Saltar al contenido principal

Marco legal y privacidad

Politica de Privacidad

Política de Privacidad

Última actualización: 17/04/2026.

1. Responsable del tratamiento

  • Titular: Pablo Cirre Gómez
  • NIF: 74657091B
  • Domicilio: Emperatriz Eugenia n8 4a, 18002 Granada
  • Correo RGPD: [email protected]
  • Sede electrónica AEPD para reclamación: aepd.es

OpenMercantil es un proyecto independiente — no estamos afiliados al Ministerio de Justicia, al Registro Mercantil ni a la AEBOE. Nuestra única relación con esos organismos es la reutilización de la información que publican en abierto.

2. Datos que tratamos y de qué fuentes

Tratamos tres categorías de datos personales claramente diferenciadas:

  • Datos del BORME (publicación oficial): nombre y apellidos, cargo mercantil, empresa, fecha de nombramiento o cese, número de inscripción registral de administradores, apoderados, socios declarados, liquidadores y auditores publicados oficialmente. Origen: descarga diaria del XML/PDF oficial publicado por la AEBOE. Estos datos son públicos por imperativo legal (Art. 23 Código de Comercio + Reglamento del Registro Mercantil).
  • Datos de cuenta de usuario (solo si te registras): email, contraseña hasheada con bcrypt, nombre opcional, plan de suscripción, idioma, alertas configuradas, claves API generadas, historial de sesiones (IP parcial anonimizada y user-agent), tickets de soporte. Origen: tú nos los proporcionas.
  • Datos técnicos de visita: IP anonimizada al último octeto (192.168.1.0), user-agent, página visitada, tiempo de respuesta. Logs en bruto retenidos máximo 30 días para detección de abuso. Las cookies analíticas están activas por defecto y pueden desactivarse; se usan Google Analytics 4 con Consent Mode v2 y Microsoft Clarity con Consent API v2.

3. Base legal del tratamiento

  • Art. 6.1.e RGPD — Tratamiento necesario para el cumplimiento de una misión realizada en interés público: la transparencia mercantil y la reutilización de información pública prevista en la Ley 37/2007, transposición de la Directiva (UE) 2019/1024.
  • Art. 6.1.f RGPD — Interés legítimo en ofrecer un acceso estructurado y buscable al BORME a profesionales, periodistas, investigadores y ciudadanos. Hemos realizado el correspondiente balancing test ponderando este interés con los derechos del interesado.
  • Art. 6.1.b RGPD — Ejecución del contrato cuando hay suscripción activa o solicitud de servicios (alertas, exportaciones, API key).
  • Art. 6.1.a RGPD — Consentimiento explícito, exclusivamente para cookies analíticas, comunicaciones opt-in (newsletter) y tratamientos secundarios. Revocable en cualquier momento sin afectar a la licitud previa.
  • Art. 6.1.c RGPD — Cumplimiento de obligación legal cuando una autoridad competente nos requiera datos por procedimiento jurídico válido.

4. Finalidades específicas

  • Facilitar la consulta pública, gratuita y estructurada del BORME a través de fichas, búsqueda, listados, API y exportaciones.
  • Permitir el uso comercial legítimo de la información mercantil pública por parte de despachos profesionales, equipos comerciales, investigadores y desarrolladores, siempre dentro de los límites de la Ley 37/2007.
  • Analizar de forma agregada y anonimizada el uso del sitio para mejorarlo, exclusivamente con consentimiento previo del usuario.
  • Gestionar cuentas de usuario, suscripciones, soporte y facturación de quienes se registran voluntariamente.
  • Atender solicitudes de ejercicio de derechos, consultas técnicas, reclamaciones y obligaciones legales.
  • Detectar y mitigar abuso técnico (scraping masivo, ataques) para garantizar la disponibilidad del servicio.

Lo que NO hacemos en ningún caso: perfilado comercial individual de personas físicas que aparecen como cargos en el BORME, venta o cesión de datos a terceros, decisiones automatizadas con efectos jurídicos sobre interesados, uso de los datos para finalidades incompatibles con la transparencia mercantil.

5. Destinatarios y encargados del tratamiento

No cedemos datos personales a terceros salvo obligación legal. Empleamos los siguientes encargados del tratamiento, todos con contrato conforme al Art. 28 RGPD:

  • OVH SAS (Francia, UE) — alojamiento web y base de datos. Centros de datos en territorio UE con cumplimiento RGPD certificado.
  • Google Ireland Ltd. (Irlanda, UE) — Google Analytics 4 y Google Search Console, con IP anonimizada. Cláusulas tipo de la Comisión Europea cuando hay transferencias internacionales eventuales.
  • Microsoft Ireland Operations Ltd. (Irlanda, UE) — Microsoft Clarity para analítica de sesiones y mapas de calor, sin uso publicitario en esta iteración.
  • Stripe Payments Europe Ltd. (Irlanda, UE) — pasarela de pago. No accedemos jamás a datos de tarjeta. Stripe es nuestro encargado para gestión de cobros y facturación.
  • Resend / Postmark (UE) — envío de correos transaccionales (alertas, recuperación de contraseña, confirmaciones). DPA firmado.
  • Crisp / Tawk.to (UE) — chat de soporte si lo activas. Datos limitados a la conversación.

Posibles transferencias internacionales: solo bajo decisiones de adecuación, cláusulas contractuales tipo de la Comisión Europea (SCCs) o garantías equivalentes. Pendiente que se concrete cualquier transferencia se publicará explícitamente en esta política.

6. Plazos de conservación

  • Datos publicados en el BORME: mientras siga siendo relevante su publicación pública (la propia AEBOE conserva el BORME indefinidamente). Cuando una persona ejerce supresión válida y procede, los retiramos.
  • Cuentas de usuario activas: mientras la cuenta esté operativa. Si está inactiva durante 24 meses, te avisamos por email; si no respondes en 60 días, anonimizamos la cuenta conservando solo lo legalmente exigido (facturación 6 años conforme a Ley General Tributaria).
  • Logs técnicos: 30 días en formato anonimizado.
  • Logs de seguridad (intentos de login, cambios de contraseña, ejercicios de derechos): 1 año, o más si una incidencia de seguridad lo justifica.
  • Solicitudes RGPD: 3 años como prueba de diligencia y para responder a posibles inspecciones de la AEPD.
  • Datos de facturación: 6 años (Art. 30 Código de Comercio + Ley General Tributaria).

7. Derechos del interesado

Conforme a los artículos 15 a 22 del RGPD y al título III de la LOPDGDD (LO 3/2018), puedes ejercer gratuitamente los siguientes derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y no ser objeto de decisiones automatizadas.

Para ejercerlos, usa el formulario oficial de ejercicio de derechos con verificación de identidad o escribe a [email protected]. Plazo legal: 30 días naturales (Art. 12.3 RGPD), prorrogables 60 en casos complejos con justificación. Más información detallada en la página dedicada.

Reclamación ante autoridad de control: si consideras que hemos vulnerado tus derechos, puedes reclamar gratuitamente ante la Agencia Española de Protección de Datos (AEPD) a través de su sede electrónica. Plazo medio de resolución 6-12 meses. Te recomendamos contactarnos primero — la mayoría de incidencias se resuelven en pocos días.

8. Seguridad de los datos

Aplicamos medidas técnicas y organizativas proporcionadas al riesgo del tratamiento. Detalle completo en la página Seguridad y privacidad técnica. En síntesis: HTTPS forzado con HSTS, contraseñas hasheadas con bcrypt, tokens generados con CSPRNG, IP anonimizada en logs, control de accesos con 2FA en cuentas administrativas, backups cifrados, monitorización continua y plan de respuesta ante incidentes.

Notificación de brechas: si se produce una brecha de seguridad con riesgo para los derechos de los interesados, notificaremos a la AEPD en menos de 72 horas (Art. 33 RGPD) y a los afectados sin dilación indebida (Art. 34 RGPD) si el riesgo es alto.

9. Menores

El BORME no publica habitualmente datos de menores de edad por la propia naturaleza mercantil de la información. El sitio no está dirigido a menores y no tratamos datos de menores conscientemente. Si detectamos un caso, lo eliminamos. Si eres tutor legal y crees que se ha tratado información de un menor a tu cargo, contáctanos.

10. Modificaciones de esta política

Podemos modificar esta política cuando cambien los tratamientos, los encargados, la normativa aplicable o el contexto del servicio. Las modificaciones sustanciales se anuncian con 30 días de antelación a usuarios registrados por email y mediante banner en el sitio. El historial de cambios queda registrado al final del documento por transparencia.

Historial de cambios

  • 17/04/2026 — Revisión completa: base legal corregida (Art. 6.1.e), incorporación de Google Consent Mode, formulario de ejercicio de derechos, plazos y medidas de seguridad detallados.