Política de Privacidad

Legal

Política de Privacidad

1. Responsable del tratamiento

De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos de que el responsable del tratamiento de sus datos personales es:

Denominación social: Blue Mountain Asesores, SLU
NIF/CIF: B42985432
Domicilio social: C/ Castello 36, Planta 1, 28001 Madrid
Teléfonos: +34 910 917 811 (Madrid) · +34 868 300 587 (Murcia) · +34 928 402 802 (Las Palmas)
Correo electrónico (protección de datos): dpo@bm.consulting
Sitio web: bm.consulting

2. Delegado de Protección de Datos (DPO)

En cumplimiento de los artículos 37 a 39 del RGPD y los artículos 34 a 37 de la LOPDGDD, Blue Mountain Asesores, SLU ha designado un Delegado de Protección de Datos (DPO). El DPO es el punto de contacto para todas las cuestiones relativas al tratamiento de datos personales y al ejercicio de los derechos reconocidos por la normativa vigente.

Puede contactar con el Delegado de Protección de Datos en:

Correo electrónico: dpo@bm.consulting
Dirección postal: Delegado de Protección de Datos — Blue Mountain Asesores, SLU, C/ Castello 36, Planta 1, 28001 Madrid

El DPO actúa de forma independiente y tiene acceso a los recursos necesarios para desempeñar sus funciones conforme al artículo 38.2 del RGPD.

3. Datos que recopilamos

Dependiendo de la naturaleza de su relación con BMC, podemos tratar las siguientes categorías de datos personales:

Datos identificativos: nombre y apellidos, DNI/NIE/NIF, número de pasaporte u otro documento de identidad, fecha de nacimiento, firma.
Datos de contacto: dirección de correo electrónico, número de teléfono, dirección postal.
Datos económico-financieros: datos fiscales (número de identificación fiscal, declaraciones tributarias), datos contables, información bancaria y de pagos. Estos datos se tratan exclusivamente cuando BMC presta servicios de asesoramiento fiscal, contable, laboral o jurídico-financiera.
Datos profesionales: denominación social de la empresa, NIF/CIF, cargo o función, actividad económica (CNAE), datos de representación.
Datos de prevención de blanqueo de capitales: documentación de diligencia debida exigida por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
Datos de navegación: dirección IP, tipo de navegador y dispositivo, sistema operativo, páginas visitadas, duración de la sesión, datos de cookies (conforme a nuestra Política de Cookies).

Como regla general, no tratamos categorías especiales de datos (datos de salud, origen racial, creencias religiosas, etc.). No obstante, en el marco de la prestación de servicios de asesoramiento laboral y gestión de nóminas como encargados del tratamiento (artículo 28 RGPD), podemos acceder a datos de salud (incapacidades temporales, certificados médicos), afiliación sindical o grado de discapacidad de los empleados de nuestros clientes. Dicho tratamiento se realiza exclusivamente por cuenta del responsable (cliente) y se ampara en el cumplimiento de obligaciones legales en el ámbito laboral y de Seguridad Social (artículo 9.2.b del RGPD y artículo 9 de la LOPDGDD).

4. Finalidades del tratamiento

Sus datos personales serán tratados con las siguientes finalidades, conforme a las bases jurídicas y plazos de conservación indicados:

Finalidad	Base jurídica	Plazo de conservación
Gestionar consultas y solicitudes de contacto a través del sitio web y otros canales	Consentimiento (Art. 6.1.a RGPD)	12 meses desde la última comunicación
Prestar servicios de asesoramiento profesional (fiscal, laboral, legal, corporativo, mercantil)	Ejecución contractual (Art. 6.1.b RGPD)	Duración del contrato + plazos legales aplicables
Gestión contable, facturación y cumplimiento de obligaciones tributarias propias	Obligación legal (Art. 6.1.c RGPD) — Ley 58/2003, General Tributaria; Real Decreto Legislativo 1/2010 (LSC)	4 años (prescripción tributaria, Art. 66 LGT); 6 años (obligaciones mercantiles, Art. 30 Código de Comercio)
Gestión laboral, de nóminas y seguridad social de clientes	Ejecución contractual (Art. 6.1.b RGPD); Obligación legal (Art. 6.1.c RGPD) — LGSS, ET	Duración del contrato + 4 años (prescripción de infracciones laborales)
Prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT)	Obligación legal (Art. 6.1.c RGPD) — Ley 10/2010, de 28 de abril	10 años desde la terminación de la relación de negocio (Art. 25 Ley 10/2010)
Enviar comunicaciones comerciales y boletín informativo sobre servicios, novedades legislativas y eventos	Consentimiento (Art. 6.1.a RGPD); Interés legítimo para clientes actuales (Art. 6.1.f RGPD — Art. 21.2 LSSI)	Hasta la retirada del consentimiento u oposición
Análisis estadístico del uso del sitio web y mejora de la experiencia de usuario	Interés legítimo (Art. 6.1.f RGPD)	26 meses (datos anonimizados tras ese período)
Cumplimiento de requerimientos, inspecciones y obligaciones ante autoridades administrativas y judiciales	Obligación legal (Art. 6.1.c RGPD)	Plazos legalmente establecidos en cada caso

5. Legitimación del tratamiento

El tratamiento de sus datos personales se basa en las siguientes habilitaciones legales del artículo 6 del RGPD:

Consentimiento (Art. 6.1.a RGPD): Prestado de forma libre, específica, informada e inequívoca para finalidades tales como el envío de comunicaciones comerciales, la suscripción al boletín o el uso de formularios de contacto. Puede retirar su consentimiento en cualquier momento sin efecto retroactivo.
Ejecución contractual (Art. 6.1.b RGPD): El tratamiento es necesario para la prestación de los servicios contratados o para la aplicación de medidas precontractuales a petición del interesado.
Obligación legal (Art. 6.1.c RGPD): El tratamiento es necesario para el cumplimiento de obligaciones impuestas por la normativa tributaria (LGT), mercantil (Código de Comercio), laboral (ET, LGSS), de prevención del blanqueo de capitales (Ley 10/2010) y otras normas aplicables.
Interés legítimo (Art. 6.1.f RGPD): Para finalidades como el análisis estadístico agregado del sitio web o el envío de comunicaciones comerciales a clientes actuales sobre servicios similares (conforme al Art. 21.2 LSSI), siempre que no prevalezcan los intereses o derechos fundamentales del interesado.

6. Destinatarios y encargados del tratamiento

Sus datos personales podrán ser comunicados a los siguientes destinatarios, siempre que exista base jurídica para ello:

Brevo SAS (proveedor de servicios de envío de correo electrónico y marketing, con sede en la Unión Europea) — actúa como encargado del tratamiento bajo contrato conforme al Art. 28 RGPD.
Railway Inc. (proveedor de infraestructura y alojamiento en la nube) — actúa como encargado del tratamiento. Sus servidores pueden estar ubicados en la Unión Europea y/o en los Estados Unidos (véase apartado 7 sobre transferencias internacionales).
Proveedores de servicios de software y plataformas en la nube utilizados en la plataforma interna de gestión de BMC, vinculados mediante contratos de encargado del tratamiento.
Administraciones públicas y organismos reguladores cuando sea legalmente exigible: Agencia Estatal de Administración Tributaria (AEAT), Tesorería General de la Seguridad Social (TGSS), Registro Mercantil, órganos jurisdiccionales, Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC) y cualesquiera otras autoridades competentes.
Entidades financieras para la gestión de cobros, pagos y domiciliaciones bancarias.
Profesionales externos colaboradores (abogados, auditores, notarios, peritos) cuando sea necesario para la prestación de los servicios, bajo estricto deber de confidencialidad y, cuando proceda, mediante contratos de encargado del tratamiento.

BMC no vende ni cede datos personales a terceros con fines comerciales propios. Cualquier comunicación de datos a terceros se realiza exclusivamente bajo habilitación legal o previa suscripción del correspondiente contrato de encargado del tratamiento conforme al artículo 28 del RGPD.

7. Transferencias internacionales de datos

Con carácter general, BMC trata sus datos dentro del Espacio Económico Europeo (EEE). No obstante, algunos de nuestros proveedores tecnológicos pueden procesar datos en países terceros:

Railway Inc. (Estados Unidos): Railway puede almacenar o procesar datos en servidores ubicados en los Estados Unidos. Esta transferencia se ampara en la Decisión de Adecuación de la Comisión Europea relativa al Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework, aprobado el 10 de julio de 2023, Decisión de Ejecución 2023/1795). Adicionalmente, BMC tiene suscritas Cláusulas Contractuales Tipo (CCT) de la Comisión Europea como mecanismo de salvaguarda complementario.

En caso de que cualquier otra transferencia internacional resulte necesaria, BMC garantizará la existencia de las salvaguardas adecuadas previstas en el Capítulo V del RGPD (cláusulas contractuales tipo adoptadas por la Comisión Europea, normas corporativas vinculantes u otros mecanismos de adecuación). Puede obtener información sobre las garantías aplicables contactando con nuestro DPO en dpo@bm.consulting.

8. Plazos de conservación de los datos

Los datos personales se conservarán durante el tiempo necesario para las finalidades que motivaron su recogida y, en todo caso, durante los plazos mínimos legalmente exigibles. Una vez transcurridos dichos plazos, los datos serán suprimidos o anonimizados de forma irreversible.

Categoría de datos	Plazo de conservación	Fundamento legal
Datos de formularios de contacto web	12 meses desde la última comunicación	Art. 6.1.a RGPD (consentimiento)
Datos contractuales de clientes	Duración de la relación + 6 años	Art. 30 Código de Comercio
Datos fiscales y tributarios	4 años (prescripción tributaria)	Art. 66 Ley 58/2003, General Tributaria
Datos laborales y de Seguridad Social	4 años (prescripción infracciones laborales)	LGSS; ET; LISOS
Documentación de diligencia debida PBC/FT	10 años desde la terminación de la relación de negocio	Art. 25 Ley 10/2010, de 28 de abril
Comunicaciones comerciales (newsletter)	Hasta retirada del consentimiento u oposición	Art. 6.1.a RGPD; Art. 21 LSSI
Datos de navegación y análisis web	26 meses (anonimizados tras ese período)	Art. 6.1.f RGPD; RGPD Considerando 26

Durante los plazos de conservación los datos estarán debidamente bloqueados, con acceso restringido, y solo se utilizarán para el cumplimiento de las obligaciones legales o la atención de posibles reclamaciones.

9. Derechos del interesado

Conforme a los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la LOPDGDD, usted tiene derecho a:

Acceso (Art. 15 RGPD): Conocer si tratamos sus datos personales y obtener una copia de los mismos, así como información sobre las finalidades, categorías de datos, destinatarios y plazos de conservación.
Rectificación (Art. 16 RGPD): Solicitar la corrección de datos inexactos o la compleción de datos incompletos.
Supresión («derecho al olvido», Art. 17 RGPD): Solicitar la eliminación de sus datos cuando, entre otros supuestos, ya no sean necesarios para las finalidades para las que fueron recogidos o haya retirado su consentimiento.
Limitación del tratamiento (Art. 18 RGPD): Solicitar la suspensión del tratamiento en determinadas circunstancias (p. ej., mientras se verifica la exactitud de los datos impugnados).
Portabilidad (Art. 20 RGPD): Recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y solicitar su transmisión directa a otro responsable, cuando el tratamiento se base en su consentimiento o en la ejecución de un contrato.
Oposición (Art. 21 RGPD): Oponerse al tratamiento de sus datos en cualquier momento por motivos relacionados con su situación particular, cuando el tratamiento se base en el interés legítimo del responsable.
No ser objeto de decisiones automatizadas (Art. 22 RGPD): No ser sometido a decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre usted o le afecten significativamente.
Retirada del consentimiento: Retirar en cualquier momento el consentimiento prestado, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Cómo ejercer sus derechos: Puede ejercer cualquiera de estos derechos enviando un correo electrónico a dpo@bm.consulting o mediante escrito dirigido al domicilio social de BMC, adjuntando en ambos casos copia de su DNI, NIE, pasaporte u otro documento de identidad válido que acredite su identidad.

Plazo de respuesta: Le daremos respuesta en el plazo máximo de un mes desde la recepción de su solicitud. Dicho plazo podrá prorrogarse otros dos meses más, en función de la complejidad y el número de solicitudes, informándole en todo caso dentro del primer mes de la prórroga y sus motivos (Art. 12.3 RGPD).

10. Medidas de seguridad

De conformidad con el artículo 32 del RGPD, BMC ha implementado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, entre las que se incluyen:

Cifrado de comunicaciones: Todas las comunicaciones entre el usuario y el sitio web están cifradas mediante protocolos TLS/SSL (HTTPS).
Control de acceso basado en roles: El acceso a los datos personales está restringido al personal que los necesita para el desempeño de sus funciones, mediante sistemas de autenticación y gestión de permisos.
Cifrado de datos en reposo: Los datos almacenados en nuestra plataforma están cifrados para prevenir accesos no autorizados.
Copias de seguridad periódicas: Se realizan copias de seguridad regulares de los datos para garantizar su disponibilidad e integridad ante incidentes.
Formación del personal: El personal de BMC recibe formación periódica en materia de protección de datos y seguridad de la información.
Evaluaciones periódicas de seguridad: Se llevan a cabo revisiones y auditorías de seguridad de manera regular para identificar y corregir vulnerabilidades.
Plan de respuesta ante incidentes: Disponemos de procedimientos documentados para la detección, gestión, notificación y resolución de incidentes de seguridad que afecten a datos personales.

11. Notificación de brechas de seguridad

En caso de que se produzca una violación de la seguridad de los datos personales, BMC actuará de la siguiente manera, conforme a los artículos 33 y 34 del RGPD:

Notificación a la AEPD (Art. 33 RGPD): En el plazo de 72 horas desde que tengamos conocimiento de la brecha, la notificaremos a la Agencia Española de Protección de Datos (AEPD), salvo que sea improbable que dicha violación suponga un riesgo para los derechos y libertades de las personas físicas.
Comunicación a los afectados (Art. 34 RGPD): Cuando la violación de seguridad pueda suponer un alto riesgo para los derechos y libertades de los interesados, se lo comunicaremos a usted sin dilación indebida, con información clara sobre la naturaleza de la violación, sus posibles consecuencias y las medidas adoptadas o propuestas para remediarla.

Si tiene conocimiento o sospecha de cualquier incidente de seguridad relacionado con sus datos, le rogamos nos lo comunique de inmediato en dpo@bm.consulting.

12. Tratamiento de datos de menores

De conformidad con el artículo 7 de la LOPDGDD, el tratamiento de los datos personales de menores de 14 años requiere el consentimiento de sus padres o tutores legales.

Los servicios de BMC están dirigidos exclusivamente a personas mayores de edad y a empresas y profesionales. No recopilamos conscientemente datos personales de menores de 14 años. Si tenemos conocimiento de que hemos recopilado datos de un menor sin el consentimiento parental requerido, procederemos a su eliminación de inmediato. Si es padre, madre o tutor y cree que su hijo menor nos ha facilitado datos personales, le rogamos nos lo comunique en dpo@bm.consulting.

13. Decisiones automatizadas y elaboración de perfiles

Conforme al artículo 22 del RGPD, BMC no realiza decisiones individuales automatizadas ni elabora perfiles que produzcan efectos jurídicos sobre los interesados o les afecten significativamente de modo similar. El tratamiento de sus datos se realiza siempre con intervención humana en las decisiones que le conciernan.

14. Derecho a presentar reclamación ante la AEPD

Sin perjuicio de cualquier otro recurso administrativo o acción judicial, si considera que el tratamiento de sus datos personales infringe el RGPD o la LOPDGDD, tiene derecho a presentar una reclamación ante la autoridad de control competente. En España, dicha autoridad es la Agencia Española de Protección de Datos (AEPD):

Dirección: C/ Jorge Juan 6, 28001 Madrid
Teléfono: 91 266 35 17
Sitio web: www.aepd.es
Sede electrónica: sedeagpd.gob.es

Antes de presentar una reclamación ante la AEPD, le invitamos a contactar con nuestro DPO en dpo@bm.consulting, donde trataremos de resolver su consulta o reclamación en el menor plazo posible.

15. Modificaciones de la política de privacidad

BMC se reserva el derecho a modificar la presente política de privacidad para adaptarla a cambios legislativos, jurisprudenciales o de práctica profesional. Las modificaciones serán notificadas a los usuarios mediante publicación en este sitio web con indicación de la fecha de actualización. Le recomendamos revisar periódicamente esta página.

Última actualización: 12 de marzo de 2026.

Advisory

Análisis y Valoración

Transformación

Gobierno y transición

Estrategia Fiscal

Cumplimiento

Regímenes Especiales

Patrimonio y Litigios

Derecho Mercantil y Societario

Insolvencia y Reestructuración

Personas y Compliance

Litigios y Resoluciones

Ciberseguridad

Privacidad e IA

Finanzas y Reporting

Servicios Corporativos

Crecimiento

Riesgos y Resiliencia

Artículos y Análisis

Informes y Whitepapers

Herramientas

Industrias