Hablemos
INICIOSOBERANÍA Y GOBERNANZA

La totalidad del procesamiento de los datos de nuestros clientes ocurre en infraestructura europea.

Sin matices, sin asteriscos, sin proveedor extracomunitario con acceso operativo. Esto es soberanía estricta de datos y operativa, no soberanía marketing. Los compromisos siguientes son cláusulas que firmamos con nuestros clientes. Son auditables.

01 — LAS CINCO CLÁUSULAS CORE

Compromisos contractuales que firmamos con cada cliente.

Estas no son aspiraciones. Son cláusulas que forman parte del cuerpo del contrato, no de un anexo. Son auditables.

1. Prohibición de subcontratación sin autorización

Si necesitamos involucrar a un tercero en el procesamiento de tus datos, tienes que aprobarlo expresamente. No hay subcontrataciones silenciosas.

2. Prohibición de transferencia fuera del EEE

Tus datos no salen del Espacio Económico Europeo en ningún momento. Eso incluye no usar APIs de proveedores extracomunitarios aunque tengan modos UE.

3. Devolución o destrucción de datos al final

Cuando termina la relación, recuperas tus datos o se destruyen. No quedan copias residuales en nuestros sistemas.

4. Notificación de brechas en plazos RGPD

Si ocurre cualquier incidente, te notificamos en los plazos del RGPD (72 horas a la AEPD si procede). Tú no te enteras por la prensa.

5. Prohibición de uso de datos para entrenamiento

Tus datos no se utilizan para entrenar modelos de IA. Ni los nuestros, ni los de terceros. Ni siquiera de forma anonimizada salvo que tú lo autorices expresamente.

02 — INFRASTRUCTURA

Operamos sobre Arsys, partner certificado con datacenter en España.

Arsys es proveedor español con certificaciones ISO 27001 e ISO 27017. Somos partner reconocido desde octubre de 2025 (anuncio público en prensa sectorial Channel Partner y MuyCanal).

La cadena de soberanía operativa real es: cliente firma con CloudSoft SL → operación bajo PaellaSoft → infraestructura sobre Arsys → datacenter España. Cada eslabón es trazable.

Para clientes con requisitos adicionales podemos desplegar en cloud privado dedicado u, opcionalmente, en infraestructura del propio cliente (on-premise estricto).

03 — IA SOBERANA

Modelos open weights en infraestructura controlada. Cero APIs de hyperscalers de IA.

Trabajamos exclusivamente con modelos de IA de pesos abiertos. Los descargamos, los ejecutamos en nuestra infraestructura (o la del cliente), y mantenemos control completo sobre dónde y cómo se procesan los datos.

LLMs en producción

Llama 3.1 8B · Llama 3.3 70B · Llama 3.1 405B · Mistral Small 24B · Code Llama 13B · Teuken 7B (europeo) · GPT-OSS 120B

Imagen y embeddings

Stable Diffusion XL · Flux-1 Schnell · BGE M3 multilingüe · paraphrase-multilingual-mpnet

Stack de orquestación: Ollama + Spring AI + pgvector (PostgreSQL) + código propio. Sobre Arsys (España, ISO 27001).

En proyectos de cliente no recurrimos a APIs de OpenAI, Anthropic, Google, Cohere, Azure OpenAI ni equivalentes. Ni siquiera con flag de no-entrenamiento.
04 — CUMPLIMIENTO NORMATIVO

ENS categoría media documentado. RGPD UE+ES. DPO externo profesional.

RGPD UE (2016/679) y LOPDGDD: DPO externo designado (Idees Normativas). Cláusulas core en contratos. Cooperación con DPO del cliente.

ENS (RD 311/2022): Categoría media. Declaración de aplicabilidad documentada. Disponible para auditoría.

ISO 27001 / ISO 27017: Heredadas de Arsys. PaellaSoft mantiene políticas internas formales alineadas.

Nota de transparencia: PaellaSoft no está certificada directamente en ISO 27001. La infraestructura sobre la que operamos (Arsys) sí lo está. Los clientes nos auditan formalmente como condición de contrato.

05 — LA GOBERNANZA ES DEL CLIENTE

No imponemos gobernanza. La sostenemos.

Gobernanza del dato significa quién decide qué, cuándo y cómo se procesan los datos. Esa decisión es del cliente, no del proveedor. PaellaSoft no impone gobernanza: sostiene la que el cliente define.
Nuestra arquitectura técnica, nuestra cadena de subprocesadores y nuestras cláusulas contractuales están diseñadas para que el cliente pueda ejercer su gobernanza con auditabilidad real, sea cual sea su marco de referencia.

En cada proyecto: el DPO del cliente decide. Nosotros documentamos, ejecutamos, auditamos.

06 — PRUEBAS VERIFICABLES

Hechos que puede verificar cualquiera.

  • 1. Adjudicación pública del expediente ICO_2025_31 — verificable en PDF de transparencia del ICO.
  • 2. IA en producción para clientes en sectores regulados (NuBu, Exseluwa, Ingedop con PIMA) — confirmable bajo NDA.
  • 3. Partner reconocido de Arsys desde octubre 2025 — prensa sectorial Channel Partner y MuyCanal.
  • 4. Proveedor técnico en proyecto europeo H2020 Stance4Health — verificable en CORDIS de la Comisión Europea.
  • 5. ENS categoría media, declaración de aplicabilidad disponible para auditoría.
  • 6. Cero brechas notificables registradas hasta la fecha.

¿Tu proyecto encaja en alguna de estas seis áreas?

Si es así, hablemos. Si no, también: te diremos con honestidad si podemos ayudarte.
Cuéntanos tu proyecto