IA conforme con el RGPD.
Por qué la mayoría de las herramientas no lo es y cómo lo aborda Namulai.
El cumplimiento del RGPD no es una insignia que se adjudica un proveedor de IA. Es un conjunto de obligaciones bajo el Reglamento (UE) 2016/679 que cubren la base jurídica, la minimización de datos, la conservación, la transparencia y los derechos del interesado. La mayoría de las herramientas de IA de propósito general se construyeron antes de que esas obligaciones se tomaran en serio. Namulai se construyó después. Esta página expone, con claridad, qué hacemos, qué delegamos en subencargados y dónde están realmente las fronteras.
Qué exige realmente el RGPD a una herramienta de IA
El Reglamento (UE) 2016/679 no es una lista de palabras de moda. Exige una base jurídica para el tratamiento (art. 6), limitación de la finalidad (art. 5.1.b), minimización de datos (art. 5.1.c), limitación del plazo de conservación (art. 5.1.e) y una cadena clara de responsabilidad a través de responsables y encargados (arts. 24 a 28).
Para un asistente de IA, esto se traduce en preguntas concretas. Por qué se almacena el prompt. Durante cuánto tiempo. Si se usa para reentrenar un modelo y bajo qué base. Quiénes son los subencargados, dónde están situados y qué mecanismo de transferencia se aplica al tráfico que sale del EEE. Estas son las preguntas que un DPD competente plantea antes de aprobar una herramienta, y son las correctas.
Dónde fallan la mayoría de las herramientas de IA
Las carencias suelen agruparse. Las capas gratuitas para consumidores usan a menudo los prompts para mejorar el modelo por defecto, con el opt-out enterrado en ajustes. Los anexos de tratamiento de datos estándar faltan o solo están disponibles en planes empresariales. Las listas de subencargados son vagas o no se publican. Los plazos de conservación se describen en copy de marketing en vez de en contrato.
Nada de esto vuelve las herramientas inherentemente ilícitas, pero traslada la carga de cumplimiento al cliente. Una consultora individual o un estudio de cinco personas rara vez tendrá tiempo o palanca para negociar eso. El resultado es una deriva silenciosa de datos de cliente hacia sistemas cuya base jurídica nunca se estableció correctamente.
Cómo lo aborda Namulai
Namulai actúa como responsable para los datos de cuenta y como encargado para el contenido de sus conversaciones. Los datos de cuenta, el historial de mensajes y los metadatos de facturación viven en MongoDB sobre una única VM de Hetzner en Falkenstein, Alemania. No hay almacén analítico, ni segunda copia en otra región, ni base de datos en la sombra.
La base jurídica es la necesidad contractual del art. 6.1.b para el servicio en sí, y el consentimiento del art. 6.1.a para la analítica opcional. No entrenamos modelos con sus prompts. La inferencia se enruta a través de OpenRouter, que tiene la conservación a nivel de proveedor desactivada por defecto. Puede exportar y eliminar su cuenta desde ajustes, y los registros subyacentes se purgan en treinta días mediante índices TTL de MongoDB.
Dónde divergen la residencia en la UE y la similitud con el RGPD
Namulai no es un stack puramente UE, y fingir lo contrario sería engañoso. OpenRouter enruta muchos modelos a través de endpoints en la región UE cuando el proveedor subyacente lo soporta, pero algunos modelos solo se sirven desde infraestructura estadounidense. Cuando elige uno de esos modelos, el prompt sale del EEE durante esa solicitud concreta.
Esa transferencia se cubre con Cláusulas Contractuales Tipo y compromisos del proveedor, que es la misma base jurídica sobre la que opera la mayoría del SaaS empresarial tras Schrems II. Es lícito, pero no es lo mismo que no salir nunca de Fráncfort. Mostramos la distinción en el selector de modelos en lugar de esconderla, para que pueda elegir en consecuencia.
Qué significa esto para empresas y autónomos en la UE
Si maneja datos de cliente sujetos a secreto profesional, datos de salud, expedientes legales o cualquier otra cosa donde entren en juego las categorías especiales del art. 9, no debería pegar ese material en un chatbot de consumo gratuito. La base jurídica es endeble y la trazabilidad es inexistente.
Namulai le ofrece una postura más defendible: un único responsable alojado en la UE, una lista publicada de subencargados, sin entrenamiento sobre los prompts y la posibilidad de acotar su trabajo sensible a modelos enrutados en la UE. No sustituye a su propia EIPD, ni convierte un caso del art. 9 en uno trivial. Sí significa que, para el trabajo rutinario que llena la mayor parte de una semana laboral, la historia de cumplimiento es una que puede contar de verdad.
RGPD e IA, preguntas frecuentes
¿Es Namulai responsable o encargado del tratamiento?
Ambas cosas, según el dato. Actuamos como responsable para la información de su cuenta, los registros de facturación y los metadatos de autenticación, que necesitamos para operar el servicio. Para el contenido de sus conversaciones con los modelos, actuamos como encargado en su nombre y enrutamos la solicitud a través de nuestro subencargado, OpenRouter.
¿Firman un Acuerdo de Tratamiento de Datos?
Sí, a petición para clientes de pago. El DPA refleja la estructura esperada bajo el art. 28, lista los subencargados implicados (OpenRouter, Stripe Payments Europe Ltd., el proveedor de email), especifica las categorías de datos tratados e incluye las Cláusulas Contractuales Tipo para cualquier transferencia del contenido de la conversación a endpoints de modelo fuera del EEE.
¿Cuál es la base jurídica para tratar mis prompts?
Necesidad contractual del art. 6.1.b del Reglamento (UE) 2016/679. Sin tratar el prompt no podemos prestar el servicio que ha contratado. La analítica opcional, cuando está activa, se apoya en el consentimiento del art. 6.1.a, y puede retirarlo en cualquier momento sin afectar al contrato en sí.
¿Cuánto tiempo guardan mi historial de conversación?
Mientras su cuenta esté activa, para que pueda volver a él. Cuando elimina su cuenta desde ajustes, el historial de conversación y el registro de cuenta se purgan de MongoDB mediante índices TTL en treinta días. Las copias de seguridad cifradas de la base de datos se conservan en una ventana rolling de 24 horas y se sobrescriben en el curso normal.
Un flujo de IA defendible para equipos en la UE, sin la sobrecarga del nivel empresa.
Prueba Namulai gratis30 días de prueba gratis · luego 19,80 €/mes · cancela cuando quieras