Per què la vostra organització necessita V-PROOF i no una plataforma aliena a la Unió Europea

Per què la vostra organització necessita V-PROOF i no una plataforma aliena a la Unió Europea. V-PROOF Journal
Regulatory Intelligence AI Governance Sobirania Tecnològica
ANÀLISI ESTRATÈGICA · GARTNER MQ AI GOVERNANCE 2026 · MERCAT EUROPEU

Per què la vostra organització necessita V-PROOF
i no una plataforma aliena a la Unió Europea

Al juny del 2026, Gartner va publicar el primer Magic Quadrant d'AI Governance Platforms. Dels 13 vendors avaluats, cap no pertany a la Unió Europea. Mentre el EU AI Act exigeix ​​sobirania de la dada, la majoria d'organitzacions europees segueix avaluant eines subjectes a jurisdiccions alienes al marc jurídic de la UE – EUA, Regne Unit post-Brexit, o proveïdors d'origen asiàtic. Aquesta anàlisi explora per què aquesta decisió pot ser el risc regulador més gran de l'exercici.

Data · Juliol 2026
Tipus · Anàlisi comparativa
Cobertura · EU AI Act · RGPD · CLOUD Act · eIDES
Referència · Gartner MQ AI Governance, juny 2026
Troballes clau

El que aquesta anàlisi conclou

01
El CLOUD Act (2018) obliga qualsevol empresa d'origen nord-americana a lliurar dades a les autoritats dels EUA sota mandat judicial, independentment del país on estiguin allotjades aquestes dades. Això afecta totes les plataformes d'AI Governance amb seu als EUA — i també els proveïdors cloud americans (AWS, Azure, GCP) si el client allotja la seva infraestructura a les regions.
02
L' EU AI Act , RGPD i eIDAS exigeixen de manera conjunta que les dades de sistemes d'IA d'alt risc processats amb finalitats d'auditoria i certificació quedin sota control sobirà europeu. Usar una plataforma subjecta a CLOUD Act per gestionar aquesta evidència és una contradicció jurídica estructural.
03
V-PROOF Protocol és la primera plataforma espanyola i europea de certificació i implementació del EU AI Act amb evidència criptogràfica immutable i desplegament on-premise. Com a proveïdor espanyol, no està subjecte al CLOUD Act i no té accés a les dades del client. La sobirania completa requereix, addicionalment, que el client desplega sobre infraestructura amb seu legal a la UE.

Un mercat de 100+ vendors dominat per jurisdiccions alienes a la UE

Al juny de 2026, Gartner va publicar el seu primer Magic Quadrant for AI Governance Platforms , una fita que confirma la maduresa del mercat. Tretze vendors van ser avaluats. La conclusió del mateix Gartner és reveladora: "amb més de 100 vendors comercialitzant capacitats d'AI Governance, avaluar les opcions es pot tornar ràpidament aclaparador" . Molt pocs d'aquests productes, afegeix Gartner, satisfan les necessitats integrals dels líders d'AI Governance a nivell d'enterprise.

El que Gartner no diu explícitament, però que el mercat europeu hauria de llegir entre línies: cap dels 13 vendors avaluats no pertany a la Unió Europea. La majoria són d'origen nord-americà, però també n'hi ha de britànics (post-Brexit, fora de l'RGPD), i fins i tot d'origen asiàtic. Quan una organització espanyola o europea avalua un proveïdor d'AI Governance, està escollint, en la majoria dels casos, entre eines construïdes per a mercats aliens al marc jurídic europeu.

Aquesta asimetria —eines de països tercers per complir una norma de la UE— no és una qüestió de preferències. És una contradicció jurídica que els equips legals i els DPO de les organitzacions europees han de resoldre abans de signar cap contracte.

100+
Vendors posicionats a
AI Governance globalment
(Gartner, 2026)
13
Vendors avaluats al
primer Gartner MQ
AI Governance (jun. 2026)
€35M
Multa màxima EU AI Act
per incompliment
(Art. 99)

La jurisdicció del proveïdor: la clàusula que ningú no esmenta en els demos

Quan un proveïdor d'AI Governance aliè a la UE presenta la seva plataforma, mostra dashboards de compliance, mapejats del EU AI Act i fluxos daprovació de models. El que no apareix en cap diapositiva és la realitat jurídica de la seva seu legal: quin país pot requerir les seves dades, sota quina llei, i sense que ho pugui impedir.

El cas més documentat és l'americà:

La Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) permet a les autoritats judicials nord-americanes exigir a qualsevol empresa amb seu als EUA que lliuri dades emmagatzemades a qualsevol part del món, incloent-hi servidors ubicats a Europa. Aquesta obligació és unilateral: no requereix el consentiment del país on hi ha les dades ni passa pels mecanismes de cooperació judicial de la UE.

L'impacte directe sobre la gestió del EU AI Act és clar: si la vostra organització utilitza una plataforma americana per registrar la documentació tècnica dels seus sistemes d'IA d'alt risc -les dades d'entrenament, els registres d'auditoria, les avaluacions de risc, les metadades dels models-, aquesta informació pot, en teoria, quedar exposada a requeriments del govern dels EUA sense que ho sàpiga i sense que ho pugui impedir.

⚠ Risc regulatori identificat

L' EU AI Act , Art. 10 i 16 exigeixen que els proveïdors de sistemes d'alt risc mantinguin documentació tècnica i dades d'entrenament sota control adequat. El RGPD, Art. 28 i 46 restringeix la transferència de dades a tercers països sense garanties equivalents. Un proveïdor subjecte al CLOUD Act no pot garantir aquestes condicions amb certesa jurídica absoluta, independentment d'on siguin els servidors.

El risc no és hipotètic. Des del 2020, la tensió entre el CLOUD Act i el RGPD ha estat objecte de litigis, dictàmens del Supervisor Europeu de Protecció de Dades i anàlisi de la Comissió Europea. I el CLOUD Act no és l'únic vector: proveïdors amb seu al Regne Unit (post-Brexit), la Xina o qualsevol altre país fora de la UE estan igualment subjectes a marcs jurídics incompatibles amb el RGPD i el EU AI Act . La conclusió sempre és la mateixa: l'única solució estructural és triar proveïdors amb seu legal dins de la Unió Europea.

Els principals players del Gartner MQ i la seva bretxa de sobirania

A continuació es presenten els cinc players més rellevants del mercat d'AI Governance amb presència a Europa, la seva posició al Gartner MQ 2026 i la seva bretxa estructural per a organitzacions que han de complir EU AI Act sota sobirania europea. Cap no té seu legal a la Unió Europea.

Holistic AI
UK / US

Posició Gartner MQ: Challenger. Nº1 a AI Risk & Compliance Use Case. Plataforma end-to-end amb AI discovery, testing de biaix i enforcement de compliance. Sòlida cobertura tècnica de EU AI Act , NIST i ISO 42001.

Bretxa sobirania: Seu als EUA amb operacions UK. Infraestructura cloud. Dades processades fora del control on-premise del client. Sense alineació nativa eIDAS. Sense evidència criptogràfica immutable.
Monitaur
EE.UU.

Posició Gartner MQ: Visionary. Forrester Wave Customer Favorite. Forta en assegurances i serveis financers USA. Cicle de vida complet de models amb gestió de polítiques i validació automatitzada.

Bretxa sobirania: Focus primari en regulació americana (NY Local Law 144, NAIC). Limitada cobertura nativa EU AI Act . Cloud-based, infraestructura americana. CLOUD Act aplicable. Sense eIDES.
OneTrust AI Governance
EE.UU.

Posició Gartner MQ: Present al MQ. Mòdul d'AI Governance afegit a plataforma de privadesa/GRC líder. Ampli ecosistema d'integracions i base instal·lada enterprise a Europa.

Bretxa sobirania: AI Governance com a add-on de plataforma de privadesa, no nativa. Seu Atlanta, GA. Cloud-first. CLOUD Act aplicable. Sense evidència criptogràfica. Sense alineació eIDAS.
ServiceNow IRM
EE.UU.

Posició Gartner MQ: Present. Mòdul d'AI Risk integrat a la plataforma GRC enterprise. Alta adopció en grans corporacions amb ServiceNow ja desplegat com a ITSM.

Bretxa sobirania: AI Governance retrofit sobre GRC genèric. Sense cicle de vida de models. Sense evidència criptogràfica. Arquitectura SaaS amb dades a cloud americà. CLOUD Act aplicable. Sense eIDES.
IBM OpenPages MRM
EE.UU.

Posició Gartner MQ: Present. Històric de Model Risk Management a banca. Forta en sectors regulats amb models ML de scoring, risc de crèdit i underwriting.

Bretxa sobirania: Cobertura EU AI Act limitada i no nativa. Infraestructura IBM Cloud. CLOUD Act aplicable. Sense alineació eIDAS. Sense blockchain/DLT per a immutabilitat probatòria.
V-PROOF Protocol
Espanya · EU

Posició: Primera plataforma espanyola i europea de certificació i implementació del EU AI Act amb evidència criptogràfica immutable. Dissenyada des del primer dia per al marc regulador europeu.

Avantatge sobirania: V-PROOF no té accés a les dades del client i no està subjecta a requeriments del CLOUD Act com a proveïdor. La sobirania completa es garanteix quan el desplegament es realitza sobre infraestructura amb seu legal a la UE. SHA-256 + DLT immutable. EU AI Act nadiu. RGPD by design. eIDES alineat.

Matriu de sobirania: V-PROOF vs. plataformes alienes a la UE

La taula següent avalua els criteris estructurals que determinen si una plataforma d'AI Governance és compatible amb els requisits de sobirania del EU AI Act , RGPD i eIDAS per a organitzacions europees.

Criteri V-PROOF
Espanya · EU
Holistic AI
UK/US
Monitaur
EE.UU.
OneTrust
EE.UU.
ServiceNow
EE.UU.
Empresa d'origen europeu/espanyol
No subjecte al CLOUD Act dels EUA.
Desplegament on-premise (dades no surten del client)
Evidència criptogràfica immutable (SHA-256 + DLT)
Alineació nativa amb eIDAS 2.0
Verificació independent sense accés a la dada original
EU AI Act nadiu (no retrofitat) Parcial Parcial Parcial
Cicle de vida complet de models interns / LLMs Parcial
Human-in-the-Loop verificable amb ràtio IA/humà registrat Parcial Parcial
RGPD by design (no transferències a tercers països) Parcial Parcial Parcial
Cobertura Copyright & GenAI (datasets, opt-out, litigis) Parcial
API-first, integració CI/CD i entorn corporatiu existent

Font: anàlisi V-PROOF basat en documentació pública de cada vendor, Gartner MQ AI Governance Platforms (juny 2026) i marc regulador EU AI Act / RGPD / eIDAS. Cap dels vendors comparats té seu legal a la Unió Europea. "Parcial" indica cobertura incompleta o dependent de configuració específica.

El checklist de sobirania: 10 preguntes abans d'escollir la plataforma d'AI Governance

Abans de signar amb qualsevol proveïdor d'AI Governance, el DPO, el CISO i l'equip legal haurien de poder respondre afirmativament a aquests deu criteris. V-PROOF els compleix íntegrament.

1. Les dades mai no surten de la seva infraestructura?
Desplegament on-premise real. Ni metadades, ni hashes, ni documentació tècnica transiten per servidors externs al client.
RGPD Art. 28 · EU AI Act Art. 10
2. El proveïdor és fora de la jurisdicció del CLOUD Act?
V-PROOF és empresa espanyola: no pot ser requerida a lliurar dades de clients sota mandat americà. Nota: si el client utilitza infraestructura cloud americana (AWS, Azure US…), el proveïdor cloud sí que està subjecte al CLOUD Act. La protecció completa requereix infraestructura amb seu legal a la UE.
CLOUD Act (2018) · Schrems II TJUE · RGPD Art. 46
3. L'evidència és criptogràficament immutable?
SHA-256 + registre DLT a infraestructura pública. L'evidència no pot ser alterada retroactivament ni pel proveïdor.
EU AI Act Art. 12 · eIDAS Art. 41
4. El regulador pot verificar sense accedir al document original?
Verificació independent només amb el hash . L'auditor o regulador comprova la integritat sense veure'n el contingut confidencial.
EU AI Act Art. 14 · eIDAS 2.0
5. Cobreix el cicle de vida complet de models interns (LLMs)?
Des d'ingesta de dades i EDA fins a staging i producció. Cada versió amb V-Seal propi. Historial de models que no van superar avaluació també enregistrat.
EU AI Act Art. 53-55 (GPAI) · Art. 16
6. Registra la ràtio IA/humà amb identitat verificable?
Human-in-the-Loop verificable a l'origen. Autoria, rol i context normatiu registrats per acció, no per procés.
EU AI Act Art. 14 (human oversight)
7. Està alineat amb eIDAS 2.0?
Segellat temporal i proves criptogràfiques amb valor legal a tota la UE. Garanteix no repudi i autenticitat davant de procediments legals europeus.
eIDAS Reglament (UE) 910/2014
8. Cobreix obligacions de copyright i GenAI?
Documentació dorigen i ús de datasets amb granularitat legal. Controls de llicències i opt-out preparats per a litigis sobre IA generativa.
EU AI Act Art. 53(1)(c) · Directiva IP
9. S'hi integra sense modificar l'arquitectura existent?
API RESTful, SDKs nadius (Node.js, iOS, Android), GitHub Actions, CI/CD. Hard-Coded Compliance al flux operatiu existent. Sense redisseny.
EU AI Act Art. 16 · Implementació tècnica
10. La plataforma és nativa del marc regulador europeu?
Construïda des del primer dia per EU AI Act , RGPD i eIDAS, no retrofitada des d'un producte de compliment americà.
Disseny regulatori nadiu · Sobirania EU

Primera plataforma espanyola i europea de certificació i implementació del EU AI Act

Quan el EU AI Act entra en la fase d'obligacions més exigent -agost del 2026 per a sistemes d'alt risc de l'Annex III- el mercat europeu necessita proveïdors que no només coneguin el Reglament, sinó que hagin estat dissenyats específicament per a ell, des d'una jurisdicció compatible amb les seves exigències.

V-PROOF Protocol és la primera plataforma espanyola i, a la seva categoria específica d'evidència criptogràfica probatòria per a AI Governance, la primera europea. No va néixer com a plataforma de privadesa a la qual es va afegir un mòdul d'IA. No va néixer com GRC americà amb una capa de EU AI Act . Va néixer com a infraestructura de confiança per a l'economia de la IA, construïda sobre els principis del dret europeu.

V-PROOF Protocol · Posicionament

La primera capa de confiança tècnica construïda des d'Europa, per a Europa

Evidència criptogràfica immutable. Cicle de vida complet de models. Validació humana verificable. Alineació nativa amb EU AI Act , RGPD i eIDAS. Desplegament on-premise. Sense jurisdicció americana.

EU AI Act Natiu eIDAS 2.0 Alineat RGPD by Design On-Premise SHA-256 + DLT Sobirania Europea

La sobirania tecnològica no és un argument de vendes. És el requisit jurídic que emergeix de la intersecció entre el CLOUD Act, el RGPD, el EU AI Act i eIDAS. Les organitzacions europees que gestionin sistemes d'IA d'alt risc amb plataformes subjectes a jurisdicció americana estan assumint un risc legal que, al pitjor escenari, pot invalidar la seva pròpia evidència de compliment.

La pregunta no és si adoptar un estàndard d'AI Governance. La pregunta és si aquest estàndard serà vàlid davant del regulador europeu quan arribi el moment de presentar l?evidència.

V-PROOF PROTOCOL · Anàlisi estratègica de sobirania

V-PROOF al mercat europeu d'AI Governance: posició competitiva

Fortaleses estructurals diferencials davant de plataformes de tercers països

F
Fortaleses
  • Única plataforma europea amb evidència criptogràfica immutable (SHA-256 + DLT) per a AI Governance EU AI Act Art. 12 · eIDAS Art. 41
  • On-premise nadiu: V-PROOF no accedeix ni custodia dades del client. Com a proveïdor espanyol, no està subjecta al CLOUD Act. La sobirania plena es garanteix combinant V-PROOF amb infraestructura EU RGPD Art. 28 · Art. 46 · Schrems II
  • Cicle de vida complet de models ML/LLMs interns: de la ingesta de dades al desplegament en producció amb V-Seal per versió EU AI Act Art. 53-55 (GPAI)
  • Human-in-the-Loop verificable: ràtio IA/humà, identitat i rol registrats per acció en el flux operatiu EU AI Act Art. 14
  • API-first sense redisseny: integració a CI/CD, SAP, Salesforce, Oracle i 8+ ERPs. Sense fricció per a l'equip tècnic EU AI Act Art. 16 · Implementació
V-PROOF PROTOCOL · Pròxim pas

La vostra organització està usant una plataforma aliena a la UE per complir una norma europea?

Avaluem el vostre stack d'AI Governance actual, identifiquem l'exposició a jurisdiccions externes a la UE i dissenyem l'arquitectura d'evidència que la vostra organització necessita per a l'agost del 2026. Sense canviar la seva infraestructura.

Parlem →
Fonts i referències
  1. Reglament (UE) 2024/1689 del Parlament Europeu i del Consell - EU AI Act - Diari Oficial de la UE, juliol 2024.
  2. Gartner, Magic Quadrant per AI Governance Platforms - Lauren Kornutick, Sumit Agarwal, Priya Sundararaman, Nader Henein, Brandon Medford - 16 de juny de 2026.
  3. Gartner, Critical Capabilities for AI Governance Platforms — 17 de juny del 2026.
  4. Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) — 18 USC § 2713 — Govern dels EUA.
  5. Reglament (UE) 2016/679 - RGPD - Articles 28, 44-46, Transferències internacionals de dades.
  6. Reglament (UE) 910/2014 - eIDAS - Marc europeu d'identitat digital i serveis de confiança.
  7. Holistic AI, Holistic AI recollit en first-ever Gartner® Magic Quadrant™ for AI Governance Platforms — juliol 2026
  8. European Data Protection Supervisor, Preliminary Opinion on the interplay between CLOUD Act and EU data protection law — EDPS, 2021.

Oferit per V-Proof Protocol

Següent
Següent

Calendari d'aplicació de la EU AI Act : el que obliga avui i el que canvia amb el Digital Omnibus