Guía de Cumplimiento y Residencia de Datos para Smart Processing
Fecha: 03.09.2025 • Tiempo de lectura: ~12 minutos
Esta guía explica cómo Smart Processing utiliza servicios externos de IA, cuáles son los requisitos de cumplimiento relevantes por país/región y cómo puede cumplir con las regulaciones a través de la provisión regional (Residencia de Datos) y opciones configurables.
Nota Importante (no es asesoría legal)
Este artículo no constituye asesoría legal. Verifique los requisitos con su departamento legal/de protección de datos y firme los contratos necesarios (por ejemplo, DPA, SCCs) con sus procesadores/subprocesadores.
Resumen: ¿Qué servicios externos de IA utiliza Smart Processing?
Smart Processing puede utilizar, dependiendo del flujo de trabajo configurado, los siguientes servicios de Microsoft:
| Propósito | Servicio | Declaraciones clave sobre el procesamiento de datos |
|---|---|---|
| Clasificación/Extracción (Documentos) | Azure AI Document Intelligence | Procesamiento en la región de su ubicación de recursos del servicio; las entradas/resultados se almacenan temporalmente encriptados y se eliminan dentro de 24 horas. Los modelos personalizados permanecen en su región/suscripción. (Microsoft Learn) |
| Clasificación/Extracción (genérico, multimodal) | Azure AI Content Understanding | Procesamiento en la región de la ubicación de recursos de Content Understanding; los datos se mantienen temporalmente encriptados en Azure Storage y, si es necesario, se envían a Azure OpenAI para su posterior procesamiento (dentro del marco del servicio). (Microsoft Learn) |
| Modelo de IA generativa / Lógica de coincidencia | Azure OpenAI Service | Los prompts/salidas no se utilizan para el entrenamiento de modelos de OpenAI o Azure; procesamiento dentro de la geografía elegida (excepto en implementaciones Global/DataZone, ver más abajo); registros opcionales de monitoreo de abuso, accesos a datos específicos de la región. (Microsoft Learn) |
Recomendación
Configure todos los recursos de IA (OpenAI, Document Intelligence, Content Understanding) en la geografía objetivo donde sus datos deben permanecer (por ejemplo, UE). Para una estricta residencia de datos, no utilice implementaciones Global (ver más abajo). (Microsoft Learn, Microsoft Azure)
Flujos de Datos y Tipos de Datos en Smart Processing
| Tipo de dato | Ejemplos | Flujo típico |
|---|---|---|
| Contenido del documento | PDF, imagen, archivo adjunto de correo, XML | Carga → Clasificación/Extracción (DI/CU) → Resultados de vuelta en BC; procesamiento regional en DI/CU, almacenamiento temporal, eliminación oportuna. (Microsoft Learn) |
| Campos/Metadatos extraídos | Campos de encabezado/línea, montos, IDs | Devolución a Smart Processing; uso en plantillas/coincidencias; archivamiento opcional en Document Central. |
| Prompts/Salidas de IA | Sugerencias de coincidencia, notas de validación | Procesados a través de Azure OpenAI; sin propósito de entrenamiento; procesamiento en la geografía elegida (sin transferencia de datos a OpenAI.com). (Microsoft Learn) |
| Registros/Diagnósticos | Estado, errores, monitoreo de abuso | A nivel de servicio (Azure) puede haber almacenamiento temporal/revisión en caso de sospecha; opciones para desactivar/ajustar disponibles. (Microsoft Learn) |
Roles y Responsabilidades (modelo típico de GDPR)
- Su empresa: Responsable (Controller) de los datos personales procesados.
- Solución Simova/Smart Processing: Procesador (Processor) dentro de su entorno de BC.
- Microsoft (servicios de Azure): Subprocesador, que proporciona las funciones de IA configuradas (Azure OpenAI, DI, CU).
- Contratos y garantías: Firme/revise el DPA (Microsoft Products and Services DPA) y, para transferencias de datos a terceros países, las Cláusulas Contractuales Estándar (SCCs). (Microsoft Learn, Comisión Europea)
Región y Residencia de Datos: así se mantienen los datos "en casa"
Principio de Azure
La mayoría de los servicios de Azure le permiten establecer la región/geo para almacenamiento y procesamiento. Microsoft no almacena/procesa datos de clientes fuera de la geo elegida, excepto para resiliencia dentro de esta geo. (Microsoft Azure)
Especificidades de la UE
Con la Microsoft EU Data Boundary, los datos de clientes y datos personales para los servicios en línea empresariales de Microsoft (incluyendo Azure, Dynamics 365) se procesan/almacenan dentro de la UE. (Microsoft Learn, Microsoft)
Puntos específicos del servicio
-
Azure OpenAI
-
Prompts/Outputs no para fines de entrenamiento, sin transferencia a OpenAI.com; procesamiento en su geografía, excepto en implementaciones Global o DataZone (entonces el procesamiento se realiza en la zona respectiva, los datos en reposo permanecen en su geo). (Microsoft Learn)
-
Opción de ajustar/desactivar el registro de monitoreo de abuso (a solicitud); para implementaciones en el EEE, cualquier revisión humana se realiza por empleados en el EEE. (Microsoft Learn)
-
Document Intelligence
-
Procesamiento en la región del recurso; almacenamiento temporal (regional) para análisis asincrónico; eliminación en 24 h; los modelos personalizados permanecen en su región/suscripción. (Microsoft Learn)
-
Content Understanding
-
Procesamiento en la región; los datos se mantienen temporalmente encriptados en Azure Storage y luego se procesan dentro del marco del servicio (incluyendo Azure OpenAI). Tenga en cuenta las restricciones/regiones de vista previa. (Microsoft Learn)
Marco Legal (selección)
| Jurisdicción | Tema central | Importancia para usted |
|---|---|---|
| UE (GDPR) | Transferencias de datos a terceros países | Utilice SCCs/garantías adecuadas; revise el DPA y la Evaluación de Impacto de Transferencia. (Comisión Europea) |
| UE (AI Act) | Aplicación gradual (primeras prohibiciones 02.02.2025, obligaciones completas 02.08.2026) | Verifique si sus casos de uso son de alto riesgo y si se aplican las obligaciones de transparencia de GPAI. (DLA Piper, Estrategia Digital de Europa) |
| Reino Unido (UK GDPR) | Transferencias internacionales | Utilice IDTA/Adenda y BCRs para transferencias a terceros países. (ICO) |
| Suiza (nFADP) | Ley de protección de datos revisada desde 01.09.2023 | Verifique las obligaciones de información, DSFA, procesamiento por encargo, transferencias a terceros países. (KMU.admin.ch) |
| EE. UU. (California, CCPA/CPRA) | Derechos de los afectados/Opción de exclusión | Tenga en cuenta las obligaciones de información, solicitudes de eliminación, mecanismos de exclusión (si corresponde). (Departamento de Justicia de California, cppa.ca.gov) |
Lista de verificación de configuración (recomendada)
- Establecer elección de región
- Configure todos los recursos de IA (OpenAI, DI, CU) en la geo objetivo (por ejemplo, UE). Evite "Global" para una estricta residencia de datos; utilice DataZone solo si la zona cumple con su cumplimiento. (Microsoft Learn, Microsoft Azure)
- Minimización de datos
- Capture solo los campos necesarios; enmascare/sobrescriba campos sensibles, cuando sea posible.
- Verificar monitoreo de abuso (Azure OpenAI)
- Verifique el estado de registro y, si está aprobado, desactive/ajuste; documente la configuración. (Microsoft Learn)
- Cifrado y gestión de claves
- Estándar: TLS 1.2+ en tránsito, AES-256 en reposo; opcionalmente use CMK donde esté disponible. (Microsoft Learn)
- Plazos de eliminación y retención
- DI: eliminación automática generalmente dentro de 24 horas; OpenAI/BC-Copilot: almacenamiento temporal posible (por ejemplo, monitoreo de abuso hasta 24 h) – documentar internamente. (Microsoft Learn)
- Aseguramiento contractual
- DPA (Microsoft), SCCs para transferencias a terceros países, contratos de procesamiento por encargo con socios. (Microsoft Learn, Comisión Europea)
- Utilizar la frontera de datos de la UE (si el alcance es de la UE)
- Verifique si todos los servicios de Microsoft utilizados están bajo la EU Data Boundary. (Microsoft Learn, Microsoft)
Preguntas Frecuentes (FAQ)
¿Se utilizan nuestros datos para entrenamiento?
En Azure OpenAI, los Prompts/Outputs/Embeddings no se utilizan para el entrenamiento de modelos de OpenAI o Azure y no son accesibles para otros clientes o OpenAI. (Microsoft Learn)
¿Los documentos permanecen en la UE si utilizamos recursos de la UE?
Document Intelligence y Content Understanding procesan en la región del recurso; Azure OpenAI procesa en la geografía elegida (preste atención a las implementaciones Global/DataZone). (Microsoft Learn)
¿Cómo abordamos legalmente las transferencias a la UE?
Utilice SCCs/garantías adecuadas para terceros países; en el Reino Unido utilice IDTA/Adenda. (Comisión Europea, ICO)
¿Simova GmbH almacena datos?
No. No procesamos datos fuera de su entorno de Business Central.