Key Takeaways
- Hay dos superficies distintas: la app/API alojada de DeepSeek (que almacena datos en China) y los modelos de pesos abiertos (que se ejecutan en local y no envían nada).
- El problema del flujo de datos pertenece al servicio alojado, no a los pesos abiertos. Autohospedar lo elimina.
- La política de privacidad de DeepSeek (actualizada el 2026-02-10) confirma el almacenamiento de datos en la República Popular China y la recopilación directa de los usuarios.
- El Garante de Italia bloqueó la app en enero de 2025; las autoridades de protección de datos de Francia, Irlanda, Alemania, Bélgica y Portugal abrieron investigaciones.
- Autohospedar los pesos abiertos no produce ningún flujo de datos transfronterizo, verificable monitoreando el tráfico de red saliente.
- Una salvedad aparte y honesta: algunos investigadores de seguridad señalan problemas a nivel de los pesos del modelo (susceptibilidad a jailbreaks, orientación narrativa de las salidas). Existen sin importar dónde ejecutes el modelo.
- El encuadre correcto es la ingeniería de privacidad: controla la ruta de los datos. El modelo es una herramienta; el servicio es el riesgo para los datos.
Dos superficies: el servicio alojado vs los pesos abiertos
DeepSeek existe como dos cosas separables: un servicio alojado (app, web, API) operado desde China, y un conjunto de modelos de pesos abiertos que puedes descargar y ejecutar en cualquier lugar. Casi todo debate sobre «la privacidad de DeepSeek» mezcla estas dos cosas, y por eso las respuestas se enturbian. Mantenlas separadas y la imagen queda clara.
En el servicio alojado es donde vive la preocupación por los datos. Cuando escribes en la app de DeepSeek o llamas a su API, tu entrada viaja a los servidores de DeepSeek, y la política de privacidad de la empresa indica que los datos se almacenan en la República Popular China. Es un flujo de datos transfronterizo con consecuencias regulatorias reales en la UE.
Los pesos abiertos son un objeto totalmente distinto. Las destilaciones DeepSeek-R1 son archivos que descargas de un registro de modelos y ejecutas con Ollama o LM Studio en tu propio hardware. No contienen código de red ni telemetría: ejecutarlos no envía nada a DeepSeek. La pregunta de privacidad para los pesos no es «adónde van mis datos» (a ningún sitio) sino otra distinta sobre el comportamiento del modelo, que se trata más abajo.
DeepSeek son dos cosas separables: un servicio alojado operado desde China que almacena tus datos, y modelos de pesos abiertos descargables que se ejecutan en local y no transmiten nada.
Usar la app de DeepSeek es como enviar tu pregunta por correo a una empresa en China. Ejecutar los pesos abiertos en local es como comprar una calculadora que ellos fabricaron: funciona en tu escritorio y no llama a nadie.
¿Por qué la app y la API alojadas son un problema real de privacidad?
El servicio alojado de DeepSeek almacena los datos de los usuarios en China y los recopila directamente, algo que los reguladores europeos han tratado como una preocupación seria de protección de datos transfronteriza. Está documentado en la propia política de privacidad de DeepSeek y se refleja en acciones regulatorias concretas: no es especulación.
Los hechos, expuestos de forma neutral:
- La política de privacidad de DeepSeek (actualizada el 2026-02-10) confirma que los datos se almacenan en la República Popular China y que la empresa recopila información directamente de los usuarios de la app, la interfaz web y la API.
- La autoridad de protección de datos de Italia, el Garante, bloqueó la app de DeepSeek en enero de 2025 por preocupaciones de protección de datos.
- Las autoridades de protección de datos de Francia (CNIL), Irlanda (DPC), Alemania, Bélgica y Portugal abrieron investigaciones sobre el servicio alojado.
- Bajo el RGPD, transferir datos personales de la UE a China exige un mecanismo de transferencia válido y garantías adecuadas; los reguladores cuestionaron si estaban en su sitio.
¿Cómo cambia el autohospedaje el panorama de los datos?
Cuando autohospedas un modelo de pesos abiertos de DeepSeek, no hay ningún servidor de DeepSeek en el circuito, así que no hay flujo de datos transfronterizo hacia China: tus prompts y salidas nunca salen de tu máquina. Este es el único cambio que resuelve el problema de protección de datos: has eliminado el servicio que almacenaba los datos en el extranjero.
No tienes que aceptarlo por fe. Como los modelos no contienen telemetría, puedes verificar directamente la ausencia de salida: ejecuta el modelo con tu red monitoreada y confirma que no hay conexiones salientes durante la inferencia. Una simple regla de firewall o una captura de paquetes durante una sesión basta para demostrarlo.
Para la configuración práctica y totalmente sin conexión —incluido cómo verificar el «realmente sin conexión» con monitoreo de tráfico— consulta Ejecutar DeepSeek sin conexión 2026: configuración autohospedada. Para elegir qué destilación ejecutar, consulta Mejor modelo de razonamiento local 2026.
Autohospedar los pesos abiertos de DeepSeek elimina el servicio con sede en China de la ruta de los datos, de modo que ningún prompt ni salida sale de tu máquina, verificable monitoreando el tráfico de red.
La salvedad honesta: preocupaciones sobre los pesos del modelo
Autohospedar resuelve el problema del flujo de datos pero no toda preocupación: algunos investigadores de seguridad señalan problemas a nivel de los pesos del modelo —susceptibilidad a jailbreaks y orientación narrativa de las salidas— que existen sin importar dónde se ejecute el modelo. Es importante decirlo con claridad y presentar ambas caras, en lugar de dar a entender que local equivale a sin riesgo.
La preocupación, expuesta con equidad: investigadores han reportado que los modelos DeepSeek pueden ser relativamente susceptibles a jailbreaks, y que en ciertos temas políticamente sensibles las salidas reflejan una orientación narrativa concreta. Son propiedades de los propios pesos, así que ejecutar en local no las cambia.
El contrapunto, expuesto con la misma equidad: todo modelo abierto presenta cierta superficie de jailbreak, y la orientación narrativa existe en modelos de cualquier país de origen, moldeada por los datos de entrenamiento y las decisiones de ajuste. Para matemáticas, lógica, programación y la mayor parte del razonamiento de negocio —las tareas para las que la gente realmente autohospeda las destilaciones R1— estas preocupaciones son en gran medida ortogonales al trabajo.
La conclusión práctica es separar las dos preguntas. «¿Se filtran mis datos?» ya tiene respuesta (no, cuando autohospedas y verificas). «¿Confío en las salidas de este modelo en temas sensibles?» es una pregunta de selección de modelo que debes responder por sus méritos, igual que con cualquier modelo. Para un vistazo enfocado a la cuestión de cumplimiento, consulta ¿Es DeepSeek seguro de cara al RGPD?.
¿Cuál es el ángulo del RGPD / la UE?
Bajo el RGPD, el servicio alojado de DeepSeek plantea un problema de transferencia transfronteriza; un despliegue autohospedado sobre infraestructura de la UE lo sortea en gran medida porque no se transfiere ningún dato personal fuera de tu control. La Ley de Seguridad de Datos (DSL) y la Ley de Protección de Información Personal (PIPL) de China rigen el lado del servicio alojado; el RGPD rige el tuyo.
El mecanismo importa. El RGPD restringe las transferencias de datos personales de la UE a terceros países sin garantías adecuadas. Enviar prompts a una API alojada en China es una transferencia de ese tipo; ejecutar los pesos abiertos en un servidor que controlas en la UE no es transferencia en absoluto: los datos nunca salen de tu entorno de procesamiento.
Por eso «usa los pesos abiertos, no la API alojada» es la respuesta estándar de ingeniería de privacidad para los equipos de la UE. Convierte una difícil cuestión de cumplimiento de transferencia transfronteriza en un asunto ordinario de manejo de datos en local que ya sabes satisfacer.
La configuración sin fuga de datos
Un despliegue de DeepSeek limpio en privacidad son tres decisiones: elegir una destilación de pesos abiertos, ejecutarla en hardware que controlas y verificar que no hay salida. Nada de esto toca el servicio alojado.
- 1Elige una destilación de pesos abiertos
Why it matters: Elige la destilación DeepSeek-R1 que encaje con tu GPU (14B en 16 GB, 32B en 24 GB) desde la guía clasificada: son archivos locales sin telemetría. - 2Ejecuta en hardware que controlas
Why it matters: Usa Ollama o LM Studio en tu propia máquina o un servidor de la UE, para que toda la inferencia ocurra dentro de tu entorno de procesamiento. - 3Verifica que no hay salida
Why it matters: Monitorea el tráfico saliente durante una sesión, o bloquea por completo el acceso a la red, para probar que ningún prompt ni salida sale de la máquina. - 4Documenta la ruta de los datos
Why it matters: Para el cumplimiento, un registro de una página que muestre el procesamiento solo local convierte la afirmación de privacidad en algo auditable.
¿Quién debería autohospedar DeepSeek y quién debería evitarlo?
Autohospeda cuando quieras el razonamiento de DeepSeek sin la ruta de datos del servicio alojado; evita DeepSeek por completo solo si las preocupaciones sobre los pesos del modelo superan sus puntos fuertes para tu trabajo concreto.
¿Autohospedar o evitar?
Use a local LLM if:
- •Equipos de la UE que necesitan razonamiento limpio de cara al RGPD → autohospeda los pesos abiertos en infraestructura que controlas
- •Matemáticas, lógica, programación y análisis de negocio sensibles a la privacidad → autohospeda; los datos nunca salen
- •Cualquiera que quiera la calidad de razonamiento de DeepSeek sin enviar datos al extranjero → autohospeda y verifica que no hay salida
Use a cloud model if:
- •Trabajo sobre temas políticamente sensibles donde la orientación de la salida es un factor decisivo → evalúa el modelo por sus méritos o elige otro
- •Entornos que prohíben de plano la app alojada → usa solo los pesos abiertos locales, nunca la API
- •Equipos que no pueden ejecutar inferencia local → considera otro modelo en lugar de la API alojada en China
Quick decision:
- →Si tienes dudas, autohospeda una destilación y monitorea el tráfico durante una sesión: la prueba vence a la confianza.
- →Nunca enrutes datos personales de la UE a la API alojada de DeepSeek sin un mecanismo de transferencia válido.
Preguntas frecuentes
¿Ejecutar DeepSeek en local impide que los datos vayan a China?
Sí. Los modelos de pesos abiertos no contienen telemetría y se ejecutan por completo en tu máquina, así que ningún prompt ni salida se envía a los servidores de DeepSeek en China ni en ningún otro sitio. Puedes verificarlo monitoreando el tráfico de red saliente durante una sesión.
¿Dónde almacena mis datos la app alojada de DeepSeek?
En la República Popular China. La política de privacidad de DeepSeek (actualizada el 2026-02-10) confirma el almacenamiento de datos en China y la recopilación directa de los usuarios de la app, la interfaz web y la API.
¿Por qué bloqueó Italia DeepSeek?
La autoridad de protección de datos de Italia, el Garante, bloqueó la app de DeepSeek en enero de 2025 por preocupaciones de protección de datos sobre cómo se recopilaban los datos de los usuarios y dónde se almacenaban.
¿Qué reguladores de la UE están investigando DeepSeek?
Las autoridades de Francia (CNIL), Irlanda (DPC), Alemania, Bélgica y Portugal abrieron investigaciones sobre el servicio alojado. Las investigaciones conciernen a la app y la API alojadas, no a los pesos abiertos ejecutados en local.
¿Usar los pesos abiertos cumple con el RGPD?
Ejecutar los pesos abiertos en infraestructura que controlas no transfiere datos personales a un tercer país, lo que elimina el principal obstáculo del RGPD que afecta a la API alojada. Confirma tus obligaciones específicas con un profesional de protección de datos; consulta también nuestra ficha «¿Es DeepSeek seguro de cara al RGPD?».
¿Hay riesgos en los pesos abiertos más allá del flujo de datos?
Algunos investigadores señalan preocupaciones a nivel de los pesos del modelo: susceptibilidad a jailbreaks y orientación narrativa de las salidas en temas sensibles. Son propiedades de los pesos y existen ejecutes en local o no, al margen de la cuestión del flujo de datos.
¿El modelo en sí me espía si lo ejecuto en local?
No. Los pesos del modelo son archivos estáticos sin código de red. Ejecutarlos sin conexión con Ollama o LM Studio no produce conexiones salientes, lo que puedes confirmar con una regla de firewall o una captura de paquetes.
¿Cuál es aquí la diferencia entre la DSL/PIPL y el RGPD?
La Ley de Seguridad de Datos y la Ley de Protección de Información Personal de China rigen cómo maneja los datos el servicio alojado en China; el RGPD rige cómo manejas tú los datos personales de la UE. Autohospedar mantiene los datos bajo un control al estilo del RGPD y evita la transferencia transfronteriza al servicio regido por China.
¿Deberían las empresas de la UE evitar DeepSeek por completo?
No necesariamente. La respuesta estándar de ingeniería de privacidad es evitar la API alojada para datos personales y usar los pesos abiertos en local en su lugar. Que uses el modelo o no depende entonces de su encaje con tu tarea y de tu opinión sobre las salvedades de los pesos del modelo.
¿Cómo le pruebo a un auditor que no sale ningún dato?
Ejecuta el modelo con el tráfico saliente monitoreado o bloqueado, captura el resultado y documenta una ruta de datos solo local. Como no hay telemetría, la ausencia de salida es sencilla de demostrar.
Registro de cambios
- Publicado el 2026-06-19. Próxima revisión prevista el 2026-12-19 (nivel de frescura semestral).
- Hechos a junio de 2026: política de privacidad de DeepSeek actualizada el 2026-02-10; bloqueo del Garante italiano en enero de 2025; investigaciones en FR, IE, DE, BE, PT. Editorial, imparcial; sin enlaces de producto.