Volver a GestoFlou

Lista de Subencargados del Tratamiento (Sub-encargados)

Servicio: GestoFlou (by RS Agents) Responsable del documento (encargado del tratamiento): RS Soluciones de Inteligencia Artificial, S.L.U. (Sociedad Unipersonal) NIF: B26705749 Domicilio: Avenida Rey Don Jaime, número 74, piso 7, puerta D, 12001 Castellón de la Plana (Castellón), España Inscripción registral: Registro Mercantil de Castellón, Hoja CS-50785, Inscripción 1, de fecha 25/02/2026 Contacto en materia de privacidad: roselloagents@gmail.com *(se sustituirá por una dirección del propio dominio del servicio —p. ej. privacidad@[DOMINIO DEL SERVICIO]— una vez fijada la URL de producción)* Dominio del servicio: [DOMINIO DEL SERVICIO]

Fecha de última actualización: [FECHA DE ÚLTIMA ACTUALIZACIÓN — formato DD/MM/AAAA]

Versión y publicabilidad. Este documento contiene marcadores entre corchetes ([...]) que deben cumplimentarse y verificarse por RS Agents antes de su publicación. Mientras existan marcadores sin resolver, esta es una versión interna de trabajo y no debe publicarse como lista pública: una lista de sub-encargados con el proveedor de alojamiento sin identificar, sin fecha cierta o sin plazo de preaviso no cumple su finalidad de transparencia del art. 28.2 RGPD. La relación de elementos pendientes figura al final del documento.

1. Objeto y naturaleza de esta lista

Este documento constituye la lista pública y actualizada de sub-encargados del tratamiento (en adelante, "sub-encargados" o "sub-processors") de los que se sirve RS Soluciones de Inteligencia Artificial, S.L.U. (en adelante, "RS Agents" o el "Encargado") para la prestación del servicio GestoFlou.

Esta lista se publica en cumplimiento de lo dispuesto en el artículo 28, apartados 2, 3.d) y 4, del Reglamento (UE) 2016/679 (RGPD):

  • el art. 28.3.d) RGPD obliga contractualmente al encargado a no recurrir a otro encargado (sub-encargado) sin la autorización del responsable y a respetar las condiciones de los apartados 2 y 4;
  • el art. 28.2 RGPD regula la autorización —general o específica— del responsable y su derecho de oposición a las altas o sustituciones de sub-encargados;
  • el art. 28.4 RGPD exige imponer al sub-encargado las mismas obligaciones de protección de datos que las pactadas con el responsable.

Esta lista se incorpora por referencia al Contrato de Encargo del Tratamiento (DPA) suscrito entre RS Agents y cada cliente que actúa como responsable del tratamiento (en la práctica, la asesoría o gestoría usuaria del servicio, y en su caso el cliente final de ésta).

Identificación del firmante por RS Agents. A efectos de la suscripción del DPA al que se incorpora esta lista, RS Agents queda obligada por su administrador único y representante legal, D. Alejandro Rosello Palmer, cuyos datos identificativos completos (incluido el [DNI DEL REPRESENTANTE]) constan en el propio Contrato de Encargo del Tratamiento. En esta lista pública no se reproducen el documento de identidad ni el domicilio personal del representante, por razones de minimización y protección de sus datos personales; la identificación nominativa completa del firmante se realiza en el DPA.

En el marco de GestoFlou, la cadena de roles es la siguiente:

  • El cliente final de la gestoría (empresa o autónomo) y/o la gestoría son responsables del tratamiento de los datos contenidos en los documentos.
  • La gestoría, al utilizar GestoFlou, actúa como responsable frente a RS Agents.
  • RS Agents (GestoFlou) actúa como encargado del tratamiento.
  • Las entidades enumeradas en esta lista actúan como sub-encargados del tratamiento, dado que su intervención es necesaria para que RS Agents preste el servicio contratado (procesamiento de los documentos mediante modelos de inteligencia artificial y alojamiento de la infraestructura técnica).

Nota sobre el flujo de datos. GestoFlou está diseñado bajo principios de minimización de datos (art. 5.1.c RGPD). El servidor de GestoFlou no persiste los documentos: el procesamiento se realiza en memoria y la respuesta se devuelve por streaming, sin base de datos. Los documentos del lote se almacenan únicamente en el localStorage del navegador del usuario. Para la extracción de datos mediante IA, el contenido de cada documento (texto extraído del PDF o, en caso de escaneo/imagen, el archivo en base64) se transmite a los sub-encargados de inferencia a través de la pasarela OpenRouter, con las garantías técnicas que se describen más abajo.

Nota sobre categorías especiales (art. 9 RGPD). Los documentos cargados por la gestoría (en particular nóminas, recibos de salario y extractos) pueden contener de forma incidental datos de categorías especiales —por ejemplo, datos de salud derivados de bajas o situaciones de incapacidad temporal, o indicios de afiliación sindical a partir de cuotas— a los que se refiere el art. 9 RGPD. La base de legitimación para el tratamiento de esas categorías la aporta el responsable (gestoría y/o cliente final), no RS Agents. Las garantías técnicas descritas en este documento (retención cero —ZDR—, prohibición de uso de los datos para entrenamiento, exclusión de proveedores alojados en China y restricción a una *allowlist* de proveedores UE/DPF) se aplican precisamente para mitigar el riesgo asociado a la eventual presencia de estas categorías cuando los datos transitan por sub-encargados situados fuera del Espacio Económico Europeo (EEE).

2. Tabla de sub-encargados autorizados

Aclaración previa sobre la arquitectura. Conviene distinguir dos planos que no deben confundirse:

1. OpenRouter, Inc. actúa como pasarela ("gateway"): recibe el contenido del documento y lo enruta al proveedor de inferencia. OpenRouter ve el contenido (prompt) en claro en el momento del enrutado, salvo cuando se utiliza el endpoint de residencia UE (https://eu.openrouter.ai/api/v1), en cuyo caso el descifrado y el enrutado se realizan en infraestructura de la UE (ver Nota 1).

2. Las directivas técnicas provider.data_collection = "deny" (no entrenamiento) y provider.zdr = true (retención cero) son obligaciones que OpenRouter impone, en nombre de RS Agents, a los proveedores de inferencia situados aguas abajo. No describen, por sí mismas, lo que hace OpenRouter como gateway: son condiciones de selección y uso aplicables al proveedor que finalmente ejecuta el modelo.

En consecuencia, la garantía de "no entrenamiento con los datos" recae sobre los proveedores de inferencia, no sobre OpenRouter en su condición de pasarela.

#Sub-encargadoFinalidad / ServicioUbicación del tratamientoMecanismo de transferencia / Garantías
1OpenRouter, Inc. (Estados Unidos)Pasarela ("gateway") de acceso unificado a modelos de IA. Recibe el contenido del documento y lo enruta al proveedor de inferencia conforme. En su condición de gateway, OpenRouter accede al contenido en claro en el momento del enrutado (salvo endpoint de residencia UE, Nota 1). Aplica, en nombre de RS Agents, las directivas de selección y restricción de proveedores aguas abajo.Estados Unidos (con opción de residencia UE para el descifrado/enrutado, ver Nota 1).Transferencia internacional amparada en el Data Privacy Framework (DPF) UE-EEUU siempre que OpenRouter, Inc. figure como organización con certificación activa en la lista oficial de [dataprivacyframework.gov](https://www.dataprivacyframework.gov); en su defecto, la transferencia se ampara en Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea (Decisión 2021/914) complementadas con medidas suplementarias (ver apartado 3 bis sobre transferencias internacionales y TIA). Como medidas técnicas, OpenRouter impone a los proveedores de inferencia: provider.data_collection = "deny", provider.zdr = true, provider.ignore (exclusión de endpoints en China), provider.only (*allowlist* UE/DPF) y provider.sort = "price" (selección por coste solo entre proveedores ya conformes). [VERIFICAR ANTES DE PUBLICAR: certificación DPF activa de OpenRouter, Inc. o, en su defecto, SCCs firmadas; conservar evidencia documental.]
2Proveedores de inferencia que sirven el modelo DeepSeek (`deepseek/deepseek-chat`) a través de OpenRouterProcesamiento mediante IA del texto de los documentos para extracción estructurada de datos fiscales/contables.UE y/o EEUU (proveedores adheridos al DPF y/o con SCCs). Nunca China.Restringidos por `provider.only` (allowlist UE/EEUU-DPF); el endpoint de DeepSeek alojado en China queda explícitamente excluido mediante provider.ignore. Sobre cada proveedor se imponen provider.data_collection = "deny" (no entrenamiento) y provider.zdr = true (retención cero). La asignación de cada solicitud a un proveedor concreto la realiza OpenRouter dentro del conjunto autorizado. La relación nominal y verificable de proveedores conformes se mantiene y revisa periódicamente por RS Agents (ver Anexo I). [PENDIENTE: publicar/actualizar en el Anexo I la relación nominal de proveedores de inferencia conformes verificados.]
3Google — proveedor del modelo de visión Gemini (google/gemini-2.5-flash-lite) servido a través de OpenRouterProcesamiento mediante IA por visión de documentos escaneados o en imagen, para extracción de datos.Estados Unidos y/o UE, según la entidad del grupo Google que preste la inferencia. Nunca China.Servido por la entidad del grupo Google que corresponda [VERIFICAR la entidad jurídica real que presta la inferencia vía OpenRouter: Google LLC (EEUU), Google Ireland Ltd. / Google Cloud EMEA u otra]. Transferencia amparada en el DPF UE-EEUU siempre que la entidad concreta figure con certificación activa en [dataprivacyframework.gov](https://www.dataprivacyframework.gov); en su defecto, SCCs con medidas suplementarias. Se aplican provider.data_collection = "deny" (no entrenamiento) y provider.zdr = true (retención cero). [VERIFICAR ANTES DE PUBLICAR: identidad de la entidad Google que presta el servicio y su cobertura DPF/SCCs para ese servicio concreto.]
4[PROVEEDOR DE ALOJAMIENTO / HOSTING — identificar nominalmente]Alojamiento e infraestructura técnica del servidor de la aplicación GestoFlou (ejecución del código Next.js/Node, sin persistencia de documentos).[PENDIENTE: confirmar ubicación de los servidores; objetivo: Unión Europea / EEE.][PENDIENTE: identificar nominalmente el proveedor, confirmar la ubicación de los servidores y el mecanismo de garantía aplicable.] Si el tratamiento se realiza íntegramente en la UE/EEE, no se requiere mecanismo de transferencia internacional. En otro caso, aplicarán DPF (si la entidad está certificada) y/o SCCs con medidas suplementarias.

Nota sobre la unificación de Gemini. En versiones anteriores de esta lista figuraban por separado una fila genérica ("proveedores de inferencia de Gemini") y una entidad concreta ("Google LLC"). Se ha unificado en una única fila (nº 3) para evitar duplicidad y la atribución no verificada a "Google LLC", dado que la entidad del grupo Google que presta la inferencia vía OpenRouter (Google LLC en EEUU frente a Google Ireland / Google Cloud EMEA en la UE) debe confirmarse antes de publicar.

Nota 1 — Opción de residencia en la UE: alcance real

RS Agents puede activar el procesamiento con residencia en la Unión Europea utilizando el endpoint https://eu.openrouter.ai/api/v1 (plan enterprise de OpenRouter).

Es importante precisar el alcance exacto de esta opción, para no atribuirle una garantía que no se sostenga:

  • Lo que garantiza: que el descifrado y el enrutado por parte de OpenRouter (gateway) se realizan en infraestructura situada en la Unión Europea. El gateway no descifra el contenido fuera de la UE.
  • Lo que no garantiza por sí solo: que el cómputo de inferencia del modelo final (DeepSeek, Gemini) se ejecute físicamente en la UE. La ubicación del cómputo del proveedor final depende de la *allowlist* configurada (provider.only). Para asegurar que también el cómputo del modelo se realiza en la UE, debe restringirse provider.only a proveedores con cómputo verificado en territorio de la UE/EEE.

En consecuencia, la afirmación "procesamiento únicamente en la UE" solo es exacta cuando se combina el endpoint eu.openrouter.ai con una *allowlist* provider.only limitada a proveedores con cómputo en la UE/EEE. [PENDIENTE: indicar si esta opción está activada por defecto o disponible bajo demanda, y si la `provider.only` aplicada restringe el cómputo a la UE/EEE.]

3. Política de selección de sub-encargados de IA

RS Agents aplica una política equilibrada de proveedores de inteligencia artificial, consistente en:

  1. Ámbito geográfico admitido: únicamente proveedores ubicados en la Unión Europea o en Estados Unidos que estén adheridos al Data Privacy Framework (DPF) con certificación activa y/o cuenten con Cláusulas Contractuales Tipo (SCCs) en vigor, complementadas con medidas suplementarias.
  2. Exclusión expresa de China: queda excluido cualquier proveedor o endpoint de inferencia alojado en China, mediante la directiva técnica provider.ignore. Se mantiene el modelo económico (DeepSeek) pero enrutado exclusivamente a proveedores conformes fuera de China.
  3. Sin entrenamiento con los datos: todas las solicitudes se realizan con provider.data_collection = "deny", obligación que se impone a los proveedores de inferencia, de modo que éstos no utilizan los datos para entrenar sus modelos.
  4. Retención cero (Zero Data Retention): se emplea provider.zdr = true, seleccionando únicamente endpoints de proveedores que no almacenan el prompt.
  5. Optimización de coste dentro del conjunto conforme: mediante provider.sort = "price", la selección del proveedor más económico se realiza solo entre los proveedores que ya cumplen los requisitos anteriores.

Estos mecanismos técnicos han sido verificados (junio de 2026) en las llamadas a OpenRouter y son configurables por variables de entorno, lo que permite ajustar la *allowlist* (provider.only) y la lista de exclusiones (provider.ignore) a medida que evolucione la oferta de proveedores conformes.

3 bis. Transferencias internacionales: base jurídica, evaluación (TIA) y medidas suplementarias

Dado que parte del tratamiento puede implicar transferencias a Estados Unidos, RS Agents aplica el siguiente régimen conforme a los arts. 44 a 49 RGPD:

  1. Base preferente — Decisión de adecuación (DPF). Cuando la entidad importadora (OpenRouter, Inc. y/o la entidad del grupo Google que preste la inferencia) figure con certificación activa en la lista oficial del Data Privacy Framework (dataprivacyframework.gov), la transferencia se ampara en la Decisión de Adecuación UE-EEUU (DPF) y no requiere garantías adicionales del art. 46. RS Agents verifica la vigencia de la certificación antes de tratar al proveedor como conforme y conserva evidencia de dicha verificación.
  2. Base subsidiaria — SCCs + medidas suplementarias (art. 46 RGPD). Si la entidad importadora no estuviera certificada en el DPF (o perdiera la certificación), la transferencia se ampara en las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914). En tal caso, y conforme a la jurisprudencia del TJUE (*Schrems II*, C-311/18) y a las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos (CEPD), RS Agents lleva a cabo una Evaluación de las Garantías de la Transferencia (Transfer Impact Assessment, TIA) del país de destino y adopta medidas suplementarias. A estos efectos, RS Agents considera que las siguientes garantías técnicas y organizativas operan como medidas suplementarias en el sentido del art. 46 RGPD:
  • Cifrado en tránsito del contenido transmitido al gateway y a los proveedores;
  • Retención cero (ZDR) en los endpoints de inferencia, de forma que el contenido no se almacena tras el procesamiento;
  • Prohibición de uso para entrenamiento (data_collection = "deny");
  • Minimización (procesamiento en memoria sin persistencia en GestoFlou, recorte de texto, ausencia de identificadores adicionales innecesarios);
  • Restricción geográfica mediante *allowlist* (provider.only) y exclusión de China (provider.ignore);
  • Opción de residencia UE del gateway (eu.openrouter.ai).
  1. Evidencia documental. RS Agents conserva, y pone a disposición del responsable conforme al apartado 4 bis, copia o referencia de: (i) la certificación DPF aplicable a cada entidad o, en su defecto, (ii) las SCCs firmadas y (iii) la TIA realizada.

Advertencia de verificación. RS Agents no presentará el DPF como mecanismo aplicado a una entidad concreta sin haber verificado previamente su certificación activa. Mientras esa verificación no conste para OpenRouter, Inc. y para la entidad Google concreta, la transferencia se documenta sobre la base de SCCs con las medidas suplementarias anteriores.

4. Derecho de oposición a nuevos sub-encargados y deber de preaviso

De conformidad con los artículos 28.2 y 28.3.d) RGPD y con lo pactado en el Contrato de Encargo del Tratamiento (DPA):

  • RS Agents podrá incorporar nuevos sub-encargados o sustituir los existentes, siempre que ello sea necesario para la prestación del servicio y se respeten las garantías exigidas por el RGPD.
  • RS Agents informará con antelación al responsable de cualquier alta o sustitución de sub-encargado, otorgando un plazo de preaviso de [NÚMERO DE DÍAS DE PREAVISO — habitualmente 15 a 30 días naturales] días naturales antes de que el nuevo sub-encargado comience a tratar datos.
  • Canal y mecanismo de notificación. Para garantizar que el responsable conoce a tiempo las altas o sustituciones y puede ejercer su derecho de oposición dentro del plazo, RS Agents empleará al menos uno de los siguientes canales, de forma acumulativa cuando sea posible:
  1. Notificación por correo electrónico a la dirección de contacto designada por el responsable en el DPA (canal principal y por defecto);
  2. Publicación de la versión actualizada de esta lista en [DOMINIO DEL SERVICIO], con indicación visible de la fecha de última actualización y del cambio introducido;
  3. Suscripción a avisos de cambios (p. ej. alta en una lista de distribución de avisos de privacidad o suscripción a la página de cambios), que RS Agents pondrá a disposición del responsable.

El cómputo del plazo de preaviso se inicia con el envío de la notificación por correo electrónico al responsable; la mera publicación de la lista no sustituye dicha notificación cuando exista una dirección de contacto designada.

  • El responsable dispone del derecho a oponerse, de forma motivada y por escrito, a la incorporación o sustitución de un sub-encargado dentro del plazo de preaviso. En caso de oposición fundada, las partes buscarán de buena fe una solución alternativa; de no alcanzarse, el responsable podrá resolver el contrato respecto de los tratamientos afectados, en los términos previstos en el DPA.
  • RS Agents impone a todos sus sub-encargados, mediante contrato, las mismas obligaciones de protección de datos que las estipuladas en el DPA (art. 28.4 RGPD), en particular las garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas. RS Agents responde plenamente ante el responsable del cumplimiento por parte del sub-encargado.

4 bis. Información para acreditar el cumplimiento y derecho de auditoría (art. 28.3.h RGPD)

De conformidad con el artículo 28.3.h) RGPD, RS Agents:

  • Pondrá a disposición del responsable, a su solicitud razonable y con la confidencialidad debida, toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD en relación con los sub-encargados, incluyendo: (i) copia o referencia verificable de la certificación DPF vigente de cada sub-encargado importador o, en su defecto, copia de las SCCs firmadas; (ii) la Evaluación de las Garantías de la Transferencia (TIA) realizada; (iii) evidencia de las garantías técnicas descritas en este documento (configuración data_collection = "deny", zdr = true, provider.ignore, provider.only), y (iv) la relación nominal de proveedores de inferencia conformes (Anexo I).
  • Permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del responsable o de un auditor mandatado por éste, en los términos, periodicidad y condiciones (preaviso, alcance, confidencialidad y reparto de costes) previstos en el DPA, sin perjuicio de la posibilidad de satisfacer dicho derecho mediante certificaciones, informes de terceros independientes o evidencia documental equivalente cuando ello sea suficiente para acreditar el cumplimiento.
  • Trasladará a sus sub-encargados, en la medida en que resulte aplicable, las obligaciones de información y auditoría necesarias para que RS Agents pueda atender las solicitudes legítimas del responsable.

5. Vigencia y actualizaciones

Esta lista se revisa periódicamente y se mantiene actualizada por RS Agents. La versión vigente es la publicada en [DOMINIO DEL SERVICIO]. Cualquier modificación sustancial se comunicará conforme al apartado 4. La fecha de última actualización figura en el encabezado de este documento y constituye un elemento esencial: permite al responsable verificar la vigencia de la lista y computar los plazos de preaviso.

Para cualquier consulta relativa a los sub-encargados del tratamiento o al ejercicio del derecho de oposición, puede dirigirse a: roselloagents@gmail.com (dirección de contacto en materia de privacidad; se sustituirá por una dirección del propio dominio del servicio una vez fijada la URL de producción).

Anexo I — Relación nominal de proveedores de inferencia conformes

Este anexo recoge la relación nominal y verificable de los proveedores de inferencia a los que OpenRouter puede enrutar las solicitudes de GestoFlou, conforme a la *allowlist* provider.only. Su finalidad es dar contenido efectivo a la transparencia del art. 28.2 RGPD y permitir el ejercicio del derecho de oposición. RS Agents lo mantiene y actualiza.

Proveedor de inferencia (nombre)Modelo(s) servido(s)Ubicación del cómputoBase de transferencia (DPF / SCCs)Verificado el
[NOMBRE PROVEEDOR 1][DeepSeek / Gemini][UE / EEUU][DPF activo / SCCs + medidas supl.][FECHA]
[NOMBRE PROVEEDOR 2][...][...][...][...]

**[PENDIENTE: cumplimentar el Anexo I con la relación nominal real de proveedores conformes antes de publicar. Una *allowlist* sin nombres no satisface la finalidad informativa del art. 28.2 RGPD.]**

Aviso de elementos pendientes de verificación y cumplimentación por RS Agents (no publicar hasta resolverlos). Antes de la publicación definitiva como lista pública deben quedar resueltos: (i) fecha de última actualización, dominio del servicio y plazo de preaviso concreto; (ii) identidad, ubicación y mecanismo de garantía del proveedor de alojamiento/hosting (objetivo UE/EEE); (iii) verificación de la certificación DPF activa de OpenRouter, Inc. en [dataprivacyframework.gov] o, en su defecto, SCCs firmadas + TIA; (iv) entidad jurídica concreta del grupo Google que presta la inferencia vía OpenRouter y su cobertura DPF/SCCs; (v) cumplimentación del Anexo I con la relación nominal de proveedores de inferencia conformes; (vi) alcance real de la residencia UE (activada por defecto o bajo demanda; si provider.only restringe el cómputo a la UE/EEE); y (vii) sustitución del correo gmail.com por una dirección del propio dominio (p. ej. privacidad@[DOMINIO DEL SERVICIO]) manteniendo el buzón real detrás. Se recomienda mantener esta versión interna de trabajo separada de la versión pública final.

Última actualización: 20 de junio de 2026