BlogPrivacy

Privacy-First AI: Why Your Assistant's Data Handling Matters More Than Its Capabilities

An AI that knows everything about you is only as trustworthy as its data handling. A deep dive into how Winston the Pug stores memories, handles OAuth, and stays GDPR-compliant.

W
Winston the Pug
March 20266 min read

Hay una pregunta que casi nadie piensa hacerle a su proveedor de asistente de AI: “¿Alguna vez habéis usado las conversaciones de un cliente para entrenar vuestros modelos de AI?”

La respuesta honesta, para la mayoría de los asistentes de AI comerciales, es sí, o al menos lo fue hasta hace poco. OpenAI, Anthropic, Google y la mayoría de las demás empresas de AI han usado históricamente las interacciones con clientes como datos de entrenamiento. Así es como mejoran los modelos.

Pero ¿y si no quieres eso? ¿Y si precisamente la gracia de tener una AI personal es que conoce detalles íntimos sobre tu familia, tu salud, tu trabajo, y tú explícitamente no quieres que nada de eso se acerque a un conjunto de entrenamiento?

“La AI más capaz del mundo sigue siendo un riesgo si no trata tus datos con el mismo respeto que tú.”


¿Por qué la gestión de datos es el verdadero problema de confianza con los asistentes de AI? #

Porque la mayoría de los asistentes se crearon priorizando primero la capacidad y tratando la privacidad como algo secundario, así que el conocimiento que tienen sobre ti también puede servir para mejorar el producto.

Todo asistente de AI que usas aprende de las personas que lo utilizan. OpenAI entrena GPT con conversaciones. Anthropic usa interacciones con Claude para mejorar. La mayoría de las empresas de AI lo dejan explícito en sus condiciones, normalmente en el octavo párrafo de un documento que nadie lee.

El problema no es que estas empresas sean malintencionadas. El problema es que el uso de datos para entrenamiento y la protección de la privacidad están estructuralmente enfrentados. Cuando tu asistente de AI lo sabe todo sobre ti, y ese conocimiento podría usarse para mejorar el producto, existe una tensión inherente que ninguna redacción de políticas resuelve del todo.

Este es el problema central de la mayoría de los asistentes de AI: no se diseñaron para casos de uso donde la privacidad fuera lo primero. Se diseñaron para ser capaces, y la privacidad se añadió después.


¿Qué datos almacena Winston the Pug y dónde? #

Tres categorías: historial de conversaciones, recuerdos estructurados y tokens de OAuth, cada una almacenada en un repositorio cifrado por usuario y nunca usada para entrenar modelos de AI.

Hay tres categorías de datos que Winston the Pug maneja:

1. Historial de conversaciones. Tu chat con Winston the Pug se almacena en nuestro sistema. Se usa para alimentar la memoria de tu AI, para que pueda hacer referencia a conversaciones anteriores, y para prestar el servicio por el que has pagado. Nunca se usa para entrenar modelos de AI. Esto está garantizado contractualmente, no solo por política.

2. Recuerdos. Son los hechos estructurados que Winston the Pug extrae y almacena sobre ti. Tu zona horaria. El nombre de tu pareja. El horario escolar de tu hijo. El fontanero que contrataste el octubre pasado. Almacenados en un repositorio de memoria cifrado, aislado por usuario, impulsado por GraphANN™, el almacén vectorial registrado ante la ICO.

3. Tokens de OAuth. Cuando conectas Gmail, Calendar o Drive, autorizas a Winston the Pug mediante OAuth. Recibimos un token de acceso y un token de actualización. Ambos se cifran en reposo. Solo solicitamos los permisos mínimos necesarios para hacer lo que nos has pedido.


Memoria, diseñada para la privacidad #

La mayoría de las empresas de AI usan bases de datos de memoria de terceros gestionadas por otros proveedores. Son buenos productos, pero no fueron diseñados con el aislamiento de usuarios como restricción principal.

Winston the Pug ejecuta su propio repositorio de memoria, diseñado desde cero con el aislamiento de usuarios como opción predeterminada. La memoria de Winston está impulsada por GraphANN™, el almacén vectorial registrado ante la ICO. La memoria de cada cuenta se cifra por separado. No hay contaminación cruzada, ni riesgo de infraestructura compartida, ni una función de “aislamiento de inquilinos” por la que tengas que pagar un extra.

“La privacidad no es una función que hayamos añadido. Es la arquitectura.”


¿Cómo cumple Winston the Pug con el GDPR? #

Winston the Pug está diseñado para cumplir las obligaciones del GDPR: tus conversaciones nunca se usan para entrenar modelos de AI, los tokens de OAuth se cifran en reposo y tu repositorio de memoria está aislado por usuario.

También contamos con un Delegado de Protección de Datos designado, publicamos informes de transparencia y mantenemos un registro detallado de tratamiento de datos conforme exige el GDPR. Todos los derechos que te concede la normativa están integrados en el panel de control, no enterrados en una cola de soporte.


Tus derechos, plenamente cubiertos #

Según el GDPR, tienes derecho a:

  • Acceder a tus datos
  • Corregirlos
  • Eliminarlos
  • Restringir el tratamiento
  • Portarlos a otro servicio

Todo esto está implementado en el panel de control de Winston the Pug, sin tener que enviar ningún correo a soporte ni esperar ningún plazo. Tus datos, tu control, al instante.

“Ponemos fácil marcharse porque creemos que las mejores relaciones con los asistentes de AI se construyen sobre confianza genuina, no sobre dependencia de los datos.”


¿Qué elimina realmente borrar tu cuenta? #

Todo: tu repositorio de memoria se borra en segundos, los tokens de OAuth se revocan de inmediato y los registros de conversación se purgan en un plazo de 30 días, sin eliminación reversible recuperable.

La mayoría de los servicios afirman que eliminan tus datos cuando lo pides. La realidad es más complicada: copias de seguridad, registros, copias en caché, bases de datos replicadas. En Winston the Pug, la eliminación es inmediata y exhaustiva.

Cuando eliminas tu cuenta:

  1. Tu repositorio de memoria se borra en segundos
  2. Todos los tokens de OAuth se revocan de inmediato
  3. Los registros de conversación se purgan en un plazo de 30 días

No existe ninguna “eliminación reversible” que mantenga tus datos recuperables. El derecho de supresión del GDPR exige la eliminación sin dilación indebida; nosotros superamos ese requisito.

Puedes exportarlo todo primero: una descarga completa de tus recuerdos, historial de conversaciones y datos de perfil en formato JSON estándar. Después, cuando tengas la certeza, eliminas.

Lectura relacionada: descubre cómo un asistente con memoria mantiene los recuerdos privados para ti, cómo un asistente proactivo sigue siendo respetuoso y en qué fijarte al elegir un asistente personal de AI.


La privacidad no es una función. Es la arquitectura. Prueba Winston the Pug. Tus datos siguen siendo tuyos.

Get started

Ready to try Winston the Pug?

Available on WhatsApp and Telegram, with Signal, Discord and Slack on the way. No new app needed.

View Pricing