ascensiumvalue
Registrarse

Política de Privacidad

Tratamientos, bases jurídicas, plazos y derechos en materia de protección de datos.

Versión 1.3.0-draft
Actualizado 2026-04-25
Pendiente de revisión legal externa

1. Información general y roles jurídicos

1.1 Estructura de roles RGPD

La operación de la Plataforma value.ascensium.es implica distintos tratamientos de datos personales con diferentes roles jurídicos. Es importante distinguirlos para entender qué obligaciones asume cada parte y a quién dirigir el ejercicio de derechos.

Ascensium como responsable independiente

Ascensium actúa como responsable independiente del tratamiento respecto de:

  • Datos de cuenta y autenticación de los Usuarios.
  • Datos de verificación declarativa de identidad y capacidad.
  • Logs de seguridad y auditoría de la Plataforma.
  • Comunicaciones con los Usuarios (transaccionales y de soporte).
  • Datos de uso de la Plataforma (analítica, métricas, patrones de descarga).
  • Cookies y tecnologías similares conforme a la Política de Cookies.
  • Moderación del contenido publicado en las Fichas.
  • Funcionamiento general de la Plataforma.

Ascensium como encargado del tratamiento

Ascensium actúa como encargado del tratamiento por cuenta del Vendedor respecto de:

  • Los Documentos del Data Room subidos por el Vendedor.
  • Cualquier dato personal contenido en dichos Documentos.

En este caso, el Vendedor es el responsable del tratamiento y Ascensium se rige por el Anexo de Encargo de Tratamiento disponible en /legal/dpa, que desarrolla las obligaciones de las partes conforme al artículo 28 del RGPD.

Vendedor como responsable del tratamiento

El Vendedor es responsable del tratamiento respecto de:

  • Los datos personales contenidos en los Documentos que sube al Data Room.
  • Las bases jurídicas y consentimientos necesarios para el tratamiento de esos datos.
  • El cumplimiento de la normativa aplicable a esos datos, incluida la prohibición de subir datos identificables de pacientes prevista en la sección 4.9 de los Términos y Condiciones.

Comprador como responsable independiente

El Comprador, al recibir información a través de la Plataforma tras la firma del NDA bilateral, actúa como responsable independiente respecto del tratamiento que haga de esa información para evaluar la Operación. Ascensium no tiene control sobre dicho tratamiento posterior y su responsabilidad se limita a aplicar las medidas de seguridad y trazabilidad descritas en los Términos y Condiciones (NDA, watermark, audit logs, rate limiting).

1.2 Identidad del Responsable del Tratamiento (Ascensium)

A los efectos de los tratamientos en los que Ascensium actúa como responsable independiente conforme a la sección 1.1, los datos identificativos del responsable son:

  • Razón social: Ascensium LTD
  • Número de registro mercantil (Chipre): HE 464697
  • Domicilio social: Bybliserve Building, Spyrou Kyprianou 57, 6051 Larnaca, Chipre
  • Email de contacto: hola@ascensiumexperience.com

En adelante, Ascensium.

1.3 Ámbito de aplicación

Esta Política de Privacidad regula el tratamiento de los datos personales que Ascensium recoge a través de la Plataforma value.ascensium.es. Se aplica a Vendedores, Compradores y, en general, a cualquier persona que interactúe con la Plataforma (visitantes, registrados, usuarios autenticados).

Esta política complementa los Términos y Condiciones de Uso y debe leerse junto con ellos. En caso de discrepancia entre ambos documentos en materia de protección de datos, prevalecerá la presente Política de Privacidad.

1.4 Marco normativo

El tratamiento de datos se rige por:

  • Reglamento (UE) 2016/679, RGPD.
  • Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Legislación chipriota equivalente y sectorial aplicable.

1.5 Delegado de Protección de Datos

Ascensium no ha designado un Delegado de Protección de Datos (DPO) en la fase actual. El análisis razonado de esta decisión y los supuestos en que será revisada se desarrollan en la sección 8 del presente documento.

2. Qué datos tratamos

2.1 Datos identificativos

Recogemos directamente del Usuario, durante el alta y la verificación declarativa de identidad:

  • Dirección de correo electrónico.
  • Nombre y apellidos. Nombre completo tal como aparece en el documento de identidad (nombre completo verificado).
  • NIF o NIE.
  • Número de teléfono móvil.
  • Dirección postal completa: calle, ciudad, provincia y código postal.

2.2 Datos de empresa

Cuando el Usuario actúa por cuenta de una persona jurídica o como autónomo con nombre comercial, recogemos también:

  • Razón social.
  • CIF.
  • Forma jurídica (SL, SA, SLP, SLL, autónomo con nombre comercial u otro).

2.3 Datos comerciales

Tratamos información relacionada con la actividad del Usuario en la Plataforma:

  • Tipo de cuenta (Vendedor, Comprador o ambos).
  • Capacidad financiera declarada (rango orientativo).
  • Preferencias de búsqueda, filtros y zonas de interés.
  • Operaciones iniciadas, NDAs firmados y LOIs intercambiadas.
  • Mensajes enviados a través de la mensajería interna.

2.4 Datos técnicos

De forma automática, al acceder a la Plataforma, recogemos:

  • Dirección IP (incluida la incorporada al marcado dinámico de documentos y al registro de auditoría).
  • Tipo de navegador y agente de usuario (user agent).
  • Cookies estrictamente técnicas necesarias para el funcionamiento de la sesión.
  • Identificadores generados por el sistema (UUIDs internos).

Las cookies analíticas y de marketing se rigen por la Política de Cookies.

2.5 Datos de uso

Como parte de las medidas de seguridad y trazabilidad descritas en los Términos y Condiciones:

  • Registro de auditoría de cada acceso del Comprador a Documentos del Data Room (documento, Operación, hora, IP, agente de usuario, tamaño servido).
  • Patrones de descarga utilizados por el sistema de límites (rate limiter).
  • Histórico de actividad relevante para la cuenta (alta, verificación declarativa, manifestaciones de interés, firmas, etc.).

2.6 Datos sensibles de terceros (cláusula específica)

Los Documentos del Data Room que el Vendedor pone a disposición del Comprador pueden contener, de forma incidental, datos personales sensibles de terceros (pacientes, empleados, proveedores), especialmente datos relativos a la salud, considerados categoría especial por el artículo 9 del RGPD.

La obligación de obtener consentimiento previo y demostrable de los afectados, así como de aplicar las técnicas adecuadas (anonimización, seudonimización), recae exclusivamente sobre el Vendedor que sube los Documentos. Ascensium actúa como mero intermediario tecnológico y no procesa intencionalmente esos datos.

Si Ascensium detecta la presencia indebida de Datos Sensibles, podrá adoptar medidas de moderación, retirada del contenido y notificación a las autoridades competentes cuando proceda.

3. Tratamientos

Esta sección describe los tratamientos de datos personales realizados por Ascensium, con el detalle exigido por los artículos 13 y 14 del RGPD: finalidad, datos tratados, base jurídica, origen de los datos, plazo de conservación y destinatarios.

3.1 Registro y autenticación de Usuarios

  • Finalidad: crear la cuenta, gestionar el acceso y mantener la sesión del Usuario en la Plataforma.
  • Datos tratados: email, contraseña hasheada, fecha de registro, identificadores internos.
  • Base jurídica: art. 6.1.b RGPD — ejecución del contrato.
  • Origen: aportados por el Usuario en el alta.
  • Plazo de conservación: durante la vigencia de la cuenta. Datos transaccionales asociados se conservan 6 años desde la eliminación de la cuenta para defensa jurídica (sección 4).
  • Destinatarios: Supabase (Irlanda, UE).

3.2 Verificación declarativa de identidad y capacidad

  • Finalidad: cumplir requisitos KYC simplificados, prevenir fraude y permitir publicar Fichas o firmar NDAs.
  • Datos tratados: nombre completo, NIF/NIE, teléfono, dirección postal, datos de empresa cuando aplique.
  • Base jurídica: art. 6.1.b (ejecución del contrato) y art. 6.1.f (interés legítimo en prevenir fraude y proteger a otros Usuarios).
  • Origen: declarado por el Usuario.
  • Plazo de conservación: durante la vigencia de la cuenta + 6 años post-eliminación.
  • Destinatarios: Supabase.

3.3 Gestión de cuenta y perfil

  • Finalidad: permitir al Usuario actualizar sus datos, preferencias de búsqueda, capacidad financiera declarada y demás campos del perfil.
  • Datos tratados: campos de perfil, preferencias de matching, capacidad financiera declarada (rango orientativo).
  • Base jurídica: art. 6.1.b — ejecución del contrato.
  • Origen: Usuario.
  • Plazo de conservación: durante la vigencia de la cuenta.
  • Destinatarios: Supabase.

3.4 Publicación de Fichas (Vendedores)

  • Finalidad: permitir al Vendedor publicar la Clínica en venta y a Compradores cualificados explorarla.
  • Datos tratados: información comercial, técnica y financiera de la Clínica; valoración EBITDA; descripción y equipamiento; ubicación general.
  • Base jurídica: art. 6.1.b — ejecución del contrato Vendedor↔Ascensium.
  • Origen: Vendedor.
  • Plazo de conservación: durante la publicación + 6 años desde la retirada o cierre de la Operación asociada.
  • Destinatarios: Supabase, Compradores autorizados que cumplan los criterios de la Plataforma.

3.5 Data Room (alojamiento de Documentos confidenciales)

  • Rol de Ascensium: encargado del tratamiento (no responsable). El Vendedor es el responsable del tratamiento de los datos personales contenidos en sus Documentos.
  • Finalidad: alojar los Documentos del Vendedor para su acceso restringido por Compradores que hayan firmado el NDA bilateral.
  • Datos tratados: contenido íntegro de los Documentos PDF y archivos subidos por el Vendedor.
  • Base jurídica: art. 28 RGPD — encargo de tratamiento.
  • Marco contractual: Anexo de Encargo de Tratamiento disponible en /legal/dpa.
  • Origen: Vendedor.
  • Plazo de conservación: durante la vigencia de la Operación + 30 días post-cierre o cancelación (devolución/destrucción conforme a la sección 5.6 T&C y a la cláusula 12 del DPA).
  • Destinatarios: Supabase Storage (Irlanda, UE), Vercel (servidor proxy para watermark dinámico, con SCCs).
  • Prohibición expresa: datos identificables de pacientes y datos de salud individualizados, conforme a la sección 4.8 de los Términos y Condiciones.

3.6 Firma de NDA

  • Finalidad: documentar el acuerdo de confidencialidad bilateral entre Vendedor y Comprador.
  • Datos tratados: identidad de las Partes firmantes, timestamp de la firma, IP de la conexión, hash del documento, evidencia técnica conforme a la sección 11 del modelo NDA.
  • Base jurídica: art. 6.1.b (ejecución del contrato) y art. 6.1.f (interés legítimo en la prueba contractual).
  • Origen: Usuarios firmantes y sistema.
  • Plazo de conservación: 6 años desde el cierre de la Operación, para defensa jurídica.
  • Destinatarios: Supabase.

3.7 Mensajería entre Usuarios

  • Finalidad: facilitar las comunicaciones entre Vendedor y Comprador durante la Operación.
  • Datos tratados: contenido de los mensajes y metadatos (remitente, destinatario, timestamp).
  • Base jurídica: art. 6.1.b — ejecución del contrato del facilitador tecnológico.
  • Origen: Usuarios.
  • Plazo de conservación: durante la Operación + 1 año post-cierre.
  • Destinatarios: Supabase.

3.8 Logs de seguridad y auditoría

  • Finalidad: trazabilidad de accesos, prevención de fraude y filtraciones, defensa jurídica, prueba contractual.
  • Datos tratados: dirección IP, user agent, identificador del Usuario, acción realizada, timestamp, metadatos del watermark dinámico aplicado a los Documentos.
  • Base jurídica: art. 6.1.f (interés legítimo en seguridad y prueba) y art. 6.1.c (cumplimiento de obligaciones legales).
  • Origen: sistema (automático).
  • Plazo de conservación: 2 años por defecto, configurable en función del nivel de riesgo detectado.
  • Destinatarios: Supabase.

3.9 Moderación de contenido publicado

  • Finalidad: detectar contenido prohibido (datos de pacientes, contenido difamatorio, promesas sanitarias engañosas, contenido ilegal) en las descripciones de Fichas.
  • Datos tratados: descripción de las Fichas (texto), equipamiento destacado.
  • Base jurídica: art. 6.1.f (interés legítimo en cumplimiento) y art. 6.1.c (cumplimiento legal).
  • Decisión automatizada: , con relevancia para el art. 22 RGPD:
    • Sistema de IA (Anthropic Claude) preanaliza el contenido.
    • Moderación humana revisa los casos límite y los rechazos del sistema.
    • El Usuario tiene derecho a impugnar la decisión y obtener revisión humana adicional (sección 7).
  • Origen: contenido publicado por el Usuario.
  • Plazo de conservación: registros de moderación durante 2 años.
  • Destinatarios: Anthropic (EE.UU., con SCCs). Solo se procesan descripciones públicas; NUNCA se envían los Documentos del Data Room ni datos personales sensibles. Detalles en sección 9.

3.10 Soporte al Usuario

  • Finalidad: atender consultas, incidencias y solicitudes de gestión de cuenta.
  • Datos tratados: contenido de las comunicaciones del Usuario con soporte y datos de identificación necesarios para autenticar la solicitud.
  • Base jurídica: art. 6.1.b — ejecución del contrato.
  • Origen: Usuario.
  • Plazo de conservación: 2 años desde la última interacción.
  • Destinatarios: Google Workspace (email corporativo, con SCCs y DPF cuando proceda).

3.11 Marketing y comunicaciones comerciales

  • Finalidad: enviar newsletters y comunicaciones promocionales sobre la Plataforma y novedades del servicio.
  • Datos tratados: email, preferencias declaradas, tipo de Usuario (Vendedor / Comprador).
  • Base jurídica: art. 6.1.a — consentimiento explícito y separado del Usuario (opt-in).
  • Origen: Usuario (opt-in expreso, no aceptación tácita).
  • Plazo de conservación: hasta la retirada del consentimiento por el Usuario.
  • Destinatarios: Resend (EE.UU., con SCCs y DPF cuando aplique).
  • Derechos: revocación inmediata desde el enlace de baja incluido en cada email y desde la sección de preferencias de la cuenta.

3.12 Cumplimiento legal y defensa jurídica

  • Finalidad: cumplir obligaciones legales (fiscal, contable, lucha contra el fraude) y disponer de evidencia para la defensa frente a reclamaciones.
  • Datos tratados: registros transaccionales, NDAs firmados, audit logs, comunicaciones, evidencia técnica de firma.
  • Base jurídica: art. 6.1.c (cumplimiento de obligaciones legales) y art. 6.1.f (interés legítimo en defensa jurídica).
  • Origen: sistema y Usuarios.
  • Plazo de conservación: 6 años (plazo general de prescripción civil/contractual aplicable a las relaciones comerciales).
  • Destinatarios: solo Ascensium internamente, salvo requerimiento legal por autoridad competente.

3.13 Cookies y analítica web

  • Finalidad: analizar el uso de la Plataforma, mejorar la experiencia de usuario y, con consentimiento, atribuir conversiones de campañas publicitarias.
  • Datos tratados: dirección IP truncada, identificadores únicos, comportamiento de navegación, eventos de conversión.
  • Base jurídica:
    • Cookies técnicas estrictamente necesarias: art. 6.1.f (interés legítimo) y art. 22.2 LSSI-CE (no requieren consentimiento).
    • Cookies analíticas y de marketing: art. 6.1.a — consentimiento explícito y granular del Usuario (opt-in).
  • Origen: navegador del Usuario.
  • Plazo de conservación: variable según cookie, con un máximo de 12 meses para identificadores con base en consentimiento.
  • Destinatarios (cuando proceda con consentimiento): Google (Analytics 4 y Ads), Meta (Pixel).
  • Detalles completos: ver /legal/cookies.

3.14 Datos de categoría especial

Cuando los Documentos del Data Room incluyan datos relativos a la salud o de otras categorías especiales del artículo 9 del RGPD, su tratamiento exigirá una base específica del artículo 9.2 del RGPD. La obtención de dicha base es responsabilidad exclusiva del Vendedor que carga los Documentos, conforme a la sección 2.6 y al Anexo de Encargo de Tratamiento.

Los datos identificables de pacientes y los datos de salud individualizados están expresamente prohibidos en el Data Room, conforme a la sección 4.9 de los Términos y Condiciones.

4. Cuánto tiempo conservamos tus datos

4.1 Durante la cuenta activa

Los datos se conservan durante toda la vigencia de la cuenta del Usuario, salvo que éste solicite su rectificación, supresión o limitación conforme a la sección 6.

4.2 Tras la eliminación de la cuenta

Aplicamos las siguientes reglas:

  • Datos identificativos sensibles (NIF/NIE, dirección postal, teléfono): se pseudonimizan o anonimizan de forma irreversible en el momento de la eliminación, salvo que sean estrictamente necesarios para defender una reclamación en curso.
  • Datos transaccionales (Operaciones, NDAs firmados, audit logs de acceso a Documentos): se retienen durante seis (6) años desde el cierre o cancelación de la Operación correspondiente.

Bases legales de la retención:

  • Cumplimiento de obligaciones legales aplicables (RGPD, art. 6.1.c).
  • Formulación, ejercicio o defensa de reclamaciones (RGPD, art. 6.1.f).

4.3 Eliminación o anonimización tras el plazo

Transcurridos los plazos anteriores, los datos se eliminarán definitivamente o se anonimizarán de forma irreversible, según la naturaleza del dato.

4.4 Datos de cookies

Los plazos de conservación específicos de cada cookie (técnica, analítica o de marketing) se detallan en la Política de Cookies.

5. Con quién compartimos tus datos

5.1 Encargados del tratamiento

Para prestar el servicio, Ascensium se apoya en proveedores tecnológicos que actúan como encargados del tratamiento y firman contratos conformes al artículo 28 del RGPD:

  • Supabase: base de datos principal, autenticación y almacenamiento de archivos. Servidores en la Unión Europea (Irlanda). Sin transferencia internacional.
  • Vercel: hosting y entrega de la Plataforma. Servidores principalmente en la Unión Europea, con potenciales transferencias a Estados Unidos cubiertas por Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.
  • Upstash: caché Redis utilizada para los límites de descarga (rate limiter). Servidores multi-región con SCC cuando aplique transferencia fuera del EEE.
  • Resend: envío de correos electrónicos transaccionales (notificaciones, recordatorios, recuperación de contraseña). Servidores en Estados Unidos con SCC.
  • Anthropic: moderación automatizada del contenido textual de las Fichas mediante un modelo de inteligencia artificial. Servidores en Estados Unidos con SCC. Los datos enviados se limitan al texto descriptivo de la clínica (título, descripción, equipamiento), sin incluir datos identificativos del Vendedor ni datos de pacientes.
  • Google Workspace (eventual): cuando se utilice para la operativa interna de Ascensium (correo corporativo, herramientas internas). Servidores en Estados Unidos con SCC.

5.2 Transferencias internacionales y garantías

Cuando un encargado del tratamiento implique una transferencia internacional fuera del Espacio Económico Europeo, Ascensium garantiza que existe al menos una de las siguientes salvaguardas:

  • Decisión de adecuación de la Comisión Europea aplicable al país de destino.
  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, complementadas, cuando proceda, con medidas adicionales (cifrado en tránsito y en reposo, controles de acceso, minimización).
  • Reglas Corporativas Vinculantes u otros mecanismos válidos previstos en el capítulo V del RGPD.

A petición del Usuario, Ascensium facilitará información sobre las medidas concretas aplicables en cada caso.

5.3 Otros destinatarios

Ascensium no vende ni cede datos personales a terceros con fines comerciales. Únicamente comunicará datos personales a terceros distintos de los encargados del tratamiento cuando exista una obligación legal o requerimiento de autoridad competente, o cuando sea necesario para defender los derechos de Ascensium o de otros Usuarios.

5.4 Inventario completo de proveedores y transferencias internacionales

El inventario completo de los proveedores y subencargados utilizados por Ascensium, con detalle por proveedor (rol jurídico, datos tratados, país de servidor, mecanismo de transferencia internacional, DPA aplicable y enlaces a las políticas de cada uno), está publicado en un documento dedicado:

/legal/inventario-proveedores

Este inventario se mantiene actualizado y refleja en todo momento los proveedores activos. Cualquier modificación material será notificada conforme al procedimiento previsto en la sección 9 de los Términos y Condiciones y en la sección 11 de esta Política.

6. Tus derechos

6.1 Derechos reconocidos por el RGPD

El Usuario, como titular de los datos personales, tiene los siguientes derechos:

  • Acceso (art. 15): obtener confirmación de si tratamos sus datos y, en caso afirmativo, una copia de los mismos junto con la información sobre el tratamiento.
  • Rectificación (art. 16): solicitar la corrección de datos inexactos o incompletos.
  • Supresión o "derecho al olvido" (art. 17): solicitar la eliminación de los datos cuando ya no sean necesarios, se haya retirado el consentimiento o concurra cualquier otro supuesto del artículo 17.
  • Limitación del tratamiento (art. 18): solicitar que el tratamiento se restrinja a la mera conservación, en los supuestos previstos.
  • Portabilidad (art. 20): recibir los datos que el Usuario haya facilitado en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
  • Oposición (art. 21): oponerse al tratamiento basado en interés legítimo, salvo que existan motivos legítimos imperiosos por parte de Ascensium.
  • No ser objeto de decisiones individuales automatizadas con efectos jurídicos relevantes (art. 22), salvo en los supuestos previstos en el propio artículo. Véase también la sección 7.

6.2 Cómo ejercer los derechos

Para ejercer cualquiera de estos derechos, el Usuario puede dirigir su solicitud por:

  • Email a hola@ascensiumexperience.com, indicando claramente el derecho que desea ejercer.
  • Correo postal al domicilio de Ascensium indicado en la sección 1.1.

Para verificar la identidad del solicitante, podremos pedir copia del documento de identidad u otra documentación equivalente. La verificación es necesaria para evitar respuestas indebidas a solicitudes presentadas por terceros.

El plazo máximo de respuesta es de un (1) mes desde la recepción de la solicitud, prorrogable por dos meses adicionales en supuestos de complejidad elevada conforme al artículo 12 del RGPD.

El ejercicio de los derechos es gratuito, salvo en los casos de solicitudes manifiestamente infundadas o excesivas.

6.3 Reclamación ante la autoridad de control

Si el Usuario considera que sus derechos no han sido atendidos correctamente, puede presentar una reclamación ante la autoridad de control competente. En España:

Los Usuarios residentes en otros Estados miembros de la Unión Europea pueden dirigirse a la autoridad de control de su país de residencia.

7. Decisiones automatizadas y perfilado

7.1 Moderación automatizada de Fichas

La Plataforma utiliza un modelo de inteligencia artificial para revisar el contenido textual de las Fichas (descripción y equipamiento) cuando el Vendedor envía la Ficha a publicación. Este proceso analiza el texto buscando patrones de riesgo (datos personales de pacientes, contenido difamatorio, promesas sanitarias engañosas, etc.) y emite uno de los siguientes resultados:

  • Aprobado: la Ficha se publica.
  • Pendiente de revisión humana: la Ficha pasa a revisión por el equipo de Ascensium antes de decidir.
  • Rechazado: la Ficha vuelve al estado borrador con los motivos de rechazo.

7.2 Derecho a revisión humana

Cuando un veredicto automatizado afecte negativamente al Vendedor (rechazo o pase a revisión humana), éste tiene derecho a:

  • Conocer los motivos del veredicto.
  • Solicitar revisión humana del caso. El sistema ya contempla un estado de rechazado humano que se aplica cuando un miembro del equipo de Ascensium ratifica o modifica la decisión automatizada.
  • Aportar explicaciones, contexto adicional o correcciones para que la Ficha sea reconsiderada.

7.3 Sistema de matching

La Plataforma utiliza un sistema de matching que sugiere Fichas a los Compradores en función de sus preferencias declaradas (zonas de interés, presupuesto, tipo de clínica, plazo de compra). Este sistema produce ordenaciones y filtrado, pero no toma decisiones que produzcan efectos jurídicos sobre el Usuario. Es una herramienta de descubrimiento, no de decisión.

8. Delegado de Protección de Datos (DPO)

Ascensium ha realizado una evaluación inicial sobre la necesidad de designar un Delegado de Protección de Datos conforme al artículo 37 del RGPD.

En la fase actual de la Plataforma, considerando:

  • Que Ascensium no es autoridad u organismo público.
  • Que las actividades principales no consisten en observación habitual y sistemática a gran escala de interesados (art. 37.1.b RGPD).
  • Que las actividades principales no consisten en tratamiento a gran escala de categorías especiales de datos (RGPD art. 9) ni de datos relativos a condenas e infracciones penales (RGPD art. 10) (art. 37.1.c RGPD).
  • Que la prohibición expresa de subir datos identificables de pacientes (sección 4.9 de los Términos y Condiciones) reduce sustancialmente el riesgo de tratamiento de datos sanitarios a gran escala.

Ascensium ha concluido que la designación de DPO no es obligatoria conforme al artículo 37 del RGPD en la fase actual.

Esta evaluación será revisada periódicamente y, en todo caso, cuando se produzca cualquiera de los siguientes hechos:

  • Incremento sustancial del volumen de tratamiento.
  • Modificación de funcionalidades que implique tratamiento a gran escala de categorías especiales.
  • Cambio normativo que extienda la obligación de designar DPO.
  • Detección de incidentes que justifiquen una revisión.

Para cualquier consulta relacionada con privacidad y protección de datos, los Usuarios pueden dirigirse a hola@ascensiumexperience.com (asunto: RGPD o Privacidad).

9. Política de Inteligencia Artificial

Ascensium utiliza un sistema de Inteligencia Artificial (Anthropic Claude) para el preanálisis automatizado del contenido publicado en las Fichas (descripciones, equipamiento destacado), con la finalidad de detectar contenido prohibido o que requiera revisión humana adicional.

9.1 Principios aplicados

  • NO se envían datos personales sensibles a sistemas de IA.
  • NO se envían Documentos del Data Room a sistemas de IA.
  • NO se envían historias clínicas, datos de pacientes ni documentación clínica identificable a sistemas de IA.
  • Solo se procesa contenido público de Fichas (descripciones, equipamiento).
  • Toda decisión automatizada que afecte negativamente al Usuario (rechazo de Ficha por IA) es revisable por humano a petición del Usuario afectado.

9.2 Derechos del Usuario ante decisiones automatizadas

Conforme al artículo 22 del RGPD, los Usuarios tienen derecho a:

  • Obtener intervención humana en la revisión de la decisión.
  • Expresar su punto de vista y aportar contexto adicional.
  • Impugnar la decisión automatizada.
  • Solicitar explicación razonada de la decisión.

9.3 Proveedores de IA autorizados

ProveedorPaísMecanismo TIDDatos procesados
Anthropic (Claude)EE.UU.Cláusulas Contractuales Tipo (SCCs)Únicamente texto de descripciones públicas. No accede a Documentos del Data Room.

9.4 Cambios en esta Política de IA

Cualquier ampliación significativa del uso de IA (introducción de nuevos sistemas, ampliación a otros tratamientos) será notificada con preaviso razonable y, cuando proceda, requerirá actualización de las bases jurídicas aplicables y eventual renovación del consentimiento del Usuario.

10. Seguridad

10.1 Medidas técnicas

Ascensium aplica medidas técnicas razonables y adecuadas al riesgo, entre otras:

  • Cifrado de las comunicaciones mediante TLS.
  • Cifrado en reposo de los datos almacenados por nuestros encargados del tratamiento.
  • Controles de acceso basados en roles, con principio de mínimo privilegio.
  • Autenticación segura mediante proveedores especializados.
  • Registros de auditoría detallados de los accesos a Documentos del Data Room.
  • Marcado dinámico (watermark) que permite trazar la fuente de cualquier filtración.
  • Límites de descarga (rate limiting) y monitorización automatizada de patrones anómalos.
  • Pseudonimización de datos identificativos sensibles tras la eliminación de la cuenta.

10.2 Medidas organizativas

  • Acceso restringido al equipo estrictamente necesario para la operativa.
  • Revisión periódica de permisos y eliminación de accesos no utilizados.
  • Selección de proveedores con compromisos contractuales en materia de seguridad y privacidad (artículo 28 RGPD).
  • Procedimientos de respuesta ante incidentes de seguridad.

10.3 Notificación de violaciones de seguridad

En caso de violación de seguridad de los datos personales que pueda suponer un riesgo para los derechos y libertades de los Usuarios, Ascensium notificará a la autoridad de control competente en un plazo máximo de 72 horas desde su conocimiento, conforme al artículo 33 del RGPD, y a los Usuarios afectados cuando proceda conforme al artículo 34.

11. Modificaciones de esta Política

Ascensium podrá modificar esta Política de Privacidad para adaptarla a cambios normativos, técnicos u operativos. Las modificaciones se comunicarán al Usuario a través de los canales previstos en los Términos y Condiciones (email y aviso in-app).

Cuando los cambios sean materiales y afecten a derechos del Usuario, se aplicará el procedimiento de aceptación expresa previsto en la sección 13 de los Términos y Condiciones.

La fecha de la última actualización aparece siempre en la cabecera de este documento.

12. Contacto

Para cualquier consulta, ejercicio de derechos o reclamación relativa a esta Política de Privacidad, el Usuario puede dirigirse a:

  • Razón social: Ascensium LTD
  • Domicilio postal: Bybliserve Building, Spyrou Kyprianou 57, 6051 Larnaca, Chipre
  • Email: hola@ascensiumexperience.com

Fin del documento.