Política de Privacidad
Última actualización: 2 de julio de 2026
La presente Política de Privacidad regula el tratamiento de datos de carácter personal que se lleva a cabo a través del servicio GestoFlou (en adelante, "GestoFlou" o "el Servicio"), marca comercial titularidad de RS Soluciones de Inteligencia Artificial, S.L. (en adelante, "RS Agents", "nosotros" o "el prestador"), accesible desde gestoflou.rsagents.cloud.
Esta Política se ha redactado de conformidad con el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, "RGPD"), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD"), la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, "LSSI-CE") y el Reglamento (UE) 2024/1689, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, "Reglamento de IA" o "AI Act").
1. Cuestión previa: dos planos de tratamiento bien diferenciados
GestoFlou es un software como servicio (SaaS) dirigido a asesorías y gestorías profesionales. Por su naturaleza, intervienen dos tipos de datos muy distintos que se rigen por reglas y documentos diferentes. Es fundamental que usted comprenda esta distinción:
- (A) Datos respecto de los cuales RS Agents es RESPONSABLE del tratamiento. Son los datos de contacto y registro de los profesionales (gestores/asesores) que se dan de alta, contactan o utilizan el Servicio, así como los datos de los visitantes de la web. Estos tratamientos se regulan en el Apartado A de esta Política.
- (B) Datos contenidos en los documentos que la gestoría sube al Servicio, respecto de los cuales RS Agents es ENCARGADO del tratamiento. Son los datos personales que aparecen dentro de las facturas, extractos, nóminas y demás documentos que la gestoría procesa por cuenta de sus propios clientes. Sobre estos datos RS Agents no decide los fines ni los medios: actúa siguiendo instrucciones de la gestoría. Estos tratamientos se regulan en el Apartado B de esta Política y, de forma vinculante, en el correspondiente Contrato de Encargo del Tratamiento (art. 28 RGPD).
APARTADO A — Datos de los que RS Agents es RESPONSABLE
Este apartado se aplica a los profesionales usuarios (gestores, asesores y personal de las gestorías) que se registran, contratan o contactan con el Servicio, y a los visitantes de la web.
A.1. Responsable del tratamiento
| Dato | Información |
|---|---|
| Razón social | RS Soluciones de Inteligencia Artificial, S.L. |
| Marca comercial | GestoFlou (by RS Agents) |
| NIF | B26705749 |
| Domicilio social y fiscal | Avenida Rey Don Jaime, número 74, piso 7 puerta D, 12001 Castellón de la Plana (Castellón), España |
| Datos registrales | Registro Mercantil de Castellón, Hoja CS-50785, Inscripción 1, de fecha 25/02/2026 |
| Actividad (CNAE) | 6210 – Actividades de programación informática y consultoría |
| Correo electrónico de contacto | privacidad@gestoflou.rsagents.cloud (correo del dominio corporativo del Servicio; de forma transitoria, hasta la activación de dicho buzón, roselloagents@gmail.com) |
| Sitio web | gestoflou.rsagents.cloud |
A.2. Contacto en materia de privacidad
Para cualquier cuestión relativa al tratamiento de sus datos personales o al ejercicio de sus derechos, puede dirigirse a nosotros a través del correo electrónico privacidad@gestoflou.rsagents.cloud —correo del dominio corporativo del Servicio—, indicando en el asunto la referencia "Protección de Datos". De forma transitoria, hasta la activación de dicho buzón, podrá utilizarse como canal de contingencia la dirección roselloagents@gmail.com.
RS Agents no ha designado un Delegado de Protección de Datos (DPD/DPO) por no concurrir ninguno de los supuestos de designación obligatoria del artículo 37 RGPD ni del artículo 34 LOPDGDD. No obstante, el correo anterior constituye el canal único y permanente para todas las cuestiones de privacidad.
A.3. Finalidades del tratamiento, bases jurídicas y categorías de datos
Tratamos sus datos personales para las finalidades que se detallan a continuación, cada una con su correspondiente base jurídica conforme al artículo 6 RGPD:
a) Atender consultas, solicitudes de información y contacto previo
- Categorías de datos: datos identificativos y de contacto (nombre, apellidos, correo electrónico, en su caso teléfono y nombre de la gestoría) y el contenido del propio mensaje.
- Base jurídica: la aplicación de medidas precontractuales adoptadas a petición del interesado (art. 6.1.b RGPD) cuando la consulta se orienta a una posible contratación; y, subsidiariamente, nuestro interés legítimo en atender las comunicaciones que se nos dirigen (art. 6.1.f RGPD).
b) Gestionar el registro, alta y uso del Servicio por parte de los profesionales
- Categorías de datos: datos identificativos y de contacto del profesional o de la gestoría, datos de la cuenta y credenciales de acceso (cuando el Servicio incorpore autenticación) y datos de facturación derivados de la contratación y prestación del Servicio.
- Base jurídica: la ejecución del contrato de prestación del Servicio o de las condiciones de uso aceptadas, así como la aplicación de medidas precontractuales (art. 6.1.b RGPD).
*Datos de facturación:* el Servicio se presta bajo las condiciones económicas comunicadas al Usuario (con carácter general, una cuota de acceso y un precio por documento procesado). Los datos de facturación se tratan sobre la base de la ejecución del contrato y para el cumplimiento de las obligaciones legales fiscales y contables (art. 6.1.c RGPD).
c) Gestionar y mantener la relación contractual y prestar soporte
- Categorías de datos: datos identificativos y de contacto, datos de uso del Servicio e historial de incidencias y comunicaciones de soporte.
- Base jurídica: la ejecución del contrato (art. 6.1.b RGPD) y el cumplimiento de obligaciones legales aplicables (art. 6.1.c RGPD).
d) Garantizar la seguridad, integridad y correcto funcionamiento del Servicio
- Categorías de datos: datos técnicos imprescindibles para la prestación (por ejemplo, registros de actividad de la cuenta y datos de funcionamiento del Servicio).
- Base jurídica: nuestro interés legítimo en garantizar la seguridad de la información y prevenir usos fraudulentos o abusivos (art. 6.1.f RGPD), debidamente ponderado frente a los derechos de los interesados.
e) Remitir comunicaciones sobre el Servicio y, en su caso, comerciales
- Categorías de datos: datos identificativos y de contacto.
- Base jurídica: el consentimiento del interesado (art. 6.1.a RGPD) o, tratándose de clientes y respecto de productos o servicios propios similares a los ya contratados, nuestro interés legítimo amparado en la excepción del artículo 21.1, párrafo segundo, de la LSSI-CE (art. 6.1.f RGPD). En todo caso, usted podrá oponerse a este tratamiento o revocar el consentimiento en cualquier momento de forma sencilla y gratuita, incluso a través del medio de baja que se habilita en cada comunicación, conforme al artículo 21.2 de la LSSI-CE.
Almacenamiento técnico en el navegador. En la herramienta de trabajo del gestor, el lote de documentos en proceso se guarda en el navegador del propio usuario: los metadatos y resultados en
localStoragey los ficheros originales enIndexedDB. Además, el inicio de sesión utiliza cookies técnicas de autenticación de primera parte (las de la sesión de Supabase). Todo ello es almacenamiento técnicamente necesario para la prestación del Servicio solicitado por el usuario y, por tanto, exceptuado del deber de consentimiento del artículo 22.2 LSSI-CE. No utilizamos cookies de terceros, herramientas de analítica ni rastreadores publicitarios. El detalle figura en la Política de Cookies y Almacenamiento Local.
Origen de los datos y carácter del suministro
Todos los datos personales tratados conforme a este Apartado A se obtienen directamente del propio interesado, ya sea a través de los formularios de contacto y registro del Servicio, de las comunicaciones que usted nos dirige o del propio uso del Servicio. No recabamos datos de los profesionales usuarios ni de los visitantes a partir de fuentes de terceros.
El suministro de los datos solicitados en los formularios de contacto y de registro tiene carácter voluntario; no obstante, aquellos campos identificados como obligatorios resultan necesarios para atender su consulta o para dar de alta y prestar el Servicio. La negativa a facilitar dichos datos obligatorios impedirá la tramitación de la solicitud, el alta o la correcta prestación del Servicio, según el caso (art. 13.2.e RGPD).
A.4. Plazos de conservación
Conservaremos sus datos personales durante el tiempo estrictamente necesario para cumplir la finalidad para la que fueron recabados, aplicando el principio de limitación del plazo de conservación (art. 5.1.e RGPD) y, en todo caso, conforme a los siguientes criterios:
- Datos de consultas y contacto precontractual: mientras se gestiona la solicitud y, posteriormente, durante el plazo de prescripción de las acciones que pudieran derivarse, tras lo cual serán suprimidos.
- Datos de la cuenta y de la relación contractual no contables (datos identificativos y de contacto, datos de uso, historial de soporte): durante toda la vigencia de la relación y, una vez finalizada, bloqueados durante el plazo de prescripción de las acciones y responsabilidades que pudieran derivarse de la relación, transcurrido el cual se suprimirán. No se conservan estos datos durante el plazo mercantil de seis años de forma indiscriminada, sino únicamente durante el plazo de prescripción aplicable a las eventuales responsabilidades.
- Datos de facturación, contables y fiscales (cuando el Servicio pase a ser de pago): durante los plazos legalmente exigidos para la conservación de libros y documentación contable y mercantil, esto es, seis años desde el último asiento conforme al artículo 30 del Código de Comercio, y durante cuatro años a efectos del cumplimiento de las obligaciones tributarias, en atención al plazo de prescripción del artículo 66 de la Ley 58/2003, General Tributaria (LGT).
- Datos para el envío de comunicaciones comerciales: hasta que el interesado retire su consentimiento o se oponga a dicho tratamiento.
Transcurridos dichos plazos, y superado en su caso el periodo de bloqueo legalmente exigible, los datos serán suprimidos o anonimizados de forma irreversible.
A.5. Destinatarios y encargados/subencargados
RS Agents no cede sus datos personales a terceros, salvo obligación legal. No obstante, para la prestación del Servicio nos apoyamos en proveedores que actúan como encargados del tratamiento por cuenta de RS Agents, debidamente vinculados mediante contrato conforme al artículo 28 RGPD. En particular:
- Supabase (plataforma de base de datos, autenticación y almacenamiento): gestiona las cuentas de usuario, la sesión y la medición de consumo del Servicio. El proyecto de GestoFlou está alojado en la Unión Europea (región
eu-west-1, Irlanda). - Proveedor de alojamiento e infraestructura (hosting) del servidor de la aplicación: Hostinger International Ltd. (Chipre, Unión Europea).
- Sentry (Functional Software, Inc.): monitorización de errores técnicos del Servicio, con ingesta de datos en la Unión Europea (
ingest.de.sentry.io). Solo recibe mensajes de error y trazas técnicas; la configuración aplicada elimina antes del envío el contenido de las peticiones, las cookies y las cabeceras, y del usuario únicamente conserva un identificador interno (nunca el email). - Proveedores de modelos de inteligencia artificial a través de la plataforma OpenRouter, Inc. (Estados Unidos), que enruta las solicitudes a los proveedores de inferencia que sirven los modelos utilizados (DeepSeek para texto y Google Gemini para visión). Para los datos de los que RS Agents es responsable conforme a este Apartado A, la intervención de estos proveedores de IA es residual; su papel principal se desarrolla respecto de los datos del Apartado B, según se detalla más adelante.
La relación detallada y actualizada de encargados y subencargados, con su ubicación, su función y el mecanismo concreto de transferencia internacional aplicable a cada uno, se mantiene accesible en la lista de subencargados del Servicio, disponible en gestoflou.rsagents.cloud.
A.6. Transferencias internacionales de datos
Algunos de nuestros proveedores se encuentran ubicados fuera del Espacio Económico Europeo (EEE), en particular OpenRouter, Inc. (Estados Unidos) y los proveedores de inferencia que actúan a su través, así como las entidades matrices estadounidenses de Supabase y Sentry —si bien, en estos dos últimos casos, el alojamiento y la ingesta de los datos se realizan en la Unión Europea, según se indica en el apartado A.5 y en la lista de subencargados.
Toda transferencia internacional se realiza con las debidas garantías del Capítulo V del RGPD (arts. 44 a 49), mediante uno o varios de los siguientes mecanismos:
- Decisión de adecuación y/o adhesión del importador al EU-U.S. Data Privacy Framework (DPF) en el caso de proveedores estadounidenses certificados.
- Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea, cuando proceda, complementadas con las medidas adicionales técnicas y organizativas que resulten necesarias.
El mecanismo de transferencia concreto que ampara a cada subencargado —indicando, para cada proveedor, si la transferencia se basa en su adhesión al DPF o se cubre mediante SCCs— se especifica de forma individualizada y actualizada en la lista de subencargados del Servicio, accesible en gestoflou.rsagents.cloud. Dicha lista constituye el documento de referencia para acreditar las garantías del Capítulo V del RGPD aplicables a cada importador.
Además, RS Agents ha adoptado una política de proveedores de IA equilibrada que limita el tratamiento a proveedores ubicados en la Unión Europea o en Estados Unidos adheridos al DPF y/o cubiertos por SCCs, excluyendo expresamente a China. Esta política se materializa, entre otras, en las siguientes medidas técnicas verificadas y aplicadas en las llamadas a los modelos de IA. Estas medidas operan conforme a la configuración técnica aplicada por RS Agents y a los compromisos contractuales asumidos por los proveedores; su efectividad depende del cumplimiento real y continuado de dichos compromisos por parte de OpenRouter y de los proveedores de inferencia:
- No entrenamiento con los datos (
data_collection = "deny"): conforme a la configuración aplicada y a los compromisos contractuales asumidos, los proveedores se obligan a no utilizar los datos enviados para entrenar sus modelos. - Retención cero de datos (
zdr = true, *Zero Data Retention*): las solicitudes se enrutan a endpoints configurados para no almacenar el contenido de la solicitud. - Exclusión del endpoint de DeepSeek alojado en China, mediante la correspondiente lista de exclusión.
- Lista blanca opcional de proveedores UE/DPF verificados.
- Opción de residencia íntegra en la UE mediante el uso del punto de acceso europeo de OpenRouter (
https://eu.openrouter.ai/api/v1), que persigue que el descifrado de los datos se realice únicamente dentro de la Unión Europea.
Puede obtener información detallada sobre las garantías aplicadas, así como copia de las mismas, solicitándola en privacidad@gestoflou.rsagents.cloud.
A.7. Derechos de los interesados
Usted tiene derecho a obtener confirmación sobre si RS Agents está tratando sus datos personales y, en su caso, a ejercer los siguientes derechos reconocidos en los artículos 15 a 22 RGPD:
- Acceso: conocer qué datos tratamos y obtener una copia de ellos.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"): solicitar la eliminación de sus datos cuando, entre otros motivos, ya no sean necesarios.
- Oposición: oponerse al tratamiento basado en nuestro interés legítimo, así como, en cualquier momento y sin necesidad de justificación, al tratamiento con fines de comunicaciones comerciales.
- Limitación del tratamiento: solicitar que se suspenda el tratamiento en los supuestos legalmente previstos.
- Portabilidad: recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable cuando proceda.
- Decisiones individuales automatizadas (art. 22 RGPD): derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre usted o le afecte significativamente de modo similar. Tal y como se detalla en el apartado A.8, RS Agents no adopta este tipo de decisiones.
- Retirada del consentimiento: retirar en cualquier momento el consentimiento prestado, sin que ello afecte a la licitud del tratamiento previo a su retirada.
Cómo ejercerlos: puede ejercer estos derechos de forma gratuita dirigiendo una solicitud al correo privacidad@gestoflou.rsagents.cloud, indicando el derecho que desea ejercer. Podremos solicitarle que acredite su identidad. Daremos respuesta a su solicitud en el plazo máximo de un mes desde su recepción. Dicho plazo podrá prorrogarse por dos meses adicionales en caso de solicitudes especialmente complejas o numerosas, informándole de la prórroga y de sus motivos dentro del primer mes, conforme al artículo 12.3 RGPD.
Reclamación ante la autoridad de control: si considera que el tratamiento de sus datos no se ajusta a la normativa, o si no ha obtenido satisfacción en el ejercicio de sus derechos, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con domicilio en C/ Jorge Juan, 6, 28001 Madrid, y sede electrónica en www.aepd.es.
A.8. Decisiones automatizadas
RS Agents no adopta decisiones automatizadas que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar, en el sentido del artículo 22 RGPD. El Servicio incorpora inteligencia artificial con carácter meramente asistencial: cualquier resultado generado por la IA es revisado, validado y, en su caso, corregido por un profesional humano (el contable o gestor) antes de producir efecto alguno.
A.9. Medidas de seguridad
RS Agents aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 RGPD. Entre otras: cifrado de las comunicaciones; acceso por invitación con autenticación (sin registro público) y control de acceso por filas en la base de datos (RLS), de modo que cada asesoría solo accede a sus propios datos; extracción en memoria durante el procesamiento (los documentos no se guardan en la base de datos: los originales que se conservan —lotes de la herramienta del gestor, portal del cliente y archivo documental— reposan en un almacenamiento privado en la Unión Europea, no accesible públicamente y con acceso mediante URLs firmadas de corta duración, y se suprimen al eliminar el lote o a instancia del responsable); custodia de las credenciales de acceso a los proveedores de IA exclusivamente en el lado servidor; minimización de datos; monitorización de errores sin contenido documental (Sentry con depuración previa al envío); y selección de proveedores con garantías contractuales y técnicas reforzadas (compromiso de no entrenamiento, retención cero y exclusión geográfica de proveedores no conformes).
En caso de producirse una violación de seguridad de los datos personales que entrañe un riesgo para los derechos y libertades de los interesados, RS Agents la notificará a la AEPD y, cuando proceda, a los interesados afectados, conforme a los artículos 33 y 34 RGPD.
APARTADO B — Datos contenidos en los documentos (RS Agents como ENCARGADO)
B.1. Cadena de responsabilidades
Cuando una gestoría utiliza GestoFlou para procesar los documentos de sus propios clientes (empresas y autónomos), los datos personales contenidos en esos documentos se tratan bajo el siguiente esquema de roles del RGPD:
- El cliente final de la gestoría (la empresa o autónomo) y/o la gestoría son responsables del tratamiento: deciden los fines y disponen de la base jurídica que legitima el tratamiento de esos datos.
- La gestoría, al servirse de GestoFlou, actúa como responsable frente a RS Agents.
- RS Soluciones de Inteligencia Artificial, S.L. (GestoFlou) actúa como encargado del tratamiento, procesando los datos únicamente conforme a las instrucciones documentadas del responsable.
- Intervienen como subencargados: Supabase (base de datos y almacenamiento de documentos, alojado en la UE), OpenRouter, Inc. (Estados Unidos) y, a su través, los proveedores de inferencia que sirven los modelos DeepSeek y Google Gemini, el proveedor de hosting e infraestructura (Hostinger, UE) y Sentry (monitorización de errores, con ingesta en la UE y sin contenido documental).
B.2. Documento que rige este tratamiento
El tratamiento de los datos contenidos en los documentos no se rige por esta Política de Privacidad, sino por el Contrato de Encargo del Tratamiento (art. 28 RGPD) suscrito entre la gestoría (responsable) y RS Agents (encargado). Dicho contrato regula, entre otros extremos: el objeto, duración, naturaleza y finalidad del tratamiento; el tipo de datos y categorías de interesados; las obligaciones y derechos del responsable; la confidencialidad; las medidas de seguridad; el régimen de subencargados; la asistencia al responsable; y el destino de los datos a la finalización del encargo.
B.3. Deber de información respecto de los datos de terceros (art. 14 RGPD)
Los datos personales contenidos en los documentos corresponden, con carácter general, a terceros (proveedores, clientes y empleados del cliente final de la gestoría) y no se obtienen directamente del propio interesado, sino a partir de la documentación que la gestoría sube al Servicio.
RS Agents, en su condición de encargado del tratamiento, no recaba estos datos del interesado ni mantiene relación directa con él, por lo que el deber de información del artículo 14 RGPD (información que ha de facilitarse cuando los datos no se han obtenido del propio interesado) corresponde íntegramente al responsable del tratamiento (la gestoría y/o el cliente final). Es el responsable quien debe informar a dichos terceros sobre el tratamiento de sus datos, disponer de la base jurídica que lo legitime y atender el ejercicio de derechos.
RS Agents asistirá al responsable en el cumplimiento de estas obligaciones —incluido, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, el apoyo en la atención del ejercicio de derechos por los interesados— en los términos del artículo 28 RGPD y del Contrato de Encargo del Tratamiento, pero no asume frente a dichos terceros el deber de información del artículo 14 RGPD.
B.4. Categorías de datos contenidos en los documentos
Los documentos que sube la gestoría pueden contener, entre otras, las siguientes categorías de datos de terceros (proveedores, clientes, empleados):
- Datos identificativos: nombre, NIF/DNI y dirección.
- Datos económico-financieros: importes, números de factura, IBAN y movimientos de extractos bancarios.
- Datos laborales y de nóminas que, excepcionalmente, pueden rozar las categorías especiales del artículo 9 RGPD (por ejemplo, datos de salud derivados de bajas o incapacidad temporal, o de afiliación sindical derivados de cuotas). Estos datos se tratan con especial cautela y la legitimación corresponde íntegramente al responsable (gestoría/cliente final), que debe asegurarse de contar con la base habilitante del artículo 9 RGPD.
B.5. Flujo de tratamiento y dónde residen los datos, por subsistema
El tratamiento que realiza RS Agents como encargado sigue el principio de minimización, pero su alcance no es idéntico en todos los componentes del Servicio. Para que el responsable pueda valorar y documentar el encargo con exactitud, se describe la realidad por subsistema:
a) Herramienta de trabajo del gestor (procesamiento del lote). El navegador del propio usuario descomprime el ZIP mensual y entrega los documentos al servidor del Servicio, que almacena los ficheros originales en un almacenamiento de objetos privado de Supabase (Unión Europea) y encola su procesamiento: la extracción continúa en el servidor aunque el usuario cierre el navegador. El servidor extrae el texto y, cuando el documento es un escaneo o imagen, recurre a visión; a continuación realiza la llamada a los modelos de IA a través de OpenRouter con salidas estructuradas, en memoria durante la extracción. Los datos extraídos se conservan temporalmente junto al trabajo hasta que el navegador del usuario los recoge, y los ficheros originales se conservan mientras exista el lote (permiten consultar el documento original desde cualquier dispositivo del usuario y sustentan el archivo documental), suprimiéndose al eliminar el lote o a instancia del responsable. Una copia de trabajo del lote reside además en el navegador del usuario (localStorage para los metadatos, IndexedDB para los ficheros). Se aplican límites de minimización (número máximo de documentos por lote, tamaño máximo por archivo y por lote, y recorte del texto enviado).
b) Portal del cliente final y buzón de recepción por email. Cuando la gestoría activa el portal para que su cliente final suba sus propias facturas —o el buzón de email de recepción (dirección del tipo facturas-token@dominio)—, los ficheros originales aportados por el cliente sí se almacenan en un almacenamiento de objetos privado de Supabase (Unión Europea), junto con sus metadatos (nombre de fichero, tamaño, hash, estado del paquete), mientras dure el encargo y conforme al flujo de aprobación de la gestoría (borrador → enviado → aceptado/rechazado → procesado). En el caso del buzón de email, los adjuntos recibidos pasan directamente a dicho almacenamiento privado; el receptor de correo no conserva buzones ni copias.
c) Archivo documental sellado. Cuando la asesoría decide archivar expresamente los originales de un lote, dichos ficheros se conservan en un almacenamiento de objetos privado de Supabase (Unión Europea) con un sello correlativo por asesoría, su huella criptográfica (SHA-256) y la fecha, como libro registro documental. Estos originales se conservan mientras dure el encargo o hasta que el responsable inste su supresión conforme al Contrato de Encargo del Tratamiento.
d) Base de datos del Servicio (metadatos contables, sin documentos). Para prestar garantías del propio Servicio —en particular, la protección contra la doble exportación a A3 y la trazabilidad de las validaciones— el servidor conserva en base de datos (Supabase, Unión Europea) metadatos contables, nunca los documentos originales: huellas de factura (NIF del emisor + número de factura), importes y descripciones breves, el contenido del fichero de enlace contable generado (SUENLACE.DAT, que incorpora los asientos con nombre/NIF de terceros e importes) con su hash, el plan de cuentas importado por la asesoría, el registro de lotes procesados y el registro de acciones de validación (quién confirmó o corrigió qué). El acceso a todos estos datos está limitado por políticas de seguridad a nivel de fila (RLS) a la organización (asesoría) titular.
e) Tránsito por los proveedores de IA durante la extracción. Durante la extracción, el contenido de cada documento transita por la pasarela OpenRouter y el proveedor de inferencia correspondiente bajo política de no retención (Zero Data Retention) y de no entrenamiento, conforme a la configuración técnica aplicada en cada llamada. No se utiliza IA para las facturas electrónicas Facturae, que se procesan mediante un analizador determinista sin salida a proveedores de IA.
Sobre las llamadas a los modelos de IA se aplican las garantías técnicas reforzadas ya descritas en el Apartado A.6: compromiso de no entrenamiento con los datos (data_collection = "deny"), retención cero (zdr = true), exclusión del endpoint chino de DeepSeek y, opcionalmente, residencia íntegra en la UE y lista blanca de proveedores UE/DPF. Tales medidas operan conforme a la configuración técnica aplicada y a los compromisos contractuales asumidos por los proveedores. Las transferencias internacionales se amparan en el DPF y/o en SCCs, conforme al mecanismo concreto asignado a cada subencargado en la lista de subencargados del Servicio.
Supresión y devolución. A la finalización del encargo, o a instancia del responsable: los originales del portal y del archivo documental se suprimen del almacenamiento; los metadatos contables asociados al cliente se suprimen mediante el borrado del cliente en el Servicio, salvo que deban conservarse por imperativo legal. El propio Servicio ofrece a la asesoría mecanismos de exportación y copia de seguridad de su trabajo (descarga de ficheros e informes, copia local del lote), que facilitan la devolución de los datos con carácter previo a la supresión. El trabajo guardado en el navegador del usuario está bajo el control exclusivo de este.
B.6. Lista de subencargados
La relación actualizada de subencargados que intervienen en este tratamiento (Supabase —base de datos y almacenamiento—, proveedor de hosting, OpenRouter y proveedores de los modelos DeepSeek y Gemini, y Sentry —errores técnicos—), con su ubicación, su función y el mecanismo concreto de transferencia internacional aplicable a cada uno (adhesión al DPF o cobertura mediante SCCs), está disponible en la lista de subencargados del Servicio en gestoflou.rsagents.cloud. Cualquier alta o sustitución de subencargados se comunicará al responsable conforme al artículo 28.2 RGPD, dándole la posibilidad de oponerse.
2. Uso de inteligencia artificial y transparencia (Reglamento de IA)
GestoFlou incorpora sistemas de inteligencia artificial de propósito general (modelos GPAI de terceros, DeepSeek y Google Gemini) para leer, clasificar y extraer datos de los documentos con el fin de asistir al profesional contable. RS Agents actúa como **responsable del despliegue (*deployer*)** de dichos modelos.
Conforme a nuestra evaluación bajo el Reglamento (UE) 2024/1689 (AI Act), el Servicio:
- No incurre en ninguna práctica prohibida del artículo 5.
- No constituye, a nuestro juicio y conforme a nuestra evaluación, un sistema de IA de alto riesgo del Anexo III: no realiza evaluación de solvencia crediticia para el acceso a servicios esenciales, ni decisiones sobre empleo, ni tratamiento de datos biométricos.
- Se clasifica, conforme a dicha evaluación, como un sistema de riesgo limitado/mínimo, sujeto a las obligaciones de transparencia del artículo 50 y al mantenimiento de la supervisión humana.
En cumplimiento del deber de transparencia (art. 50 AI Act), le informamos de que el contenido extraído y las indicaciones de dudas o duplicados que ofrece el Servicio han sido generados con asistencia de inteligencia artificial, complementada con verificaciones deterministas (comprobación aritmética de importes, anclaje de los datos extraídos contra el texto del documento y cotejo del QR fiscal cuando existe); las facturas electrónicas Facturae se procesan mediante un analizador determinista, sin intervención de IA. Dichos resultados no son definitivos: el profesional humano (contable o gestor) los revisa, valida y corrige siempre antes de su utilización. En ningún caso la IA adopta decisiones automatizadas con efectos jurídicos sobre las personas.
3. Modificaciones de esta Política
RS Agents podrá modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o a cambios en el Servicio. Las modificaciones serán publicadas en gestoflou.rsagents.cloud, siendo aplicable la versión vigente en cada momento, identificada por su fecha de última actualización.
Fecha de última actualización: 2 de julio de 2026
Última actualización: 2 de julio de 2026