L'adopció de la Intel·ligència Artificial al sector públic ha passat de ser una curiositat a una necessitat estratègica. No obstant això, per a qualsevol responsable de tecnologia (CIO), delegat de protecció de dades (DPO) o responsable de seguretat (CISO), l'eficiència operativa mai pot estar per sobre de la seguretat.

La por al "Shadow AI" (l'ús no autoritzat d'eines d'IA per part dels empleats) és real. Hem vist casos de filtració de codi o altres tipus d'informació sensible al sector privat. A l'administració pública, un error similar no és una pèrdua financera; és una violació de la seguretat nacional o de la privacitat del ciutadà.

Quan una institució pública puja un plec al núvol, la pregunta crítica no és "què pot fer la IA amb això?", sinó "on van les meves dades, qui les veu i s'utilitzen per entrenar el model?".

En aquest article tècnic desgranem l'arquitectura de seguretat de Tendios i com garantim el compliment de l'Esquema Nacional de Seguretat (ENS) i el RGPD en entorns GovTech.

L'arquitectura de l'aïllament: la teva "Caixa Forta" digital

El major mite —i risc— dels Grans Models de Llenguatge (LLM) és la privacitat del "prompt". Les eines gratuïtes solen utilitzar les teves dades per reentrenar els seus models futurs. A Tendios, la política és rotunda: Les teves dades són teves. Mai entrenem models amb dades de clients.

Per garantir això, utilitzem una arquitectura d'aïllament lògic estricte (Single-Tenant Logic). Encara que el motor de processament sigui potent, les teves dades mai es barregen.

Glossari tècnic: com protegim la informació?

Per als perfils tècnics, així és com traduïm la nostra arquitectura i seguretat:

RAG (Base de dades vectorial) amb traçabilitat: Utilitzem tecnologia RAG sobre una base de dades vectorial que permet la verificació documental. Això garanteix que la IA no "al·lucini" ni inventi dades, oferint sempre respostes fonamentades i traçables, a diferència dels models genèrics.
Compliment i seguretat de dades europeus: La plataforma està dissenyada prioritzant el compliment normatiu, la protecció i la seguretat de les dades conforme als estàndards europeus.
IA Especialitzada i Centralitzada: No utilitzem un model generalista; operem amb una IA especialitzada en la complexitat normativa i documental de la Contractació Pública, centralitzant tota l'operativa en una plataforma all-in-one per evitar la fragmentació de la informació.

Compliment normatiu i certificacions

En contractació pública, la seguretat no es promet; es certifica. La nostra infraestructura està alineada amb els requisits més estrictes del sector públic espanyol i europeu.

Esquema Nacional de Seguretat (ENS)

Treballem sobre infraestructura certificada en l'Esquema Nacional de Seguretat (Categoria Alta). Tendios implementa les mesures de seguretat organitzatives, operacionals i de protecció exigides per garantir la confidencialitat, integritat, traçabilitat, autenticitat i disponibilitat de la informació pública.

ISO 27001 i 27018

Els nostres processos i proveïdors de núvol compleixen amb la norma ISO/IEC 27001 (Seguretat de la Informació) i ISO/IEC 27018 (Protecció de dades personals al núvol) alineant-se amb les exigències del RGPD i assegurant que existeixen controls auditables sobre qui accedeix a quina dada i quan.

Residència de la dada (RGPD)

A diferència d'eines que enruten dades per servidors als EUA, garantim la sobirania de la dada. Tota la informació processada per Tendios resideix i es processa exclusivament dins de l'Espai Econòmic Europeu (EEE), eliminant riscos de transferències internacionals no conformes.

Per complir amb el RGPD, Tendios no utilitza les teves dades estratègiques per entrenar models públics. Aquest enfocament d'arquitectura tancada, basat en la tecnologia RAG, marca la diferència en seguretat respecte a les eines generalistes en garantir que la IA operi en un entorn veraç i lliure de les al·lucinacions típiques de models com RAG vs ChatGPT en contractació pública.

Comparativa: IA pública vs. Cloud genèric vs. Tendios

No totes les IAs privades són iguals. Quina és la diferència real entre contractar una API d'Azure OpenAI "a pèl" i usar Tendios?

Característica	IA pública (ChatGPT Free/Plus)	Cloud genèric (Azure/AWS)	GovTech especialitzat (Tendios)
Entrenament amb les teves dades	Sí (Per defecte)	NO (Configurable)	MAI (Per disseny)
Residència de la dada	Global (EUA)	Configurable	Unió Europea (Garantit)
Compliment ENS	No dissenyat per a això	Requereix configuració complexa	Natiu (Out-of-the-box)
Esborrat de dades	Difícil de verificar	Polítiques de retenció	Control total de l'usuari (Eliminació immediata a petició/en tancar expedient)
Traçabilitat d'accessos	Limitada	Logs tècnics complexos	Auditoria completa d'usuari

Preguntes freqüents sobre seguretat en IA (FAQ)

És segur pujar plecs amb dades personals a Tendios?

Sí. A més de l'encriptació, apliquem tècniques d'ofuscació o seudonimització allà on és possible. A més, en signar el contracte d'Encarregat del Tractament (Art. 28 RGPD), assumim les obligacions legals de protecció d'aquestes dades.

Què passa si utilitzo ChatGPT per redactar un plec?

Estàs exposant informació pública (i potencialment confidencial) a servidors fora del teu control que poden utilitzar-la per aprendre. Això podria constituir una infracció del deure de custòdia de la informació administrativa.

Teniu accés a les meves dades?

Apliquem el principi de Least Privilege. El nostre equip tècnic no té accés als teus expedients excepte autorització expressa i temporal per a suport, i tots els accessos queden registrats als logs d'auditoria.

Conclusió: Innovar sense exposar-se

La modernització de l'administració no requereix assumir riscos incontrolats. És possible aprofitar la potència de la intel·ligència artificial generativa mantenint els estàndards més alts de seguretat i sobirania digital.

Triar una plataforma especialitzada no és només una qüestió de funcionalitats ("que respongui bé"); és l'única manera de garantir que les dades públiques continuen estant, en tot moment, sota control.

Seguretat IA al sector públic: ENS i RGPD