Volver al blog
IARGPDOn-premiseSeguridadLegal

RGPD e IA local: por que on-premise es el camino mas corto al cumplimiento

Daniel2026-03-22

Cada vez que una empresa quiere usar IA, aparece la pregunta incomoda: "Y esto cumple con la proteccion de datos?"

La respuesta depende completamente de donde corren tus datos. Si usas APIs cloud (OpenAI, Google, Amazon), estas enviando datos de tu empresa a servidores de terceros. Si usas IA local, tus datos no salen de tu edificio.

No soy abogado — soy consultor de IA. Pero despues de implementar sistemas en un hotel con datos de huespedes europeos y en un despacho juridico con expedientes confidenciales, he aprendido lo suficiente sobre RGPD para saber que la opcion local te quita muchos dolores de cabeza.

El problema con la IA cloud y el RGPD

Cuando usas ChatGPT, Claude o cualquier API de IA cloud para procesar datos personales, estas haciendo una transferencia de datos a un tercero. Eso activa una cascada de obligaciones RGPD:

1. Contrato de encargado de tratamiento

Necesitas un contrato formal con el proveedor (OpenAI, Google, etc.) que especifique:

  • Que datos se tratan
  • Con que finalidad
  • Que medidas de seguridad aplica el proveedor
  • Que pasa si hay una brecha

OpenAI tiene un DPA (Data Processing Agreement), pero es generico y no siempre cubre tu caso de uso concreto.

2. Evaluacion de impacto (EIPD)

Si los datos son sensibles (salud, juridicos, financieros) o de gran volumen, el RGPD te obliga a hacer una Evaluacion de Impacto relativa a la Proteccion de Datos antes de empezar a tratar. Eso significa:

  • Analizar los riesgos de enviar esos datos a cloud
  • Documentar medidas de mitigacion
  • En algunos casos, consulta previa a la AEPD

Tiempo y coste: facilmente 2.000-5.000 EUR si lo haces con un abogado especializado.

3. Transferencias internacionales

Si el proveedor de IA tiene servidores fuera del Espacio Economico Europeo (OpenAI los tiene en EEUU), necesitas base juridica adicional: clausulas contractuales tipo, decisiones de adecuacion o binding corporate rules.

Tras la anulacion del Privacy Shield y los vaivenes del Data Privacy Framework, esta es una zona de incertidumbre legal constante.

4. Derecho de acceso y supresion

Si un cliente pide que borres sus datos (derecho de supresion), necesitas poder demostrar que el proveedor cloud tambien los ha borrado. Con modelos de IA que pueden memorizar datos de entrenamiento, esto es tecnicamente complejo.

5. Notificacion de brechas

Si OpenAI o Google sufren una brecha de seguridad que afecte a datos que les enviaste, tu eres el responsable de notificar a la AEPD en 72 horas. Dependes de que el proveedor te avise a tiempo.

Con IA local, la mayoria de esto desaparece

Cuando tu sistema de IA corre en un servidor dentro de tu empresa:

| Obligacion RGPD | Cloud | On-premise | |------------------|-------|------------| | Contrato encargado tratamiento | Obligatorio | No necesario (no hay tercero) | | Evaluacion de impacto | Probable (datos a tercero) | Simplificada (datos internos) | | Transferencia internacional | Si (servidores EEUU) | No aplica | | Control sobre supresion | Depende del proveedor | Total — tu borras directamente | | Notificacion brechas | Dependes del proveedor | Tu gestionas internamente | | Informar al interesado | Debes informar del tercero | Tratamiento interno (mas simple) |

No significa que on-premise te exima de cumplir el RGPD. Sigues necesitando base juridica para tratar datos, informar a los interesados, mantener un registro de actividades de tratamiento, etc. Pero eliminas toda la complejidad derivada de la transferencia a terceros.

Caso real: Hotel Bahia Tropical

El chatbot del hotel procesa datos de huespedes: nombres, idioma, preguntas sobre su estancia, preferencias. En temporada alta, son datos de ciudadanos de toda la UE.

Si usaramos ChatGPT API:

  • Cada conversacion con un huesped se enviaria a servidores de OpenAI en EEUU
  • Necesitariamos DPA + clausulas contractuales tipo + informar al huesped
  • En caso de brecha de OpenAI, tendriamos 72 horas para notificar

Con Ollama en servidor local:

  • Las conversaciones nunca salen del hotel
  • El registro de actividades de tratamiento es simple: "tratamiento interno para atencion al huesped"
  • No hay transferencia internacional
  • Si un huesped pide borrar su conversacion, lo hacemos directamente en la base de datos

El abogado que nos asesora dijo algo que resume bien la situacion: "On-premise no te hace inmune al RGPD, pero te quita el 70% de los problemas."

Caso real: despacho juridico

En el despacho donde tambien trabajo, usamos IA para:

  • Busqueda de jurisprudencia
  • Analisis de contratos
  • Redaccion asistida de escritos

Los expedientes contienen datos extremadamente sensibles: procedimientos judiciales, datos de salud, deudas, antecedentes.

Enviar eso a una API cloud seria un riesgo legal y deontologico enorme. Con IA local:

  • Los expedientes se procesan en el servidor del despacho
  • Ningun dato sale de la red local
  • El secreto profesional se mantiene por defecto

Sectores donde on-premise es casi obligatorio

| Sector | Tipo de datos | Riesgo con cloud | |--------|--------------|------------------| | Legal / despachos | Expedientes, datos judiciales | Secreto profesional, datos sensibles art. 9 RGPD | | Salud | Historiales clinicos | Datos de salud (categoria especial RGPD) | | Hosteleria | Datos de huespedes, pasaportes | Datos personales masivos, turistas UE | | Finanzas | Cuentas, movimientos | Regulacion financiera + RGPD | | RRHH | Nominas, evaluaciones | Datos laborales sensibles | | Educacion | Datos de menores | Proteccion reforzada menores |

El argumento economico

Cumplir RGPD con IA cloud tiene un coste oculto:

| Concepto | Coste estimado | |----------|---------------| | Asesoria RGPD inicial (DPA, EIPD) | 2.000-5.000 EUR | | Auditoria anual de cumplimiento | 1.000-3.000 EUR | | Seguro de responsabilidad datos | 500-2.000 EUR/ano | | Gestion de brechas (si ocurre) | 5.000-50.000 EUR |

Con on-premise, la asesoria inicial es mas simple (1.000-2.000 EUR), la auditoria es menos compleja y el riesgo de brecha por terceros desaparece.

Preguntas frecuentes

"On-premise me exime de cumplir el RGPD?"

No. Sigues necesitando: base juridica, registro de actividades, medidas de seguridad, politica de privacidad. Pero la complejidad se reduce drasticamente al no haber transferencia a terceros.

"Y si mi servidor local sufre una brecha?"

Eres responsable de la seguridad de tu servidor. Pero al menos dependes de ti, no de un proveedor externo. Y las medidas de seguridad de un servidor local bien configurado (firewall, cifrado, acceso restringido) son relativamente sencillas.

"Puedo mezclar cloud y local?"

Si. Para datos no sensibles (analisis de tendencias, generacion de contenido generico), cloud es viable. Para datos personales o sensibles, local. La estrategia hibrida es perfectamente valida.

"Necesito un DPO (Delegado de Proteccion de Datos)?"

Depende del volumen y tipo de datos, no de si usas cloud o local. Pero con on-premise, el trabajo del DPO es mas sencillo porque hay menos actores involucrados.

Como implementarlo

  1. Auditoria de datos: identifica que datos personales trata tu IA y con que base juridica
  2. Elige modelo open source: Llama, Mistral, Qwen — sin licencia, sin terceros
  3. Instala en servidor local: con Ollama, en 1 hora tienes un modelo funcionando
  4. Configura seguridad: firewall, cifrado en reposo, acceso con credenciales, logs de acceso
  5. Documenta: registro de actividades, politica de privacidad, medidas de seguridad
  6. Forma al equipo: que sepan que datos pueden y no pueden introducir en el sistema

Quieres implementar IA cumpliendo RGPD sin complicaciones? Hablemos. Te ayudo a elegir la solucion que mejor encaja con tu empresa y tus datos.

Quieres implementar esto en tu empresa?

Solicitar consultoria gratuita