Privacidad y almacenamiento de datos
La premisa de diseño de Piixie es que tus documentos son demasiado sensibles para subirlos. Esta página detalla qué significa eso en la práctica.
Qué se queda en local
Sección titulada «Qué se queda en local»En la configuración por defecto (modelo local), todo:
- El documento original se lee desde donde está; Piixie no lo copia a otro sitio
- La inferencia ocurre en un proceso
llama-serverde tu equipo, escuchando en localhost - La copia anonimizada se escribe en la carpeta que elegiste
- El historial de ejecuciones y las tablas de sustitución van a una base de datos SQLite local
En esta ruta no hay cuenta, ni telemetría, ni componente en la nube. Tras la descarga única del modelo, la anonimización funciona sin conexión.
Qué guarda Piixie en disco
Sección titulada «Qué guarda Piixie en disco»El directorio de datos de la aplicación es ~/Library/Application Support/Piixie/ en macOS, %APPDATA%\Piixie\ en Windows y ~/.config/Piixie/ en Linux. Dentro:
| Datos | Ubicación |
|---|---|
| Historial, sustituciones, perfiles, ajustes, endpoints | piixie.db |
| Modelos descargados | models/ |
| Carpeta de salida por defecto | outputs/ |
Registros (solo cuando se inicia con PIIXIE_DEV=1) | logs/ |
Conviene saberlo: la tabla de sustituciones guarda los valores originales de cada entidad detectada junto a sus sustituciones. Eso es lo que hace posible la vista de sustituciones y la búsqueda del historial, y significa que la propia base de datos local es sensible. Nunca sale de tu equipo, pero trátala como los documentos que describe: el cifrado de disco completo es buena idea, y borrar entradas del historial (con la opción “borrar también los ficheros”) elimina sus filas de sustitución.
Las claves de API de los endpoints remotos se guardan en la misma base de datos local y se envían solo al endpoint al que pertenecen.
Qué cruza la red, por configuración
Sección titulada «Qué cruza la red, por configuración»Modelo local (por defecto). Nada, tras la descarga del modelo. La descarga en sí obtiene ficheros GGUF de Hugging Face por HTTPS.
Servidor Piixie en tu LAN. El texto del documento y las imágenes renderizadas viajan al servidor durante la inferencia y se mantienen en memoria allí mientras dura la ejecución. La salida, el historial y las sustituciones se quedan en la estación de trabajo. Consulta servidor local.
Endpoint remoto comercial (Anthropic, OpenAI). El texto del documento (y las imágenes, en los modelos de visión) se envía a ese proveedor, sujeto a las condiciones de tratamiento de datos del proveedor. Esta es la configuración que debes acordar con tu responsable de cumplimiento antes de usarla con datos regulados. Piixie envía documentos solo durante una ejecución de anonimización que tú iniciaste, solo al endpoint cuyo modelo seleccionaste. La primera vez que eliges un modelo en la nube, Piixie muestra un diálogo de confirmación que indica que el contenido del documento saldrá de tu equipo; puedes suprimirlo por endpoint con “no volver a preguntar”.
La frontera prevista
Sección titulada «La frontera prevista»El patrón habitual: anonimizar en local y luego enviar la copia segura al LLM externo que prefieras. La detección y la transformación ocurren sobre el documento en bruto antes de que nada cruce la frontera de confianza; las herramientas posteriores solo llegan a ver la salida anonimizada.