IA soberana · RGPD · EU AI Act · Datos en la UE

LLM y RAG dentro de Dokuflex: tu IA empresarial bajo RGPD europeo

Tener un LLM que responda con tus contratos, expedientes y políticas sin enviar nada a un proveedor americano dejó de ser un proyecto de I+D. Dokuflex empaqueta LLM + RAG dentro del BPM, con datos en la UE, sin entrenamiento sobre tu corpus y con auditoría completa.

Sin reescribir tus procesos. Sin migrar tus documentos. Sin abrir un agujero de soberanía digital.

Pedir demo guiada Ver capacidades IA
Por qué importa
  • 100% datos en la UE: ES, DE, FR, NL. Sin Estados Unidos.
  • Cero entrenamiento de modelos sobre tus documentos.
  • Cita la fuente en cada respuesta — auditoría real.
  • Permisos heredados del BPM: cada respuesta respeta el ACL.
  • EU AI Act, RGPD, ENS Alta, ISO 27001 alineados.
D
Equipo IA de Dokuflex
Actualizado: 20 mayo 2026

Para DPOs, CTOs y responsables de compliance. Esta guía explica arquitectura, cumplimiento y operativa. Si quieres ver el LLM funcionando con tus propios documentos en un entorno aislado, pedimos una sesión guiada de 60 minutos.

El problema: ChatGPT no puede leer tus contratos

Los LLMs públicos (ChatGPT, Gemini, Claude vía claude.ai) son potentes, pero no conocen tu empresa. Si subes documentos para que los analicen, transfieres datos personales y secretos comerciales a un tercero, normalmente con servidores fuera de la UE.

La respuesta no es prohibir la IA — eso solo desplaza el problema al shadow-IT del empleado. La respuesta es ofrecer dentro de tu BPM un LLM que conozca tu documental, respete tus permisos y deje rastro auditable.

Esa es la promesa de RAG (Retrieval-Augmented Generation) implementado dentro de Dokuflex: el LLM no "sabe" nada de tu empresa, pero busca y cita tus documentos en cada consulta.

Qué es RAG, sin marketing

RAG = Retrieval-Augmented Generation. En vez de pedir al LLM que "recuerde" información de su entrenamiento (donde puede inventar), le damos un proceso de dos pasos:

  1. Retrieval (recuperación): el sistema busca en una base vectorial los fragmentos (chunks) de documentos más relevantes para la pregunta. La búsqueda es semántica, no por palabra clave.
  2. Generation (generación): el LLM recibe la pregunta del usuario más los fragmentos recuperados como contexto, y produce una respuesta basada solo en ese contexto, con citas a la fuente.

El efecto: el LLM responde sobre tus contratos, políticas y expedientes sin que esos documentos formen parte del entrenamiento del modelo. Y si la información no está en la base vectorial, el sistema responde "no encuentro información sobre eso" en vez de inventar.

Para una empresa europea, RAG resuelve tres problemas a la vez: alucinaciones, soberanía del dato y auditabilidad.

Arquitectura RAG dentro de Dokuflex

Estos son los componentes desplegados, todos en la UE, todos gobernados por el BPM:

Capa Componente Dokuflex Ubicación dato
Fuente documental Repositorio Dokuflex (expedientes, contratos, PDFs). UE (ES/DE/FR/NL)
Procesado (OCR + chunking) Pipeline de ingesta: OCR, segmentación semántica, limpieza de PII opcional. UE
Embeddings Modelo de embeddings europeo (Mistral, E5-multilingual, BGE-m3). UE
Vector store Base vectorial dedicada por cliente (pgvector, Qdrant, Weaviate). UE
Recuperación Hybrid search (semántico + BM25), filtros por permisos ACL. UE
LLM (generación) Mistral Large, Llama 3.1 / 3.3, Claude (AWS Bedrock EU), modelo Dokuflex on-prem. UE
Orquestación BPM Dokuflex con human-in-the-loop y aprobaciones. UE
Auditoría Log inmutable: pregunta, fuentes recuperadas, respuesta, usuario, timestamp. UE

El cliente elige el datacenter (España, Alemania, Francia, Países Bajos) y el modelo de LLM. Sin tránsito por EE.UU. en ningún momento del pipeline.

Casos de uso reales en Dokuflex

Cinco escenarios donde RAG produce valor inmediato dentro de un BPM:

Caso 1 · Legal

Asistente de contratos

"¿Qué cláusulas de penalización tenemos con el proveedor X?" — respuesta basada en los contratos firmados con cita al PDF y a la cláusula concreta.

Caso 2 · Atención al cliente

Buscador semántico de tickets

El agente describe el problema en lenguaje natural y el sistema recupera los tickets similares resueltos antes con su solución y tiempo medio.

Caso 3 · RRHH

Asistente de convenio colectivo

Empleado pregunta por días de permiso por mudanza y obtiene la respuesta exacta del convenio aplicable, con cita al artículo.

Caso 4 · Compliance

Búsqueda en políticas internas

"¿Cuál es nuestra política de retención de logs para datos financieros?" — responde citando el manual de compliance vigente.

Caso 5 · Banca / Seguros

Análisis de expediente

El analista pregunta por riesgos y excepciones en un expediente — el LLM resume documentos de KYC, balances y antecedentes, con citas.

Caso 6 · Operaciones

Redacción asistida con contexto

Redactor jurídico genera un escrito basado en plantilla + jurisprudencia interna + datos del expediente, con human-in-the-loop antes de firmar.

Cumplimiento RGPD: cómo se traduce a la práctica

Las exigencias del RGPD para IA aplicadas al RAG de Dokuflex:

  • Art. 5 · Minimización: el LLM solo recibe los chunks recuperados, no el corpus completo. Y solo los chunks que el usuario tiene autorizados.
  • Art. 6 · Base jurídica: tratamiento basado en el interés legítimo del responsable (mejora operativa) o ejecución contractual, registrado en el RAT.
  • Art. 22 · Decisiones automatizadas: Dokuflex insiste en human-in-the-loop para cualquier decisión que afecte a personas (RRHH, scoring crediticio). El LLM propone, la persona decide.
  • Art. 32 · Seguridad técnica: cifrado en reposo (AES-256), en tránsito (TLS 1.3), permisos heredados del BPM, logs inmutables.
  • Art. 44 · Transferencias internacionales: evitadas por diseño. Sin Schrems-II ni Schrems-III: el stack vive en la UE.
  • Art. 35 · Evaluación de impacto (EIPD/DPIA): proporcionamos plantilla de DPIA específica para el uso de RAG sobre datos personales.
  • Art. 15-22 · Derechos del interesado: derecho de acceso, rectificación y supresión propagados al vector store: si borras un documento del BPM, sus chunks desaparecen del índice y del cache.

EU AI Act: clasificación y obligaciones

El Reglamento (UE) 2024/1689 clasifica los sistemas de IA en cuatro niveles. La mayoría de casos típicos de Dokuflex caen en riesgo limitado o riesgo mínimo:

  • Asistente documental, búsqueda, resumen, redacción asistida: riesgo limitado → obligación de transparencia (informar al usuario de que interactúa con IA).
  • Clasificación de documentos, extracción de datos: riesgo mínimo → buenas prácticas, sin obligaciones específicas.
  • Decisiones que afectan a personas (RRHH, crédito): riesgo alto → human-in-the-loop, registro de modelo, DPIA, supervisión humana.

Dokuflex documenta en cada despliegue qué modelo se usa, qué proveedor, qué versión, qué datos se procesaron y con qué finalidad. Esa documentación cubre el requisito del registro de sistemas de IA que entra en vigor por fases en 2026-2027.

RAG en Dokuflex vs ChatGPT Enterprise / Microsoft Copilot

No reemplaza a ChatGPT general. Sí cubre los casos sensibles que no deberías mandar a un LLM externo:

Dimensión LLM/RAG Dokuflex ChatGPT Enterprise / Copilot
Ubicación dato UE (ES/DE/FR/NL) EE.UU. / UE según contrato (con DPF)
Entrenamiento con tus datos No, por contrato No, por contrato
Fuente UE del modelo Sí (Mistral, Llama vía Azure EU) No (OpenAI USA, Anthropic USA)
Permisos BPM heredados Sí, a nivel chunk Solo a nivel SharePoint/Drive
Citas a la fuente Obligatorio, con enlace al PDF Opcional, no siempre fiable
Auditoría completa Log inmutable exportable a SIEM Limitado a tenant
Integración con workflow Nativa: aprobaciones, firma, archivo Externa vía API

La regla práctica: ChatGPT para conocimiento genérico, Dokuflex RAG para tus documentos sensibles.

Cómo lo desplegamos en tu organización

  1. Discovery (1 semana): identificamos 2-3 casos de uso prioritarios y el corpus documental relevante. Validamos base legal (RAT, DPIA si aplica).
  2. Ingesta piloto (1 semana): indexamos 1.000-5.000 documentos del cliente en un vector store dedicado. OCR + chunking + embeddings.
  3. Validación con expertos (1 semana): usuarios reales prueban el LLM con preguntas reales, validan exactitud y citas. Tuning del prompt y de los filtros.
  4. Despliegue progresivo (2-4 semanas): escalado al resto del corpus, integración con flujos BPM, formación de equipos, métricas de adopción.
  5. Gobernanza continua: revisión mensual de adopción, calidad de respuestas, casos rechazados, evolución del modelo y del prompt.

Tiempo total para tener un primer caso de uso en producción: 4 a 8 semanas. Sin migrar tu BPM ni reescribir procesos.

Preguntas frecuentes

¿Qué es RAG y por qué importa en una empresa europea? +

RAG (Retrieval-Augmented Generation) es la arquitectura donde un LLM responde basándose en documentos reales recuperados en tiempo real de una base vectorial. En vez de inventar, cita. Importa en Europa porque permite usar IA sin enviar todo el corpus al modelo (minimización RGPD) y mantener trazabilidad: cada respuesta apunta a su fuente, requisito clave para auditoría y para el EU AI Act.

¿Mis datos se usan para entrenar modelos externos? +

No. En Dokuflex el LLM se invoca en modo inferencia sobre tus documentos vectorizados, pero los datos nunca se utilizan para entrenar ni reentrenar el modelo base. Los acuerdos con los proveedores de modelos (Mistral, Llama vía Azure EU, Claude vía AWS Bedrock EU, modelo Dokuflex on-premise) excluyen explícitamente el reentrenamiento sobre datos de cliente.

¿Dónde se alojan los datos y los embeddings? +

En la Unión Europea. El vector store, los documentos originales, los logs y los embeddings residen en datacenters localizados en España, Alemania, Francia o Países Bajos según el cliente. No hay transferencias a Estados Unidos, ni siquiera al amparo del Data Privacy Framework: Dokuflex evita el riesgo de Schrems-III configurando todo el stack dentro de la UE.

¿Cómo se controla qué documentos puede ver el LLM? +

El RAG de Dokuflex hereda los permisos del BPM: el LLM solo recupera fragmentos de documentos que el usuario tiene autorizado a ver. Un usuario de RRHH no podrá obtener respuestas basadas en contratos comerciales aunque pregunte por ellos. La autorización se evalúa en cada consulta a nivel de chunk, no a nivel de colección.

¿Esto cumple el EU AI Act? +

Sí, para los casos de uso típicos en Dokuflex (asistente documental, clasificación, extracción, redacción asistida) que son de riesgo limitado o mínimo. Incluimos las medidas exigidas: transparencia, trazabilidad con cita, human-in-the-loop, y registro de modelo y proveedor. Para casos de riesgo alto se aplica gobernanza adicional documentada.

¿Necesito GPUs o servidores caros? +

No. Dokuflex ofrece el LLM y el vector store como servicio gestionado en la UE: el cliente solo paga por consultas y por documentos indexados. Para clientes con requerimientos on-premise (defensa, sanidad pública, banca tier-1), existe versión instalable con modelos abiertos (Llama 3.1, Mistral) sobre infraestructura del cliente.

Próximo paso

IA empresarial soberana, en producción en 4-8 semanas

Reservamos una sesión guiada de 60 minutos para ver el LLM funcionando con tus propios documentos en un entorno aislado en la UE. Incluye plantilla DPIA, RAT y comparativa de modelos europeos.

Reservar demo guiada Ver capacidades IA Empieza gratis