Azure (UE)
Regiones de Azure: West Europe (Amsterdam), North Europe (Dublin), Germany West Central (Francfort). Azure OpenAI para procesamiento LLM dentro de Azure UE. DPA de Microsoft y EU Data Processing Addendum.
Residencia de Datos y RGPD
Todos los datos permanecen en la infraestructura del cliente. Sin flujos de datos a terceros.
Principio Fundamental
Los AI Agents procesan datos criticos de negocio: datos de personal, datos financieros, datos contractuales. La cuestion de donde se procesan estos datos y quien tiene acceso no es negociable para clientes empresariales. El Decision Layer descompone cada proceso en pasos de decision y define para cada paso si decide una persona, un conjunto de reglas o la IA - incluyendo que datos pueden procesarse.
La arquitectura de Gosign se basa en un principio fundamental: todos los datos permanecen en la infraestructura del cliente. Gosign no opera su propia nube, no almacena datos de clientes y no tiene acceso permanente a sistemas de produccion. La arquitectura de gobernanza completa garantiza que cada procesamiento de datos quede documentado y sea trazable.
Opciones de Despliegue
GCP (UE)
Regiones de GCP: europe-west1 (Belgica), europe-west3 (Francfort), europe-west4 (Paises Bajos). Vertex AI para procesamiento LLM dentro de GCP UE. DPA de Google y EU Standard Contractual Clauses.
AWS (UE)
Regiones de AWS: eu-central-1 (Francfort), eu-west-1 (Irlanda), eu-west-3 (Paris), eu-south-2 (Espana). Amazon Bedrock para hosting de LLM (Claude, Llama, Mistral). Amazon EKS para orquestacion de contenedores, Aurora PostgreSQL. DPA de AWS y EU Data Processing Addendum.
Self-Hosted
Centro de datos propio o servidores propios. Modelos open-source: Llama, Mistral, DeepSeek - operados localmente. Ningun dato sale de la red corporativa. Control total sobre hardware, software y red.
Hibrido
Combinacion de cloud y self-hosted. Ejemplo: Self-hosted para datos sensibles de RRHH, Azure UE para procesamiento de documentos. La arquitectura soporta diferentes opciones de despliegue por agente.
Medidas Tecnicas de Proteccion de Datos
Row-Level Security (RLS)
El aislamiento de inquilinos se impone a nivel de base de datos - no a nivel de aplicacion. Una consulta SQL solo puede acceder a los registros autorizados. La separacion no es eludible por logica de aplicacion.
Cifrado
- En reposo: Todos los datos se almacenan cifrados (AES-256)
- En transito: Todas las transferencias de datos mediante TLS 1.3
- Gestion de claves: Claves propias del cliente (Bring Your Own Key) o gestionadas por plataforma
Control de Acceso
- RBAC (Role-Based Access Control) en todos los niveles
- Sin credenciales compartidas, sin cuenta de servicio con acceso total
- Los accesos se registran y son trazables en el Audit Trail
- Gosign no tiene acceso permanente a datos de produccion
Eliminacion de Datos
- Concepto de eliminacion segun RGPD Art. 17
- Periodos de retencion configurables por tipo de dato
- La eliminacion cubre todas las copias - base de datos, Audit Trail, backups (tras expiracion de retencion de backup)
- Protocolos de eliminacion documentados en el Audit Trail
Proteccion de Datos Especifica para LLM
LLMs en la Nube (Azure OpenAI, Vertex AI, Amazon Bedrock)
Cuando se usan LLMs en la nube, los datos se envian al servicio LLM. Medidas: los datos no se utilizan para entrenamiento (compromiso de Microsoft/Google), DPA/SCCs con el proveedor, minimizacion de datos. La anonimizacion de PII garantiza que los datos personales se eliminen antes del procesamiento LLM.
Modelos Self-Hosted (Llama, Mistral, DeepSeek)
Con modelos self-hosted, ningun dato sale de la infraestructura del cliente. El modelo se ejecuta localmente, el procesamiento se realiza en hardware propio. Compromiso: los modelos self-hosted son generalmente menos potentes que los ultimos modelos propietarios. Mas sobre estrategias de hosting en el articulo Hosting de IA: EU SaaS, centro de datos europeo o Self-Hosted.
Sin Entrenamiento con Datos del Cliente
Los AI Agents de Gosign no se entrenan con datos del cliente. Sin fine-tuning, sin re-entrenamiento, sin aprendizaje incontrolado. Los agentes usan LLMs con prompts y conjuntos de reglas - los modelos no se modifican.
Mapeo RGPD
Cada componente arquitectonico se asigna a un articulo especifico del RGPD. Detalles de implementacion en el contexto del EU AI Act.
| Articulo RGPD | Medida Arquitectonica |
|---|---|
| Art. 5 - Minimizacion | Solo se procesan datos necesarios. Sin almacenamiento preventivo. |
| Art. 6 - Base legal | Acuerdo de procesamiento (Art. 28) o interes legitimo, segun contexto de uso |
| Art. 17 - Supresion | Concepto de eliminacion con periodos configurables, eliminacion documentada |
| Art. 25 - Privacidad por diseno | RLS, cifrado, RBAC como componentes arquitectonicos |
| Art. 28 - Procesamiento | DPA entre cliente y Gosign, DPA entre cliente y proveedor cloud |
| Art. 30 - Registro | Audit Trail documenta todas las actividades de procesamiento |
| Art. 32 - Seguridad | Cifrado, control de acceso, revision regular |
| Art. 33/34 - Notificacion | Proceso de respuesta a incidentes, Audit Trail para analisis forense |
Esta pagina describe medidas arquitectonicas tecnicas para proteccion de datos y residencia de datos. La evaluacion legal y la declaracion formal de conformidad con el RGPD son responsabilidad del responsable del tratamiento (el cliente) y sus delegados de proteccion de datos. Gosign entrega la infraestructura tecnica. La responsabilidad legal recae en el operador.
Profundizacion en el Agent Briefing
Nuestra serie de articulos para ejecutivos que implementan agentes de IA en la empresa.
Preguntas frecuentes sobre Residencia de Datos
¿Los datos salen de la UE?
Con despliegue en la UE (Azure UE, GCP UE, AWS UE, Self-Hosted en UE), todos los datos permanecen dentro de la UE. Con Self-Hosted, los datos permanecen en el centro de datos del cliente.
¿Que datos se envian a proveedores de LLM?
Con LLMs en la nube (p.ej., Azure OpenAI), los documentos procesados se envian al servicio LLM. Con modelos self-hosted (Llama, Mistral), ningun dato sale de la red del cliente.
¿Como se implementa el aislamiento de inquilinos?
Row-Level Security a nivel de base de datos. Cada inquilino, entidad y departamento esta tecnicamente separado.
Hablemos sobre sus requisitos de residencia de datos.
Azure UE, GCP UE, AWS UE, Self-Hosted o Hibrido. Configuramos la infraestructura segun sus requisitos.
Agendar reunion