Seguridad IA en el sector público: ENS y RGPD | Tendios
La adopción de la inteligencia artificial en el sector público ha pasado de ser una opción experimental a una necesidad estratégica. Sin embargo, para cualquier responsable de tecnología (CIO), delegado de protección de datos (DPO) o responsable de seguridad (CISO), la eficiencia operativa nunca puede estar por encima de la seguridad.
El riesgo del uso no autorizado de herramientas de IA por parte de los empleados ("Shadow AI") es real y documentado. En el sector privado se han producido filtraciones de código y datos sensibles. En la administración pública, un error equivalente no es una pérdida financiera: es una vulneración de datos públicos o de la privacidad del ciudadano.
Cuando una institución pública sube un pliego a la nube, la pregunta crítica no es "¿qué puede hacer la IA con esto?", sino "¿a dónde van mis datos, quién los ve y se usan para entrenar el modelo?".
En este artículo técnico desglosamos la arquitectura de seguridad de Tendios y cómo garantizamos el cumplimiento del Esquema Nacional de Seguridad (ENS), el RGPD y el AI Act en entornos GovTech.
La arquitectura del aislamiento: protección del dato en entornos GovTech
El mayor mito (y riesgo) de los Grandes Modelos de Lenguaje (LLM) es la privacidad del prompt. Las herramientas gratuitas suelen usar tus datos para reentrenar sus modelos futuros. En Tendios, la política es clara: tus datos son tuyos. Nunca entrenamos modelos con datos de clientes.
Para garantizar esto, Tendios utiliza una arquitectura de aislamiento lógico estricto. Aunque el motor de procesamiento sea compartido en su base tecnológica, los datos de cada organismo nunca se mezclan con los de otros clientes. El sistema impone separación por tenant desde la capa de base de datos vectorial hasta los logs de auditoría: cada fragmento de documento indexado lleva un identificador de organización que impide que ningún usuario acceda a datos de otra entidad.
Glosario técnico: cómo se traduce la arquitectura en seguridad real
Para los perfiles técnicos, así es cómo se materializan estas garantías en la práctica:
RAG con trazabilidad documental: Tendios utiliza tecnología RAG sobre una base de datos vectorial que permite la verificación de cada respuesta. La IA no genera texto de memoria: recupera fragmentos documentales verificados y los cita con su fuente. Para entender la diferencia técnica entre RAG y un modelo genérico, consulta: RAG vs ChatGPT en contratación pública.
Cumplimiento de estándares europeos: La plataforma está diseñada priorizando el cumplimiento normativo conforme a los marcos del sector público español y europeo.
IA especializada y centralizada: Tendios no utiliza un modelo generalista. Opera con una IA especializada en la complejidad normativa y documental de la contratación pública, centralizando toda la operativa en una sola plataforma para evitar la fragmentación de la información y el riesgo de shadow AI.
Cumplimiento normativo y certificaciones
En contratación pública, la seguridad no se promete: se certifica. La infraestructura de Tendios está alineada con los requisitos más estrictos del sector público español y europeo.
Esquema Nacional de Seguridad (ENS)
El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022 (que derogó y actualizó el anterior RD 3/2010), establece tres niveles de categorización para los sistemas de información de las Administraciones Públicas:
| Categoría ENS | Cuándo aplica | Ejemplos en contratación |
|---|---|---|
| BÁSICO | Impacto limitado si el sistema falla o es vulnerado | Portal de consulta de licitaciones públicas |
| MEDIO | Impacto significativo sobre funciones de la organización | Plataforma de gestión de expedientes de contratación |
| ALTO | Impacto grave o muy grave sobre funciones críticas o derechos | Sistemas que gestionan datos sensibles de licitadores o información clasificada |
Tendios opera sobre infraestructura certificada en Categoría Alta, el nivel máximo del ENS. Esto implica la implementación de medidas de seguridad organizativas, operacionales y de protección que superan los requisitos de la mayoría de plataformas GovTech del mercado.
ISO 27001 e ISO 27018
Los procesos y proveedores de nube de Tendios cumplen con la norma ISO/IEC 27001 (Seguridad de la Información) e ISO/IEC 27018 (Protección de datos personales en la nube), alineándose con las exigencias del RGPD y asegurando que existen controles auditables sobre quién accede a cada dato y en qué momento.
Residencia del dato (RGPD)
A diferencia de herramientas que enrutan datos por servidores fuera de la Unión Europea, Tendios garantiza la soberanía del dato. Toda la información procesada reside y se trata exclusivamente dentro del Espacio Económico Europeo (EEE), eliminando los riesgos asociados a transferencias internacionales no conformes.
Para cumplir con el RGPD, Tendios no utiliza los datos estratégicos de sus clientes para entrenar modelos públicos. Este enfoque de arquitectura cerrada, basado en tecnología RAG, marca la diferencia respecto a herramientas generalistas.
El AI Act: el tercer marco normativo que toda institución pública debe conocer
Desde agosto de 2024, el Reglamento (UE) 2024/1689 de Inteligencia Artificial (AI Act) está en vigor en la Unión Europea, con aplicación progresiva y plena efectividad para los sistemas de IA de alto riesgo prevista en agosto de 2026. Este reglamento establece obligaciones específicas para los sistemas de IA según su nivel de riesgo, con requisitos más estrictos para los que intervienen en procesos con impacto sobre el gasto público o los derechos de los ciudadanos.
Para las instituciones públicas que adoptan IA en contratación, el AI Act implica tres obligaciones prácticas:
- Clasificar el riesgo del sistema de IA que se contrata o despliega: no todos los sistemas tienen el mismo nivel de obligaciones normativas.
- Exigir documentación técnica al proveedor: registro de conformidad, descripción del sistema y medidas de gestión de riesgos.
- Garantizar la supervisión humana en las decisiones que afecten a terceros: ningún sistema de IA puede tomar decisiones de adjudicación o exclusión de forma completamente autónoma.
Tendios ha diseñado su arquitectura incorporando estos requisitos desde su origen: trazabilidad de todas las acciones de la IA, supervisión humana en los puntos de decisión críticos y documentación técnica disponible para los responsables de contratación. Para ver cómo estos principios se aplican en la práctica dentro de un flujo de agentes IA, consulta: Agentes IA en contratación pública: automatización inteligente de licitaciones.
Comparativa: IA pública vs. Cloud genérico vs. Tendios
No todas las implementaciones de IA son equivalentes desde el punto de vista de la seguridad y el cumplimiento normativo. La diferencia entre contratar una API genérica de nube y usar Tendios no es de interfaz: es de diseño normativo.
| Característica | IA pública (ChatGPT Free/Plus) | Cloud genérico (Azure/AWS) | GovTech especializado (Tendios) |
|---|---|---|---|
| Entrenamiento con tus datos | Sí (por defecto) | No (configurable) | Nunca (por diseño) |
| Residencia del dato | Global (EE.UU.) | Configurable | Unión Europea (garantizado) |
| Cumplimiento ENS | No diseñado para ello | Requiere configuración compleja | Nativo (out-of-the-box) |
| Borrado de datos | Difícil de verificar | Políticas de retención | Control total del usuario |
| Trazabilidad de accesos | Limitada | Logs técnicos complejos | Auditoría completa de usuario |
| Cumplimiento AI Act | No diseñado para ello | Requiere configuración compleja | Nativo (por diseño) |
Para una visión completa de todos los usos de la IA en contratación pública, desde la búsqueda de licitaciones hasta la trazabilidad de fondos, consulta: Inteligencia artificial en la contratación pública: usos reales, beneficios y normativa.
Preguntas frecuentes sobre seguridad IA en el sector público
¿Es seguro subir pliegos con datos personales a Tendios?
Sí. Además del cifrado de datos en tránsito y en reposo, se aplican técnicas de seudonimización donde corresponde. Al formalizar la relación contractual, Tendios firma como Encargado del Tratamiento conforme al artículo 28 del RGPD, asumiendo las obligaciones legales de protección de esos datos.
¿Qué ocurre si uso ChatGPT para redactar un pliego?
Estás exponiendo información pública (y potencialmente confidencial) a servidores fuera de tu control, que pueden utilizar esa información para reentrenar sus modelos. Esto puede constituir una infracción del deber de custodia de la información administrativa y, dependiendo del contenido, una vulneración del RGPD.
¿El equipo de Tendios tiene acceso a mis datos?
Tendios aplica el principio de mínimo privilegio. El equipo técnico no tiene acceso a los expedientes de los clientes salvo autorización expresa y temporal para soporte, y todos los accesos quedan registrados en los logs de auditoría. La arquitectura de aislamiento por organización garantiza además que ningún dato de un cliente sea accesible desde otra cuenta.
Conclusión: innovar sin exponerse
La modernización de la administración no requiere asumir riesgos incontrolados. Es posible aprovechar la potencia de la inteligencia artificial generativa manteniendo los más altos estándares de seguridad y soberanía digital.
Los tres marcos normativos (ENS, RGPD y AI Act) no son obstáculos para la adopción de IA: son el pliego de condiciones que cualquier proveedor de tecnología GovTech debe cumplir antes de entrar en un expediente público. Elegir una plataforma especializada no es solo una cuestión de funcionalidades: es la única forma de garantizar que los datos públicos permanecen, en todo momento, bajo control.
