Política de Privacidad

BM Consulting, empresa que opera ContaCloud, es el responsable del tratamiento de sus datos personales de acuerdo con el Reglamento General de Protección de Datos (GDPR) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

• Razón social: BM Consulting
• Email de contacto: [email protected]
• Delegado de Protección de Datos: [email protected]

ContaCloud recoge y procesa las siguientes categorías de datos personales:

• Datos de cuenta: nombre, apellidos, email, NIF/NIE, empresa, cargo
• Datos fiscales y contables: facturas emitidas y recibidas, asientos contables, declaraciones fiscales, certificados digitales, NIF de contrapartes
• Datos de uso: métricas de analítica web (solo con su consentimiento explícito), logs de acceso para seguridad

No recogemos datos sensibles (categorías especiales del Art. 9 GDPR) salvo que usted los incluya voluntariamente en campos de texto libre (p. ej. descripciones de facturas).

Procesamos sus datos personales en virtud de las siguientes bases legales:

• Ejecución de contrato (Art. 6.1.b GDPR): procesamiento de datos fiscales y contables para prestar el servicio de contabilidad
• Interés legítimo (Art. 6.1.f GDPR): prevención de fraude, seguridad de la plataforma, logs de acceso
• Consentimiento explícito (Art. 6.1.a GDPR): cookies analíticas y mejora del servicio (puede retirar su consentimiento en cualquier momento)
• Obligación legal (Art. 6.1.c GDPR): conservación de registros fiscales según normativa española

Utilizamos sus datos personales para los siguientes fines:

• Prestar el servicio de contabilidad, facturación y presentación de impuestos
• Cumplir con obligaciones fiscales y contables establecidas por la normativa española
• Generar facturas, libros contables y declaraciones fiscales
• Enviar notificaciones relacionadas con el servicio (vencimientos, errores, cambios regulatorios)
• Mejorar la calidad del servicio mediante analítica de uso (solo con consentimiento)
• Garantizar la seguridad de la plataforma y prevenir fraude

ContaCloud utiliza los siguientes terceros como encargados de tratamiento:

• Railway Corp. — Proveedor de infraestructura cloud (servidores en la UE, región Frankfurt)

NO compartimos datos fiscales ni contables con otros terceros. Todos los encargados cumplen con el GDPR y tienen firmado un contrato de encargo de tratamiento (DPA).

Conservamos sus datos personales durante los siguientes períodos:

• Registros contables: 6 años desde el último asiento del ejercicio (Código de Comercio, Art. 30)
• Registros fiscales: 4 años desde la finalización del plazo de presentación (Ley General Tributaria, Art. 66)
• Datos de cuenta: mientras la cuenta permanezca activa, más 90 días tras la cancelación (para permitir exportación de datos)
• Datos analíticos: máximo 13 meses (si se ha dado consentimiento para cookies analíticas)
• Logs de seguridad: 12 meses

Importante: Cuando cancele su cuenta, podrá exportar todos sus datos en formato CSV/JSON/Facturae durante los 90 días posteriores. Tras ese período, los datos contables se conservan en archivo inaccesible para cumplir con obligaciones legales.

Usted tiene los siguientes derechos en relación con sus datos personales:

• Acceso: obtener confirmación de qué datos procesamos sobre usted
• Rectificación: corregir datos inexactos o incompletos
• Supresión: solicitar el borrado de sus datos (excepto cuando exista obligación legal de conservación)
• Portabilidad: recibir sus datos en formato estructurado (CSV, JSON, Facturae XML)
• Limitación del tratamiento: solicitar que suspendamos temporalmente el procesamiento
• Oposición: oponerse al procesamiento basado en interés legítimo
• Retirar consentimiento: si el tratamiento se basa en consentimiento (p. ej. cookies analíticas)

Para ejercer sus derechos: envíe un email a [email protected] con asunto "Ejercicio de derechos GDPR" y adjunte copia de su DNI/NIE. Responderemos en un plazo máximo de 1 mes.

Derecho a reclamación: Si considera que no hemos tratado adecuadamente sus datos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

ContaCloud NO realiza transferencias internacionales de datos fiscales ni contables.

• Toda la infraestructura está ubicada en la Unión Europea (región Frankfurt, Alemania)
• Los modelos de inteligencia artificial se ejecutan localmente en nuestros servidores europeos
• NO utilizamos proveedores de AI cloud estadounidenses (OpenAI, AWS Bedrock, etc.) para procesar datos fiscales

Si en el futuro ofreciéramos funcionalidades opcionales con procesamiento fuera de la UE, solicitaremos su consentimiento explícito previo y utilizaremos mecanismos de salvaguarda aprobados (Cláusulas Contractuales Tipo).

Implementamos medidas técnicas y organizativas para proteger sus datos:

• Cifrado en tránsito: TLS 1.3 para todas las conexiones HTTPS
• Cifrado en reposo: bases de datos cifradas a nivel de disco
• Aislamiento de datos: Row-Level Security (RLS) en PostgreSQL para separación estricta entre empresas
• Contraseñas: hash Argon2 (estándar OWASP 2026)
• Autenticación de dos factores (2FA): disponible para todos los usuarios
• Logs de auditoría: registro de todos los accesos y cambios en datos fiscales
• Copias de seguridad: backups diarios cifrados con retención de 30 días

Nos reservamos el derecho de modificar esta Política de Privacidad para adaptarla a cambios legislativos o en nuestros servicios.

Los cambios sustanciales se notificarán con 30 días de antelación por email. Le recomendamos revisar esta página periódicamente.