VARS Polska, operadora de infraestructuras de transporte con sede en Varsovia, gestionaba datos operacionales provenientes de múltiples fuentes heterogéneas: sensores, sistemas de gestión, proveedores externos, repositorios internos y fuentes abiertas. Esos datos alimentaban dashboards operacionales, informes regulatorios y decisiones de mantenimiento e inversión. El problema no era la disponibilidad de los datos: era la incapacidad de demostrar, ante un auditor o ante un proceso de revisión interna, que el dato utilizado en una decisión era el correcto, provenía de la fuente declarada y no había sido alterado en el proceso. La fragmentación del ecosistema de datos hacía imposible construir esa trazabilidad de forma manual.

Las organizaciones que operan infraestructuras críticas o que toman decisiones de alto impacto sobre datos operacionales se enfrentan a un problema estructural: los datos que fundamentan sus decisiones pasan por múltiples sistemas, transformaciones y fuentes antes de convertirse en un informe o un output accionable. En ese trayecto, la procedencia original se pierde. Cuando una decisión es cuestionada, cuando hay una auditoría regulatoria o cuando simplemente se necesita explicar por qué se llegó a una conclusión, nadie puede reconstruir con certeza qué dato entró, desde dónde, cuándo fue transformado y qué versión del mismo se usó. Los datos existen. Su historia, no.

Las consecuencias no son abstractas. En sectores regulados, la incapacidad de demostrar la procedencia de los datos utilizados en una decisión puede derivar en sanciones administrativas, suspensión de licencias operacionales o inhabilitación para concurrir a licitaciones públicas. El coste de un expediente sancionador por incumplimiento de obligaciones de trazabilidad en sectores como energía, transporte o servicios financieros oscila habitualmente entre cientos de miles y varios millones de euros, sin contar el daño reputacional ni el coste de los procesos de remediación. En entornos donde la normativa evoluciona con rapidez, como el Reglamento Europeo de IA, la Directiva NIS2 o los marcos de supervisión de infraestructuras críticas, no tener cadena de custodia documentada no es un riesgo futuro: es una exposición activa hoy. A eso se suma el coste operacional directo: decisiones tomadas sobre datos incorrectos, duplicados o de procedencia no verificada que generan inversiones mal dirigidas, mantenimientos innecesarios o alertas ignoradas. En organizaciones con grandes volúmenes de datos operacionales, ese coste acumulado se subestima sistemáticamente hasta que se materializa en un incidente.

La solución debía integrarse con el stack de datos existente sin migraciones ni interrupciones operacionales. Era necesario capturar el origen de cada dato en el momento de ingesta, registrar cada transformación aplicada con su marca temporal y su responsable, mantener versiones auditables de los datos a lo largo de su ciclo de vida y exportar esa trazabilidad en formatos legibles tanto para sistemas técnicos como para revisiones humanas. Requisito crítico: la cadena de custodia debía ser inmutable, no editable a posteriori.

Despliegue de TrustFilter™ como capa de ingesta y sellado de procedencia sobre el ecosistema de datos de VARS Polska. El proceso opera en cuatro pasos secuenciales y auditables.

Primero, cada dato que entra en el sistema queda registrado con su origen exacto: fuente, URL o endpoint, timestamp de extracción, formato original y hash de integridad. Este registro es el punto de partida de la cadena de custodia y no puede modificarse retroactivamente.

Segundo, el sistema aplica normalización y deduplicación documentada. Cada transformación aplicada sobre el dato original queda registrada como un evento en el log de trazabilidad: qué operación se aplicó, en qué momento, bajo qué regla y con qué resultado. Si el mismo dato proviene de dos fuentes con valores distintos, el sistema registra ambas versiones y el criterio de resolución aplicado.

Tercero, VerifyFlow™ contrasta los datos normalizados contra las fuentes de referencia declaradas y calcula el TrustScore por dataset: nivel de cobertura de fuentes, consistencia entre orígenes, antigüedad de los datos y presencia de señales de riesgo. El Evidence Graph resultante documenta la red de relaciones entre datos, fuentes y transformaciones.

Cuarto, cada output generado a partir de esos datos, sea un informe, un dashboard o un input para otro sistema, lleva embebido el identificador de su cadena de custodia. Cualquier usuario autorizado puede consultar, para cualquier dato en cualquier output, su origen completo, su historial de transformaciones y el TrustScore del dataset que lo respalda.

VARS Polska dispone de un registro inmutable y auditable del ciclo de vida de sus datos operacionales. Ante cualquier auditoría regulatoria o revisión interna, la organización puede reconstruir en segundos la procedencia completa de cualquier dato utilizado en cualquier decisión documentada. La dependencia del conocimiento individual sobre qué fuente se usó en cada momento queda eliminada. La exposición regulatoria se reduce de forma estructural: el sistema genera por defecto la documentación que cualquier marco normativo de trazabilidad puede requerir, sin esfuerzo adicional en el momento del requerimiento. Los informes operacionales dejan de ser outputs de confianza implícita y se convierten en evidencia verificable con trazabilidad garantizada.

Trazabilidad de datos operacionales en infraestructuras de transporte, energía y servicios públicos. Cadena de custodia para informes regulatorios en sectores sometidos a auditoría externa bajo NIS2, Reglamento Europeo de IA y marcos equivalentes. Documentación inmutable del origen y transformación de datos en entidades públicas que gestionan ecosistemas de datos fragmentados. Transferible a cualquier administración pública que necesite acreditar que sus decisiones se basan en datos con procedencia verificable: ministerios, agencias reguladoras, organismos de supervisión y entidades locales con obligaciones de transparencia y rendición de cuentas.