Contrato de Encargo del Tratamiento
(artículo 28 del Reglamento (UE) 2016/679 — RGPD)
Fecha de última actualización de la plantilla: 2 de julio de 2026
Cómo usar esta plantilla. Este es el contrato que regula el tratamiento de datos personales que GestoFlou realiza por cuenta de la asesoría o gestoría que utiliza el Servicio. Antes de la firma deben sustituirse los marcadores entre corchetes referidos al RESPONSABLE (
[RAZON SOCIAL DEL RESPONSABLE],[NIF],[DOMICILIO],[REPRESENTANTE]) y al representante del ENCARGADO ([DNI DEL REPRESENTANTE]), así comogestoflou.rsagents.cloudy[LUGAR]. La aceptación del Servicio para subir documentos reales implica la adhesión a este contrato; no obstante, se recomienda su firma por ambas partes.
REUNIDOS
De una parte, el RESPONSABLE DEL TRATAMIENTO:
[RAZON SOCIAL DEL RESPONSABLE], con NIF [NIF] y domicilio en [DOMICILIO], representada por [REPRESENTANTE] (en adelante, el "Responsable").
De otra parte, el ENCARGADO DEL TRATAMIENTO:
RS Soluciones de Inteligencia Artificial, S.L., titular del servicio GestoFlou, con NIF B26705749 y domicilio en Avenida Rey Don Jaime, número 74, piso 7 puerta D, 12001 Castellón de la Plana (Castellón), inscrita en el Registro Mercantil de Castellón, Hoja CS-50785, Inscripción 1, representada por su administrador único D. Alejandro Roselló Palmer, con DNI 18983996A (en adelante, el "Encargado").
Ambas partes se reconocen capacidad legal suficiente para obligarse y, a tal efecto,
EXPONEN
I. Que el Responsable ha contratado o utiliza el servicio GestoFlou (en adelante, el "Servicio"), consistente en una herramienta que, mediante inteligencia artificial y verificaciones deterministas, lee, clasifica y extrae datos de los documentos fiscales y contables que el Responsable sube al Servicio, y genera ficheros de importación contable (SUENLACE.DAT para A3) e informes. El Servicio incluye además, como funcionalidades opcionales: un portal del cliente final (y un buzón de recepción por email) para que los clientes del Responsable aporten sus documentos, un archivo documental sellado de los originales que el Responsable decida archivar, y un registro server-side de exportaciones y validaciones (protección contra la doble exportación a A3 y trazabilidad).
II. Que la prestación del Servicio implica que el Encargado acceda y trate datos personales cuya responsabilidad corresponde al Responsable (o, en su caso, a los clientes del Responsable, respecto de los que este actúa a su vez como encargado).
III. Que las partes desean regular dicho tratamiento conforme al artículo 28 del RGPD y a la Ley Orgánica 3/2018 (LOPDGDD), mediante las siguientes
CLÁUSULAS
1. Objeto
El presente contrato regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable con ocasión de la prestación del Servicio, así como las condiciones y garantías exigidas por el artículo 28 del RGPD. El detalle del tratamiento (objeto, naturaleza, finalidad, tipos de datos y categorías de interesados) figura en el Anexo I.
2. Duración
Este contrato estará vigente mientras el Responsable utilice el Servicio y, en todo caso, mientras el Encargado trate datos por cuenta del Responsable. La terminación de la relación de servicio determinará la extinción del encargo, sin perjuicio de las obligaciones de devolución o supresión y de las que por su naturaleza deban subsistir (confidencialidad, responsabilidad).
3. Naturaleza, finalidad y objeto del tratamiento
El Encargado tratará los datos personales únicamente con la finalidad de prestar el Servicio descrito (lectura, clasificación y extracción de datos de los documentos, y generación de los ficheros e informes contables), conforme a lo detallado en el Anexo I y siguiendo las instrucciones documentadas del Responsable.
4. Tipos de datos personales y categorías de interesados
Los tipos de datos personales y las categorías de interesados afectados se describen en el Anexo I. Las partes reconocen que, por la naturaleza de los documentos tratados (en particular, nóminas y documentos laborales), estos pueden contener categorías especiales de datos del artículo 9 del RGPD (por ejemplo, datos de salud derivados de bajas, o de afiliación sindical inferibles de cuotas).
El Responsable garantiza que dispone de la base jurídica y de la legitimación necesarias (artículos 6 y 9 del RGPD) para tratar dichos datos y para encomendar su tratamiento al Encargado, así como que ha cumplido su deber de información frente a los interesados. El Encargado no recaba ni solicita deliberadamente categorías especiales de datos: se limita a procesar el contenido de los documentos que el Responsable decide subir.
5. Obligaciones del Encargado (artículo 28.3 RGPD)
El Encargado y todo su personal se obligan a:
a) Instrucciones. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluso en lo relativo a las transferencias internacionales, salvo que esté obligado por el Derecho de la Unión o de los Estados miembros, en cuyo caso informará previamente al Responsable, salvo prohibición legal. La utilización del Servicio conforme a su configuración y documentación constituye una instrucción del Responsable. Si el Encargado considera que una instrucción infringe la normativa de protección de datos, lo comunicará de inmediato.
b) Confidencialidad. Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria, con carácter indefinido y subsistente tras la terminación.
c) Seguridad. Aplicar las medidas técnicas y organizativas apropiadas previstas en el artículo 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo, según se detalla en el Anexo II.
d) Subencargados. Cumplir el régimen de subcontratación de la cláusula 6.
e) Asistencia en derechos de los interesados. Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento y a través de medidas técnicas y organizativas apropiadas y en la medida de lo posible, para que pueda atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones automatizadas). La atención de estos derechos corresponde materialmente al Responsable, que dispone en el propio Servicio de los medios para localizar, exportar, rectificar y suprimir los datos que el Encargado conserva por su cuenta (originales del portal del cliente y del archivo documental, y metadatos contables del registro de exportaciones y validaciones); el Encargado prestará además la colaboración razonable que se le requiera. El lote de trabajo guardado en el navegador del usuario está bajo el control exclusivo del Responsable.
f) Asistencia en seguridad, brechas y evaluaciones. Ayudar al Responsable a cumplir las obligaciones de los artículos 32 a 36 del RGPD (seguridad, notificación de violaciones, evaluación de impacto y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información de que disponga.
g) Supresión o devolución. A elección del Responsable, suprimir o devolver todos los datos personales una vez finalizada la prestación del Servicio, y suprimir las copias existentes, salvo que se requiera su conservación por imperativo legal. A estos efectos se hace constar el alcance real de lo que el Encargado conserva (detallado en el Anexo I): (i) en la herramienta de trabajo del gestor, los ficheros originales de cada lote se conservan en almacenamiento privado (UE) mientras exista el lote (se suprimen al eliminarlo o a instancia del Responsable) y los datos extraídos se conservan temporalmente junto al trabajo hasta su recogida por el navegador del Responsable, donde reside la copia de trabajo; (ii) los originales aportados a través del portal del cliente o del buzón de email, y los originales archivados expresamente en el archivo documental, se conservan en almacenamiento privado (UE) mientras dure el encargo y se suprimirán a la terminación o a instancia del Responsable; (iii) los metadatos contables (huellas de factura, importes, contenido y hash de los ficheros de enlace generados, plan de cuentas, registros de lotes y validaciones) se suprimirán igualmente, mediante el borrado del cliente o de la cuenta en el Servicio. La devolución se instrumenta a través de las funciones de exportación y copia de seguridad del propio Servicio (descarga de originales, ficheros e informes) con carácter previo a la supresión.
h) Información y auditorías. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 y permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor por él autorizado, con preaviso razonable y sin comprometer la seguridad o la confidencialidad de la información de otros clientes.
6. Subencargados (artículos 28.2 y 28.4 RGPD)
El Responsable autoriza con carácter general al Encargado a recurrir a otros encargados (subencargados) para la prestación del Servicio. La relación actualizada de subencargados, con indicación de su identidad, finalidad, ubicación del tratamiento y garantías de transferencia, figura en el Anexo III y se mantiene publicada y actualizada en https://gestoflou.rsagents.cloud/legal/subencargados.
El Encargado impondrá a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos que las estipuladas en este contrato (en particular, suficientes garantías del artículo 28). El Encargado seguirá siendo plenamente responsable frente al Responsable del cumplimiento por parte del subencargado.
El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados con una antelación razonable, dando al Responsable la oportunidad de oponerse a dichos cambios por motivos razonables relacionados con la protección de datos. En caso de oposición fundada que no pueda resolverse, el Responsable podrá resolver el uso del Servicio.
7. Transferencias internacionales de datos
Cuando la prestación del Servicio implique una transferencia internacional de datos a un tercer país u organización internacional, el Encargado garantiza que dicha transferencia se ampara en alguno de los mecanismos del Capítulo V del RGPD (decisión de adecuación, Cláusulas Contractuales Tipo —SCCs— u otras garantías adecuadas del artículo 46).
En particular, el Encargado aplica las siguientes garantías en el enrutamiento de los tratamientos a los modelos de inteligencia artificial:
- Enruta el tratamiento únicamente a proveedores de inferencia ubicados en la Unión Europea o en Estados Unidos adheridos al Data Privacy Framework (DPF) y/o con Cláusulas Contractuales Tipo, excluyendo proveedores de inferencia alojados en China.
- Configura las llamadas para que los proveedores no utilicen los datos para entrenamiento (data_collection: deny) y para activar la retención cero de datos (Zero Data Retention) en los proveedores que ofrecen dicha garantía.
El detalle por subencargado figura en el Anexo III. El Encargado se compromete a mantener actualizada la verificación documental de dichas garantías.
8. Notificación de violaciones de seguridad
El Encargado notificará al Responsable, sin dilación indebida y, siempre que sea posible, en un plazo máximo de 48 horas desde que tenga constancia de ellas, las violaciones de la seguridad de los datos personales que afecten a datos tratados por cuenta del Responsable, facilitándole la información necesaria (naturaleza de la violación, categorías y número aproximado de interesados afectados, posibles consecuencias y medidas adoptadas o propuestas) para que el Responsable pueda, en su caso, cumplir con las obligaciones de notificación de los artículos 33 y 34 del RGPD.
9. Responsabilidad
Cada parte responderá frente a la otra y frente a los interesados y autoridades de los daños y perjuicios que cause por el incumplimiento de sus respectivas obligaciones conforme al RGPD y a este contrato, en los términos del artículo 82 del RGPD. El Responsable responde de la licitud del tratamiento y de la base jurídica de los datos que encomienda; el Encargado, del cumplimiento de las obligaciones que la normativa impone a los encargados.
10. Legislación aplicable y jurisdicción
Este contrato se rige por la legislación española y de la Unión Europea en materia de protección de datos. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de [LUGAR], salvo que una norma imperativa disponga otro fuero.
En prueba de conformidad, las partes firman el presente contrato.
| EL RESPONSABLE | EL ENCARGADO |
|---|---|
| [RAZON SOCIAL DEL RESPONSABLE] | RS Soluciones de Inteligencia Artificial, S.L. |
| Fdo.: [REPRESENTANTE] | Fdo.: D. Alejandro Roselló Palmer |
| Fecha: ____ / ____ / ______ | Fecha: ____ / ____ / ______ |
ANEXO I — Descripción del tratamiento
- Objeto del tratamiento: lectura, clasificación y extracción de datos de los documentos fiscales y contables que el Responsable (o su cliente final, a través del portal o del buzón de email) sube al Servicio; generación de ficheros de importación contable e informes; recepción y custodia temporal de los originales aportados por el cliente final hasta su aceptación y procesamiento por el Responsable; archivo sellado de los originales que el Responsable decida archivar; y mantenimiento del registro de exportaciones y validaciones del Responsable.
- Naturaleza del tratamiento: operaciones automatizadas de lectura (OCR / extracción de texto), análisis mediante modelos de inteligencia artificial y verificaciones deterministas, clasificación, extracción estructurada de datos y generación de ficheros de salida; y operaciones de almacenamiento. En concreto: la extracción se realiza en memoria (el procesamiento continúa en el servidor aunque el navegador del Responsable se cierre); los ficheros originales —de los lotes de la herramienta del gestor, del portal del cliente, del buzón de email y del archivo documental— se conservan en almacenamiento de objetos privado en la Unión Europea (Supabase Storage), suprimiéndose los del lote al eliminarlo; los datos extraídos de cada trabajo se conservan temporalmente en base de datos hasta su recogida por el navegador del Responsable; y en base de datos se conservan además metadatos contables (huellas de factura —NIF emisor + número—, importes y descripciones breves, contenido y hash de los ficheros de enlace contable generados, plan de cuentas, registro de lotes y registro de validaciones).
- Finalidad: asistir al Responsable en el triaje y la preparación contable del lote mensual de documentos de sus clientes, con garantías de no duplicación de asientos y trazabilidad, y facilitarle la recepción y el archivo de los originales.
- Tipos de datos personales:
- Datos identificativos: nombre, NIF/DNI y dirección de terceros (proveedores, clientes, empleados del cliente del Responsable).
- Datos económico-financieros: importes, números de factura, IBAN y movimientos de extractos bancarios.
- Datos laborales y de nómina, que pueden incorporar categorías especiales (art. 9 RGPD): datos de salud (bajas/incapacidad temporal) o de afiliación sindical inferibles de las cuotas.
- Categorías de interesados: terceros que figuran en los documentos del Responsable (proveedores, clientes, empleados, autónomos y demás personas físicas identificadas o identificables en facturas, nóminas, extractos y documentos análogos), así como las personas de contacto del cliente final invitadas al portal (nombre y email de acceso).
- Duración: la del uso del Servicio. Los originales de los lotes de la herramienta del gestor se conservan mientras exista el lote (supresión al eliminarlo o a instancia del Responsable) y los datos extraídos de cada trabajo, hasta su recogida; los originales del portal, del buzón de email y del archivo documental, y los metadatos contables descritos, se conservan mientras dure el encargo, con supresión o devolución a su término conforme a la cláusula 5.g).
ANEXO II — Medidas de seguridad (artículo 32 RGPD)
El Encargado aplica, entre otras, las siguientes medidas técnicas y organizativas:
- Minimización en la extracción: durante el procesamiento, los documentos se tratan en memoria y no se guardan en base de datos (los originales reposan en el almacenamiento de objetos privado y los datos extraídos se conservan solo hasta su recogida por el navegador del Responsable). Se limita el volumen de texto enviado a los modelos (recorte de entrada) y el tamaño y número de documentos por lote.
- Almacenamiento privado y segregado (lotes del gestor, portal, buzón y archivo documental): los originales que sí se conservan reposan en almacenamiento de objetos privado en la Unión Europea (Supabase Storage, sin acceso público), con descarga mediante URLs firmadas de corta duración. La base de datos aplica seguridad a nivel de fila (RLS) por organización, de modo que cada asesoría solo accede a sus propios datos; el portal del cliente final aplica además un flujo de aprobación con máquina de estados controlada en servidor.
- Integridad y trazabilidad: los originales archivados se registran con hash SHA-256 y sello correlativo inmutable (registro de solo inserción, sin modificación ni borrado desde el cliente); las validaciones humanas quedan en un registro de auditoría de solo inserción.
- Autenticación y control de acceso: acceso al Servicio por invitación (sin registro público) con autenticación de usuarios (Supabase Auth); el acceso del cliente final al portal se realiza mediante enlace de acceso sin contraseña vinculado a su cliente. Acceso del personal restringido y sujeto a deber de confidencialidad.
- Cifrado en tránsito: las comunicaciones se realizan sobre HTTPS/TLS.
- Gestión de secretos: las credenciales de acceso a los proveedores (clave de API) residen exclusivamente en el servidor y nunca se exponen al navegador del usuario.
- Garantías frente a los proveedores de IA: prohibición de uso de los datos para entrenamiento (data_collection: deny), retención cero de datos (ZDR) en los proveedores que la ofrecen, exclusión de proveedores alojados en China y enrutamiento restringido a proveedores conformes (UE o EE. UU.-DPF/SCCs).
- Minimización en registros (logs) y monitorización de errores: no se registran los contenidos de los documentos. La monitorización de errores (Sentry, ingesta en la UE) recibe únicamente mensajes de error y trazas técnicas: la configuración aplicada elimina antes del envío los cuerpos de las peticiones, las cookies y las cabeceras, y reduce el usuario a un identificador interno.
- Resiliencia y mejora continua: revisión periódica de las medidas y de la relación de subencargados y sus garantías.
ANEXO III — Relación de subencargados
La relación actualizada se mantiene publicada en https://gestoflou.rsagents.cloud/legal/subencargados. A título informativo, a la fecha de esta plantilla incluye:
| Subencargado | Servicio | Ubicación del tratamiento | Garantía de transferencia |
|---|---|---|---|
| Supabase, Inc. | Base de datos (metadatos contables), autenticación y almacenamiento privado de documentos (portal, buzón de email y archivo documental) | Unión Europea (proyecto alojado en la región eu-west-1, Irlanda) | Alojamiento en la UE; para eventuales accesos desde fuera del EEE (p. ej. soporte de la matriz estadounidense), SCCs incorporadas al DPA de Supabase |
| OpenRouter, Inc. | Pasarela / enrutamiento de modelos de IA | EE. UU. | SCCs (art. 46 RGPD) + medidas suplementarias; ZDR y prohibición de entrenamiento activadas; exclusión de China |
| Proveedores de inferencia de DeepSeek y Google Gemini (vía OpenRouter) | Ejecución de los modelos de IA | UE o EE. UU. (allowlist verificada; nunca China) | DPF/SCCs según proveedor; ZDR cuando esté disponible |
| Google LLC (modelo Gemini de visión) | Modelo de visión para documentos escaneados | EE. UU. | DPF (certificación activa verificada) + SCCs para Cloud/Vertex |
| Hostinger International Ltd. | Alojamiento e infraestructura del servidor de la aplicación y del receptor de email entrante | Unión Europea (Chipre) | Proveedor establecido en la UE; sin transferencia internacional |
| Functional Software, Inc. (Sentry) | Monitorización de errores técnicos (sin contenido documental; datos depurados antes del envío) | Ingesta y almacenamiento en la UE (ingest.de.sentry.io) | Ingesta UE; para eventuales accesos de la matriz estadounidense, DPA de Sentry con SCCs |
Última actualización: 2 de julio de 2026