Última revisión: 13 de junio de 2026
Versión: 1.0
Introducción
Asesor.Legal es un servicio operado por Neurogestión SL, sociedad mercantil española con CIF B72693252 y domicilio en C/Hermosilla 48, 1º, 28001 Madrid. El presente documento describe el marco de seguridad y protección de datos personales bajo el que se prestan los servicios de la plataforma, incluyendo el directorio público de profesionales, el asistente virtual Amara, el marketplace de oportunidades jurídicas y los servicios de gestión de despacho LexHub.
Esta página complementa la Política de Privacidad y los Términos y Condiciones del servicio, sin sustituirlos. En caso de discrepancia, prevalecerán las disposiciones específicas de aquellos documentos en lo que respecta a sus respectivos ámbitos de aplicación.
1. Marco normativo
Neurogestión SL atiende a las siguientes normas en materia de protección de datos, seguridad de la información y servicios de inteligencia artificial:
- Reglamento (UE) 2016/679 (RGPD) — Reglamento General de Protección de Datos.
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) — Protección de Datos Personales y Garantía de los Derechos Digitales.
- Reglamento (UE) 2024/1689 (EU AI Act) — Reglamento Europeo de Inteligencia Artificial.
- Ley 34/2002, de 11 de julio (LSSI-CE) — Servicios de la Sociedad de la Información y de Comercio Electrónico.
- Decisión de Ejecución (UE) 2021/914 — Cláusulas Contractuales Tipo para transferencias internacionales de datos personales a terceros países.
2. Identidad del responsable y autoridad de control
| Responsable del tratamiento | Neurogestión SL |
| CIF | B72693252 |
| Domicilio | C/Hermosilla 48, 1º, 28001 Madrid, España |
| Contacto privacidad | legal@asesor.legal |
| Autoridad de control competente | Agencia Española de Protección de Datos (AEPD) — C/ Jorge Juan 6, 28001 Madrid — www.aepd.es |
3. Compromiso de no-entrenamiento de modelos de IA
Neurogestión SL declara, con carácter vinculante:
- No utiliza datos de cliente —entendiendo por tales los expedientes, documentos, comunicaciones, notas, transcripciones y cualquier dato personal o confidencial introducido por los despachos clientes o por sus clientes finales— para entrenar, reentrenar ni afinar (fine-tuning) modelo alguno de inteligencia artificial, propio o de terceros.
- No cede datos de cliente a terceros con finalidad de entrenamiento de modelos de IA.
- Contrata a los proveedores de modelos de IA bajo modalidades empresariales o de API que excluyen por defecto el entrenamiento con los datos transmitidos, conforme a los Data Processing Agreements suscritos con cada uno de ellos.
- No activa ninguna opción, programa o función que permita el uso de datos de cliente para entrenar o mejorar modelos de terceros, incluso cuando dichas opciones existan en los paneles de configuración de los proveedores.
Este compromiso queda formalizado en el documento interno POL-NOENTRENAMIENTO v1.0, disponible bajo petición razonada a legal@asesor.legal.
Distinción técnica relevante. No constituye entrenamiento de modelos, y por tanto queda fuera de la prohibición anterior, la inyección de contexto (técnica conocida como grounding o retrieval-augmented generation) por la que los documentos y datos del propio despacho se emplean para fundamentar las respuestas del asistente dentro de ese mismo despacho, sin incorporarse a modelo alguno y sin quedar disponibles para otros clientes o terceros.
4. Subencargados de tratamiento
De conformidad con el artículo 28 del RGPD, Neurogestión SL mantiene contrato de Encargo del Tratamiento (Data Processing Agreement) firmado o aceptado por referencia con cada uno de los subencargados que intervienen en la prestación del servicio. La lista vigente es la siguiente:
| Subencargado | Función | Sede / Jurisdicción | Marco de transferencia |
|---|---|---|---|
| OpenAI Ireland Ltd | Modelo de lenguaje principal | Irlanda (UE) | RGPD directo + SCCs para flujos a OpenAI OpCo, LLC (EE. UU.) |
| Google Cloud EMEA Ltd | Infraestructura cloud (capa avanzada) | Irlanda (UE) | RGPD directo + SCCs para flujos a Google LLC (EE. UU.) |
| Anthropic Ireland Ltd | Modelo de lenguaje (capa avanzada) | Irlanda (UE) | RGPD directo + SCCs para flujos a Anthropic PBC (EE. UU.) |
| Mistral AI SAS | Procesamiento documental y modelo de lenguaje | Francia (UE) | RGPD directo |
| Supabase Pte Ltd | Base de datos, autenticación y almacenamiento | Singapur (con infraestructura en UE) | SCCs + medidas técnicas adicionales |
| IONOS Cloud SLU | Hosting de infraestructura web | Alemania (UE) | RGPD directo |
| Stripe Payments Europe Ltd | Procesamiento de pagos | Irlanda (UE) | RGPD directo + EU-US Data Privacy Framework + SCCs para flujos a Stripe Inc. |
| Cloudflare Inc | Red de distribución de contenido (CDN) | EE. UU. | EU-US Data Privacy Framework + SCCs |
| Chatwoot Inc | Widget de mensajería al ciudadano | EE. UU. | EU-US Data Privacy Framework + SCCs |
| GitHub Inc | Repositorio de código fuente | EE. UU. | EU-US Data Privacy Framework + SCCs |
| Million Verifier | Verificación de direcciones de correo electrónico | EE. UU. | EU-US Data Privacy Framework + SCCs |
| Instantly | Comunicación profesional B2B | EE. UU. | EU-US Data Privacy Framework + SCCs |
Los proveedores radicados fuera del Espacio Económico Europeo procesan datos bajo las garantías de la Decisión 2021/914 (Cláusulas Contractuales Tipo) y, cuando procede, bajo certificación en los marcos EU-US Data Privacy Framework, UK Extension y Swiss-US Data Privacy Framework del Departamento de Comercio de los Estados Unidos.
Esta lista se mantiene actualizada en esta misma página. Cualquier alta, baja o sustitución de subencargado se notificará con antelación razonable a través de esta página y, en su caso, por los canales contractuales habituales con los clientes.
5. Tratamientos realizados en infraestructura propia
Determinadas tareas auxiliares de automatización (n8n, Make) se ejecutan en modalidad self-hosted dentro de la infraestructura técnica de Neurogestión SL, sin intervención de terceros. Estos tratamientos no constituyen subencargo a efectos del artículo 28 del RGPD, y se mencionan en esta página únicamente a efectos de transparencia.
6. Medidas técnicas y organizativas
Cifrado en tránsito. Todas las comunicaciones entre el usuario, la plataforma y los subencargados se transmiten cifradas mediante TLS 1.2 o superior.
Cifrado en reposo. Los datos personales se almacenan cifrados mediante AES-256 en los proveedores de infraestructura principal (Supabase, Google Cloud, IONOS).
Control de acceso. Acceso a sistemas de producción mediante autenticación multifactor obligatoria, principio de mínimo privilegio, segregación de roles y revocación inmediata de credenciales en bajas o cambios de rol del personal.
Aislamiento de datos. Segregación lógica de los datos por cliente. Separación de entornos de desarrollo, prueba y producción.
Registro y monitorización. Registro de eventos de seguridad (logging) sobre los accesos a sistemas que tratan datos personales. Revisión periódica.
Notificación de brechas. Procedimiento documentado de gestión de incidentes de seguridad. Notificación a la AEPD en plazo no superior a 72 horas desde el conocimiento del incidente conforme al artículo 33 del RGPD, y a los interesados cuando proceda conforme al artículo 34.
Política de retención. Los datos personales se conservan durante el tiempo necesario para la finalidad del tratamiento y para el cumplimiento de los plazos legales aplicables. La política completa de retención forma parte del Registro de Actividades de Tratamiento (RAT), disponible bajo petición a la AEPD o a clientes contractuales en los términos del artículo 30 del RGPD.
7. Clasificación bajo el Reglamento Europeo de Inteligencia Artificial
El asistente virtual Amara, así como el resto de funcionalidades basadas en inteligencia artificial integradas en la plataforma, se autoclasifican como sistemas de IA aplicados a asistencia profesional bajo supervisión humana, sin la condición de sistemas de alto riesgo del Anexo III del Reglamento (UE) 2024/1689. Esta autoclasificación se sustenta en las siguientes circunstancias:
- Supervisión humana cualificada. Las salidas del sistema están dirigidas a profesionales del Derecho colegiados, que aplican su juicio profesional sobre cualquier contenido producido por el sistema antes de cualquier uso jurídico vinculante.
- Ausencia de decisiones automatizadas. El sistema no produce decisiones automatizadas con efectos jurídicos o significativamente análogos sobre los interesados en el sentido del artículo 22 del RGPD.
- Ámbito excluido del Anexo III. El sistema no se emplea para evaluación de personas físicas, scoring crediticio, identificación biométrica remota, gestión de infraestructuras críticas, acceso a educación, empleo o servicios esenciales, aplicación de la ley, gestión de migración o administración de justicia con efectos vinculantes.
Obligaciones de transparencia (artículo 50). El sistema indica expresamente al usuario final que está interactuando con un sistema de IA y que las respuestas generadas son producto de un modelo automatizado, conforme a las obligaciones aplicables de transparencia del citado Reglamento.
Alfabetización en IA (artículo 4). Neurogestión SL provee a su personal y a sus clientes profesionales de la información necesaria para un uso responsable de los sistemas de IA integrados en la plataforma.
La auto-evaluación formal y documentada del cumplimiento del Reglamento (UE) 2024/1689 está disponible bajo petición razonada a legal@asesor.legal.
8. Derechos del interesado
Los interesados pueden ejercer en cualquier momento los derechos reconocidos en los artículos 15 a 22 del RGPD: acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y a no ser objeto de decisiones individuales automatizadas.
- Canal de ejercicio: legal@asesor.legal, acreditando la identidad del solicitante por medio razonable.
- Plazo de respuesta: un mes desde la recepción de la solicitud, conforme al artículo 12.3 del RGPD, ampliable en dos meses adicionales cuando concurra particular complejidad o número elevado de solicitudes, con notificación motivada al interesado.
- Gratuidad: el ejercicio de derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas, en los términos del artículo 12.5 del RGPD.
Sin perjuicio del ejercicio directo de estos derechos ante Neurogestión SL, los interesados pueden presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
9. Notificación de brechas de seguridad
Ante una brecha de seguridad que pueda afectar a datos personales:
- Neurogestión SL notificará a la AEPD en plazo no superior a 72 horas desde el conocimiento del incidente, conforme al artículo 33 del RGPD.
- Cuando la brecha pueda implicar un alto riesgo para los derechos y libertades de los interesados, se les notificará individualmente sin dilación indebida conforme al artículo 34 del RGPD.
- Los subencargados están contractualmente obligados a notificar a Neurogestión SL cualquier incidente que afecte a datos tratados por su cuenta, en plazos compatibles con la obligación de notificación de Neurogestión SL ante la AEPD.
10. Divulgación responsable de vulnerabilidades
Neurogestión SL agradece la notificación responsable de vulnerabilidades de seguridad. Si ha identificado una posible vulnerabilidad en cualquiera de los servicios de Asesor.Legal, le rogamos contacte a security@asesor.legal con los detalles técnicos pertinentes.
Compromisos de Neurogestión SL ante una notificación de buena fe:
- Confirmación de recepción del informe en un plazo de 5 días hábiles.
- Comunicación al notificador del estado de la investigación en hitos razonables.
- No ejercicio de acciones legales contra investigadores de seguridad que actúen conforme a las prácticas internacionalmente aceptadas de divulgación responsable.
11. Certificaciones y auditorías externas
A fecha de este documento, Neurogestión SL no dispone de certificaciones de terceros del tipo ISO/IEC 27001, SOC 2, ENS (Esquema Nacional de Seguridad) o ISO/IEC 42001. Su obtención forma parte del plan de madurez de seguridad de la organización, que se desarrollará en fases sucesivas y se reflejará puntualmente en esta página conforme se vayan completando los procesos de auditoría correspondientes.
La ausencia de estas certificaciones no implica ausencia de los controles técnicos y organizativos que dichas normas evalúan; los controles descritos en el apartado 6 de este documento se aplican efectivamente y se documentan internamente. Lo que aún no ha tenido lugar es la verificación externa formal por organismo acreditado.
Esta declaración se ofrece en cumplimiento del principio de transparencia y responsabilidad proactiva (accountability) del artículo 5.2 del RGPD, evitando cualquier afirmación de cumplimiento no respaldada por certificación efectiva.
12. Contacto
| Privacidad y protección de datos | legal@asesor.legal |
| Seguridad y divulgación responsable | security@asesor.legal |
| Información general | info@asesor.legal |
| Domicilio postal | Neurogestión SL — C/Hermosilla 48, 1º, 28001 Madrid, España |
13. Versionado
| Versión | Fecha | Cambios |
|---|---|---|
| 1.0 | 13 de junio de 2026 | Publicación inicial. |
Esta página se revisará con periodicidad mínima anual o ante cualquier alta o cambio de subencargado, modificación material del marco normativo aplicable, o incidente de seguridad relevante. Las modificaciones materiales se reflejarán en la tabla de versionado anterior.
Documento aprobado por la Dirección de Neurogestión SL.