Saltar al contenido
IAinsanity

PREGUNTA FRECUENTE

¿Qué pasa con los datos de mi empresa? RGPD, privacidad y dónde se alojan

Cuando implementamos IA en tu empresa, tú sigues siendo el responsable del tratamiento de tus datos y nosotros actuamos como encargado del tratamiento conforme al RGPD y la LOPDGDD. La decisión clave no es ideológica: es elegir dónde y con qué proveedor se procesa cada dato según su sensibilidad. Para datos sensibles o regulados usamos infraestructura europea y proveedores con garantías de cumplimiento; para tareas concretas que no manejan datos personales ni confidenciales, priorizamos la opción más eficiente en coste. El criterio se define en el diagnóstico, antes de tocar nada.

El criterio: la infraestructura se elige según el dato, no por defecto

No tiene sentido ni encarecer cada proyecto poniéndolo todo en servidores europeos premium, ni mandar datos sensibles al proveedor más barato. La decisión correcta depende de qué dato procesa cada parte del sistema.

Datos personales, sanitarios, financieros o cualquier información confidencial de tu negocio: se procesan con proveedores que ofrecen garantías de cumplimiento del RGPD y, cuando procede, alojamiento en la Unión Europea. Aquí el coste extra está justificado porque el riesgo lo justifica.

Tareas concretas sin datos sensibles (clasificar textos públicos, generar borradores, resumir documentación no confidencial): podemos usar el modelo más eficiente en coste y rendimiento, incluso si no es europeo, porque no hay dato personal en juego. Es una decisión técnica y de coste, no de cumplimiento.

Este criterio se acuerda contigo en el Sprint de Diagnóstico y queda documentado. No hay sorpresas sobre dónde acaba cada dato.

Qué exige el RGPD y cómo lo cumplimos

Base legal y minimización: solo se procesan los datos necesarios para el proceso que automatizamos. No replicamos bases de datos enteras 'por si acaso'.

Encargado del tratamiento: firmamos el contrato de encargado de tratamiento (artículo 28 del RGPD) que regula qué hacemos con tus datos, durante cuánto tiempo y con qué medidas de seguridad.

Subencargados: si un proveedor de IA procesa datos en tu nombre, queda reflejado en la cadena de encargados, con sus propias garantías. Para proveedores fuera de la UE se aplican las cláusulas contractuales tipo cuando son necesarias.

Derechos de los interesados: el diseño contempla poder localizar, rectificar y borrar datos personales si alguien ejerce sus derechos.

Alojamiento europeo y opción on-premise

Cuando el cumplimiento o la sensibilidad lo requieren, desplegamos sobre infraestructura alojada en la Unión Europea o con garantías equivalentes.

Para los casos más exigentes (datos muy sensibles o requisitos regulatorios estrictos) podemos alojar el sistema en tu propia infraestructura o en una nube privada, de forma que los datos no salgan de tu perímetro. Por ejemplo, un sistema RAG sobre documentación interna puede funcionar sin que esos documentos salgan de tus servidores.

La contrapartida es transparente: la opción más estricta suele tener más coste de infraestructura. Por eso la reservamos para cuando aporta valor real de cumplimiento, no como adorno.

Quién es dueño de los datos y del sistema

Los datos son tuyos, siempre. Nosotros no los usamos para entrenar modelos propios ni para ningún fin ajeno al proyecto.

El código y los sistemas que construimos también son de tu propiedad. Si dejamos de trabajar juntos, te entregamos las llaves y la documentación para que tu equipo lo opere sin depender de nosotros.

Preguntas frecuentes

¿Los datos de mi empresa se usan para entrenar modelos de IA?

No. Trabajamos con proveedores y configuraciones en las que tus datos no se usan para entrenar modelos. Cuando un proveedor lo permite, se desactiva explícitamente el uso de datos para entrenamiento, y queda reflejado en el contrato de encargado de tratamiento.

¿Tengo que usar servidores europeos sí o sí?

No por defecto. Si el proceso maneja datos personales o confidenciales, sí recomendamos infraestructura europea o equivalente. Si es una tarea sin datos sensibles, podemos usar la opción más eficiente en coste aunque no sea europea. La decisión se toma dato a dato, no de forma global.

¿Por qué no lo ponéis todo en Europa para curaros en salud?

Porque encarecería proyectos sin necesidad. La infraestructura europea premium tiene más coste, y aplicarla a tareas que no tocan datos personales sería pagar de más sin ganar cumplimiento. Preferimos elegir bien cada caso y explicarte el porqué.

¿Cumplís el RGPD y la LOPDGDD?

Sí. Actuamos como encargado del tratamiento conforme al RGPD y la LOPDGDD, firmamos el contrato del artículo 28 y aplicamos minimización de datos, control de la cadena de subencargados y medidas de seguridad acordes al riesgo del proyecto.

¿Podéis alojar todo en mi propia infraestructura?

Sí, cuando el caso lo justifica. Para datos muy sensibles o requisitos regulatorios estrictos desplegamos en tu infraestructura o en una nube privada, de modo que los datos no salgan de tu perímetro. Tiene más coste de infraestructura, así que lo reservamos para cuando aporta valor real.

Lectura relacionada

SOLUCIÓN

Agente de conocimiento interno con IA (RAG)

Cómo el equipo accede a la documentación interna por lenguaje natural, con opción de alojamiento en tu propia infraestructura.

Leer →

SERVICIO

Sprint de Diagnóstico

Donde acordamos, entre otras cosas, el criterio de tratamiento y alojamiento de datos antes de implementar.

Leer →

¿QUIERES SABER SI APLICA A TU EMPRESA?

Cuéntanos el problema en 5 minutos.

El Sprint de Diagnóstico (990€, 1 semana) identifica exactamente qué puedes automatizar y cuánto te costaría. Si continúas, los 990€ se descuentan.

← Ver todas las preguntas frecuentes

EMPIEZA AQUÍ

Sabes que estás dejando pasar oportunidades...y ahora puedes hacer algo.

30 minutos para ver si encaja. Si lo hay, te enviamos un plan de acción.

Sin compromiso · 30 minutos