Montserrat Strategic Advisory SL
Carrer de la Marina 16-18, 08005 Barcelona, España
Fecha de entrada en vigor: 10 de marzo de 2026
Esta Política de Privacidad y Acuerdo de Tratamiento de Datos ("ATD") forman parte integral del acuerdo entre Montserrat Strategic Advisory SL ("MSA", "nosotros") y el Cliente, y complementan los Términos y Condiciones. Este documento establece cómo MSA recoge, utiliza, almacena y protege los Datos Personales en relación con sus servicios de asesoría y consultoría B2B.
1. Definiciones
1.1 "Datos Personales", "Interesado", "Responsable del Tratamiento", "Encargado del Tratamiento" y "Tratamiento" tienen los significados establecidos en el Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD").
1.2 "Subencargado" designa a cualquier tercero contratado por MSA para tratar Datos Personales en nombre de o en relación con los Servicios.
1.3 "Servicios" designa los servicios de asesoría estratégica B2B, arquitectura empresarial, consultoría estructural, acceso a plataformas digitales y ofertas relacionadas proporcionados por MSA según lo descrito en los Términos y Condiciones.
2. Información del Responsable
2.1 El Responsable del Tratamiento de los Datos Personales es: Montserrat Strategic Advisory SL, Carrer de la Marina 16-18, 08005 Barcelona, España. CIF / NIF: Pendiente de asignación. Contacto: domenic.werners@montserrat-advisory.com.
2.2 Para todas las consultas relacionadas con la protección de datos, incluido el ejercicio de los derechos de los Interesados, póngase en contacto con: domenic.werners@montserrat-advisory.com.
2.3 La autoridad de control competente es la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid, España (www.aepd.es).
3. Funciones y relación
3.1 MSA actúa principalmente como Responsable del Tratamiento independiente respecto a los Datos Personales recogidos en relación con la prestación de sus Servicios.
3.2 En circunstancias limitadas en las que MSA trate Datos Personales por cuenta del Cliente conforme a sus instrucciones documentadas específicas, MSA actuará como Encargado del Tratamiento. En tales casos, MSA tratará los Datos Personales únicamente según las instrucciones documentadas del Cliente, salvo que la legislación de la Unión Europea o de un Estado Miembro exija lo contrario.
3.3 Cuando MSA actúe como Responsable y Encargado simultáneamente respecto a diferentes categorías de datos dentro del mismo encargo, la función aplicable se determinará por la naturaleza y finalidad de cada actividad de tratamiento específica.
4. Alcance y duración
4.1 El tratamiento de Datos Personales se refiere a la prestación de servicios de asesoría, consultoría y plataformas digitales B2B descritos en los Términos y Condiciones.
4.2 El tratamiento continuará durante la vigencia de la relación contractual y los períodos de retención legalmente aplicables conforme a la legislación mercantil, fiscal y regulatoria española.
5. Bases legales del tratamiento
5.1 MSA trata los Datos Personales sobre las siguientes bases legales conforme al artículo 6(1) del RGPD: (a) ejecución de un contrato en el que el Interesado es parte, o para la aplicación de medidas precontractuales a petición del Interesado (artículo 6(1)(b)); (b) cumplimiento de una obligación legal aplicable a MSA, incluidos los requisitos fiscales, mercantiles y contables españoles (artículo 6(1)(c)); (c) intereses legítimos perseguidos por MSA, incluida la administración empresarial, prevención del fraude, mejora del servicio y análisis interno, siempre que dichos intereses no prevalezcan sobre los derechos y libertades fundamentales del Interesado (artículo 6(1)(f)); (d) consentimiento, cuando se obtenga explícitamente para actividades de tratamiento específicas como comunicaciones de marketing (artículo 6(1)(a)).
5.2 Cuando el tratamiento se base en el consentimiento, el Interesado podrá retirar dicho consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento realizado con anterioridad a la retirada.
6. Categorías de interesados
- Clientes y sus representantes autorizados
- Empleados y miembros del equipo del Cliente con acceso a la plataforma
- Clientes potenciales que interactúan con los Servicios de MSA, incluidos aquellos que reservan sesiones, se registran en plataformas o envían formularios de solicitud
- Visitantes del sitio web
7. Categorías de datos personales
- Datos de identificación: nombre, razón social, cargo, función profesional
- Datos de contacto: dirección de correo electrónico, número de teléfono, dirección comercial
- Credenciales de acceso: nombres de usuario, contraseñas cifradas, tokens de autenticación
- Metadatos de facturación: facturas, referencias de pago, identificadores de transacción, referencias de mandatos SEPA (MSA no almacena números de tarjeta de crédito)
- Comunicaciones: correos electrónicos, mensajes, grabaciones de sesiones, transcripciones de llamadas, notas de reuniones
- Datos de uso: horarios de acceso a la plataforma, contenido consultado, asistencia a sesiones, uso de funcionalidades
- Datos empresariales compartidos durante las sesiones de asesoría: cifras de facturación, métricas empresariales, información estratégica, datos operativos, estructuras organizativas
- Datos técnicos: direcciones IP, tipo de navegador, información del dispositivo, cookies y tecnologías de seguimiento similares
8. Finalidades del tratamiento
- Prestación y ejecución de los Servicios contratados, incluidas sesiones de asesoría estratégica y acceso a plataformas
- Gestión del acceso a la plataforma, autenticación de usuarios y administración de cuentas
- Facturación y procesamiento de pagos a través de QONTO, GoCardless, transferencia bancaria SEPA y proveedores de pago con tarjeta
- Cumplimiento de obligaciones legales y regulatorias, incluida la legislación fiscal y mercantil española
- Documentación y aseguramiento de la calidad de las sesiones de asesoría, incluida la transcripción y análisis asistidos por IA
- Comunicación con Clientes sobre la prestación del servicio, programación y asuntos operativos
- Comunicaciones de marketing aprobadas cuando se ha obtenido consentimiento
- Mejora y desarrollo de los Servicios, incluidos análisis internos y herramientas asistidas por IA
- Prevención del fraude, supervisión de seguridad y cumplimiento de los Términos y Condiciones
9. Tratamiento asistido por IA
9.1 MSA utiliza herramientas de inteligencia artificial en relación con la prestación de sus Servicios. Estas herramientas pueden incluir, entre otras, la transcripción asistida por IA, la generación de contenido, el análisis de datos y los motores de recomendación estratégica proporcionados por Subencargados terceros, incluidos OpenAI (ChatGPT) y Anthropic (Claude).
9.2 Las herramientas asistidas por IA pueden tratar Datos Personales, incluidas comunicaciones, contenido de sesiones y datos empresariales compartidos durante los compromisos de asesoría. MSA garantiza que todos los Subencargados de IA están vinculados por acuerdos de tratamiento de datos adecuados y que el tratamiento cumple con los requisitos del RGPD.
9.3 MSA no realiza decisiones automatizadas con efectos legales o similarmente significativos según lo definido en el artículo 22 del RGPD. Los resultados generados por IA se utilizan únicamente como insumos de asesoría y son revisados por el personal de MSA antes de ser entregados a los Clientes.
9.4 Los resultados generados por IA pueden contener inexactitudes. Los Clientes son los únicos responsables de verificar cualquier información, análisis o recomendación generada por IA. MSA no garantiza la exactitud, integridad o idoneidad para un fin determinado de ningún resultado generado por IA.
10. Subencargados
10.1 El Cliente otorga autorización general a MSA para contratar Subencargados para las finalidades descritas en esta Política de Privacidad. MSA informará al Cliente de cualquier cambio previsto en los Subencargados por medios razonables (incluido correo electrónico o notificación en la plataforma) y le dará la oportunidad de oponerse en un plazo de catorce (14) días.
10.2 MSA garantiza que todos los Subencargados están vinculados por acuerdos de tratamiento de datos que imponen obligaciones no menos protectoras que las establecidas en esta Política de Privacidad y ATD.
10.3 Subencargados actuales:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Memberspot | Plataforma digital y área de miembros | Alemania (UE) |
| Google Workspace | Correo electrónico, calendario, almacenamiento de documentos, videoconferencias (Google Meet) | UE/EE.UU. (CCT, MPD) |
| Calendly | Programación de citas | EE.UU. (CCT, MPD) |
| Close CRM | Gestión de relaciones con clientes | EE.UU. (CCT) |
| Fireflies.ai | Transcripción de reuniones asistida por IA | EE.UU. (CCT) |
| Loom | Grabación y compartición de vídeo | EE.UU. (CCT, MPD) |
| OpenAI | Modelo de lenguaje IA (ChatGPT) para análisis y generación de contenido | EE.UU. (CCT, MPD) |
| Anthropic | Modelo de lenguaje IA (Claude) para análisis y generación de contenido | EE.UU. (CCT) |
| Notion | Documentación interna y gestión de proyectos | EE.UU. (CCT, MPD) |
| Slack | Comunicaciones internas y con clientes | EE.UU. (CCT, MPD) |
| QONTO | Banca empresarial y procesamiento de pagos | Francia (UE) |
| GoCardless | Procesamiento de pagos por domiciliación bancaria SEPA | RU/UE (Decisión de Adecuación) |
| Wise | Procesamiento de pagos internacionales | UE/RU (Decisión de Adecuación) |
| Netlify | Alojamiento web y distribución de contenido | EE.UU. (CCT, MPD) |
11. Transferencias internacionales de datos
11.1 Los Datos Personales pueden ser tratados fuera del Espacio Económico Europeo (EEE), incluido en Estados Unidos y el Reino Unido, por los Subencargados mencionados anteriormente.
11.2 Cuando los datos se transfieran fuera del EEE, MSA garantiza que existan garantías adecuadas conforme al Capítulo V del RGPD, incluyendo: (a) decisiones de adecuación de la Comisión Europea, incluido el Marco de Privacidad de Datos UE-EE.UU. (MPD) cuando corresponda; (b) Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea; (c) otros mecanismos de transferencia aprobados conforme al RGPD.
11.3 MSA realiza evaluaciones de impacto de las transferencias cuando sea necesario y supervisa los cambios en los marcos legales que regulan las transferencias internacionales de datos. El Cliente puede solicitar información sobre las garantías específicas aplicadas a cualquier transferencia internacional contactando con MSA en domenic.werners@montserrat-advisory.com.
12. Medidas de seguridad
12.1 MSA implementa medidas técnicas y organizativas adecuadas para proteger los Datos Personales contra el acceso no autorizado, la pérdida, destrucción, alteración o tratamiento ilícito, conforme al artículo 32 del RGPD. Estas medidas incluyen:
- Cifrado de datos en tránsito (TLS/SSL) y en reposo cuando sea técnicamente viable
- Controles de acceso y autenticación multifactor para todos los sistemas críticos
- Revisiones periódicas de seguridad y evaluaciones de diligencia debida de los Subencargados
- Obligaciones de confidencialidad contractuales y legales para todo el personal con acceso a Datos Personales
- Procedimientos de respuesta ante incidentes y notificación de violaciones de datos
- Revisión y prueba periódica de las medidas de seguridad
13. Cookies y tecnologías de seguimiento
13.1 El sitio web de MSA puede utilizar cookies y tecnologías de seguimiento similares para garantizar el correcto funcionamiento del sitio web, analizar patrones de uso y mejorar la experiencia del usuario. Las cookies se categorizan como: (a) cookies estrictamente necesarias para el funcionamiento del sitio web; (b) cookies analíticas utilizadas para comprender el uso del sitio web (sujetas al consentimiento cuando lo exija la legislación aplicable).
13.2 Los usuarios pueden gestionar las preferencias de cookies a través de la configuración de su navegador. La desactivación de determinadas cookies puede afectar a la funcionalidad del sitio web.
14. Conservación de datos
14.1 Los Datos Personales se conservan únicamente durante el tiempo necesario para las finalidades para las que fueron recogidos, o según lo exija la legislación aplicable. Los períodos de conservación se determinan en función de la naturaleza de los datos, las finalidades del tratamiento y los requisitos legales aplicables.
14.2 Tras la finalización de la relación contractual, los Datos Personales serán eliminados o anonimizados en un plazo razonable, sujeto a las obligaciones legales de conservación aplicables. Conforme a la legislación española, determinados registros deben conservarse durante los siguientes períodos mínimos: registros fiscales y contables: seis (6) años (Código de Comercio, art. 30); documentación contractual: cinco (5) años (Código Civil, art. 1964); registros de facturación: cuatro (4) años (Ley General Tributaria).
15. Derechos de los interesados
15.1 Los Interesados pueden ejercer los siguientes derechos conforme a los artículos 15-22 del RGPD y la LOPDGDD contactando con MSA en: domenic.werners@montserrat-advisory.com. Estos derechos incluyen: el derecho de acceso (artículo 15); el derecho de rectificación (artículo 16); el derecho de supresión (artículo 17); el derecho a la limitación del tratamiento (artículo 18); el derecho a la portabilidad de los datos (artículo 20); el derecho de oposición (artículo 21); y el derecho a no ser objeto de decisiones individuales automatizadas (artículo 22).
15.2 MSA responderá a las solicitudes válidas en un plazo de treinta (30) días. Este plazo podrá prorrogarse por otros dos meses cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes.
15.3 Cuando MSA actúe como Encargado, asistirá al Cliente en el cumplimiento de las solicitudes de los Interesados conforme al artículo 28(3)(e) del RGPD.
15.4 Los Interesados tienen derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) o ante cualquier otra autoridad de control competente.
16. Notificación de violaciones de datos
16.1 En caso de violación de la seguridad de los Datos Personales, MSA notificará a la autoridad de control competente (AEPD) en un plazo de setenta y dos (72) horas desde que tenga conocimiento de la violación, cuando así lo exija el artículo 33 del RGPD.
16.2 Cuando la violación pueda suponer un alto riesgo para los derechos y libertades de los Interesados, MSA también notificará a los Interesados afectados sin dilación indebida conforme al artículo 34 del RGPD.
16.3 Cuando MSA actúe como Encargado, notificará al Cliente (como Responsable) de cualquier violación de Datos Personales sin dilación indebida tras tener conocimiento de la misma, proporcionando información suficiente para que el Cliente pueda cumplir con sus propias obligaciones de notificación.
17. Confidencialidad
17.1 Todo el personal autorizado para tratar Datos Personales está sujeto a obligaciones de confidencialidad contractuales o legales. MSA garantiza que el acceso a los Datos Personales se limita a aquellas personas que lo necesiten para el desempeño de sus funciones.
18. Responsabilidad
18.1 La responsabilidad de MSA en virtud de esta Política de Privacidad y ATD está sujeta a las limitaciones establecidas en los Términos y Condiciones. Este documento no genera responsabilidad adicional más allá de lo estipulado en los Términos y Condiciones, salvo en la medida en que las disposiciones imperativas del RGPD o la legislación aplicable exijan lo contrario.
19. Exactitud de los datos del Cliente
19.1 Los Clientes son responsables de la exactitud y completitud de toda la información y Datos Personales proporcionados a MSA durante el compromiso. MSA no es responsable de los resultados, errores de tratamiento o incumplimientos derivados de datos inexactos, incompletos o engañosos proporcionados por el Cliente.
20. Modificaciones de esta Política de Privacidad
20.1 MSA se reserva el derecho de actualizar esta Política de Privacidad en cualquier momento. Los cambios materiales se comunicarán por correo electrónico o notificación en la plataforma. El uso continuado de los Servicios tras la notificación constituye la aceptación de la Política de Privacidad actualizada.
21. Idioma
21.1 Esta Política de Privacidad y ATD están disponibles en inglés y español. En caso de discrepancia entre la versión en inglés y cualquier traducción, prevalecerá la versión en inglés.
22. Legislación aplicable
22.1 Esta Política de Privacidad y ATD se rigen por las leyes del Reino de España y están sujetas a la jurisdicción exclusiva de los tribunales de Barcelona, España.
23. Aceptación
23.1 Esta Política de Privacidad y ATD se aceptan con la aceptación de los Términos y Condiciones, la firma de una Carta de Oferta o el uso de cualquier Servicio de MSA, lo que ocurra primero.