Legal
Política de Privacidad
Última actualización: mayo de 2026
1. Responsable del tratamiento
BM DECORACIÓN ESPAÑA SL («nosotros»), con domicilio en Calle Dublín 21, 29670 Marbella, Málaga, España, es el responsable del tratamiento de sus datos personales conforme al Reglamento (UE) 2016/679 («RGPD»), a la Ley Orgánica 3/2018 española («LOPDGDD») y a la Lei 58/2019 portuguesa («RGPD-PT»). Vendemos exclusivamente a clientes en España y Portugal; esta política cubre ambas jurisdicciones.
No se ha designado Delegado de Protección de Datos (DPD) ya que nuestro tratamiento principal no alcanza los umbrales del artículo 37 RGPD ni del artículo 34 LOPDGDD. Consultas en materia de privacidad: privacy@bmdecor.es.
2. Categorías de datos personales
Podemos tratar las siguientes categorías de datos personales:
- Identificación y contacto: nombre, correo electrónico, teléfono, dirección postal/de facturación/de envío, NIF o CIF (cuando se solicita factura), preferencia de idioma.
- Cuenta: identificador AWS Cognito (sub), contraseña cifrada, fechas de creación y último inicio de sesión, grupo (Cliente / Pros / Empleado / Administrador).
- Comercial: historial de pedidos, contenido de la cesta, lista de favoritos (Wishlist), Paletas de Proyecto guardadas, identificador de cliente Stripe y token del método de pago (en ningún momento accedemos al número completo de la tarjeta), números de factura y copias en PDF.
- Profesional (Pros): nombre de empresa, número de IVA, direcciones de proyecto, sector profesional.
- Comunicaciones: contenido de correos electrónicos de atención al cliente, estado de suscripción al boletín, metadatos de correos transaccionales (aperturas, rebotes).
- Técnicos / dispositivo: dirección IP truncada, navegador, sistema operativo, tamaño de pantalla, identificadores de cookies, ID de sesión, URL de procedencia, geolocalización a nivel de ciudad derivada de la IP.
- Conducta (sólo con consentimiento): visualizaciones de página, eventos de clic, búsquedas, color visualizado, añadir al carrito y pasos del checkout en PostHog. La grabación de sesión está actualmente desactivada.
- Monitorización de errores: trazas de error capturadas por PostHog Error Tracking, ruta, breadcrumbs, identificador seudónimo de usuario.
No tratamos a sabiendas datos de categorías especiales (artículo 9 RGPD) ni recogemos números de identificación oficial fuera del NIF/CIF para facturación.
3. Finalidades y bases jurídicas
| Finalidad | Base jurídica | Conservación |
|---|---|---|
| Creación de cuenta y autenticación | Contrato (6.1.b) | Hasta el cierre de la cuenta |
| Gestión y entrega de pedidos | Contrato (6.1.b) | 6 años (art. 30 Código de Comercio) |
| Cumplimiento fiscal y contable | Obligación legal (6.1.c) — Ley 58/2003 | 6 años |
| Pago Stripe y prevención de fraude | Contrato (6.1.b) + interés legítimo (6.1.f) | Según DPA de Stripe |
| Atención al cliente | Interés legítimo (6.1.f) | 3 años desde el último contacto |
| Boletín / marketing | Consentimiento (6.1.a) — opt-in | Hasta la baja |
| Analítica (PostHog) | Consentimiento (6.1.a) — art. 22.2 LSSI-CE | 12 meses |
| Monitorización de errores (PostHog Error Tracking) | Interés legítimo (6.1.f) | 90 días |
| Paletas de Proyecto guardadas | Contrato (6.1.b) | Hasta la eliminación de la cuenta |
| Presupuestos y precios profesionales | Contrato / precontractual (6.1.b) | 4 años |
4. Encargados del tratamiento y destinatarios
Recurrimos a los siguientes encargados del tratamiento:
- Amazon Web Services EMEA SARL — infraestructura cloud (AWS Amplify, Lambda, DynamoDB, S3, Cognito, Secrets Manager, KMS, CloudFront). Región principal de tratamiento: Irlanda (eu-west-1). Garantías: DPA de AWS y Cláusulas Contractuales Tipo de la UE para cualquier subcontratista fuera del EEE. Certificaciones: ISO 27001 y SOC 2.
- Amazon Web Services SES — correo electrónico transaccional (confirmaciones de pedido, restablecimientos de contraseña, acuses de desistimiento). Región: eu-west-1. Garantía: DPA de AWS.
- Stripe Payments Europe Ltd — procesamiento de pagos (PSP), tokenización de tarjetas y prevención de fraude. Región: Irlanda; subcontratistas en Stripe, Inc. (EE. UU.). Garantías: DPA de Stripe, Cláusulas Contractuales Tipo de la UE y Marco UE-EE. UU. de Privacidad de Datos (DPF) cuando proceda; PCI-DSS Nivel 1. En ningún momento accedemos al número completo de su tarjeta.
- PostHog Inc. — analítica de producto. Región: EE. UU. Activado únicamente con su consentimiento expreso. Garantías: DPA de PostHog, Cláusulas Contractuales Tipo de la UE y medidas suplementarias (anonimización de IP, exclusión de PII, filtrado automatizado de PII en autocaptura).
- PostHog Error Tracking — monitorización de errores integrada en el mismo proyecto PostHog que la analítica (no es un proveedor separado). Las trazas de error se capturan automáticamente desde el navegador y desde Lambda; PII filtrada antes del envío; grabación de sesión desactivada. Base: interés legítimo (artículo 6.1.f) para diagnóstico y seguridad.
- Transportista (entrega de última milla) — el courier asignado a su envío recibe únicamente los datos imprescindibles para la entrega (nombre, dirección, teléfono, peso del pedido). El transportista figura en el correo de expedición.
- Asesoría / gestoría — un asesor externo en España trata los datos de facturación para las declaraciones tributarias bajo acuerdo de confidencialidad.
No vendemos ni alquilamos datos personales a terceros con fines de marketing propio.
5. Transferencias internacionales
Cuando se transmiten datos fuera del Espacio Económico Europeo — principalmente a PostHog (EE. UU.) y a subcontratistas de Stripe en EE. UU.—, nos amparamos en las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914) complementadas con las medidas suplementarias exigidas por la sentencia Schrems II del TJUE (asunto C-311/18). Estas medidas incluyen el cifrado en tránsito, la seudonimización y restricciones contractuales sobre el acceso por parte de autoridades extranjeras. Cuando Stripe se ampara en el Marco UE-EE. UU. de Privacidad de Datos, nos remitimos también a esa decisión de adecuación.
6. Sus derechos
Conforme a los artículos 15 a 22 RGPD y a la LOPDGDD, le asisten los siguientes derechos:
- Acceso — solicitar copia de los datos personales que tratamos sobre usted.
- Rectificación — corregir datos inexactos o incompletos.
- Supresión («derecho al olvido») — solicitar la eliminación, sin perjuicio de los plazos de conservación impuestos por la legislación tributaria.
- Portabilidad — recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
- Limitación del tratamiento en los casos previstos.
- Oposición al tratamiento basado en interés legítimo, incluida la oposición al marketing directo.
- Retirada del consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.
- No ser objeto de decisiones automatizadas con efectos jurídicos (artículo 22).
Puede ejercer sus derechos de acceso y supresión directamente desde la configuración de su cuenta:
- Descargar mis datos — ejercicio del derecho de acceso con un solo clic (artículo 15). Devuelve un archivo JSON con todos los datos personales que tratamos sobre usted, incluido el historial de pedidos, la cesta, la suscripción al boletín, las consultas enviadas y el perfil de Cognito.
- Eliminar mi cuenta — ejercicio del derecho de supresión con un solo clic (artículo 17). Anonimiza su historial de pedidos (la cabecera de la factura permanece durante el plazo de conservación de 6 años exigido por la AEAT), elimina por completo su cesta, la suscripción al boletín y las consultas enviadas, y suprime su registro de usuario en Cognito. Le enviamos un correo de confirmación en castellano resumiendo qué se eliminó y qué se conservó.
Para el resto de derechos —rectificación, limitación, oposición, portabilidad de datos no incluidos en la exportación JSON— escriba a privacy@bmdecor.es. Podemos solicitar prueba de identidad para verificar su solicitud y responderemos en el plazo de un mes, prorrogable por dos meses en solicitudes complejas (artículo 12 RGPD).
7. Decisiones automatizadas
No adoptamos decisiones plenamente automatizadas con efectos jurídicos o significativos. Stripe aplica filtrado automatizado de fraude (Stripe Radar) para autorizar o rechazar pagos; se trata de un proceso de interés legítimo operado por el encargado del tratamiento y no de una decisión adoptada por nosotros. Puede ponerse en contacto con nosotros para obtener una revisión humana de cualquier pago rechazado por motivos de fraude.
8. Menores
Nuestro servicio no se dirige a personas menores de 14 años (edad de consentimiento digital en España conforme al artículo 7 LOPDGDD). No recogemos a sabiendas datos personales de menores de 14 años. Si cree que un menor nos ha facilitado datos, escríbanos a privacy@bmdecor.es y procederemos a su eliminación.
9. Seguridad
Conforme al artículo 32 RGPD aplicamos medidas técnicas y organizativas adecuadas al riesgo: TLS para todo el tráfico, AWS Cognito para el cifrado de contraseñas, AWS KMS para el cifrado en reposo, principio de mínimo privilegio en IAM, AWS CloudWatch para registro y alerta de seguridad, y AWS WAF con limitación de tasa en el sitio público. El acceso interno a datos personales está restringido al personal autorizado bajo obligaciones de confidencialidad.
10. Cookies
Utilizamos cookies esenciales para mantener su sesión y la cesta de la compra. Las cookies analíticas (PostHog) se activan únicamente con su consentimiento expreso a través del banner de cookies, conforme al artículo 22.2 LSSI-CE y a la Guía de Cookies de la AEPD de 2024. Consulte nuestra Política de Cookies para el inventario completo.
11. Autoridades de control
Le asiste el derecho a presentar una reclamación ante la autoridad de control de su país de residencia, sin necesidad de ponerse en contacto previamente con nosotros.
España — Agencia Española de Protección de Datos (AEPD):
- Dirección: C/ Jorge Juan, 6, 28001 Madrid
- Teléfono: 901 100 099 / 91 266 35 17
- Web: www.aepd.es
Portugal — Comissão Nacional de Proteção de Dados (CNPD):
- Dirección: Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa
- Teléfono: +351 213 928 400
- Web: www.cnpd.pt
12. Cambios en la política
Podemos actualizar esta política para reflejar cambios operativos, legales o técnicos. La fecha de «Última actualización» de la cabecera refleja el último cambio. Los cambios sustanciales se notifican por correo electrónico y se vuelve a recabar el consentimiento mediante el banner de cookies cuando el consentimiento sea la base jurídica afectada.