Guía técnica y de negocio para implantar RAG respetando permisos reales de SharePoint, Drive, Confluence o repositorios documentales.

📌 En resumen
Los permisos son la parte más crítica de un RAG empresarial: el asistente solo debe poder responder a cada usuario con los documentos que esa persona ya tiene autorizado ver. Para lograrlo hay que propagar los permisos del origen (SharePoint, drive) al sistema de recuperación y filtrar por usuario en cada consulta (security trimming). Sin esto, un chatbot interno puede convertirse en una fuga de información que expone documentos a quien no debe.
Un RAG que funciona técnicamente pero ignora los permisos es un problema de seguridad, no una solución. Si cualquiera puede "preguntarle" al chatbot algo que está en un documento al que no tiene acceso, has abierto una brecha. Por eso los permisos son el primer requisito de diseño de un copilot con RAG para empresa, no un añadido posterior.
Porque un RAG da acceso conversacional a tus documentos: si no respeta quién puede ver qué, expone información. El riesgo no es teórico: un usuario podría obtener datos de nóminas, contratos o proyectos confidenciales simplemente preguntando, aunque no tenga acceso al archivo. El asistente debe heredar exactamente los permisos que ya existen, ni más ni menos.
La técnica se llama security trimming: en cada consulta, el sistema filtra los fragmentos recuperados según los permisos del usuario que pregunta, de modo que solo se usan documentos a los que tiene acceso. Para ello hay que llevar los permisos (ACL) del origen al índice de recuperación y comprobarlos en tiempo de consulta. Es clave cuando las fuentes son SharePoint, drive o Confluence, donde cada documento ya tiene sus accesos.
| Enfoque | Cómo funciona | Cuándo encaja |
|---|---|---|
| Filtrado por usuario (ACL) | Hereda permisos del origen en cada consulta | Caso general; el más seguro |
| Por grupos/roles | Acceso según el rol del usuario | Estructuras de permisos simples |
| Índices separados | Un índice por nivel de confidencialidad | Pocos niveles, muy diferenciados |
Más allá del acceso, hay que cumplir con la protección de datos: minimizar qué se indexa, controlar dónde se procesa y guardar trazas. Un RAG con datos personales entra en el ámbito del RGPD y, según el uso, del AI Act. Lo desarrollamos en RGPD en un copilot con RAG. Permisos y cumplimiento van de la mano.
Siguiente paso recomendado
Asistente interno sobre documentos con permisos, trazabilidad y fuentes citadas.
Sin compromiso · Respuesta en < 24h
Autor
Fundador y Consultor de Datos e IA
David Aldomar es fundador y consultor principal de MERIDIAN Data & IA, consultora especializada en ayudar a pymes y empresas medianas en España a tomar mejores decisiones con sus datos. Su trabajo se centra en cuatro áreas: diseño e implantación de plataformas de datos (data warehouses, pipelines ETL con dbt, integración de ERPs y CRMs), reporting y dashboards ejecutivos en Power BI, automatización de procesos de negocio con herramientas como n8n, y desarrollo de soluciones de inteligencia artificial aplicada — desde modelos de forecasting de demanda hasta copilots internos basados en RAG con LangChain y FastAPI. Ha liderado proyectos en sectores como logística y transporte, retail y distribución, servicios financieros, manufacturing y construcción, siempre con un enfoque pragmático: diagnóstico corto, entregables concretos y transferencia de conocimiento al equipo del cliente para que sea autónomo desde el primer día. Antes de fundar MERIDIAN, acumuló experiencia en consultoría de datos y transformación digital trabajando con stacks variados — desde entornos Microsoft (SQL Server, Power BI, Azure) hasta ecosistemas open source (Python, dbt, BigQuery). Su filosofía es que un buen proyecto de datos no se mide por la tecnología que usa, sino por las decisiones de negocio que permite tomar. Escribe regularmente en el blog de MERIDIAN sobre reporting, gobierno del dato, automatización e IA aplicada, con guías prácticas orientadas a responsables de negocio y equipos técnicos de empresas que quieren sacar partido real a sus datos sin depender de grandes consultoras.
Fuentes
Seguir leyendo
8 min lectura
13 min lectura
17 min lectura
14 min lectura
8 min lectura
Última revisión: