This privacy policy explains how Loyaltio Consulting, S.L. ("Loyaltio", "we", "our") processes
personal data when you visit loyaltio.com, contact us, become a client,
partner, supplier, candidate or any other type of related party. It is issued in compliance with
Regulation (EU) 2016/679 (the General Data Protection Regulation, "GDPR"),
Spanish Organic Law 3/2018 of 5 December on the Protection of Personal Data and the Guarantee of
Digital Rights ("LOPDGDD"), and — where applicable — Regulation (EU) 2024/1689
(the "EU AI Act") and Regulation (EU) 2023/2854 (the "EU Data Act").
Data controller
Legal name
Loyaltio Consulting, S.L.
Tax ID (NIF)
ESB66421652
Registered office
Passeig Carena 38, 08197 Sant Cugat, Barcelona, Spain
Branch (UAE)
Dubai World Central, P.O. Box 390667, Dubai, United Arab Emirates
You may contact our Data Protection Officer at
[email protected]
for any matter related to the processing of your personal data, including requests to exercise the
rights listed in section 10 below.
Scope
This policy applies to personal data processed in the context of:
visits to loyaltio.com and any of its sub-domains;
communications you send us by email, telephone, contact form or messaging channels;
commercial relationships with our clients, suppliers, partners and prospects;
recruitment processes (open applications and active selection);
events, webinars and content we organise or co-organise.
Categories of data
Depending on the relationship, we may process the following categories of personal data:
Identification & contact data: first and last name, professional email,
telephone, organisation, role.
Commercial data: messages, meeting notes, contractual and billing information,
tax data of self-employed counterparts.
Recruitment data: CV, cover letter, professional history, interview notes.
Browsing data: IP address, device and browser information, pages visited and
interaction events. See our Cookies policy for the granular detail.
Imagery: photographs and recordings collected at events with your prior
information and, where required, consent.
We do not knowingly collect special-category data (Article 9 GDPR) through this website.
Please do not send us such information unless we have agreed an appropriate framework in advance.
Purposes & lawful bases
Purpose
Lawful basis (GDPR)
Replying to enquiries received via the website, email or phone.
Art. 6(1)(b) — pre-contractual measures at your request.
Managing client, supplier and partner relationships, including invoicing.
Measuring website audience and improving the service.
Art. 6(1)(a) — consent collected through the cookie banner.
Compliance with accounting, tax, anti-money-laundering and sectoral obligations.
Art. 6(1)(c) — legal obligation.
Retention
Personal data is kept only for as long as necessary to fulfil the purpose for which it was collected.
After that, it is either deleted or kept blocked, with restricted access, exclusively for the
statutory periods imposed by Spanish accounting (6 years), tax (4 years), labour
(4 years) and anti-money-laundering (10 years) regulations, plus any longer period if a legal claim
is foreseeable.
Processors & third parties
We rely on a small set of carefully selected service providers acting as processors on our behalf
under written contracts that meet the requirements of Article 28 GDPR. Current categories include:
Hosting & CDN — Cloudflare, Inc. (data processed in the EU and the US).
Email and productivity — Microsoft 365 / Google Workspace.
Accounting and invoicing — Spanish-based providers under EU jurisdiction.
We do not sell personal data, and we do not share it with third parties for advertising purposes.
International transfers
When personal data is transferred outside the European Economic Area, we rely on one of the
safeguards listed in Chapter V GDPR — typically the European Commission's adequacy decisions or
the 2021 Standard Contractual Clauses, complemented by additional technical measures (encryption
in transit and at rest, pseudonymisation, access controls).
AI & automated processing
We may use AI-based tools to support our consulting work — for example, to summarise documents,
accelerate research or draft text. When such tools are involved in services we deliver to clients,
we comply with the applicable obligations of the EU AI Act (Regulation 2024/1689), maintain
meaningful human oversight, and keep contracts with providers that prohibit the re-use of inputs
for model training. We do not take decisions producing legal or similarly significant effects on
individuals based solely on automated processing through this website (Art. 22 GDPR).
Your rights
You may at any time exercise the following rights:
access to your personal data and to information about its processing;
rectification of inaccurate or incomplete data;
erasure ("right to be forgotten") where applicable;
restriction of processing in the cases provided by law;
objection to processing carried out on the basis of legitimate interest;
data portability for processing based on consent or contract;
withdrawal of consent without affecting prior lawful processing;
not to be subject to fully automated decisions producing legal effects.
To exercise any of these rights, please write to
[email protected]
or by post to our registered office, attaching a copy of an identification document.
We will reply within one month.
You also have the right to lodge a complaint with the
Spanish Data Protection Agency (Agencia Española de Protección de Datos, AEPD),
C/ Jorge Juan 6, 28001 Madrid · www.aepd.es.
Security
We apply technical and organisational measures appropriate to the risk, including TLS encryption
in transit, encrypted storage, role-based access, multi-factor authentication for privileged
accounts, and regular reviews of our processing activities. In the event of a personal data breach
likely to result in a risk to individuals, we will notify the AEPD within 72 hours and, where
required, the affected individuals.
Changes
We may update this policy to reflect changes in our processing or in the applicable legislation.
The version and effective date are shown at the top of the document. Significant changes will be
announced with appropriate prominence.
Esta política de privacidad explica cómo Loyaltio Consulting, S.L. ("Loyaltio", "nosotros") trata
los datos personales cuando visitas loyaltio.com, te pones en contacto con nosotros
o nos relacionamos contigo como cliente, socio, proveedor, candidato o cualquier otro perfil. Se emite en cumplimiento del
Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, "RGPD"), la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales ("LOPDGDD") y, cuando resulte aplicable,
el Reglamento (UE) 2024/1689 ("Reglamento de IA de la UE") y el Reglamento (UE) 2023/2854 ("Data Act").
Responsable del tratamiento
Razón social
Loyaltio Consulting, S.L.
NIF
ESB66421652
Domicilio social
Passeig Carena 38, 08197 Sant Cugat, Barcelona, España
Sucursal (EAU)
Dubai World Central, Apdo. 390667, Dubái, Emiratos Árabes Unidos
Puedes contactar con nuestro Delegado de Protección de Datos en
[email protected]
para cualquier asunto relacionado con el tratamiento de tus datos, incluido el ejercicio
de los derechos descritos en el apartado 10.
Ámbito de aplicación
Esta política se aplica al tratamiento de datos personales en el contexto de:
visitas a loyaltio.com y a cualquiera de sus subdominios;
comunicaciones que nos envías por correo, teléfono, formulario o canales de mensajería;
relaciones comerciales con clientes, proveedores, socios y candidatos a serlo;
procesos de selección (candidaturas espontáneas y vacantes activas);
eventos, webinars y contenidos que organizamos o coorganizamos.
Categorías de datos
Según la relación, podemos tratar las siguientes categorías de datos personales:
Datos identificativos y de contacto: nombre y apellidos, correo profesional, teléfono, organización, cargo.
Datos comerciales: mensajes, notas de reuniones, información contractual y de facturación, datos fiscales en caso de profesionales autónomos.
Datos de selección: CV, carta de presentación, trayectoria profesional, notas de entrevista.
Datos de navegación: dirección IP, información de dispositivo y navegador, páginas visitadas e interacciones. El detalle granular está en nuestra Política de cookies.
Imagen: fotografías y grabaciones obtenidas en eventos previa información y, cuando proceda, consentimiento.
No recabamos conscientemente categorías especiales de datos (art. 9 RGPD) a través de este sitio.
Por favor, no nos envíes información de este tipo salvo que hayamos acordado un marco específico previamente.
Finalidades y bases jurídicas
Finalidad
Base jurídica (RGPD)
Atender consultas recibidas por el sitio, correo o teléfono.
Art. 6.1.b — medidas precontractuales a tu solicitud.
Gestionar relaciones con clientes, proveedores y socios, incluida la facturación.
Medir la audiencia del sitio y mejorar el servicio.
Art. 6.1.a — consentimiento recogido por el banner de cookies.
Cumplir obligaciones contables, fiscales, de prevención de blanqueo y sectoriales.
Art. 6.1.c — obligación legal.
Conservación
Conservamos los datos personales únicamente durante el tiempo necesario para cumplir la finalidad para la que se recabaron.
Después se eliminan o se mantienen bloqueados, con acceso restringido, exclusivamente durante los plazos legales aplicables
en materia mercantil (6 años), fiscal (4 años), laboral (4 años) y de prevención de blanqueo (10 años), más cualquier plazo
adicional si fuera previsible una reclamación.
Encargados y terceros
Trabajamos con un conjunto reducido de proveedores cuidadosamente seleccionados que actúan como encargados de tratamiento
bajo contratos escritos conformes al art. 28 RGPD. Las categorías actuales incluyen:
Hosting y CDN — Cloudflare, Inc. (datos tratados en la UE y EE. UU.).
Correo y productividad — Microsoft 365 / Google Workspace.
Analítica — proveedor de analítica respetuoso con la privacidad (cuando hay consentimiento).
Contabilidad y facturación — proveedores españoles bajo jurisdicción comunitaria.
No vendemos datos personales ni los compartimos con terceros con fines publicitarios.
Transferencias internacionales
Cuando los datos personales se transfieren fuera del Espacio Económico Europeo, nos apoyamos en alguna de las garantías
previstas en el Capítulo V del RGPD — habitualmente las decisiones de adecuación de la Comisión Europea o las Cláusulas
Contractuales Tipo de 2021, complementadas con medidas técnicas adicionales (cifrado en tránsito y en reposo,
seudonimización, controles de acceso).
IA y tratamientos automatizados
Empleamos herramientas basadas en IA para apoyar nuestro trabajo de consultoría — por ejemplo, para resumir documentos,
acelerar la investigación o redactar texto. Cuando esas herramientas intervienen en servicios prestados a clientes,
cumplimos las obligaciones aplicables del Reglamento de IA de la UE (Reglamento 2024/1689), mantenemos una supervisión humana
significativa y firmamos contratos con los proveedores que prohíben la reutilización de los datos para el entrenamiento
de modelos. No tomamos decisiones que produzcan efectos jurídicos o significativamente similares sobre las personas
basadas únicamente en tratamientos automatizados a través de este sitio (art. 22 RGPD).
Tus derechos
Puedes ejercer en todo momento los siguientes derechos:
acceso a tus datos personales y a la información sobre su tratamiento;
rectificación de datos inexactos o incompletos;
supresión ("derecho al olvido") cuando proceda;
limitación del tratamiento en los supuestos previstos por la ley;
oposición a tratamientos basados en interés legítimo;
portabilidad para tratamientos basados en consentimiento o contrato;
retirada del consentimiento sin afectar a la licitud de los tratamientos previos;
no ser objeto de decisiones totalmente automatizadas con efectos jurídicos.
Para ejercer cualquiera de estos derechos, escríbenos a
[email protected]
o por correo postal a nuestro domicilio social, adjuntando copia de un documento identificativo.
Te responderemos en el plazo de un mes.
También tienes derecho a presentar una reclamación ante la
Agencia Española de Protección de Datos (AEPD),
C/ Jorge Juan 6, 28001 Madrid · www.aepd.es.
Seguridad
Aplicamos medidas técnicas y organizativas adecuadas al riesgo, entre ellas cifrado TLS en tránsito, almacenamiento
cifrado, control de acceso por roles, autenticación multifactor para cuentas privilegiadas y revisiones periódicas
de nuestros tratamientos. En caso de violación de la seguridad de los datos personales que entrañe riesgo para los
afectados, lo notificaremos a la AEPD en un plazo de 72 horas y, cuando proceda, a las personas afectadas.
Cambios
Podemos actualizar esta política para reflejar cambios en nuestros tratamientos o en la legislación aplicable.
La versión y la fecha de entrada en vigor figuran al inicio del documento. Los cambios significativos se anunciarán
de forma visible.