ascensiumvalue
Registrarse

Anexo de Encargo de Tratamiento (DPA)

Encargo de tratamiento art. 28 RGPD para los Documentos del Data Room.

Versión 1.1.0-draft
Actualizado 2026-04-25
Pendiente de revisión legal externa

Este Anexo desarrolla las obligaciones de las partes conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) cuando Ascensium actúa como encargado del tratamiento por cuenta del Vendedor respecto de los datos personales contenidos en los Documentos del Data Room. Forma parte integrante de los Términos y Condiciones de Uso de la Plataforma y de la Política de Privacidad.

1. Partes y objeto

1.1 Partes

  • Responsable del tratamiento: el Vendedor, en su condición de Usuario que sube Documentos al Data Room conforme a los Términos y Condiciones.
  • Encargado del tratamiento: Ascensium LTD (sociedad chipriota con número de registro mercantil HE 464697, domicilio social en Bybliserve Building, Spyrou Kyprianou 57, 6051 Larnaca, Chipre, email de contacto hola@ascensiumexperience.com), titular y operadora de la Plataforma value.ascensium.es.

En adelante, conjuntamente las Partes e individualmente la Parte.

1.2 Objeto

El presente Anexo regula las condiciones bajo las que Ascensium presta al Vendedor los servicios de alojamiento, custodia y puesta a disposición de los Documentos del Data Room que el Vendedor sube a la Plataforma, en la medida en que dichos Documentos contengan datos personales por los que el Vendedor sea responsable del tratamiento.

Quedan fuera del ámbito de este Anexo los tratamientos en los que Ascensium actúa como responsable independiente (datos de cuenta, verificación declarativa de identidad y capacidad, logs de seguridad, comunicaciones, analítica, moderación de Fichas y demás finalidades descritas en la sección 1 de la Política de Privacidad).

2. Duración

El presente Anexo entra en vigor en la fecha en que el Vendedor acepta los Términos y Condiciones de la Plataforma y permanece vigente:

  • Mientras existan Operaciones activas del Vendedor en la Plataforma, o
  • Mientras existan Documentos del Data Room subidos por el Vendedor pendientes de eliminación.

Termina automáticamente con:

  • La eliminación de la Ficha correspondiente y de los Documentos asociados.
  • El cierre o cancelación formal de la Operación y la subsiguiente devolución o supresión prevista en la cláusula 12.

Las obligaciones que por su naturaleza deban subsistir tras la terminación (confidencialidad, conservación residual para defensa legal, registros de auditoría) seguirán en vigor en los términos previstos en este Anexo.

3. Naturaleza y finalidad del tratamiento

3.1 Naturaleza

Prestación de servicios de plataforma digital de intermediación: alojamiento de archivos, control de acceso, marcado dinámico (watermark), registro de auditoría y entrega bajo demanda a Compradores autorizados.

3.2 Finalidad

Facilitar el acceso restringido a los Documentos del Data Room por parte de los Compradores que hayan firmado el NDA bilateral, con el único fin de evaluar la potencial Operación de compraventa de la Clínica del Vendedor.

Ascensium no utilizará los Documentos del Data Room ni los datos personales que contengan para ninguna finalidad distinta a la indicada, salvo que medie obligación legal imperativa o instrucción documentada del Vendedor.

4. Categorías de datos

4.1 Categorías incluidas

A título enunciativo, los Documentos del Data Room pueden contener:

  • Datos económicos y financieros de la Clínica (cuentas anuales, balances, declaraciones fiscales).
  • Datos identificativos del Vendedor y, en su caso, de la sociedad titular de la Clínica.
  • Datos contractuales relativos a proveedores y empleados, preferentemente de forma seudonimizada.
  • Datos identificativos de terceros (proveedores, arrendadores, entidades financieras) en la medida estrictamente necesaria para evaluar la Operación.

4.2 Categorías expresamente prohibidas

Conforme a la sección 4.9 de los Términos y Condiciones, queda específicamente prohibido subir al Data Room:

  • Datos relativos a la salud (categoría especial del artículo 9 RGPD).
  • Datos identificables de pacientes (historias clínicas, agendas nominales, fotografías clínicas, diagnósticos, tratamientos, consentimientos informados, presupuestos nominales, DNI, teléfono o email de pacientes).
  • Cualquier otra categoría especial del artículo 9 del RGPD que no sea estrictamente necesaria para la Operación.

El Vendedor declara y garantiza que los Documentos no contienen los datos prohibidos en esta cláusula 4.2. El incumplimiento de esta declaración generará la responsabilidad exclusiva del Vendedor en los términos previstos en la cláusula 6 y en la sección 4.9 de los Términos y Condiciones.

5. Categorías de interesados

Pueden figurar como interesados en los Documentos del Data Room:

  • El propio Vendedor y sus representantes legales o apoderados.
  • Empleados, colaboradores y proveedores de la Clínica mencionados en documentación corporativa, preferentemente de forma seudonimizada.
  • Terceros contratantes (arrendadores, suministradores, entidades financieras) cuya identidad sea imprescindible para evaluar la Operación.

En ningún caso podrán figurar como interesados pacientes ni cualquier otra persona cuyos datos hayan sido excluidos por la cláusula 4.2.

6. Obligaciones del Vendedor (Responsable)

El Vendedor, como responsable del tratamiento, se obliga a:

  • Subir únicamente Documentos lícitamente obtenidos y sobre los que ostente facultades suficientes de disposición.
  • Garantizar que los Documentos no contienen datos personales sin base legal para su tratamiento ni divulgación a Compradores autorizados.
  • Cumplir y hacer cumplir la prohibición de datos identificables de pacientes establecida en la sección 4.9 de los Términos y Condiciones y en la cláusula 4.2 del presente Anexo.
  • Aportar a Ascensium las instrucciones documentadas necesarias mediante el uso ordinario de la Plataforma (subida, organización y mantenimiento de los Documentos; configuración de accesos y permisos cuando estén disponibles).
  • Asumir responsabilidad exclusiva frente a terceros, autoridades de control y autoridades sanitarias por las reclamaciones que se deriven de los datos contenidos en los Documentos.
  • Atender los derechos de los interesados (acceso, rectificación, supresión, limitación, oposición, portabilidad) sobre los datos personales contenidos en los Documentos, contando con la asistencia razonable de Ascensium prevista en la cláusula 7.

7. Obligaciones de Ascensium (Encargado)

Ascensium, en su condición de encargado del tratamiento, se obliga a:

7.1 Tratamiento conforme a instrucciones

Tratar los datos personales contenidos en los Documentos únicamente conforme a las instrucciones documentadas del Vendedor, materializadas en:

  • La subida de Documentos al Data Room por el Vendedor.
  • El acceso restringido a los Documentos por Compradores autorizados que hayan firmado el NDA bilateral.
  • Las acciones realizadas por el Vendedor a través del panel de gestión de la Plataforma (modificación, retirada, organización, asignación de accesos).

Si Ascensium considera que una instrucción del Vendedor infringe la normativa de protección de datos, lo comunicará al Vendedor de inmediato y podrá suspender la ejecución de dicha instrucción.

7.2 Confidencialidad del personal

Garantizar que el personal autorizado a tratar los datos personales se haya comprometido, contractualmente o por deber profesional, a respetar la confidencialidad sobre los Documentos.

7.3 Medidas de seguridad (artículo 32 RGPD)

Aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, entre otras:

  • Cifrado en tránsito de las comunicaciones (HTTPS/TLS).
  • Cifrado en reposo de los Documentos en el almacenamiento (Supabase Storage).
  • Marcado dinámico (watermark) personalizado por Comprador y acceso, conforme a la sección 5.3.1 de los Términos y Condiciones.
  • Registro de auditoría detallado de cada acceso (sección 5.3.2 T&C).
  • Límites de descarga (rate limiting) para disuadir extracciones masivas (sección 5.3.3 T&C).
  • Control de acceso por NDA firmado y por estado activo de la Operación (sección 5.4 y 5.5 T&C).
  • Controles de acceso basados en roles, principio de mínimo privilegio y revisión periódica de permisos.

7.4 Asistencia al Responsable

Asistir al Vendedor, en la medida razonable, en el cumplimiento de sus obligaciones bajo el RGPD, en particular:

  • En la atención de los derechos de los interesados (artículos 15 a 22 RGPD), facilitando información sobre los Documentos almacenados, accesos registrados y mecanismos de eliminación.
  • En la realización de evaluaciones de impacto (artículo 35 RGPD) y en las consultas previas (artículo 36 RGPD) cuando proceda.
  • En la notificación de violaciones de seguridad (artículos 33 y 34 RGPD).

7.5 Notificación de brechas de seguridad

Notificar al Vendedor, sin dilación indebida, cualquier violación de la seguridad de los datos personales contenidos en los Documentos del Data Room. Como objetivo operativo, la notificación se realizará en un plazo de 24 horas desde el conocimiento del incidente, y en todo caso antes del plazo máximo de 72 horas previsto en el artículo 33 RGPD.

La notificación incluirá una descripción razonable de la naturaleza del incidente, los datos potencialmente afectados, las medidas adoptadas y la información necesaria para que el Vendedor pueda cumplir, a su vez, con sus propias obligaciones de notificación frente a la autoridad de control y a los interesados.

7.6 Devolución o supresión

Devolver o suprimir los Documentos del Data Room al fin del tratamiento, conforme a la cláusula 12 y a la sección 5.6 de los Términos y Condiciones.

8. Subencargados

8.1 Autorización general

El Vendedor autoriza expresamente a Ascensium, mediante la aceptación del presente Anexo, a recurrir a los siguientes subencargados del tratamiento, necesarios para la prestación del servicio:

SubencargadoPaísFunción
SupabaseIrlanda (UE)Alojamiento de base de datos y storage de los Documentos del Data Room.
VercelUE / EE.UU. (con SCCs)Hosting y entrega de la Plataforma.
AnthropicEE.UU. (con SCCs)Moderación automatizada por inteligencia artificial únicamente del texto descriptivo de las Fichas (título, descripción, equipamiento). No se envían a Anthropic los Documentos del Data Room ni los datos personales que estos contengan.

Los subencargados se comprometen contractualmente, mediante acuerdos conformes al artículo 28 RGPD, a las mismas obligaciones de protección de datos que el presente Anexo impone a Ascensium, en lo que les resulte aplicable.

8.2 Nuevos subencargados

Ascensium podrá incorporar nuevos subencargados, comunicándolo al Vendedor con un preaviso mínimo de 30 días. El Vendedor podrá oponerse motivadamente durante dicho plazo, en cuyo caso las Partes negociarán de buena fe una solución alternativa o, en su defecto, el Vendedor podrá rescindir el servicio afectado conforme a los Términos y Condiciones.

8.3 Responsabilidad de Ascensium por subencargados

Ascensium responde frente al Vendedor por el cumplimiento de las obligaciones de protección de datos por parte de sus subencargados, en los términos del artículo 28.4 del RGPD.

9. Transferencias internacionales

Cuando un subencargado implique una transferencia internacional fuera del Espacio Económico Europeo, Ascensium garantiza la existencia de al menos una de las siguientes salvaguardas:

SubencargadoMecanismo de transferencia
Supabase (Irlanda)Sin transferencia internacional (datos en la UE).
VercelCláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, complementadas con medidas adicionales (cifrado, controles de acceso). En su caso, Data Privacy Framework (DPF) cuando esté disponible.
AnthropicCláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, complementadas con minimización (solo texto descriptivo de las Fichas) y medidas adicionales.

Ascensium facilitará al Vendedor, a petición razonable, copia de las cláusulas o de los certificados aplicables a cada transferencia.

10. Confidencialidad

Todo el personal de Ascensium con acceso a los Documentos del Data Room está sujeto a obligaciones de confidencialidad mediante NDA interno o cláusulas equivalentes en su contrato laboral o de prestación de servicios.

El acceso al Data Room por parte del personal de Ascensium se limita a los roles estrictamente necesarios para la operativa, soporte y mantenimiento de la Plataforma, bajo principio de mínimo privilegio y con registro de auditoría.

11. Auditoría

11.1 Información sobre cumplimiento

El Vendedor podrá solicitar a Ascensium información razonable sobre el cumplimiento del presente Anexo, incluyendo evidencia documental sobre las medidas técnicas y organizativas aplicadas.

11.2 Auditorías presenciales

Las auditorías presenciales o realizadas por terceros designados por el Vendedor estarán condicionadas a:

  • Notificación previa con al menos 30 días de antelación.
  • Suscripción de un acuerdo de confidencialidad por el auditor.
  • Asunción por el Vendedor de los costes razonables asociados a la auditoría, salvo que ésta revele incumplimientos relevantes imputables a Ascensium.
  • Compatibilidad con la normal operativa del servicio y con las obligaciones de confidencialidad de Ascensium frente a otros Usuarios.

11.3 Certificaciones e informes externos

Ascensium podrá satisfacer las obligaciones de auditoría mediante la entrega de certificaciones aplicables, informes de cumplimiento de sus subencargados (Supabase, Vercel, Anthropic) u otros informes de terceros independientes que cubran las medidas relevantes.

12. Devolución y supresión

12.1 Plazo

Tras el cierre o la cancelación de la Operación, o tras la retirada de la Ficha, los Documentos del Data Room se eliminarán de los sistemas de Ascensium en un plazo máximo de 30 días.

12.2 Conservación residual

Sin perjuicio de lo anterior, Ascensium podrá conservar la siguiente información residual:

  • Registros de auditoría de los accesos a los Documentos durante la vigencia de la Operación, conforme a la sección 12.4 de los Términos y Condiciones.
  • Hashes o referencias técnicas de los Documentos para fines de prueba e integridad.
  • Copia del NDA firmado y sus metadatos asociados.
  • Copias estrictamente necesarias para el cumplimiento de obligaciones legales o para la formulación, ejercicio o defensa de reclamaciones.

Esta conservación residual se realiza en los términos previstos en los Términos y Condiciones y en la Política de Privacidad, con base en el cumplimiento de obligaciones legales (RGPD art. 6.1.c) y en el interés legítimo de las Partes en la defensa frente a reclamaciones (RGPD art. 6.1.f).

12.3 Confirmación de supresión

A petición razonable del Vendedor, Ascensium emitirá una declaración escrita confirmando la supresión efectiva de los Documentos y el alcance de las medidas adoptadas.

13. Responsabilidad

13.1 Régimen general

Cada Parte responde frente a la otra y frente a terceros por el incumplimiento de sus propias obligaciones bajo el presente Anexo y la normativa de protección de datos aplicable.

13.2 Responsabilidad de Ascensium

Ascensium, como encargado, responderá únicamente:

  • Cuando incumpla las obligaciones específicas que el RGPD impone al encargado del tratamiento (art. 82.2 RGPD).
  • Cuando actúe al margen o de forma contraria a las instrucciones legales del Vendedor.

Ascensium no responde del contenido de los Documentos subidos por el Vendedor, de la legitimidad de su origen ni de los consentimientos o bases jurídicas que el Vendedor deba ostentar como responsable del tratamiento.

13.3 Responsabilidad del Vendedor

El Vendedor responde, frente a los interesados, frente a Ascensium y frente a las autoridades de control, de:

  • La licitud del origen y la base jurídica de los datos personales contenidos en los Documentos.
  • El cumplimiento de la prohibición de datos identificables de pacientes (cláusula 4.2 y sección 4.9 T&C).
  • Las reclamaciones formuladas por terceros sobre los datos contenidos en los Documentos.

14. Ley aplicable

14.1 Régimen contractual

El presente Anexo se rige, en cuanto a su régimen contractual general, por la misma ley aplicable a los Términos y Condiciones de Uso de la Plataforma (ley de la República de Chipre), con respeto pleno a los derechos imperativos que reconozca a los Usuarios consumidores la legislación de su país de residencia dentro de la Unión Europea.

14.2 Régimen de protección de datos

Las cuestiones relativas a protección de datos se rigen por:

  • El Reglamento (UE) 2016/679 (RGPD).
  • La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y demás normativa nacional aplicable a los interesados.
  • La legislación chipriota equivalente cuando proceda.

Los interesados conservan en todo caso el derecho a presentar reclamación ante la autoridad de control de su país de residencia, en particular ante la Agencia Española de Protección de Datos (AEPD) cuando los datos se refieran a personas residentes en España.

15. Disposiciones generales

15.1 Integración con otros documentos

El presente Anexo forma parte integrante de los Términos y Condiciones de Uso y de la Política de Privacidad publicados en value.ascensium.es/legal. En caso de discrepancia entre este Anexo y la Política de Privacidad en lo relativo al rol de Ascensium como encargado del tratamiento, prevalecerá lo dispuesto en este Anexo.

15.2 Modificaciones

Las modificaciones del presente Anexo se regirán por el procedimiento de modificación previsto en la sección 13 de los Términos y Condiciones. Los cambios materiales requerirán aceptación expresa del Vendedor.

15.3 Idioma

La versión auténtica del presente Anexo es la redactada en español. Si Ascensium publicara traducciones a otros idiomas con fines informativos, en caso de discrepancia prevalecerá la versión española.

15.4 Contacto

Para cualquier consulta relativa al presente Anexo, el Vendedor puede dirigirse a:

Fin del documento.