Misyno

Misyno · Documentación legal

⚠ Aviso al lector. Este documento es un borrador interno redactado por el equipo Misyno. Está pendiente de revisión por asesoría jurídica externa. Hasta que esté validado, no debe interpretarse como asesoramiento legal definitivo. Si eres abogado y has llegado aquí para revisarlo, gracias — envíanos comentarios a legal@misyno.com.

Borrador — versión 0.1 (2026-05-04)

⚠️ AVISO: este es un borrador redactado por el equipo técnico conforme al Art. 28 RGPD y el Art. 33 LOPDGDD. Antes de su uso en producción debe ser revisado y validado por asesoría jurídica especializada en protección de datos. No se publica ni se solicita firma a clientes hasta que esa revisión esté hecha.

Los placeholders entre {...} deben sustituirse por los datos reales antes de presentarlo al cliente.

Acuerdo de Encargado del Tratamiento (Data Processing Agreement)

Entre:

  • Responsable del Tratamiento (RT): la empresa cliente que contrata los servicios MISYNO, identificada en el alta del servicio (en adelante, “el Cliente”), con CIF y domicilio fiscal registrados en la cuenta MISYNO al momento de la aceptación de este acuerdo.

  • Encargado del Tratamiento (ET): Josué Sanchis Giménez, operando bajo el nombre comercial MISYNO, NIF 20845123Q, domicilio en C. Cotes 5-3-17, 46260 Alberic (Valencia), España, teléfono 960 624 216, email josue@misyno.com (en adelante, “MISYNO”).

Mediante la aceptación electrónica de este acuerdo en la plataforma MISYNO o su firma manuscrita en versión PDF, ambas partes formalizan los términos siguientes.

1. Objeto

MISYNO presta al Cliente servicios de software como servicio (SaaS) para la gestión laboral, incluyendo control horario, gestión documental RRHH, evaluaciones, formación, ATS, registro retributivo, fichaje electrónico (incl. modalidades GPS y biométrica si se activan) y servicios complementarios. La prestación de estos servicios implica el acceso de MISYNO, en su condición de Encargado del Tratamiento, a datos personales de cuya gestión es Responsable el Cliente.

Este DPA regula las condiciones de dicho tratamiento, en cumplimiento del Art. 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

2. Duración

Este acuerdo entra en vigor en el momento de su aceptación por el Cliente y mantiene su vigencia mientras subsista la relación contractual de prestación de servicios MISYNO. La obligación de confidencialidad sobre los datos tratados subsiste indefinidamente.

3. Naturaleza y finalidad del tratamiento

MISYNO trata los datos personales únicamente para prestar los servicios contratados por el Cliente. En particular:

  • Almacenamiento estructurado de datos personales de empleados, candidatos y otros titulares vinculados al Cliente.
  • Procesamiento automatizado o manual ejecutado por instrucción del Cliente desde la plataforma (cálculos de fichaje, generación de documentos, envío de notificaciones, etc.).
  • Conservación de logs operativos y de auditoría.
  • Procesamiento opcional con IA local (módulo Documental) sobre documentos cuando el Cliente lo solicita.

MISYNO no utiliza los datos del Cliente para fines propios, no los cede ni vende a terceros, y no los emplea para entrenar modelos de inteligencia artificial salvo autorización expresa del Cliente y solo sobre datos previamente anonimizados.

4. Tipos de datos tratados

  • Datos identificativos del personal del Cliente: nombre, NIF, fecha de alta/baja, datos de contacto profesional.
  • Datos de relación laboral: categoría, salario, jornada, modalidad de fichaje, departamento.
  • Datos de fichaje: hora entrada/salida, modalidad (presencial/remoto/kiosco), localización GPS si está habilitada (informada al trabajador conforme al Art. 90 LOPDGDD, con posibilidad de rechazo; no se basa en el consentimiento), hash chain de integridad.
  • Documentos del expediente RRHH: contratos, nóminas, partes de baja, formación, evaluaciones, cartas de recomendación, etc.
  • Datos de candidatos (módulo ATS): CV, contacto, fase del proceso.
  • Logs técnicos: IP, user-agent, sesiones, auditoría de cambios.

5. Categorías de titulares

  • Personal del Cliente (empleados, ex-empleados sujetos a retención).
  • Candidatos a procesos de selección del Cliente.
  • Administradores y representantes del Cliente.
  • Terceros mencionados en documentos del expediente cuando proceda (ej. familiares en partes de baja, médicos firmantes de justificantes).

6. Obligaciones del Encargado (MISYNO)

MISYNO se obliga a:

  1. Tratar los datos únicamente conforme a las instrucciones documentadas del Cliente, incluidas las instrucciones materializadas en la configuración de la plataforma. Las acciones del Cliente y de sus usuarios autorizados en la plataforma constituyen instrucciones válidas.
  2. Garantizar la confidencialidad de los datos. El personal de MISYNO con acceso a datos del Cliente está obligado por contrato a confidencialidad y formado en protección de datos.
  3. Implementar las medidas técnicas y organizativas apropiadas conforme al Art. 32 RGPD:
    • Cifrado en tránsito (TLS 1.2+).
    • Cifrado en reposo de credenciales sensibles (ENCRYPTION_KEY).
    • Control de acceso por roles, autenticación de doble factor para administradores.
    • Registro de auditoría de accesos a datos sensibles.
    • Backups cifrados con retención y rotación.
    • Pruebas de seguridad y revisión periódica.
  4. Asistir al Cliente en el cumplimiento de sus obligaciones conforme a los Art. 32 a 36 RGPD (notificación de brechas, evaluaciones de impacto, consultas previas).
  5. Notificar al Cliente cualquier brecha de seguridad que afecte a sus datos sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde su conocimiento, con la información necesaria para que el Cliente pueda cumplir su obligación de notificación a la AEPD.
  6. Atender los derechos ARSULIPO de los titulares cuando las solicitudes lleguen directamente a MISYNO, redirigiéndolas al Cliente cuando la respuesta corresponda al Responsable. La plataforma proporciona endpoints automatizados para que el titular pueda ejercer directamente derecho de acceso (Art. 15) y portabilidad (Art. 20) por sí mismo.
  7. No subcontratar ni transferir los datos a terceros sin autorización expresa del Cliente, salvo los subencargados previamente comunicados (ver §8).
  8. Devolver o suprimir los datos al final de la relación contractual conforme al §10.
  9. Permitir auditorías del Cliente o de auditor designado por este, con preaviso razonable y bajo confidencialidad, sobre el cumplimiento de las obligaciones de este DPA.

7. Obligaciones del Responsable (Cliente)

El Cliente se obliga a:

  1. Cumplir el RGPD en su rol de Responsable, incluyendo informar a los titulares, recabar consentimientos cuando proceda, mantener el registro de actividades de tratamiento.
  2. Configurar correctamente la plataforma respecto a las funcionalidades sensibles (geolocalización, retención): activarlas solo cuando exista base legal adecuada, y adaptar la configuración a las personas afectadas.
  3. Gestionar los accesos internos a la plataforma (alta/baja de usuarios, asignación de roles).
  4. Pagar el servicio conforme al contrato comercial. La suspensión por impago no exime a MISYNO de mantener el módulo de fichaje operativo, conforme al RD-Ley 8/2019.

8. Subencargados autorizados

El Cliente autoriza, con carácter general, la subcontratación a los siguientes subencargados, siempre bajo cláusulas de protección de datos equivalentes a las de este DPA:

SubencargadoUbicaciónServicioTransferencia internacional
Stripe Payments Europe Ltd.Irlanda (UE)Procesamiento de pagos de suscripciónNo (EEE)
Hetzner Online GmbHAlemania (UE)Alojamiento del servicio y almacenamiento (centros de datos en la UE)No (EEE)
ContaSimpleEspaña (UE)FacturaciónNo (EEE)
DanubeDataUEAlmacenamiento en frío y copias de seguridad a largo plazoNo (EEE)
FNMT-RCM (CERES)España (UE)Sello de tiempo cualificado de los correos archivados (MailBox)No (EEE)
DreamHost LLCEE. UU.Envío de notificaciones transaccionales por correo (SMTP) y, en clientes MailBox, buzón de origenSí — amparada en Cláusulas Contractuales Tipo de la UE (Art. 46 RGPD)

Las jurisdicciones y los mecanismos de transferencia de cada subencargado se confirman en su ficha antes de la firma del contrato.

MISYNO informará al Cliente con 30 días de antelación sobre cualquier cambio en la lista de subencargados. El Cliente podrá oponerse por motivos justificados; en caso de oposición no resoluble, podrá rescindir el contrato sin penalización.

9. Transferencias internacionales

Los servicios se prestan principalmente desde la Unión Europea. Cuando un subencargado opere desde fuera del EEE, la transferencia se amparará en una de las bases del Capítulo V RGPD (decisión de adecuación, cláusulas contractuales tipo, etc.) y se documentará en la ficha del subencargado.

10. Devolución y supresión al término

Al finalizar la relación contractual, MISYNO ofrecerá al Cliente, por un plazo de 30 días naturales:

  • Exportación íntegra de sus datos en formato estructurado y legible por máquina (Art. 20 RGPD — portabilidad).

  • Tras esos 30 días, supresión segura de los datos del Cliente de los sistemas activos.

  • Excepción: los datos sujetos a obligación legal de retención se conservarán cifrados en cold storage por el periodo legal aplicable al tipo de dato:

    • Fichajes laborales: 4 años (Art. 10 RD-Ley 8/2019, registro horario obligatorio).
    • Documentación mercantil: 6 años (Art. 30 Código de Comercio).
    • Documentación fiscal: 4 años (Art. 66 y 70 LGT).
    • PBC / prevención de blanqueo: 10 años (Art. 25 Ley 10/2010).

    El Cliente podrá optar por:

    • Modalidad A — entrega íntegra y borrado inmediato bajo su custodia (gratuita, requiere consentimiento expreso de asunción de responsabilidad por la pérdida de documentación con obligación legal de conservación).
    • Modalidad B — custodia por MISYNO durante el periodo legal mayor aplicable. El coste se regula en el ANEXO MailBox (10 € por cada 100 GB lógicos / mes, sin IVA) o en su equivalente para el resto de módulos.

10 bis. Anexo MailBox — flujo específico de baja

Para el módulo MailBox (archivo fiscal de correo electrónico) se aplica el siguiente flujo específico, sustitutivo del modelo general descrito en §10:

  1. Cuarentena 90 días gratuita: al cancelar un buzón o el módulo completo, el archivo entra en cuarentena durante 90 días naturales durante los cuales el Cliente puede descargar el archivo completo en formato exportable (PST/MBOX) sin coste.

  2. Confirmación de recepción y borrado: tras la descarga, el Cliente debe confirmar expresamente la recepción correcta del archivo. Esta confirmación activa el borrado físico inmediato y transfiere la responsabilidad de la conservación legal al Cliente.

  3. Cold storage automático: si el Cliente no descarga el archivo dentro de los 90 días de cuarentena, el archivo pasa a custodia en almacén frío cifrado, facturable mensualmente a una tarifa de 10 € por cada 100 GB lógicos / mes (sin IVA) hasta que el Cliente descargue + confirme recepción, o hasta que transcurran 10 años desde el inicio de la custodia.

  4. Impago de custodia: si tras 3 intentos fallidos de cobro mensual el Cliente no regulariza ni descarga, MISYNO procederá al borrado físico tras un plazo adicional de 7 días naturales, previo aviso por email al admin general.

  5. Borrado por antigüedad: a los 10 años desde el inicio del cold storage, MISYNO procederá al borrado físico definitivo, previa notificación al Cliente con 30 días de antelación.

  6. Excepción — Art. 17 RGPD: el Cliente puede invocar el derecho de supresión inmediata en cualquier momento, mediante consentimiento expreso firmado electrónicamente (registro en customer_legal_consents con texto íntegro, IP, fecha y user-agent). Esta opción implica la pérdida permanente e irrecuperable del archivo, incluyendo la documentación con obligación legal de conservación, cuya responsabilidad pasa íntegramente al Cliente.

11. Auditorías

El Cliente puede auditar el cumplimiento de este DPA mediante:

  • Acceso a la documentación pública de seguridad de MISYNO.
  • Solicitud documentada por escrito con preaviso de 30 días para auditoría in situ, una vez al año, durante horas de oficina y bajo confidencialidad. El coste lo asume el Cliente.
  • Los resultados de auditorías independientes (ISO 27001, SOC 2, similares) si MISYNO las dispone.

12. Responsabilidad

Cada parte responde de los daños causados por incumplimiento de sus obligaciones bajo el RGPD y este acuerdo, en los términos del Art. 82 RGPD.

Límite de responsabilidad. Sin perjuicio de la responsabilidad frente a los interesados conforme al Art. 82 RGPD (que no puede excluirse ni limitarse), la responsabilidad contractual total de MISYNO frente al Cliente derivada de este DPA queda limitada al importe facturado al Cliente por el servicio en los doce (12) meses anteriores al hecho que motive la reclamación. MISYNO no responderá de daños indirectos, lucro cesante ni de la pérdida de documentación imputable a que el Cliente no descargase/exportase sus datos dentro de los plazos previstos en §10 y §10 bis. Esta limitación no aplica en caso de dolo o negligencia grave.

13. Ley aplicable y jurisdicción

Este DPA se rige por la legislación española y europea de protección de datos. Las disputas se someten a los juzgados y tribunales de Valencia (España), sin perjuicio del derecho de los titulares a reclamar ante la Agencia Española de Protección de Datos.

14. Aceptación

La aceptación de este DPA por el Cliente se realiza en el alta del servicio mediante check-mark explícito, con registro inmutable de fecha, IP, user-agent y versión del documento aceptado. La trazabilidad queda disponible para el Cliente en su panel.

Versión 0.1 — 2026-05-04 — borrador técnico, pendiente de revisión jurídica.

← Volver al índice de documentación legal