Confidencialidad
Qué protege el sistema
Credenciales SIGED cifradas
La contraseña de SIGED se guarda cifrada con AES-256-GCM y se descifra únicamente del lado servidor, en el momento de sincronizar. La clave de cifrado vive en una variable de entorno dedicada del despliegue: no hay clave por defecto en el código, y si falta, el sistema falla en vez de cifrar con algo público.
Contraseñas de acceso con bcrypt
Las contraseñas de la plataforma se almacenan con bcrypt y salt por usuario (pgcrypto, del lado de la base). La verificación ocurre en la base: la contraseña en claro nunca se compara en la aplicación ni queda registrada.
Sesión firmada
La sesión es una cookie firmada con HMAC-SHA256 y con vencimiento. Un candado único —el middleware— cubre todas las herramientas y todas sus APIs: lo que no trae firma válida no entra, y las APIs responden 401 en lugar de redirigir.
Aislamiento por cuenta
Cada expediente, plazo, alerta, escrito y registro de auditoría está scopeado a su cuenta. Un usuario no puede leer los datos de otro, ni siquiera indirectamente a través de la analítica.
La analítica no puede leer lo sensible
Las consultas en lenguaje natural se traducen a SQL, y ese SQL corre en una transacción de solo lectura contra una lista blanca de tablas. Defensa en profundidad: la transacción impide escribir, y la lista blanca impide leer credenciales, hashes o datos de otras cuentas aunque el SQL generado lo intentara.
Auditoría y límites de uso
Cada uso de IA queda asentado —cuenta, usuario, tipo, modelo, fuentes— y hay límite de tasa por cuenta. El sistema puede responder quién consultó qué y con qué modelo.
Modelos y datos
Adónde va el texto de tu caso
Corresponde decirlo con todas las letras: en su configuración estándar, la plataforma no ejecuta los modelos de lenguaje en infraestructura propia, sino que los contrata por API a proveedores externos. El texto que se procesa —el expediente que subís, la consulta que escribís— se transmite a ese proveedor para producir la respuesta, siempre por conexión cifrada y sin quedar asociado a un perfil comercial. La plataforma no vende datos ni los cede a terceros con fines publicitarios.
Para despliegues que no admitan esa transmisión, el sistema soporta inferencia privada: el mismo circuito corriendo contra un modelo alojado en infraestructura del organismo o dedicada, sin salida a proveedores externos. Es una opción de despliegue, no la configuración por defecto — quien la necesite debe pedirla expresamente.
En sentido inverso: SIGED no alimenta el corpus. Los expedientes que sincronizás son tuyos y viven aislados en tu cuenta. El corpus se construye exclusivamente con fuentes públicas oficiales, y ningún caso de un usuario se incorpora a él.
Procedencia y licencias
Con qué derecho está cada fuente
- InfoLEG — legislación nacionalCC-BY 4.0
- datos.jus.gob.ar — datasets abiertosCC-BY 4.0
- SAIJ — normativa, jurisprudencia y doctrinafuente oficial
- Boletines oficiales (Nación, Misiones, Chaco)publicación oficial
La legislación nacional se toma del dataset abierto publicado bajo CC-BY, no del sitio web de InfoLEG: su aviso legal prohíbe expresamente la extracción automatizada del portal, invocando la Ley 11.723. Es una distinción que suele pasarse por alto y que define si un corpus es utilizable o es un pasivo. La atribución de las fuentes CC-BY es una obligación de la licencia, y por eso cada documento conserva su enlace a la fuente original.
Términos de uso
En qué términos se usa
- No es asesoramiento jurídico. Juris Expert es una herramienta de trabajo para profesionales del derecho y organismos públicos. No presta asesoramiento, no constituye opinión legal y no sustituye el criterio del profesional interviniente.
- Todo resultado es un borrador. Dictámenes, escritos, cómputos de plazo y datos analíticos son insumos para revisión. La responsabilidad por lo que se presenta ante un tribunal, y la firma, son de quien suscribe.
- Los plazos requieren confirmación. Ningún vencimiento se computa como confirmado sin intervención humana. Las alertas son un apoyo al control del profesional, no un reemplazo de su diligencia ni una garantía de completitud.
- Acceso institucional y personal. Las credenciales son personales e intransferibles. El uso queda auditado y sujeto a límites de tasa por cuenta.
- Credenciales de terceros. Al cargar credenciales de SIGED, el usuario declara ser su titular legítimo y autoriza su uso al solo efecto de sincronizar sus propios expedientes.
- Disponibilidad y exactitud. El corpus se ofrece según su estado de indexación, con los límites de cobertura publicados en la metodología. No se garantiza que esté completo ni actualizado a una fecha determinada: la verificación contra la fuente oficial es del profesional.
Privacidad
Qué datos se tratan
- Qué se guarda. Los datos de la cuenta (usuario, nombre, rol), las credenciales de SIGED en forma cifrada, los expedientes sincronizados con sus movimientos y documentos, los plazos y alertas, los escritos redactados y el registro de auditoría de uso de IA.
- Para qué. Exclusivamente para prestar el servicio a esa cuenta: sincronizar, computar plazos, redactar borradores y responder consultas. No se elaboran perfiles comerciales ni se cede información a terceros con fines publicitarios.
- Con quién se comparte. Con los proveedores de modelos de lenguaje contratados por API, únicamente el texto necesario para procesar cada pedido, según se detalla en Modelos y datos. Con nadie más.
- Aislamiento. Los datos de cada cuenta están separados de los del resto por diseño, y las herramientas de consulta no pueden alcanzarlos.
- Derechos del titular. El titular puede solicitar el acceso, la rectificación o la supresión de sus datos, y la baja de la cuenta con eliminación de las credenciales almacenadas, escribiendo por los canales institucionales del servicio.
- Secreto profesional. El material de un expediente es confidencial. El tratamiento descrito acá se realiza en carácter de encargado, por cuenta y orden del profesional o del organismo responsable de esos datos.
AccesoAuditable, aislado y con las fuentes en regla.
Si tu organismo necesita revisar el detalle técnico antes de aprobar el uso, la metodología y los límites del corpus están publicados.