Política de privacidad

Última actualización: 11 de mayo de 2026 · Versión 4.0

En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), Gestork informa al Usuario sobre el tratamiento de los datos personales que recopila a través del sitio web y del Servicio.

Gestork es software de gestión fiscal para autónomos personas físicas en España. El Usuario revisa y presenta los modelos en sede AEAT con sus credenciales. Gestork no actúa como gestoría, colaborador social, ni representante fiscal. El Titular no es gestor administrativo colegiado ni asesor fiscal profesional; opera como autónomo desarrollador de software SaaS.

1. Responsable del tratamiento

  • Responsable: Julio Ruiz Cardells (operando como Pyrsos Studio)
  • NIF: 24343130E
  • Domicilio: C/ Tomás Trenor 12, 46133 Meliana (Valencia), España
  • Forma jurídica: persona física (autónomo)
  • Contacto en materia de protección de datos: julioruizbayarri@gmail.com

Delegado de Protección de Datos (DPO). Por el volumen y naturaleza actuales del tratamiento, no concurren las circunstancias del artículo 37.1 RGPD ni del artículo 34 LOPDGDD que obligan a la designación formal de DPO. El punto de contacto único es el correo indicado arriba.

2. Datos que tratamos

  • Identificativos y de contacto: nombre, apellidos, correo electrónico, teléfono.
  • Fiscales del Usuario: NIF, actividad económica, epígrafe IAE, datos bancarios, facturas emitidas y recibidas, modelos AEAT generados, libros de registro.
  • De terceros remitidos por el Usuario: datos personales de sus clientes y proveedores contenidos en los documentos enviados al Servicio (NIF, nombre, importes, conceptos). Véase sección 11.
  • De uso: mensajes con el bot por WhatsApp, archivos subidos, audios remitidos para transcripción.
  • Técnicos: dirección IP, dispositivo, navegador, registros de acceso (logs).

3. Finalidades y bases jurídicas

  • Prestación del Servicio (OCR, categorización, generación de ficheros importables de modelos AEAT, libros, calendario fiscal, registros VeriFactu) → ejecución de contrato (art. 6.1.b RGPD).
  • Cumplimiento de obligaciones legales fiscales, contables y mercantiles aplicables al Responsable → art. 6.1.c RGPD.
  • Comunicaciones comerciales propias sobre productos del Titular → interés legítimo (art. 6.1.f RGPD), con derecho de oposición y opt-out en cada comunicación.
  • Mejora del Servicio mediante análisis agregados y anonimizados, prevención de fraude y seguridad de la información → interés legítimo (art. 6.1.f RGPD), ponderado conforme al considerando 47 RGPD.

4. Encargados de tratamiento (subprocessors)

Para prestar el Servicio recurrimos a los siguientes proveedores tecnológicos, que actúan como encargados de tratamiento bajo contrato (art. 28 RGPD):

Proveedor Finalidad Ubicación Garantías
Supabase Inc. Base de datos Postgres del Servicio. Irlanda (UE) — AWS eu-west-1 Datos en UE. SCC adicional para soporte técnico desde EE. UU.
Backblaze Inc. Backups cifrados (B2 + GPG en cliente). EE. UU. SCC 2021/914
Resend Envío de emails transaccionales. EE. UU. SCC 2021/914
Google LLC Gemini API (OCR, transcripción) y Google Sheets durante la beta. Ubicación según contrato del cliente (UE/EE. UU.) SCC + EU-US Data Privacy Framework
Anthropic PBC Modelo Claude (categorización, asistente). Contrato Zero Retention: los datos NO se usan para entrenamiento. EE. UU. SCC 2021/914 + EU-US Data Privacy Framework
Stripe Payments Europe Ltd. Procesamiento de cobros. EE. UU. (con presencia UE) SCC 2021/914
Meta Platforms Ireland Ltd. (WhatsApp Business / Cloud API) Mensajería con el Usuario. Irlanda (UE) con flujos a EE. UU. SCC 2021/914
Sentry Registro de errores de aplicación. UE No requiere TID
BetterStack Monitorización de uptime. UE No requiere TID

El listado actualizado de subprocessors se publicará en esta página. Las altas relevantes se comunicarán al Usuario con antelación razonable, permitiéndole ejercer su derecho de oposición conforme al DPA (sección 13).

5. Transferencias internacionales

Las transferencias a proveedores fuera del Espacio Económico Europeo identificadas en la sección 4 quedan amparadas, según el caso, en: (i) decisión de adecuación EU-US Data Privacy Framework (Decisión (UE) 2023/1795), (ii) cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914), y (iii) medidas técnicas suplementarias (cifrado, seudonimización, control de claves). El Usuario puede solicitar copia de las garantías en julioruizbayarri@gmail.com.

6. Plazos de conservación

  • Datos fiscales del Usuario (facturas, modelos, libros): 7 años desde el fin del ejercicio fiscal correspondiente, conforme al artículo 66 de la Ley General Tributaria y al artículo 30 del Código de Comercio, mediante backups cifrados con borrado seguro al término del plazo.
  • Datos de marketing y leads sin contrato posterior: hasta retirada del consentimiento u oposición, con máximo de 24 meses sin interacción.
  • Logs técnicos: 12 meses.

Transcurridos los plazos, los datos se suprimen mediante procedimientos de borrado seguro irreversible.

7. Derechos del Usuario

El Usuario puede ejercer en cualquier momento los siguientes derechos:

  • Acceso a los datos personales que tratamos (incluida exportación estructurada).
  • Rectificación de datos inexactos.
  • Supresión ("derecho al olvido"), sin perjuicio de la conservación legalmente obligatoria.
  • Oposición al tratamiento por motivos personales.
  • Limitación del tratamiento en los supuestos del RGPD.
  • Portabilidad en formato estructurado y de uso común.
  • No ser objeto de decisiones automatizadas exclusivas (art. 22 RGPD).
  • Retirar el consentimiento prestado.

Para ejercerlos, escribe a julioruizbayarri@gmail.com aportando copia de un documento identificativo. Atenderemos la solicitud en un mes (prorrogable hasta dos meses adicionales conforme al art. 12.3 RGPD).

8. Reclamación ante la AEPD

Si el Usuario considera que sus derechos no han sido debidamente atendidos, puede presentar reclamación ante la Agencia Española de Protección de Datos: www.aepd.es.

9. Medidas de seguridad

  • Cifrado en tránsito mediante TLS 1.3.
  • Cifrado en reposo mediante AES-256 (Postgres en Supabase eu-west-1, Irlanda) y GPG en backups (Backblaze B2, retención 7 años).
  • Infraestructura europea para los datos en producción.
  • Control de accesos basado en roles, principio de mínimo privilegio.
  • Registro de auditoría de accesos.
  • Segregación de entornos (desarrollo, staging, producción) y revisiones periódicas de vulnerabilidades.
  • Registro de Actividades de Tratamiento (RAT) interno conforme al art. 30 RGPD.

10. IA, OCR y decisiones automatizadas

El Servicio aplica tratamiento parcialmente automatizado sobre los documentos remitidos: OCR con modelos de visión (Google Gemini), categorización fiscal con modelos de lenguaje (Anthropic Claude) y validaciones automáticas de cuadre y coherencia.

Estas decisiones no producen efectos jurídicos sobre el Usuario por sí solas: la presentación final ante la AEAT requiere revisión humana del propio Usuario y su firma electrónica con credenciales propias. Conforme al artículo 22 RGPD, el Usuario tiene derecho a intervención humana, a expresar su punto de vista, a impugnar la decisión y a recibir información significativa sobre la lógica aplicada.

Los datos del Usuario no se utilizan para el entrenamiento de modelos públicos de terceros, conforme a los acuerdos contractuales del Responsable con sus proveedores (notablemente el contrato Zero Retention con Anthropic).

11. Datos de terceros remitidos por el Usuario

Cuando el Usuario remite facturas y documentos que contienen datos personales de sus propios clientes y proveedores (NIF, nombre, dirección, importes, conceptos), el Usuario actúa como Responsable del tratamiento sobre esos datos y Gestork actúa como Encargado de tratamiento. Las obligaciones recíprocas se regulan en el DPA anexo (sección 13). El Usuario es responsable de cumplir las obligaciones de información y, en su caso, recabar las bases jurídicas necesarias antes de remitir los datos al Servicio.

12. La AEAT como destinataria — no es cesión a tercero

Los modelos AEAT (303, 130, 111, 115, 180, 190, 347, 349, 390, 100, 232, 369, 720, etc.) y los registros VeriFactu se generan para que el Usuario los presente con sus credenciales (Cl@ve PIN, certificado FNMT). Esta puesta a disposición no constituye cesión a terceros en el sentido del artículo 4.10 RGPD: se trata del cumplimiento por el Usuario de las obligaciones tributarias previstas en los artículos 29 y 93 LGT, el RD 1619/2012 y el RD 1007/2023. El Usuario es quien presenta; Gestork no es transmisor de los datos a la Administración.

13. DPA — Acuerdo de Encargado de Tratamiento (anexo)

El presente anexo regula la relación Responsable-Encargado entre el Usuario y Gestork respecto de los datos de terceros remitidos al Servicio, conforme al artículo 28 RGPD. La aceptación de los Términos del Servicio implica la aceptación de este DPA.

  • 13.1. Objeto. Tratamiento por parte de Gestork (Encargado), por cuenta del Usuario (Responsable), de los datos personales de clientes, proveedores y otros terceros contenidos en la documentación remitida al Servicio.
  • 13.2. Duración. Mientras se mantenga vigente el contrato del Servicio, sin perjuicio de los plazos de conservación legal (sección 6).
  • 13.3. Naturaleza y finalidad. Tratamiento automatizado y semi-automatizado para OCR, categorización fiscal, generación de ficheros importables de modelos AEAT, libros de registro y registros VeriFactu.
  • 13.4. Tipos de datos y categorías de interesados. Datos identificativos, fiscales y económicos de clientes y proveedores del Usuario.
  • 13.5. Instrucciones documentadas. El Encargado tratará los datos únicamente conforme a las instrucciones documentadas del Responsable y de los Términos del Servicio.
  • 13.6. Confidencialidad. El Encargado garantiza que el personal autorizado se compromete por escrito a respetar la confidencialidad.
  • 13.7. Seguridad. Medidas técnicas y organizativas del art. 32 RGPD descritas en la sección 9.
  • 13.8. Subencargados. El Responsable autoriza con carácter general a los subencargados listados en la sección 4. Cualquier alta o sustitución se notificará con antelación razonable, pudiendo el Responsable oponerse motivadamente.
  • 13.9. Asistencia al Responsable. El Encargado asistirá al Responsable en la atención de derechos del interesado (arts. 12-22 RGPD), evaluaciones de impacto (art. 35) y notificaciones de brecha (arts. 33-34), en plazo razonable y proporcionado.
  • 13.10. Brechas de seguridad. El Encargado notificará al Responsable cualquier violación de seguridad sin dilación indebida desde su conocimiento, aportando la información del art. 33.3 RGPD.
  • 13.11. Supresión o devolución. Al finalizar el encargo, el Encargado devolverá o suprimirá los datos personales, a elección del Responsable, salvo conservación legalmente obligatoria.
  • 13.12. Auditoría. El Responsable podrá auditar el cumplimiento, mediante requerimiento de información o, motivadamente y con preaviso razonable, mediante auditoría in situ a su costa, sin perjudicar la seguridad de otros responsables.

14. Brechas de seguridad (arts. 33-34 RGPD)

El Responsable notificará a la AEPD cualquier violación de seguridad en un plazo máximo de 72 horas desde su conocimiento, salvo que sea improbable que constituya un riesgo. Cuando la brecha entrañe alto riesgo, se comunicará a los afectados sin dilación indebida, en lenguaje claro, indicando naturaleza, consecuencias probables, medidas adoptadas y punto de contacto: julioruizbayarri@gmail.com.

15. Cambios en esta política

Esta Política puede modificarse. Los cambios se publicarán en esta misma página y, si afectan sustancialmente al tratamiento, se notificarán al Usuario por los canales habituales con antelación razonable.

← Volver a Gestork