Seguridad IA en el sector público: ENS y RGPD
La adopción de la Inteligencia Artificial en el sector público ha pasado de ser una curiosidad a una necesidad estratégica. Sin embargo, para cualquier responsable de tecnología (CIO), delegado de protección de datos (DPO) o responsable de seguridad (CISO), la eficiencia operativa nunca puede estar por encima de la seguridad.
El miedo al "Shadow AI" (el uso no autorizado de herramientas de IA por parte de los empleados) es real. Hemos visto casos de filtración de código u otros tipos de información sensible en el sector privado. En la administración pública, un error similar no es una pérdida financiera; es una violación de la seguridad nacional o de la privacidad del ciudadano.
Cuando una institución pública sube un pliego a la nube, la pregunta crítica no es "¿qué puede hacer la IA con esto?", sino "¿a dónde van mis datos, quién los ve y se usan para entrenar al modelo?".
En este artículo técnico desglosamos la arquitectura de seguridad de Tendios y cómo garantizamos el cumplimiento del Esquema Nacional de Seguridad (ENS) y el RGPD en entornos GovTech.
La arquitectura del aislamiento: tu "Caja Fuerte" digital
El mayor mito, y riesgo, de los Grandes Modelos de Lenguaje (LLM) es la privacidad del "prompt". Las herramientas gratuitas suelen usar tus datos para reentrenar sus modelos futuros. En Tendios, la política es rotunda: Tus datos son tuyos. Nunca entrenamos modelos con datos de clientes.
Para garantizar esto, utilizamos una arquitectura de aislamiento lógico estricto (Single-Tenant Logic). Aunque el motor de procesamiento sea potente, tus datos nunca se mezclan.
Glosario técnico: ¿cómo protegemos la información?
Para los perfiles técnicos, así es como traducimos nuestra arquitectura y seguridad:
- RAG (Base de datos vectorial) con trazabilidad: Utilizamos tecnología RAG sobre una base de datos vectorial que permite la verificación documental. Esto garantiza que la IA no "alucine" ni invente datos, ofreciendo siempre respuestas fundamentadas y trazables, a diferencia de los modelos genéricos.
- Cumplimiento y seguridad de datos europeos: La plataforma está diseñada priorizando el cumplimiento normativo, la protección y la seguridad de los datos conforme a los estándares europeos.
- IA Especializada y Centralizada: No utilizamos un modelo generalista; operamos con una IA especializada en la complejidad normativa y documental de la Contratación Pública, centralizando toda la operativa en una plataforma all-in-one para evitar la fragmentación de la información.
Cumplimiento normativo y certificaciones
En contratación pública, la seguridad no se promete; se certifica. Nuestra infraestructura está alineada con los requisitos más estrictos del sector público español y europeo.
Esquema Nacional de Seguridad (ENS)
Trabajamos sobre infraestructura certificada en el Esquema Nacional de Seguridad (Categoría Alta). Tendios implementa las medidas de seguridad organizativas, operacionales y de protección exigidas para garantizar la confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad de la información pública.
ISO 27001 y 27018
Nuestros procesos y proveedores de nube cumplen con la norma ISO/IEC 27001 (Seguridad de la Información) e ISO/IEC 27018 (Protección de datos personales en la nube) alineándose con las exigencias del RGPD y asegurando que existen controles auditables sobre quién accede a qué dato y cuándo.
Residencia del dato (RGPD)
A diferencia de herramientas que enrutan datos por servidores en EE.UU., garantizamos la soberanía del dato. Toda la información procesada por Tendios reside y se procesa exclusivamente dentro del Espacio Económico Europeo (EEE), eliminando riesgos de transferencias internacionales no conformes.
Para cumplir con el RGPD, Tendios no utiliza tus datos estratégicos para entrenar modelos públicos. Este enfoque de arquitectura cerrada, basado en tecnología RAG, marca la diferencia en seguridad frente a herramientas generalistas al garantizar que la IA opere en un entorno veraz y libre de las alucinaciones típicas de modelos como RAG vs ChatGPT en contratación pública.
Comparativa: IA pública vs. Cloud genérico vs. Tendios
No todas las IAs privadas son iguales. ¿Cuál es la diferencia real entre contratar una API de Azure OpenAI "a pelo" y usar Tendios?
| Característica | IA pública (ChatGPT Free/Plus) | Cloud genérico (Azure/AWS) | GovTech especializado (Tendios) |
|---|---|---|---|
| Entrenamiento con tus datos | SÍ (Por defecto) | NO (Configurable) | NUNCA (Por diseño) |
| Residencia del dato | Global (EE.UU.) | Configurable | Unión Europea (Garantizado) |
| Cumplimiento ENS | No diseñado para ello | Requiere configuración compleja | Nativo (Out-of-the-box) |
| Borrado de datos | Difícil de verificar | Políticas de retención | Control total del usuario (Eliminación inmediata a petición/al cerrar expediente) |
| Trazabilidad de accesos | Limitada | Logs técnicos complejos | Auditoría completa de usuario |
Preguntas frecuentes sobre seguridad en IA (FAQ)
¿Es seguro subir pliegos con datos personales a Tendios?
Sí. Además de la encriptación, aplicamos técnicas de ofuscación o seudonimización allí donde es posible. Además, al firmar el contrato de Encargado del Tratamiento (Art. 28 RGPD), asumimos las obligaciones legales de protección de esos datos.
¿Qué pasa si uso ChatGPT para redactar un pliego?
Estás exponiendo información pública (y potencialmente confidencial) a servidores fuera de tu control que pueden usarla para aprender. Esto podría constituir una infracción del deber de custodia de la información administrativa.
¿Tenéis acceso a mis datos?
Aplicamos el principio de Least Privilege. Nuestro equipo técnico no tiene acceso a tus expedientes salvo autorización expresa y temporal para soporte, y todos los accesos quedan registrados en los logs de auditoría.
Conclusión: Innovar sin exponerse
La modernización de la administración no requiere asumir riesgos incontrolados. Es posible aprovechar la potencia de la inteligencia artificial generativa manteniendo los estándares más altos de seguridad y soberanía digital.
Elegir una plataforma especializada no es solo una cuestión de funcionalidades ("que responda bien"); es la única forma de garantizar que los datos públicos siguen estando, en todo momento, bajo control.
Artículos relacionados
