. De manera enunciativa, los principales son:
| Proveedor | Servicio prestado | País / Región | Información compartida |
|---|---|---|---|
| Amazon Web Services (AWS) | Infraestructura cloud, almacenamiento | EE.UU./OHIO | Cuentas, documentos, rastro técnico |
| Meta Platforms, Inc. | WhatsApp Business API y Píxel | EE.UU./Irlanda | Teléfono, identificadores publicitarios |
| Google Analytics / Google Ads | Medición digital y publicidad | EE.UU. | IP, identificadores de rastreadores |
| LinkedIn Corporation | Insight Tag (publicidad B2B) | EE.UU. | IP, identificadores de rastreadores |
| Pasarelas de pago locales | Procesamiento de pagos | Perú. | Datos de facturación |
| Proveedores biométricos | Validación facial y documental | EE.UU./UE | Imagen, Número DNI |
10. Obligaciones de FirmEasy
FIRMEASY ha implementado mecanismos técnicos, organizativos y legales razonables conforme al estado de la técnica para preservar la confidencialidad, integridad y disponibilidad de la información personal:
- Cifrado en tránsito mediante TLS 1.2 o superior.
- Control de accesos basado en roles y aplicación del principio de mínimo privilegio.
- Doble factor de autenticación obligatorio para el personal con acceso a sistemas críticos.
- Copias de respaldo.
- Acuerdos de confidencialidad firmados con el personal.
- Procedimiento documentado de respuesta ante incidentes.
- Evaluaciones de impacto en privacidad para nuevas funcionalidades sensibles.
Aun con estas medidas, ningún sistema conectado a redes públicas resulta absolutamente invulnerable. La persona titular reconoce que la ciberseguridad es un esfuerzo compartido y se compromete a mantener prácticas razonables para proteger sus credenciales y dispositivos.
11. Rastreadores Web y Herramientas de Medición
La Plataforma utiliza rastreadores web —cookies, etiquetas de seguimiento, píxeles y tecnologías equivalentes— que permiten recordar las preferencias del visitante, sostener la sesión, medir el desempeño del sitio, analizar la navegación y, cuando corresponda, mostrar contenido o publicidad relevante.
11.1. Cómo se gestiona el consentimiento
Al ingresar por primera vez a la Plataforma, el visitante puede aceptar todos los rastreadores, rechazar los que no son indispensables o personalizar su elección por categoría a través del banner de consentimiento. La decisión queda registrada con marca temporal, IP y versión del documento.
La elección puede modificarse en cualquier momento desde el panel de gestión de rastreadores disponible en el sitio o eliminando los rastreadores guardados desde la configuración del navegador. Desactivar ciertos rastreadores puede limitar algunas funcionalidades.
12. Facultades que la Ley le Reconoce sobre sus Datos
Como persona titular de los datos, El titular de los datos personales podrá ejercer los derechos ARCO (acceso, rectificación, Cancelación, Oposición, revocación del consentimiento): ser mediante la página web https://sign.girasol.pe/derechos_arco o comunicación directa a la empresa Correo electrónico: [email protected] o [email protected].
FIRMEASY responderá dentro de los plazos legales: hasta veinte (20) días hábiles para conocer (acceso) y diez (10) días hábiles para corregir, suprimir u oponerse, contados desde el día siguiente a la presentación.
13. Información sobre Menores de Edad
La Plataforma está dirigida exclusivamente a personas mayores de dieciocho (18) años. FIRMEASY no recopila ni maneja intencionalmente datos de menores de edad. Si advertimos que un menor ha aportado información sin la autorización de quien ejerza la patria potestad o tutela, procederemos a su eliminación inmediata. Padres, madres o tutores que detecten esta situación pueden comunicar a los canales del numeral 12.
14. Actualizaciones de este Documento
FIRMEASY puede actualizar este documento para reflejar cambios normativos, operativos, tecnológicos o comerciales. Cualquier cambio se publica en el sitio con la fecha de actualización y, cuando los cambios sean sustanciales, se avisa mediante mensaje visible en la Plataforma o correo electrónico al domicilio registrado, con un plazo razonable antes de su entrada en vigor. Continuar usando la Plataforma después de esa fecha implica aceptar la nueva versión.
15. Canales de Contacto y Oficial de Gobierno de Datos
Para cualquier consulta, solicitud, reclamo o comunicación relacionada con este documento o con el manejo de su información personal, puede contactarnos por estas vías:
- Soporte general: [email protected]
- Atención comercial: [email protected]
- Asuntos de privacidad: [email protected]
FIRMEASY ha designado a un Oficial de Gobierno de Datos Personales Al Sr. Jesús Alvino López que se encarga de atender las consultas, solicitudes y reclamos de las personas titulares. Sus datos de contacto se publican en la Plataforma.
16. Confirmación de Aceptación
Al marcar la casilla de aceptación, pulsar el botón "Acepto" o continuar utilizando la Plataforma, la persona titular declara haber leído y comprendido este documento y otorga su consentimiento libre, previo, expreso, informado e inequívoco para que FIRMEASY incluya sus datos en sus sistemas y bancos de datos y los maneje conforme a las finalidades aquí descritas.
Asimismo, declara haber sido informada del derecho a revocar el consentimiento en cualquier momento mediante los canales del numeral 15, sin que dicha revocación tenga efecto sobre los manejos realizados con anterioridad.