Lista de Subencargados del Tratamiento (Sub-encargados)
Servicio: GestoFlou (by RS Agents) Responsable del documento (encargado del tratamiento): RS Soluciones de Inteligencia Artificial, S.L. NIF: B26705749 Domicilio: Avenida Rey Don Jaime, número 74, piso 7, puerta D, 12001 Castellón de la Plana (Castellón), España Inscripción registral: Registro Mercantil de Castellón, Hoja CS-50785, Inscripción 1, de fecha 25/02/2026 Contacto en materia de privacidad: roselloagents@gmail.com *(se sustituirá por una dirección del propio dominio del servicio —p. ej. privacidad@gestoflou.rsagents.cloud— una vez fijada la URL de producción)* Dominio del servicio: gestoflou.rsagents.cloud
Fecha de última actualización: 02/07/2026
1. Objeto y naturaleza de esta lista
Este documento constituye la lista pública y actualizada de sub-encargados del tratamiento (en adelante, "sub-encargados" o "sub-processors") de los que se sirve RS Soluciones de Inteligencia Artificial, S.L. (en adelante, "RS Agents" o el "Encargado") para la prestación del servicio GestoFlou.
Esta lista se publica en cumplimiento de lo dispuesto en el artículo 28, apartados 2, 3.d) y 4, del Reglamento (UE) 2016/679 (RGPD):
- el art. 28.3.d) RGPD obliga contractualmente al encargado a no recurrir a otro encargado (sub-encargado) sin la autorización del responsable y a respetar las condiciones de los apartados 2 y 4;
- el art. 28.2 RGPD regula la autorización —general o específica— del responsable y su derecho de oposición a las altas o sustituciones de sub-encargados;
- el art. 28.4 RGPD exige imponer al sub-encargado las mismas obligaciones de protección de datos que las pactadas con el responsable.
Esta lista se incorpora por referencia al Contrato de Encargo del Tratamiento (DPA) suscrito entre RS Agents y cada cliente que actúa como responsable del tratamiento (en la práctica, la asesoría o gestoría usuaria del servicio, y en su caso el cliente final de ésta).
Identificación del firmante por RS Agents. A efectos de la suscripción del DPA al que se incorpora esta lista, RS Agents queda obligada por su administrador único y representante legal, D. Alejandro Rosello Palmer, cuyos datos identificativos completos constan en el propio Contrato de Encargo del Tratamiento. En esta lista pública no se reproducen el documento de identidad ni el domicilio personal del representante, por razones de minimización y protección de sus datos personales; la identificación nominativa completa del firmante se realiza en el DPA.
En el marco de GestoFlou, la cadena de roles es la siguiente:
- El cliente final de la gestoría (empresa o autónomo) y/o la gestoría son responsables del tratamiento de los datos contenidos en los documentos.
- La gestoría, al utilizar GestoFlou, actúa como responsable frente a RS Agents.
- RS Agents (GestoFlou) actúa como encargado del tratamiento.
- Las entidades enumeradas en esta lista actúan como sub-encargados del tratamiento, dado que su intervención es necesaria para que RS Agents preste el servicio contratado (procesamiento de los documentos mediante modelos de inteligencia artificial, base de datos y almacenamiento de documentos, alojamiento de la infraestructura técnica y monitorización de errores).
Nota sobre el flujo de datos (arquitectura real, por subsistema). GestoFlou está diseñado bajo principios de minimización de datos (art. 5.1.c RGPD), con un alcance distinto según el componente:
- Herramienta de trabajo del gestor: la extracción se realiza en memoria y la respuesta se devuelve por streaming; el servidor no guarda los documentos en este flujo. El lote de trabajo queda en el navegador del usuario (
localStoragepara los metadatos eIndexedDBpara los ficheros).- Portal del cliente final, buzón de email y archivo documental: los ficheros originales aportados por el cliente final o archivados expresamente por la asesoría sí se almacenan, en Supabase Storage privado alojado en la Unión Europea, mientras dure el encargo.
- Base de datos (Supabase, UE): conserva metadatos contables, nunca los documentos: huellas de factura (NIF emisor + número), importes, contenido y hash de los ficheros de enlace contable generados, plan de cuentas, registros de lotes y de validaciones, con seguridad a nivel de fila (RLS) por asesoría.
- Extracción mediante IA: el contenido de cada documento (texto extraído del PDF o, en caso de escaneo/imagen, el archivo en base64) se transmite a los sub-encargados de inferencia a través de la pasarela OpenRouter, con las garantías técnicas que se describen más abajo (retención cero, no entrenamiento, exclusión de China). Las facturas electrónicas Facturae se procesan con un analizador determinista sin salir a proveedores de IA.
- Recepción por email: el receptor SMTP entrante se ejecuta en infraestructura propia (VPS de Hostinger, UE), no almacena buzones y se limita a entregar los adjuntos al Servicio, que los guarda en el Storage privado indicado.
Nota sobre categorías especiales (art. 9 RGPD). Los documentos cargados por la gestoría (en particular nóminas, recibos de salario y extractos) pueden contener de forma incidental datos de categorías especiales —por ejemplo, datos de salud derivados de bajas o situaciones de incapacidad temporal, o indicios de afiliación sindical a partir de cuotas— a los que se refiere el art. 9 RGPD. La base de legitimación para el tratamiento de esas categorías la aporta el responsable (gestoría y/o cliente final), no RS Agents. Las garantías técnicas descritas en este documento (retención cero —ZDR—, prohibición de uso de los datos para entrenamiento, exclusión de proveedores alojados en China y restricción a una *allowlist* de proveedores UE/DPF) se aplican precisamente para mitigar el riesgo asociado a la eventual presencia de estas categorías cuando los datos transitan por sub-encargados situados fuera del Espacio Económico Europeo (EEE).
2. Tabla de sub-encargados autorizados
Aclaración previa sobre la arquitectura. Conviene distinguir dos planos que no deben confundirse:
1. OpenRouter, Inc. actúa como pasarela ("gateway"): recibe el contenido del documento y lo enruta al proveedor de inferencia. OpenRouter ve el contenido (prompt) en claro en el momento del enrutado, salvo cuando se utiliza el endpoint de residencia UE (
https://eu.openrouter.ai/api/v1), en cuyo caso el descifrado y el enrutado se realizan en infraestructura de la UE (ver Nota 1).2. Las directivas técnicas
provider.data_collection = "deny"(no entrenamiento) yprovider.zdr = true(retención cero) son obligaciones que OpenRouter impone, en nombre de RS Agents, a los proveedores de inferencia situados aguas abajo. No describen, por sí mismas, lo que hace OpenRouter como gateway: son condiciones de selección y uso aplicables al proveedor que finalmente ejecuta el modelo.En consecuencia, la garantía de "no entrenamiento con los datos" recae sobre los proveedores de inferencia, no sobre OpenRouter en su condición de pasarela.
| # | Sub-encargado | Finalidad / Servicio | Ubicación del tratamiento | Mecanismo de transferencia / Garantías |
|---|---|---|---|---|
| 1 | OpenRouter, Inc. (169 Madison Avenue, New York, NY 10016, EE. UU.; ley aplicable: Estado de Nueva York) | Pasarela ("gateway") de acceso unificado a modelos de IA. Recibe el contenido del documento y lo enruta al proveedor de inferencia. Para enrutar, OpenRouter descifra y accede al contenido (prompt) en claro (no hay cifrado extremo a extremo); por su política propia no almacena prompts ni respuestas salvo opt-in de logging —que GestoFlou no activa—, si bien retiene siempre metadatos técnicos (nº de tokens, latencia). Aplica, en nombre de RS Agents, las directivas de selección y restricción de proveedores aguas abajo. | Estados Unidos (con opción de residencia UE para el descifrado/enrutado no activada actualmente, ver Nota 1). | OpenRouter, Inc. NO figura adherida al Data Privacy Framework (DPF) UE-EEUU (verificado en junio de 2026: su propia Política de Privacidad basa las transferencias en decisiones de adecuación del art. 45 y en SCCs del art. 46, sin mención al DPF). Por tanto, la transferencia se ampara en Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea (Decisión 2021/914) complementadas con medidas suplementarias (ver apartado 3 bis y TIA). OpenRouter ofrece un DPA (art. 28 RGPD): el DPA mutuamente firmado y vinculante se reserva a cuentas Enterprise; las cuentas self-serve pueden revisarlo a título informativo en su Trust Center (trust.openrouter.ai), donde también publica su propia lista de subencargados. Medidas técnicas aplicadas por GestoFlou en cada llamada: provider.data_collection = "deny", provider.zdr = true, provider.ignore (exclusión de endpoints en China) y provider.sort = "price" (coste solo entre proveedores ya conformes); cuando se fija provider.only, el enrutado queda restringido a la *allowlist* del Anexo I. |
| 2 | Proveedores de inferencia que sirven el modelo DeepSeek (`deepseek/deepseek-chat`) a través de OpenRouter | Procesamiento mediante IA del texto de los documentos para extracción estructurada de datos fiscales/contables. | UE y/o EEUU (proveedores adheridos al DPF y/o con SCCs). Nunca China. | Restringidos por `provider.only` (allowlist UE/EEUU-DPF); el endpoint de DeepSeek alojado en China queda explícitamente excluido mediante provider.ignore. Sobre cada proveedor se imponen provider.data_collection = "deny" (no entrenamiento) y provider.zdr = true (retención cero). La asignación de cada solicitud a un proveedor concreto la realiza OpenRouter dentro del conjunto autorizado. La relación nominal y verificable de proveedores conformes figura en el Anexo I (a junio de 2026, Deep Infra, Inc.; el endpoint chino *StreamLake / Kuaishou* queda excluido por jurisdicción y por no soportar retención cero). RS Agents revisa periódicamente los endpoints activos del modelo. |
| 3 | Google LLC — proveedor del modelo de visión Gemini (google/gemini-2.5-flash-lite) servido a través de OpenRouter | Procesamiento mediante IA por visión de documentos escaneados o en imagen, para extracción de datos. | Estados Unidos (Google LLC). Nunca China. | Servido por Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, EE. UU.); vía OpenRouter el modelo se atiende en los backends de pago operados por Google LLC (*google-ai-studio*, *google-vertex*). Google LLC figura ACTIVE en el registro oficial del Data Privacy Framework UE-EEUU (verificado en junio de 2026), por lo que la transferencia se ampara en la Decisión de Adecuación (DPF); para Google Cloud/Vertex se complementa con SCCs (el DPF cubre la entidad, no certifica el producto). En la API de pago de Gemini, Google no entrena con los datos y los retiene un máximo de 55 días para detección de abusos y obligaciones legales; RS Agents garantiza el uso exclusivo de endpoints de pago (queda excluido el tier gratuito de AI Studio, donde sí habría uso para mejora de productos y revisión humana). Se aplican provider.data_collection = "deny" y provider.zdr = true. |
| 4 | Hostinger International Ltd. (61 Lordou Vironos Street, 6023 Larnaca, Chipre — Unión Europea) | Alojamiento e infraestructura técnica del servidor de la aplicación GestoFlou (ejecución del código Next.js/Node) y del receptor de email entrante del buzón por cliente (servicio SMTP inbound-only en el mismo VPS: recibe el correo, entrega los adjuntos a la aplicación y no conserva buzones ni copias). Los documentos que se conservan no residen aquí, sino en el Storage de Supabase (fila 5). | Unión Europea (proveedor establecido en Chipre, UE). | Al tratarse de un proveedor establecido en la Unión Europea, el alojamiento se rige por el RGPD sin necesidad de mecanismo de transferencia internacional (arts. 44-49 RGPD), siempre que el centro de datos contratado se ubique en la UE/EEE. RS Agents confirma y conserva evidencia de la región física del servidor contratado en Hostinger (objetivo: UE/EEE). |
| 5 | Supabase, Inc. (sociedad estadounidense; plataforma gestionada sobre AWS) | Base de datos, autenticación y almacenamiento del servicio: cuentas de las asesorías y medición de consumo; metadatos contables (huellas de factura, importes, contenido y hash de los ficheros de enlace contable, plan de cuentas, registros de lotes y validaciones); y Storage privado con los originales del portal del cliente final, del buzón de email y del archivo documental sellado. Acceso restringido por RLS a cada asesoría; buckets privados con URLs firmadas de corta duración. | Unión Europea: el proyecto de GestoFlou está aprovisionado en la región `eu-west-1` (Irlanda, AWS), donde residen la base de datos y el Storage. | Alojamiento de los datos en la UE/EEE. Supabase ofrece un DPA (art. 28 RGPD) que incorpora SCCs (Decisión 2021/914) para los supuestos de acceso desde fuera del EEE (p. ej. soporte técnico de la matriz). RS Agents no invoca el DPF para Supabase mientras no conste verificación de certificación activa. |
| 6 | Functional Software, Inc. (Sentry) (San Francisco, California, EE. UU.) | Monitorización de errores técnicos de la aplicación. Solo recibe mensajes de error y stack traces: la configuración aplicada por GestoFlou (scrubbing en beforeSend) elimina antes del envío los cuerpos de las peticiones, cookies y cabeceras, no envía PII por defecto (sendDefaultPii = false) y reduce el usuario a un identificador interno (nunca email ni contenido documental). Sin tracing ni analítica. | Ingesta y almacenamiento en la Unión Europea (DSN de región UE: ingest.de.sentry.io). | Ingesta en la UE. Sentry ofrece un DPA (art. 28 RGPD) que incorpora SCCs para los supuestos de acceso desde EE. UU. RS Agents no invoca el DPF para Sentry mientras no conste verificación de certificación activa; en todo caso, el dato transferible se limita a información técnica de error depurada. |
Nota sobre la unificación de Gemini. En versiones anteriores de esta lista figuraban por separado una fila genérica ("proveedores de inferencia de Gemini") y una entidad concreta ("Google LLC"). Se ha unificado en una única fila (nº 3) para evitar duplicidad y la atribución no verificada a "Google LLC", dado que la entidad del grupo Google que presta la inferencia vía OpenRouter (Google LLC en EEUU frente a Google Ireland / Google Cloud EMEA en la UE) debe confirmarse antes de publicar.
Nota 1 — Opción de residencia en la UE: alcance real
RS Agents puede activar el procesamiento con residencia en la Unión Europea utilizando el endpoint https://eu.openrouter.ai/api/v1 (plan enterprise de OpenRouter).
Es importante precisar el alcance exacto de esta opción, para no atribuirle una garantía que no se sostenga:
- Lo que garantiza: que el descifrado y el enrutado por parte de OpenRouter (gateway) se realizan en infraestructura situada en la Unión Europea. El gateway no descifra el contenido fuera de la UE.
- Lo que no garantiza por sí solo: que el cómputo de inferencia del modelo final (DeepSeek, Gemini) se ejecute físicamente en la UE. La ubicación del cómputo del proveedor final depende de la *allowlist* configurada (
provider.only). Para asegurar que también el cómputo del modelo se realiza en la UE, debe restringirseprovider.onlya proveedores con cómputo verificado en territorio de la UE/EEE.
En consecuencia, la afirmación "procesamiento únicamente en la UE" solo es exacta cuando se combina el endpoint eu.openrouter.ai con una *allowlist* provider.only limitada a proveedores con cómputo en la UE/EEE. Estado actual (junio de 2026): esta opción NO está activada en GestoFlou. Se utiliza el endpoint global (https://openrouter.ai/api/v1), de modo que el descifrado y el enrutado por el gateway pueden producirse fuera de la UE y existe una transferencia internacional amparada en SCCs + medidas suplementarias (apartado 3 bis). La residencia UE real requiere, además, una cuenta Enterprise de OpenRouter y fijar OPENROUTER_BASE_URL=https://eu.openrouter.ai/api/v1; mientras no se active, este documento no afirma residencia de datos en la UE.
3. Política de selección de sub-encargados de IA
RS Agents aplica una política equilibrada de proveedores de inteligencia artificial, consistente en:
- Ámbito geográfico admitido: únicamente proveedores ubicados en la Unión Europea o en Estados Unidos que estén adheridos al Data Privacy Framework (DPF) con certificación activa y/o cuenten con Cláusulas Contractuales Tipo (SCCs) en vigor, complementadas con medidas suplementarias.
- Exclusión expresa de China: queda excluido cualquier proveedor o endpoint de inferencia alojado en China, mediante la directiva técnica
provider.ignore. Se mantiene el modelo económico (DeepSeek) pero enrutado exclusivamente a proveedores conformes fuera de China. - Sin entrenamiento con los datos: todas las solicitudes se realizan con
provider.data_collection = "deny", obligación que se impone a los proveedores de inferencia, de modo que éstos no utilizan los datos para entrenar sus modelos. - Retención cero (Zero Data Retention): se emplea
provider.zdr = true, seleccionando únicamente endpoints de proveedores que no almacenan el prompt. - Optimización de coste dentro del conjunto conforme: mediante
provider.sort = "price", la selección del proveedor más económico se realiza solo entre los proveedores que ya cumplen los requisitos anteriores.
Estos mecanismos técnicos han sido verificados (junio de 2026) en las llamadas a OpenRouter y son configurables por variables de entorno, lo que permite ajustar la *allowlist* (provider.only) y la lista de exclusiones (provider.ignore) a medida que evolucione la oferta de proveedores conformes.
3 bis. Transferencias internacionales: base jurídica, evaluación (TIA) y medidas suplementarias
Dado que parte del tratamiento puede implicar transferencias a Estados Unidos, RS Agents aplica el siguiente régimen conforme a los arts. 44 a 49 RGPD:
- Base preferente — Decisión de adecuación (DPF). Cuando la entidad importadora (OpenRouter, Inc. y/o la entidad del grupo Google que preste la inferencia) figure con certificación activa en la lista oficial del Data Privacy Framework (dataprivacyframework.gov), la transferencia se ampara en la Decisión de Adecuación UE-EEUU (DPF) y no requiere garantías adicionales del art. 46. RS Agents verifica la vigencia de la certificación antes de tratar al proveedor como conforme y conserva evidencia de dicha verificación.
- Base subsidiaria — SCCs + medidas suplementarias (art. 46 RGPD). Si la entidad importadora no estuviera certificada en el DPF (o perdiera la certificación), la transferencia se ampara en las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914). En tal caso, y conforme a la jurisprudencia del TJUE (*Schrems II*, C-311/18) y a las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos (CEPD), RS Agents lleva a cabo una Evaluación de las Garantías de la Transferencia (Transfer Impact Assessment, TIA) del país de destino y adopta medidas suplementarias. A estos efectos, RS Agents considera que las siguientes garantías técnicas y organizativas operan como medidas suplementarias en el sentido del art. 46 RGPD:
- Cifrado en tránsito del contenido transmitido al gateway y a los proveedores;
- Retención cero (ZDR) en los endpoints de inferencia, de forma que el contenido no se almacena tras el procesamiento;
- Prohibición de uso para entrenamiento (
data_collection = "deny"); - Minimización (extracción en memoria, sin persistencia de los documentos en la ruta de IA; recorte de texto; ausencia de identificadores adicionales innecesarios. Los documentos que el servicio sí conserva —portal, buzón y archivo documental— residen en la UE y no forman parte de esta transferencia);
- Restricción geográfica mediante *allowlist* (
provider.only) y exclusión de China (provider.ignore); - Opción de residencia UE del gateway (
eu.openrouter.ai).
- Evidencia documental. RS Agents conserva, y pone a disposición del responsable conforme al apartado 4 bis, copia o referencia de: (i) la certificación DPF aplicable a cada entidad o, en su defecto, (ii) las SCCs firmadas y (iii) la TIA realizada.
Advertencia de verificación. RS Agents no presentará el DPF como mecanismo aplicado a una entidad concreta sin haber verificado previamente su certificación activa. Mientras esa verificación no conste para OpenRouter, Inc. y para la entidad Google concreta, la transferencia se documenta sobre la base de SCCs con las medidas suplementarias anteriores.
4. Derecho de oposición a nuevos sub-encargados y deber de preaviso
De conformidad con los artículos 28.2 y 28.3.d) RGPD y con lo pactado en el Contrato de Encargo del Tratamiento (DPA):
- RS Agents podrá incorporar nuevos sub-encargados o sustituir los existentes, siempre que ello sea necesario para la prestación del servicio y se respeten las garantías exigidas por el RGPD.
- RS Agents informará con antelación al responsable de cualquier alta o sustitución de sub-encargado, otorgando un plazo de preaviso de 15 días naturales antes de que el nuevo sub-encargado comience a tratar datos.
- Canal y mecanismo de notificación. Para garantizar que el responsable conoce a tiempo las altas o sustituciones y puede ejercer su derecho de oposición dentro del plazo, RS Agents empleará al menos uno de los siguientes canales, de forma acumulativa cuando sea posible:
- Notificación por correo electrónico a la dirección de contacto designada por el responsable en el DPA (canal principal y por defecto);
- Publicación de la versión actualizada de esta lista en
gestoflou.rsagents.cloud, con indicación visible de la fecha de última actualización y del cambio introducido; - Suscripción a avisos de cambios (p. ej. alta en una lista de distribución de avisos de privacidad o suscripción a la página de cambios), que RS Agents pondrá a disposición del responsable.
El cómputo del plazo de preaviso se inicia con el envío de la notificación por correo electrónico al responsable; la mera publicación de la lista no sustituye dicha notificación cuando exista una dirección de contacto designada.
- El responsable dispone del derecho a oponerse, de forma motivada y por escrito, a la incorporación o sustitución de un sub-encargado dentro del plazo de preaviso. En caso de oposición fundada, las partes buscarán de buena fe una solución alternativa; de no alcanzarse, el responsable podrá resolver el contrato respecto de los tratamientos afectados, en los términos previstos en el DPA.
- RS Agents impone a todos sus sub-encargados, mediante contrato, las mismas obligaciones de protección de datos que las estipuladas en el DPA (art. 28.4 RGPD), en particular las garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas. RS Agents responde plenamente ante el responsable del cumplimiento por parte del sub-encargado.
4 bis. Información para acreditar el cumplimiento y derecho de auditoría (art. 28.3.h RGPD)
De conformidad con el artículo 28.3.h) RGPD, RS Agents:
- Pondrá a disposición del responsable, a su solicitud razonable y con la confidencialidad debida, toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD en relación con los sub-encargados, incluyendo: (i) copia o referencia verificable de la certificación DPF vigente de cada sub-encargado importador o, en su defecto, copia de las SCCs firmadas; (ii) la Evaluación de las Garantías de la Transferencia (TIA) realizada; (iii) evidencia de las garantías técnicas descritas en este documento (configuración
data_collection = "deny",zdr = true,provider.ignore,provider.only), y (iv) la relación nominal de proveedores de inferencia conformes (Anexo I). - Permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del responsable o de un auditor mandatado por éste, en los términos, periodicidad y condiciones (preaviso, alcance, confidencialidad y reparto de costes) previstos en el DPA, sin perjuicio de la posibilidad de satisfacer dicho derecho mediante certificaciones, informes de terceros independientes o evidencia documental equivalente cuando ello sea suficiente para acreditar el cumplimiento.
- Trasladará a sus sub-encargados, en la medida en que resulte aplicable, las obligaciones de información y auditoría necesarias para que RS Agents pueda atender las solicitudes legítimas del responsable.
5. Vigencia y actualizaciones
Esta lista se revisa periódicamente y se mantiene actualizada por RS Agents. La versión vigente es la publicada en gestoflou.rsagents.cloud. Cualquier modificación sustancial se comunicará conforme al apartado 4. La fecha de última actualización figura en el encabezado de este documento y constituye un elemento esencial: permite al responsable verificar la vigencia de la lista y computar los plazos de preaviso.
Para cualquier consulta relativa a los sub-encargados del tratamiento o al ejercicio del derecho de oposición, puede dirigirse a: roselloagents@gmail.com (dirección de contacto en materia de privacidad; se sustituirá por una dirección del propio dominio del servicio una vez fijada la URL de producción).
Anexo I — Relación nominal de proveedores de inferencia conformes
Este anexo recoge la relación nominal y verificable de los proveedores de inferencia a los que OpenRouter puede enrutar las solicitudes de GestoFlou, conforme a la *allowlist*
provider.only. Su finalidad es dar contenido efectivo a la transparencia del art. 28.2 RGPD y permitir el ejercicio del derecho de oposición. RS Agents lo mantiene y actualiza.
| Proveedor de inferencia (nombre) | Modelo(s) servido(s) | Ubicación del cómputo | Base de transferencia (DPF / SCCs) | Verificado el |
|---|---|---|---|---|
| Deep Infra, Inc. (Palo Alto, California, EE. UU.) | DeepSeek V3 (deepseek/deepseek-chat) — ruta de texto | EE. UU. (centros de datos en EE. UU.); soporta retención cero (ZDR) | SCCs (Decisión 2021/914) + medidas suplementarias. DPF no confirmado (no figura en la lista oficial) → no se invoca DPF. | 23/06/2026 |
| Google LLC (Mountain View, California, EE. UU.) | Gemini (google/gemini-2.5-flash-lite) — ruta de visión, backends de pago | EE. UU. (Google LLC) | DPF UE-EEUU (Google LLC ACTIVE en el registro oficial), complementado con SCCs para Cloud/Vertex | 23/06/2026 |
La oferta de endpoints de cada modelo en OpenRouter cambia con el tiempo; RS Agents reverifica esta relación y la *allowlist*
provider.onlyantes de cada despliegue (endpoints activos consultables enhttps://openrouter.ai/api/v1/models/deepseek/deepseek-chat/endpoints). Nebius Group N.V. (Ámsterdam, Países Bajos — UE; con retención cero) es el candidato preferente para residencia UE y se incorporará a la *allowlist* en cuanto vuelva a servir el modelo DeepSeek.
Mantenimiento y reverificación. RS Agents mantiene actualizada esta lista y reverifica periódicamente: (i) la vigencia de la certificación DPF de Google LLC y el estado del marco UE-EEUU (pendiente la casación C-703/25 P ante el TJUE); (ii) los endpoints activos de cada modelo en OpenRouter y su soporte de retención cero (ZDR); (iii) la región física del centro de datos de alojamiento (objetivo UE/EEE); y (iv) la conservación de evidencia de las SCCs firmadas y de la Evaluación de las Garantías de la Transferencia (TIA). Cualquier cambio sustancial se comunica conforme al apartado 4. El correo
roselloagents@gmail.comse sustituirá por una dirección del propio dominio (privacidad@gestoflou.rsagents.cloud) cuando el buzón esté operativo.
Última actualización: 2 de julio de 2026