La ciudadanía te confió sus datos. Las herramientas de IA están a un solo clic de pegar.
En ministerios, organismos, ayuntamientos y entidades públicas, el personal ya usa la IA para redactar cartas, resumir expedientes y traducir documentos. El riesgo no es que la usen, sino qué pegan en ella: expedientes de ciudadanos, números de identificación, casos, documentos confidenciales. Tracehold lo detecta en el dispositivo, antes de que llegue a la herramienta de IA, y mapea el uso disperso de IA frente a GDPR, NIS2, ISO 27001 y SOC 2 — con visibilidad sobre tu exposición a la Ley de IA de la UE incluida — mediante informes listos para auditoría.
Tracehold lo detecta antes de que salga del navegador:
Vemos lo que está a punto de ir a la IA justo donde trabaja el personal — antes de que salga del equipo.
Por defecto, el prompt nunca sale del navegador. Solo conocemos el tipo de hallazgo, su gravedad y el momento en que ocurrió.
En más de 2.200 herramientas y sitios de IA reconocidos — incluidos los datos personales de formato libre, que no tienen una forma fija.
Construido y alojado en la UE, con residencia de datos en la UE en todo momento.
La IA en la sombra no respeta las fronteras entre departamentos
La IA generativa no llegó a través de un proceso de compra pública, sino a través del navegador, en cada mesa, en cada organismo, todos a la vez. Útil, rápida, y a un solo pegado de enviar los datos de la ciudadanía a un tercero con el que tu organización nunca firmó un contrato. La intención casi siempre es hacer mejor el trabajo. La exposición es la misma, sea cual sea la intención.
Datos de ciudadanos y expedientes
Un trabajador social pega un expediente completo de un ciudadano —nombre, DNI/NIE, dirección, prestaciones o notas de salud— en una herramienta de IA para redactar una respuesta. Un funcionario resume el expediente de un solicitante. En ambos casos, datos personales regulados que salen del control público.
Documentos confidenciales
El personal introduce memorandos internos, anteproyectos de ley, expedientes de contratación, evaluaciones de licitaciones e informes restringidos en herramientas de IA para «resumir esto» o «mejorar la redacción». Datos de política sensible y datos personales acaban directamente en el prompt de un modelo público.
Dispersión entre organismos
Decenas de departamentos, agencias y entidades locales, cada uno adoptando la IA a su propio ritmo y sin una visión centralizada. Nadie puede responder a la pregunta básica —quién envía qué a qué herramienta de IA— así que el riesgo permanece invisible hasta que deja de serlo.
Construido para reconocer los datos que un organismo público no puede permitirse perder
Con más de 1.600 patrones de detección en más de 2.200 herramientas y sitios de IA reconocidos, Tracehold reconoce tanto los datos estructurados con una forma fija como los datos personales de formato libre que no tienen ninguna.
Datos de ciudadanos y personales
Nombres, fechas de nacimiento, direcciones, DNI/NIE y NIF, referencias de expedientes y datos de prestaciones o salud — incluidos nombres y direcciones sin formato fijo, que se escapan a las herramientas basadas solo en patrones.
Documentos confidenciales
Memorandos internos, informes restringidos, anteproyectos de política, expedientes de contratación y licitación, asesoría jurídica y código fuente — reconocidos como material confidencial, de modo que un simple «resume esto» no lo exporte sin querer.
Credenciales y claves
Claves de API, tokens de acceso, contraseñas, claves privadas y cadenas de conexión ocultas en código o configuraciones pegadas — detectadas antes de que lleguen a un asistente de IA y pasen a ser de otro.
Lo detecta en origen
La detección se ejecuta en el dispositivo, en el navegador, en el momento en que algo está a punto de enviarse a una herramienta de IA — escrito, pegado, subido como archivo o incrustado en una captura de pantalla. El prompt nunca sale del navegador por defecto — no hay proxy ni copia de los datos de la ciudadanía en nuestro lado.
Avisar, redactar o bloquear — tu política
Los casos de bajo riesgo reciben un aviso claro. La parte sensible puede eliminarse para que el resto continúe. Los pegados de alto riesgo se bloquean directamente, con un mensaje que explica el motivo — para que el personal aprenda, no solo se detenga.
Cubre todo el puesto de trabajo
Más allá de la extensión de navegador, Tracehold llega al escritorio, a las herramientas de desarrollo y terminal, a Outlook y a soportes extraíbles como memorias USB — de modo que la protección sigue al trabajo, no solo a una pestaña.
Entidades con nombre que tú decides vigilar
Añade tu propia lista de nombres sensibles — nombres de organismos y departamentos, nombres en clave de proyectos confidenciales, cargos designados, contratistas clave— y Tracehold los detecta con exactitud, allí donde aparezcan, además de los patrones incorporados.
Una herramienta que protege los datos públicos — sin convertirse en una dependencia extranjera
Para un organismo público, dónde vive la herramienta importa tanto como lo que hace. Tracehold está construido y alojado en la UE, con residencia de datos en Europa. Y como la mayor parte del trabajo de detección ocurre en el dispositivo y no en nuestra nube, los datos de la ciudadanía no tienen adónde viajar, para empezar.
Construido y alojado en la UE
Tracehold está construido y alojado en Europa, con residencia de datos en la UE — así la herramienta que protege los datos públicos no se convierte en un nuevo problema de transferencia transfronteriza.
Comprensión del lenguaje en el dispositivo
La detección por patrones, checksums y entidades nombradas se ejecuta localmente en el navegador — ningún texto sale del dispositivo en esa capa. Solo si tu organización activa la capa semántica más profunda llega algo de texto a un servidor, y aun así se procesa en nuestra propia infraestructura de la UE, sin entregarse nunca a un modelo de un tercero.
Solo metadatos por defecto
Incluso en un despliegue gestionado, solo los metadatos —tipo de hallazgo, gravedad, marca de tiempo— llegan al backend. El contenido del propio prompt nunca lo hace por defecto.
Construido, alojado y operado en la UE
Tracehold está construido y alojado en Europa, con residencia de datos en la UE. La detección ocurre en el dispositivo por defecto, así que el prompt se queda justo donde trabaja tu personal — antes incluso de necesitar ir a ningún sitio.
Sin puerta trasera maestra, sin «confía en nosotros» — las protecciones están integradas en cómo funciona el producto. Descubre cómo protegemos tus datos →
El uso descontrolado de IA afecta a todos los marcos normativos a los que responde un organismo público
Los organismos públicos están sujetos a algunas de las obligaciones más estrictas de Europa. Un mismo pegado puede infringir más de una normativa a la vez — y en España, el Esquema Nacional de Seguridad eleva aún más el listón.
GDPR
Pegar los datos personales de un ciudadano en una herramienta de IA pública puede constituir una transferencia ilícita a un tercero. Detectarlo en el dispositivo evita que ese dato salga alguna vez del control público.
NIS2
Las administraciones públicas entran en el ámbito de una gestión y rendición de cuentas más estrictas del ciber-riesgo. Demostrar control sobre cómo salen los datos hacia herramientas de IA —con un rastro de auditoría— forma parte de demostrar que gestionas ese riesgo.
ENS (España)
El Esquema Nacional de Seguridad regula cómo protegen la información y los sistemas los organismos públicos españoles. Tracehold está alineado y mapeado con el ENS — controlar el flujo de datos hacia herramientas de IA respalda esas medidas. No afirmamos estar certificados en ENS.
Ley de IA de la UE
A medida que los servicios públicos adoptan la IA, necesitas saber dónde y cómo se usa, y gobernarla. Tracehold mapea tu uso real de IA para que puedas gobernarla en lugar de adivinarla.
Un mapeo de cumplimiento que puedes presentar a dirección y a los auditores
Tracehold mapea tu exposición real de IA frente a GDPR, NIS2, ISO 27001 y SOC 2, y te da una visión en vivo de tu exposición a la Ley de IA de la UE junto a ella. En lugar de una revisión anual, obtienes una vista clara y siempre actualizada que evoluciona con tu riesgo — y la evidencia que la respalda cuando un auditor o tu autoridad de protección de datos la pida.
Riesgo, no teatro
El mapeo refleja lo que tu personal está haciendo realmente con la IA hoy —qué se detecta, con qué frecuencia, con qué gravedad— y no una lista de comprobación puntual desactualizada a la hora de comer.
Evidencia bajo demanda
Cada hallazgo deja un rastro de auditoría con solo lo esencial —tipo, gravedad, marca de tiempo— para que puedas demostrar diligencia ante un auditor sin exponer los datos subyacentes.
Alineado, y honesto al respecto
Tracehold está alineado y mapeado con el ENS, PCI-DSS y SOC 2, con la certificación ISO 27001 en curso. Te decimos exactamente qué está certificado y qué está mapeado — nunca más de lo que es.
De «creemos que estamos bien» a «aquí tienes el panorama»
La mayoría de los organismos públicos no pueden responder a una pregunta sencilla de dirección: ¿cuántos datos de la ciudadanía están yendo a la IA ahora mismo, en todos nuestros organismos? El mapeo de cumplimiento la responde — y muestra la tendencia a medida que tus controles hacen efecto.
El mapeo cubre GDPR, NIS2, ISO 27001 y SOC 2 en una sola vista, además de visibilidad sobre tu exposición a la Ley de IA de la UE. Descubre el cumplimiento en profundidad →
Semanas, no meses — sin proxy, sin cirugía de red
Un organismo público no puede incorporar un nuevo proxy en línea en su red a la ligera. Tracehold se despliega como una extensión de navegador que distribuyes con la gestión de dispositivos que ya usas — así el equipo de seguridad mantiene el control y la red permanece intacta.
Distribuido a través de tu MDM
Despliega la extensión de forma centralizada mediante Microsoft Intune o cualquier MDM estándar, vinculada a tu proveedor de identidad —Microsoft Entra ID u Okta—. Sin un agente que tu equipo de endpoints tenga que vigilar, sin puerta de enlace en línea.
Empieza solo con observación
Comienza con un piloto que observa e informa sin bloquear a nadie. Ves exactamente qué se detectaría —y dónde está tu exposición real, en todos los organismos— sin ninguna interrupción del trabajo antes de activar la aplicación de políticas.
Se integra en tu ecosistema
Los hallazgos fluyen a Splunk o Microsoft Sentinel y las alertas a Slack o Microsoft Teams. Alojado en la UE con residencia de datos en la UE en todo momento.
Empieza gratis, escala hacia el gobierno del dato
Precios honestos y publicados. Empieza en el dispositivo de forma gratuita, añade visibilidad gestionada e informes de cumplimiento cuando estés preparado.
Free
Se ejecuta enteramente en el dispositivo. Sin cuenta, sin backend — nada de lo que escribe tu personal se envía a ningún sitio.
Ver qué incluyeInsight — 40€/usuario·mes
Visibilidad gestionada sobre la exposición a la IA en todos tus organismos, con informes basados solo en metadatos y mapeo de cumplimiento en vivo.
Ver InsightGovernance — 60€/usuario·mes
Aplicación completa de políticas, rastro de auditoría e integraciones para equipos de seguridad y cumplimiento que necesitan demostrar control.
Habla con nuestro equipoLo que preguntan primero los compradores del sector público
¿Llegan alguna vez los datos de la ciudadanía a Tracehold?
¿Dónde está alojado Tracehold y crea un nuevo riesgo de soberanía?
¿Cómo ayuda con el GDPR, NIS2, el ENS y la Ley de IA de la UE?
¿Estáis certificados — ISO 27001, ENS, SOC 2?
¿Puede cubrir muchos organismos y departamentos a la vez?
¿Con qué rapidez podemos estar protegidos?
Descubre lo que tu organización ya está enviando a la IA
Inicia un piloto solo de observación y obtén una imagen clara y honesta de dónde se están filtrando los datos de la ciudadanía y los documentos confidenciales hacia herramientas de IA — en todos tus organismos, sin ninguna interrupción para tu personal. Referencias disponibles bajo NDA.