Política de Privacidad
Última actualización: 19 de mayo de 2026
En Asclea tratamos la información clínica y personal bajo principios de minimización, seguridad y trazabilidad.
Solo procesamos los datos necesarios para operar la plataforma y mejorar el soporte clínico.
Responsable del tratamiento
Asclea (en adelante, "Asclea" o "el responsable") es el responsable del tratamiento de los datos personales recogidos a través de la plataforma y sus servicios asociados (web, panel clínico y aplicación móvil). Cuando Asclea opere por cuenta de un centro sanitario o profesional contratante, lo hará en calidad de encargado del tratamiento, conforme al art. 28 del RGPD y al contrato de encargo firmado con cada cliente. Asclea se encuentra actualmente en fase de pre-constitución societaria; los datos identificativos de la entidad operadora se publicarán en esta misma política una vez completada su inscripción.
Base legal del tratamiento
Tratamos datos personales y de salud al amparo de las siguientes bases jurídicas: (a) ejecución de contrato y medidas precontractuales [art. 6.1.b RGPD]; (b) cumplimiento de obligaciones legales sanitarias y de conservación [art. 6.1.c RGPD]; (c) interés vital del paciente cuando proceda [art. 6.1.d RGPD]; y (d) prestación de asistencia sanitaria, diagnóstico y gestión de servicios sanitarios por profesionales sujetos a secreto [art. 9.2.h RGPD y LO 3/2018]. El consentimiento explícito se utiliza únicamente para usos secundarios no esenciales (p. ej. comunicaciones comerciales).
Datos que recogemos
Tratamos datos identificativos (nombre, apellidos, DNI/NIE, fecha de nacimiento), de contacto (email, teléfono, dirección postal), de cuenta (credenciales hash, tokens, registros de acceso), profesionales (número de colegiado, especialidad, organización) y datos de salud (historia clínica, anamnesis, diagnósticos, prescripciones, audio/transcripciones de consultas). Los datos del DNI se cifran en reposo con AES-GCM (pgsodium) y nunca se almacenan en texto plano. Solo se recogen los datos estrictamente necesarios para la finalidad sanitaria contratada (principio de minimización).
Almacenamiento y seguridad
Los datos se almacenan en clústeres con residencia exclusiva en la Unión Europea (Madrid / Fráncfort), bajo proveedores certificados ISO/IEC 27001 y SOC 2. Aplicamos cifrado en tránsito (TLS 1.3) y en reposo (AES-256), control de acceso basado en roles (RBAC), autenticación multifactor para personal sanitario, segregación lógica por organización, auditoría inmutable de accesos y copias de seguridad cifradas con retención escalonada. Garantizamos por contrato (Zero-Training DPA) que los datos clínicos (PHI) no se retienen ni se utilizan para el entrenamiento de modelos de IA fuera del encargo del cliente.
Finalidad y uso de la información
Los datos se utilizan para: (1) prestar las funciones contratadas (apoyo a la documentación clínica, asistencia diagnóstica, gestión de citas y comunicaciones paciente-médico); (2) cumplir con la normativa sanitaria de conservación de historias clínicas (Ley 41/2002); (3) ofrecer soporte técnico al profesional; (4) garantizar la seguridad de la plataforma y prevenir fraude; y (5) elaborar estadísticas agregadas y anonimizadas para mejora del servicio. Nunca utilizamos datos clínicos identificables para entrenar modelos generativos.
Destinatarios y encargados
Para prestar el servicio podemos comunicar datos a encargados de tratamiento sujetos a contrato de encargo (art. 28 RGPD): proveedores de infraestructura cloud en la UE (Google Cloud Platform - europe-west1, Supabase EU), pasarela de pago (Stripe — datos de facturación, sin acceso a PHI), proveedor de envío de notificaciones push (Firebase Cloud Messaging — solo identificadores de dispositivo), y subprocesadores de modelos de IA contratados sin retención (Zero-Training DPA). La lista actualizada de subprocesadores está disponible bajo solicitud a privacy@asclea.com.
Transferencias internacionales
La regla general es residencia de datos en la Unión Europea. Cualquier transferencia fuera del EEE se efectúa exclusivamente: (a) hacia países con decisión de adecuación de la Comisión Europea; o (b) bajo Cláusulas Contractuales Tipo (CCT) actualizadas con análisis de impacto de transferencia (TIA) y medidas suplementarias técnicas (cifrado robusto y gestión de claves bajo control del responsable). Puede solicitarnos una copia de las garantías aplicables en privacy@asclea.com.
Conservación de los datos
Conservamos los datos durante el tiempo estrictamente necesario para la finalidad y, en cualquier caso, durante los plazos legales aplicables: la historia clínica se conserva un mínimo de 5 años desde el alta de cada proceso asistencial (art. 17 Ley 41/2002), pudiendo extenderse según normativa autonómica; los datos de facturación durante 6 años (Código de Comercio); los registros de auditoría durante 2 años. Una vez cumplido el plazo legal, los datos se bloquean y posteriormente se suprimen o anonimizan irreversiblemente.
Sus derechos
Puede ejercer en cualquier momento los derechos de acceso, rectificación, supresión ("derecho al olvido"), limitación del tratamiento, portabilidad, oposición y a no ser objeto de decisiones automatizadas con efectos jurídicos. Para ello, dispone del Centro de Privacidad RGPD en su perfil (descarga de datos y eliminación de cuenta) o puede escribir a privacy@asclea.com adjuntando documento identificativo. La respuesta se emitirá en un plazo máximo de un mes (ampliable a dos por complejidad). Las solicitudes son gratuitas salvo carácter manifiestamente infundado o excesivo.
Delegado de Protección de Datos
Hemos designado un Delegado de Protección de Datos (DPO) al que puede dirigirse para cualquier cuestión relativa al tratamiento de sus datos personales y al ejercicio de sus derechos. Contacto: dpo@asclea.com. El DPO supervisa el cumplimiento del RGPD, gestiona la relación con la Agencia Española de Protección de Datos y asesora sobre evaluaciones de impacto (EIPD).
Reclamación ante la autoridad
Si considera que el tratamiento de sus datos personales no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid (www.aepd.es). Le recomendamos contactar previamente con nuestro DPO en dpo@asclea.com para intentar resolver la situación de forma directa.
Contacto
Si tiene preguntas sobre esta política de privacidad o desea ejercer sus derechos de protección de datos, puede contactarnos en: