Transparencia sobre el uso de IA
Última actualización: 3 de mayo de 2026
1. Qué es Centinela AI
Centinela AI es un asistente de ciberseguridad que utiliza modelos de inteligencia artificial para responder preguntas y analizar documentación en el contexto de la normativa española y europea (RGPD, LOPDGDD, ENS, NIS2, DORA, ISO 27001, etc.).
2. Modelos de IA utilizados
Centinela AI utiliza modelos de lenguaje de gran tamaño (LLM) de varios proveedores y selecciona automáticamente el mejor para cada consulta en función de complejidad, velocidad y coste.
- Claude Sonnet 4.6 (Anthropic) — modelo premium para consultas complejas de normativa, análisis documental y razonamiento largo.
- GPT-4o (OpenAI) — modelo premium para respuestas estructuradas y consultas multiformato.
- GPT-4o mini (OpenAI) — modelo premium optimizado para respuestas rápidas y tareas de baja complejidad.
- Llama 3.3 70B (Groq) — modelo open-source de alta calidad disponible también en el plan gratuito.
Un router automático decide en cada mensaje qué modelo usar según el tipo de pregunta y el plan del usuario. La etiqueta del modelo que ha respondido aparece bajo cada mensaje del asistente, junto con un indicador de si se activó la base de conocimiento (RAG).
Estos modelos se combinan con una base de conocimiento propia sobre normativa, guías oficiales y documentación aportada por el usuario (técnica conocida como RAG, Retrieval Augmented Generation).
3. Fuentes de conocimiento
Para construir las respuestas, Centinela AI combina varias capas de conocimiento:
- Normativa oficial indexada: RGPD, LOPDGDD, ENS (RD 311/2022), NIS2, DORA, Anteproyecto de Ley de Ciberseguridad, guías CCN-STIC, guías y criterios AEPD, informes INCIBE.
- Casos reales: resoluciones de la AEPD (expediente, infractor, importe, fecha y enlace), casos del ENS y preguntas frecuentes categorizadas.
- Vulnerabilidades: base de datos NVD/CVE actualizada periódicamente para consultas de seguridad técnica.
- Estándares y frameworks: ISO 27001 y familia, NIST CSF, OWASP, CIS Controls.
- Tus documentos: políticas, contratos o auditorías que subes al chat se indexan con búsqueda semántica (embeddings) y solo son accesibles desde tu cuenta.
- Búsqueda web en tiempo real cuando activas esa opción explícitamente en el chat.
La base de conocimiento se actualiza con un proceso recurrente (cron) para incorporar novedades normativas y nuevas resoluciones.
4. Cómo se generan las respuestas
- Tomamos tu consulta y, si procede, buscamos fragmentos relevantes en la base de conocimiento interna y/o en tus documentos.
- Enviamos al modelo de IA un contexto compuesto por tu pregunta y los fragmentos más relevantes.
- El modelo genera una respuesta en lenguaje natural, que se devuelve en el chat con formato estructurado.
Cuando la respuesta se basa en fuentes externas (web) o internas (normativa/documentos), se indica mediante referencias entre corchetes, por ejemplo [1], [K1], etc.
5. Tratamiento de datos y privacidad
- No entrenamos modelos propios reutilizando tus conversaciones o documentos sin tu consentimiento explícito.
- Los proveedores de IA que utilizamos operan bajo sus respectivos acuerdos de tratamiento de datos (DPA) que limitan el uso de la información exclusivamente a la prestación del servicio.
- Aplicamos medidas de seguridad como cifrado en tránsito (TLS) y en reposo, control de acceso autenticado y trazabilidad de uso.
- Para más detalle, consulta la Política de privacidad.
5a. Mapa de proveedores técnicos y jurisdicciones
A continuación se indica dónde se procesa cada tipo de dato cuando usas Centinela AI, para facilitar la diligencia de contratación profesional.
| Proveedor | Qué procesa | País/región habitual | Garantía transferencia |
|---|---|---|---|
| Anthropic | Inferencia LLM (Claude). Procesa el texto de la consulta y el contexto enviado al modelo. | EE.UU. | CCT / DPA Anthropic. No usa datos de API para entrenar modelos. |
| OpenAI | Inferencia LLM (GPT-4o, GPT-4o mini). Mismo alcance que Anthropic. | EE.UU. | CCT / DPA OpenAI. Zero Data Retention disponible bajo solicitud empresarial. |
| Neon (AWS) | Base de datos PostgreSQL: cuentas, conversaciones, documentos, logs de uso. | UE (eu-west-2 / eu-central) | DPA Neon. Datos en región UE; sin transferencia EEE salvo respaldo. |
| Upstash | Índice vectorial RAG (embeddings de normativa interna). No contiene datos personales identificativos. | UE (eu-west-1) | DPA Upstash. |
| Vercel | Alojamiento y ejecución de la aplicación (edge/serverless). Procesa peticiones HTTP. | UE edge + origin EE.UU. | DPA Vercel / CCT donde proceda. |
| Stripe | Pasarela de pago. Solo procesa datos de pago; Centinela AI nunca almacena datos de tarjeta. | UE / EE.UU. | DPA Stripe / CCT. |
| Tavily | Búsqueda web en tiempo real, solo si el usuario activa esa función. Recibe la consulta de búsqueda, no el historial de chat. | EE.UU. | Términos de servicio Tavily; activación explícita del usuario. |
Para contratación profesional con documentos o datos sensibles, solicita el DPA completo (art. 28 RGPD) a contacto@centinela-ai.es. Las transferencias a terceros países se amparan en Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, en aplicación del marco post-Schrems II.
6. Límites y advertencias
- Centinela AI es una herramienta de apoyo y no sustituye el asesoramiento legal profesional.
- Aunque trabajamos para minimizar errores, puede haber respuestas incompletas o desactualizadas. Recomendamos contrastar siempre la información con fuentes oficiales.
- Nunca debes utilizar Centinela AI para planificar actividades ilícitas o vulnerar sistemas sin autorización.
7. Contacto y feedback
Si tienes dudas sobre el uso de IA en Centinela o quieres reportar un posible error en una respuesta, puedes escribirnos a contacto@centinela-ai.es.