← VOLVER AL LOGIN
SYNARIS BY MARSHA
Aviso de Privacidad
Versión 1.1 · Última actualización: Abril 2026
Este aviso se aplica a los usuarios del Sistema Operativo Empresarial Soberano SYNARIS desplegado por su organización. Su empleador es el responsable del tratamiento. MARSHA actúa como encargado del tratamiento conforme al artículo 28 del RGPD.
1. Responsable y Encargado
Responsable del tratamiento: la organización que ha desplegado esta instancia de SYNARIS. Para consultas específicas del responsable, contacte con el DPO de su organización.
Encargado del tratamiento: Marsha Foundation ("MARSHA"), que trata los datos personales exclusivamente siguiendo instrucciones documentadas del responsable, conforme al artículo 28 del RGPD y al correspondiente Acuerdo de Encargo de Tratamiento (DPA).
2. Categorías de Datos Personales
- Identidad: ID corporativo, departamento, rol, nombre, avatar
- Credenciales de autenticación: hash scrypt de contraseña, claves públicas WebAuthn (FIDO2), claves públicas de firma Ed25519
- Datos biométricos (Art. 9 RGPD — categoría especial): descriptor matemático facial cifrado AES-256-GCM en reposo. La imagen facial NO se almacena. Registro sujeto a consentimiento explícito y revocable
- Contenido: mensajes internos (HUB), correo interno (MI POST), archivos cifrados (VAULT), conversaciones con el asistente IA (MIA), notas privadas
- Metadatos de comunicación: timestamps, IDs de sesión, identificadores de participantes en videosesiones (IRIS)
- Datos técnicos: dirección IP, user agent, tokens de sesión, vinculación de dispositivo
- Auditoría: registro firmado criptográficamente Ed25519 de solo-añadir (append-only) para eventos de autenticación, acceso y modificación
3. Bases Legales
- Art. 6.1.b — Contrato: ejecución de la relación laboral entre usuario y responsable
- Art. 9.2.a — Consentimiento explícito: registro biométrico facial (revocable en cualquier momento sin afectar tratamientos previos)
- Art. 9.2.b — Contexto laboral: cuando la biometría sea exigida por la política de seguridad del responsable y la legislación aplicable
- Art. 6.1.f — Interés legítimo: registro de auditoría, monitorización de seguridad, verificación de integridad criptográfica
4. Evaluación de Impacto (DPIA · Art. 35)
Dado que SYNARIS trata datos biométricos (categoría especial Art. 9 RGPD), se ha realizado una Evaluación de Impacto sobre Protección de Datos. El documento DPIA está disponible para consulta solicitándolo al DPO de su organización.
5. Decisiones Automatizadas e IA (Art. 22)
El asistente IA soberano MIA opera mediante inferencia local on-premise sin acceso a proveedores externos. MIA NO toma decisiones automatizadas con efectos jurídicos ni efectos significativos sobre el usuario en el sentido del Art. 22 RGPD. MIA actúa exclusivamente como asistente conversacional bajo control y supervisión humana del responsable. No realiza perfilado de usuarios ni elaboración de scoring.
6. Infraestructura Soberana
SYNARIS opera sobre infraestructura dedicada bajo la autoridad administrativa del responsable. Ningún proveedor IA externo, servicio de analítica ni red de rastreo tiene acceso a sus datos.
- Subencargado de hosting: Hetzner Online GmbH (Núremberg, Alemania) — solo UE/EEE
- Asistente IA (MIA): ejecutado on-premise mediante inferencia local — los prompts y respuestas nunca abandonan el nodo soberano
- Videosesiones (IRIS): cifradas extremo a extremo (WebRTC DTLS-SRTP) — SYNARIS no realiza grabación server-side bajo ninguna circunstancia
- Almacenamiento de archivos (VAULT): cifrado AES-256-GCM en reposo, bucket S3 privado en Núremberg (DE)
- Antivirus: ClamAV on-premise · escaneo previo al cifrado en upload
7. Transferencias Internacionales (Art. 44+)
No se realizan transferencias internacionales de datos personales fuera del Espacio Económico Europeo. Toda la infraestructura, almacenamiento e inferencia de IA opera dentro de Alemania (UE).
8. Categorías de Destinatarios (Art. 13.1.e)
Los datos personales son accesibles únicamente por:
- Personal autorizado del responsable (administradores designados)
- Auditores internos del responsable (acceso de solo-lectura sobre AuditChain)
- Subencargados nominados en sección 13
- Autoridades públicas cuando exista obligación legal expresa
Ningún tercero comercial, anunciante, broker de datos o proveedor cloud externo tiene acceso a sus datos.
9. Medidas Técnicas y Organizativas (Art. 32)
- Cifrado AES-256-GCM en reposo para datos sensibles
- Firma Ed25519 para no repudio de mensajes y eventos de auditoría
- Cadena de auditoría criptográfica append-only (evidencia de manipulación)
- Autenticación multifactor: contraseña scrypt + biometría facial + WebAuthn FIDO2 hardware
- Vinculación IP y user-agent para tokens de sesión
- Protección anti-replay mediante nonces con TTL
- Antivirus ClamAV en upload (bloqueo pre-cifrado)
- TLS 1.3 para todo el transporte
- Aislamiento de tenant: nodo dedicado soberano por organización
Documentación técnica detallada disponible bajo NDA mediante solicitud al DPO.
10. Conservación de Datos
| Categoría | Plazo por defecto | Base |
|---|
| Cuentas activas | Durante la relación laboral | Art. 6.1.b |
| Cuentas desactivadas | Mínimo 30 días, ampliable según política del responsable | Auditoría laboral |
| Cadena de auditoría (AuditChain) | 5 años | LOPDGDD · normativa sectorial |
| Mensajes HUB / MI POST | Según política del responsable, configurada en DPA | Art. 5.1.e |
| Archivos VAULT | Según política del responsable | Art. 5.1.e |
| Videosesiones IRIS | NO se persisten | Privacidad por diseño |
| Datos biométricos | Hasta retirada del consentimiento o baja | Art. 9.2.a |
Los plazos finales aplicables son los establecidos en el DPA firmado entre MARSHA y su organización.
11. Sus Derechos (Art. 15–22 RGPD)
Puede ejercer los siguientes derechos contactando con el DPO de su organización:
- Acceso (Art. 15) — obtener copia de sus datos personales
- Rectificación (Art. 16) — corregir datos inexactos
- Supresión (Art. 17) — sujeto a obligaciones legales de conservación
- Limitación (Art. 18) — restringir tratamientos específicos
- Portabilidad (Art. 20) — recibir sus datos en formato estructurado JSON
- Oposición (Art. 21) — oponerse al tratamiento basado en interés legítimo (registro de auditoría) por motivos relativos a su situación particular
- Retirada del consentimiento biométrico — desactiva la autenticación facial sin afectar al tratamiento lícito previo
- Reclamación ante la Agencia Española de Protección de Datos (www.aepd.es)
Cómo solicitar copia de sus datos (Art. 15): contacte con el DPO de su organización. Tras validación, sus datos pueden exportarse como archivo JSON estructurado mediante el endpoint interno /privacy/export, incluyendo identidad, mensajes, metadatos de archivos, eventos de auditoría y registros de consentimiento. Respuesta máxima en un mes (Art. 12.3).
MARSHA asiste al responsable en la respuesta a solicitudes de interesados en un plazo de 72 horas desde su recepción.
12. Notificación de Brechas (Art. 33)
En caso de brecha de datos personales, MARSHA notificará al responsable sin demora injustificada y, en cualquier caso, dentro de las 72 horas siguientes a tener conocimiento, conforme al Art. 33 RGPD. La notificación incluirá naturaleza, categorías afectadas, número aproximado de afectados, consecuencias probables y medidas adoptadas.
13. Subencargados
| Subencargado | Servicio | Ubicación |
|---|
| Hetzner Online GmbH | Hosting infraestructura y Object Storage | Alemania (UE) |
Cualquier cambio o adición de subencargado se notificará al responsable con 30 días de antelación, otorgándole derecho de oposición conforme al Art. 28.2 RGPD.
14. Cambios en este Aviso
Los cambios materiales se comunican al responsable, que es quien informa a los usuarios afectados. La versión y fecha indicadas en el encabezado reflejan la revisión vigente.
15. Legislación Aplicable
Este aviso se rige por la legislación española y el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD), junto con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
16. Contacto
- MARSHA (Encargado del tratamiento): info@marshafoundation.org
- DPO de su organización: contacte con su administrador interno
- Autoridad de control (España): Agencia Española de Protección de Datos — www.aepd.es