Política de uso de IA en SANCANTIA
Vendemos consultoría de inteligencia artificial. Es coherente que digamos públicamente qué IA usamos nosotros mismos, cómo protegemos los datos del cliente y cómo cumplimos con el RGPD y el EU AI Act. Esta página es ese documento.
SANCANTIA usa modelos de IA comerciales (principalmente Anthropic Claude, OpenAI GPT y Google Gemini) en su proceso interno. No entrenamos modelos con datos de clientes. Firmamos acuerdos de procesamiento de datos (DPA) con cada cliente cuando hace falta y todo output de IA pasa por supervisión humana antes de entregarse. El servidor de automatizaciones es n8n autohosteado en Hetzner (Alemania) para clientes con datos sensibles.
Qué modelos de IA usa SANCANTIA en su pipeline
SANCANTIA usa modelos de IA generativa de proveedores comerciales en sus tareas internas de consultoría y desarrollo:
| Modelo | Proveedor | Uso típico en SANCANTIA |
|---|---|---|
| Claude (3.5 Sonnet, 4) | Anthropic (EE.UU.) | Análisis de documentación técnica, redacción de propuestas, asistencia en código |
| GPT (4o, 5) | OpenAI (EE.UU.) | Generación de contenido, automatizaciones generales, embeddings para RAG |
| Gemini (2.5) | Google (EE.UU.) | Análisis multimodal (imagen, audio), integración con Workspace |
| Whisper | OpenAI (EE.UU.) | Transcripción de audio en proyectos puntuales |
| Modelos open-source vía OpenRouter | Varios | Pruebas, comparativas y casos donde el cliente exige hosting europeo |
La decisión de qué modelo usar en cada proyecto la toma Estela Molinero según los requisitos del cliente: sensibilidad del dato, exigencia de hosting europeo y caso de uso técnico.
Cómo protegemos los datos del cliente
Trabajamos con datos de empresas cliente. Estos son los compromisos que mantenemos por defecto en cada proyecto:
- Cero entrenamiento con datos de cliente. Usamos las APIs de pago de Anthropic, OpenAI y Google con la opción "no train" activada por defecto, opción contractualmente garantizada en sus condiciones empresariales. Los datos del cliente no entran en ningún corpus de entrenamiento futuro.
- Acuerdo de Procesamiento de Datos (DPA) firmado con cada cliente que comparta datos personales o de categoría especial, conforme al artículo 28 del RGPD.
- Hosting europeo para datos sensibles. Para clientes en salud, legal, financiero o cualquier sector con datos especialmente sensibles, las automatizaciones se ejecutan en n8n autohosteado en servidores europeos (Hetzner, Alemania), no en plataformas que procesan datos en EE.UU.
- Minimización de datos. Solo pedimos al cliente los datos estrictamente necesarios para el proyecto. No copiamos bases de datos completas si solo necesitamos un subconjunto.
- Retención limitada. Los datos del cliente en nuestros sistemas se eliminan al cierre del proyecto, salvo que el contrato exija conservación específica (por ejemplo, mantenimiento del sistema implantado).
- Cifrado en tránsito y en reposo en todos los sistemas internos.
Supervisión humana en cada output
Ningún entregable de SANCANTIA llega al cliente sin que una persona del equipo lo haya revisado. La IA acelera el trabajo; no sustituye la responsabilidad profesional. Esto es coherente con el artículo 14 del EU AI Act sobre supervisión humana en sistemas de IA y con el principio de "human in the loop" que defendemos a nuestros propios clientes.
En proyectos con automatizaciones desplegadas en el cliente, configuramos siempre puntos de control humanos en pasos críticos: validación de salidas, alertas ante casos anómalos, posibilidad de revertir decisiones automáticas.
Cumplimiento del EU AI Act
El EU AI Act (Reglamento UE 2024/1689) es aplicable de forma escalonada desde febrero de 2025. La mayoría de los servicios de SANCANTIA caen en la categoría de sistemas de IA de propósito general o de riesgo limitado, no en categorías de alto riesgo. Aun así, aplicamos los principios de transparencia (artículos 13 y 52) por defecto:
- Transparencia ante el usuario final. Si una solución de SANCANTIA usa IA conversacional con clientes finales del cliente (por ejemplo, un chatbot en su web), el chatbot se identifica explícitamente como IA, no se hace pasar por persona.
- Etiquetado de contenido generado por IA. Los outputs sintéticos (texto, imagen, audio) que entreguemos al cliente con destino público se etiquetan como generados por IA cuando lo exige el reglamento.
- Documentación técnica. Cada proyecto incluye documentación de qué modelos se usan, con qué datos, qué riesgos identifica el cliente y qué medidas de mitigación se aplican.
- Sin sistemas de alto riesgo sin auditoría previa. Si un cliente nos pide un sistema que entraría en categorías de alto riesgo (anexo III del reglamento: contratación, biometría, calificación crediticia, infraestructuras críticas), abordamos primero la conformidad regulatoria antes del desarrollo.
Lo que NO hacemos
Por claridad y para evitar malentendidos comerciales, estas son cosas que SANCANTIA no hace y no va a hacer:
- No entrenamos modelos propios con datos de cliente. Usamos modelos preentrenados de proveedores comerciales o open-source.
- No vendemos ni cedemos datos de clientes a terceros. Ni a proveedores de modelos, ni a plataformas de marketing, ni a brokers de datos.
- No usamos sistemas de IA prohibidos por el EU AI Act (puntuación social, manipulación subliminal, identificación biométrica remota en tiempo real en espacios públicos, etc.).
- No publicamos cifras de resultados sin sustento. Las métricas que verás en sancantia.com son rangos típicos en proyectos del sector; cuando damos un dato concreto para un caso de cliente, viene con permiso previo del cliente.
Si eres cliente y tienes dudas
Si trabajas con SANCANTIA o estás valorando hacerlo y quieres detalles concretos sobre cómo se aplicarán estas políticas a tu proyecto, escribe a hola@sancantia.com. Te responde directamente Estela Molinero. Si el proyecto implica datos sensibles, firmamos un DPA antes de empezar.
Esta página se revisa periódicamente. Si cambia algo material (un nuevo proveedor de modelos, una nueva categoría de servicio, un cambio normativo aplicable), se actualiza aquí y se indica la fecha.