Soberanía europea no es marketing: es código
La mitad de las startups europeas dicen "GDPR-friendly" y luego corren todo en AWS us-east-1 con embeddings de OpenAI. Aquí explico exactamente qué corre dónde en Memchats, y por qué decidimos hacerlo más caro de operar pero más honesto.
La palabra gastada
La palabra "soberanía digital" se ha gastado tanto en pitch decks europeos que ya no significa nada. Cualquier startup con dominio .eu y un disclaimer de GDPR la usa. Pero abre el código, mira los DNS, lee los logs: la mayoría corre la lógica crítica en data centers americanos y depende de APIs de empresas estadounidenses para todo lo importante.
Dónde corre cada bit en Memchats
Postgres y Redis: Hetzner Online en Falkenstein, Alemania. Cifrado at-rest a nivel de disco. Conexión interna privada entre containers. Si Hetzner cae, Memchats cae, pero los datos no salen de Alemania nunca.
Embeddings: bge-m3 self-hosted en una GPU dedicada en la misma infraestructura Hetzner. No usamos la API de OpenAI ni la de Voyage. Self-hosting bge-m3 es operacionalmente más complejo, pero el texto no abandona nuestro perímetro.
Object storage: Cloudflare R2 jurisdicción UE. R2 es S3-compatible pero no replica fuera de la región que tú elijas. Marcamos UE y se queda en UE.
Anthropic Claude: aquí hay un compromiso real. Anthropic está en USA. Tenemos SCC firmadas y un DPA específico que prohíbe el entrenamiento sobre nuestros datos. Para tier Empresa ofrecemos modelo local (Llama 3.1 / Mistral) que literalmente jamás sale de la UE.
Por qué cuesta más
Self-hostear embeddings cuesta GPU 24/7. Mailcow self-hosted requiere mantenimiento. Hetzner exige más DevOps que click-deploy en Vercel. Pero la pregunta no es "qué es más fácil de operar", es "qué promesa puedo cumplir cuando le miro a la cara a un usuario que me confía sus mensajes con su ex pareja durante un proceso de custodia".
Si la respuesta a esa pregunta es "honestamente, casi todo está en USA pero firmamos un DPA", entonces no estás haciendo soberanía. Estás haciendo marketing.