Azure (UE)
Regiones de Azure: West Europe (Ámsterdam), North Europe (Dublín), Germany West Central (Fráncfort). Azure OpenAI para procesamiento LLM dentro de Azure UE. DPA de Microsoft y EU Data Processing Addendum.
Residencia de Datos y RGPD
Todos los datos permanecen en la infraestructura del cliente. Sin flujos de datos a terceros.
Principio Fundamental
Los AI Agents procesan datos críticos de negocio: datos de personal, datos financieros, datos contractuales. La cuestión de dónde se procesan estos datos y quién tiene acceso no es negociable para clientes empresariales. El Decision Layer descompone cada proceso en pasos de decisión y define para cada paso si decide una persona, un conjunto de reglas o la IA - incluyendo qué datos pueden procesarse.
La arquitectura de Gosign se basa en un principio fundamental: todos los datos permanecen en la infraestructura del cliente. Gosign no opera su propia nube, no almacena datos de clientes y no tiene acceso permanente a sistemas de producción. La arquitectura de gobernanza completa garantiza que cada procesamiento de datos quede documentado y sea trazable.
Opciones de Despliegue
GCP (UE)
Regiones de GCP: europe-west1 (Bélgica), europe-west3 (Fráncfort), europe-west4 (Países Bajos). Vertex AI para procesamiento LLM dentro de GCP UE. DPA de Google y EU Standard Contractual Clauses.
AWS (UE)
Regiones de AWS: eu-central-1 (Fráncfort), eu-west-1 (Irlanda), eu-west-3 (París), eu-south-2 (España). Amazon Bedrock para hosting de LLM (Claude, Llama, Mistral). Amazon EKS para orquestación de contenedores, Aurora PostgreSQL. DPA de AWS y EU Data Processing Addendum.
Self-Hosted
Centro de datos propio o servidores propios. Modelos open-source: Llama, Mistral, DeepSeek - operados localmente. Ningún dato sale de la red corporativa. Control total sobre hardware, software y red.
Híbrido
Combinación de cloud y self-hosted. Ejemplo: Self-hosted para datos sensibles de RRHH, Azure UE para procesamiento de documentos. La arquitectura soporta diferentes opciones de despliegue por agente.
Medidas Técnicas de Protección de Datos
Row-Level Security (RLS)
El aislamiento de inquilinos se impone a nivel de base de datos - no a nivel de aplicación. Una consulta SQL solo puede acceder a los registros autorizados. La separación no es eludible por lógica de aplicación.
Cifrado
- En reposo: Todos los datos se almacenan cifrados (AES-256)
- En tránsito: Todas las transferencias de datos mediante TLS 1.3
- Gestión de claves: Claves propias del cliente (Bring Your Own Key) o gestionadas por plataforma
Control de Acceso
- RBAC (Role-Based Access Control) en todos los niveles
- Sin credenciales compartidas, sin cuenta de servicio con acceso total
- Los accesos se registran y son trazables en el Audit Trail
- Gosign no tiene acceso permanente a datos de producción
Eliminación de Datos
- Concepto de eliminación según RGPD Art. 17
- Períodos de retención configurables por tipo de dato
- La eliminación cubre todas las copias - base de datos, Audit Trail, backups (tras expiración de retención de backup)
- Protocolos de eliminación documentados en el Audit Trail
Protección de Datos Específica para LLM
LLMs en la Nube (Azure OpenAI, Vertex AI, Amazon Bedrock)
Cuando se usan LLMs en la nube, los datos se envían al servicio LLM. Medidas: los datos no se utilizan para entrenamiento (compromiso de Microsoft/Google), DPA/SCCs con el proveedor, minimización de datos. La anonimización de PII garantiza que los datos personales se eliminen antes del procesamiento LLM.
Modelos Self-Hosted (Llama, Mistral, DeepSeek)
Con modelos self-hosted, ningún dato sale de la infraestructura del cliente. El modelo se ejecuta localmente, el procesamiento se realiza en hardware propio. Compromiso: los modelos self-hosted son generalmente menos potentes que los últimos modelos propietarios. Más sobre estrategias de hosting en el artículo Hosting de IA: EU SaaS, centro de datos europeo o Self-Hosted.
Sin Entrenamiento con Datos del Cliente
Los AI Agents de Gosign no se entrenan con datos del cliente. Sin fine-tuning, sin re-entrenamiento, sin aprendizaje incontrolado. Los agentes usan LLMs con prompts y conjuntos de reglas - los modelos no se modifican.
Mapeo RGPD
Cada componente arquitectónico se asigna a un artículo específico del RGPD. Detalles de implementación en el contexto del EU AI Act.
| Artículo RGPD | Medida Arquitectónica |
|---|---|
| Art. 5 - Minimización | Solo se procesan datos necesarios. Sin almacenamiento preventivo. |
| Art. 6 - Base legal | Acuerdo de procesamiento (Art. 28) o interés legítimo, según contexto de uso |
| Art. 17 - Supresión | Concepto de eliminación con períodos configurables, eliminación documentada |
| Art. 25 - Privacidad por diseño | RLS, cifrado, RBAC como componentes arquitectónicos |
| Art. 28 - Procesamiento | DPA entre cliente y Gosign, DPA entre cliente y proveedor cloud |
| Art. 30 - Registro | Audit Trail documenta todas las actividades de procesamiento |
| Art. 32 - Seguridad | Cifrado, control de acceso, revisión regular |
| Art. 33/34 - Notificación | Proceso de respuesta a incidentes, Audit Trail para análisis forense |
Esta página describe medidas arquitectónicas técnicas para protección de datos y residencia de datos. La evaluación legal y la declaración formal de conformidad con el RGPD son responsabilidad del responsable del tratamiento (el cliente) y sus delegados de protección de datos. Gosign entrega la infraestructura técnica. La responsabilidad legal recae en el operador.
Profundización en el Agent Briefing
Nuestra serie de artículos para ejecutivos que implementan agentes de IA en la empresa.
Preguntas frecuentes sobre Residencia de Datos
¿Los datos salen de la UE?
Con despliegue en la UE (Azure UE, GCP UE, AWS UE, Self-Hosted en UE), todos los datos permanecen dentro de la UE. Con Self-Hosted, los datos permanecen en el centro de datos del cliente.
¿Qué datos se envían a proveedores de LLM?
Con LLMs en la nube (p.ej., Azure OpenAI), los documentos procesados se envían al servicio LLM. Con modelos self-hosted (Llama, Mistral), ningún dato sale de la red del cliente.
¿Cómo se implementa el aislamiento de inquilinos?
Row-Level Security a nivel de base de datos. Cada inquilino, entidad y departamento está técnicamente separado.
Hablemos sobre sus requisitos de residencia de datos.
Azure UE, GCP UE, AWS UE, Self-Hosted o Híbrido. Configuramos la infraestructura según sus requisitos.
Agendar reunión