Skip to main content
PromptQuorumPromptQuorum
Home/Local LLMs/PDPL saudí y soberanía de datos: por qué la IA debe ejecutarse dentro del Reino (2026)
Enterprise

PDPL saudí y soberanía de datos: por qué la IA debe ejecutarse dentro del Reino (2026)

·13 min de lectura·Por Hans Kuepper · Fundador de PromptQuorum, herramienta de despacho multi-modelo · PromptQuorum
Leer en:
🇺🇸en🇩🇪de🇫🇷fr🇯🇵ja🇨🇳zh🇪🇸es🇧🇷pt🇸🇦ar🇰🇷ko

La PDPL saudí (Real Decreto M/19) no impone un mandato general de localización de datos, pero su marco de transferencia transfronteriza del Artículo 29 —combinado con los requisitos sectoriales dentro del Reino de la SAMA y la CLOUD Act de EE. UU.— hace que ejecutar la IA de forma local en instalaciones saudíes sea la vía de cumplimiento más defendible para cargas de trabajo empresariales con datos personales.

La Ley de Protección de Datos Personales de Arabia Saudí (PDPL — Real Decreto M/19, 16 de septiembre de 2021) y la aplicación activa de la SDAIA desde septiembre de 2024 han hecho que las transferencias transfronterizas de datos de IA sean mucho más complejas. El Artículo 29 de la PDPL exige la aprobación de adecuación de la SDAIA, una comprobación de seguridad nacional y un nivel de protección equivalente en la jurisdicción receptora, y la SDAIA aún no ha publicado su lista de países con adecuación. Combinado con el mandato de almacenamiento dentro del Reino más estricto de la SAMA para datos financieros y el alcance extraterritorial de la CLOUD Act de EE. UU., ejecutar la IA de forma local dentro del Reino es la vía de cumplimiento más defendible para cargas de trabajo con datos sensibles. Esta guía explica el panorama regulatorio, los riesgos transfronterizos y cómo desplegar la IA en las instalaciones. Este artículo tiene fines exclusivamente informativos: consulta a tu DPO y a un asesor legal cualificado en Arabia Saudí antes de tomar decisiones de cumplimiento.

Key Takeaways

  • PDPL = Real Decreto M/19 (emitido el 16 de septiembre de 2021, modificado por el M/148 en 2023): en vigor desde el 14 de septiembre de 2023, cumplimiento total exigido desde el 14 de septiembre de 2024. Regulador: SDAIA (Autoridad Saudí de Datos e Inteligencia Artificial).
  • Sin mandato general de localización. La PDPL es un marco *de transferencia* regulado (Artículo 29), no una regla absoluta de almacenamiento dentro del Reino, pero las condiciones de transferencia son estrictas y la SDAIA aún no ha publicado su lista de países con adecuación.
  • Aplicación activa: los comités de aplicación de la SDAIA han emitido 48 decisiones formales de infracción desde que comenzó la aplicación plena en septiembre de 2024.
  • Sanciones: hasta 5.000.000 SAR (~1,33 millones USD), duplicadas para reincidentes; multas penales de hasta 3.000.000 SAR más enjuiciamiento por divulgación intencionada de datos sensibles.
  • Riesgo de la CLOUD Act: los proveedores de nube con sede en EE. UU. (AWS, Azure, Google Cloud) pueden ser obligados a entregar datos en virtud de 18 U.S.C. § 2713 incluso desde centros de datos de la región saudí. No existe ningún acuerdo bilateral CLOUD Act entre EE. UU. y Arabia Saudí.
  • La SAMA es más estricta: las instituciones financieras deben mantener los datos bancarios básicos, de clientes y de transacciones físicamente dentro del Reino y obtener la aprobación previa de la SAMA antes de usar cualquier servicio en la nube.
  • La IA local elimina por completo el Artículo 29: si la inferencia nunca sale de tus instalaciones, no hay transferencia transfronteriza que regular y la superficie de ataque de la CLOUD Act desaparece.
  • No es asesoramiento legal. Consulta a tu DPO y a un asesor cualificado en Arabia Saudí antes de basarte en cualquier posición de cumplimiento de este artículo.

El Artículo 29 de la PDPL saudí, las normas del sector financiero de la SAMA y la CLOUD Act de EE. UU. hacen, en conjunto, que la IA local en las instalaciones sea la vía de cumplimiento más defendible para los datos personales en el Reino.

La ley saudí no obliga a que todos los datos permanezcan en el país, pero trasladar datos al extranjero está fuertemente restringido. La forma más sencilla de cumplir es ejecutar la IA en tu propio hardware dentro de Arabia Saudí, de modo que ningún dato cruce nunca una frontera.

PDPL saudí y SDAIA: el panorama regulatorio

La Ley de Protección de Datos Personales de Arabia Saudí fue promulgada por el Real Decreto n.º M/19 el 16 de septiembre de 2021, modificada sustancialmente por el Real Decreto n.º M/148 (27 de marzo de 2023) y entró en vigor con su Reglamento de Aplicación el 14 de septiembre de 2023. Siguió un periodo de gracia de un año; el cumplimiento total ha sido obligatorio para todas las entidades públicas y privadas desde el 14 de septiembre de 2024.

La SDAIA (Autoridad Saudí de Datos e Inteligencia Artificial) es el regulador competente. Supervisa y aplica la PDPL, opera comités de aplicación especializados y es responsable de la gobernanza nacional de datos y de la estrategia de IA en el marco de la Visión 2030.

La aplicación es real, no teórica. Desde que comenzó la aplicación plena, los comités de aplicación de la SDAIA han emitido 48 decisiones formales que confirman infracciones de la PDPL. Las categorías de infracción habituales incluyen el tratamiento de datos personales sin base legal válida, la divulgación no autorizada, la falta de implementación de salvaguardas técnicas y organizativas y el marketing no solicitado.

Alcance extraterritorial: la PDPL se aplica a cualquier tratamiento de datos personales de personas residentes en Arabia Saudí, independientemente de dónde se ubique la organización que los trata, el mismo modelo de amplio alcance que el GDPR.

Los datos personales sensibles son una categoría distinta de mayor protección que abarca siete tipos: origen racial o étnico; creencias religiosas, intelectuales o políticas; antecedentes penales; datos biométricos usados para identificación; datos genéticos; datos de salud; y datos que indiquen filiación desconocida. Las transferencias transfronterizas continuas o a gran escala de datos sensibles requieren una evaluación de riesgos obligatoria conforme al Reglamento de Transferencias.

Sanciones: multas administrativas de hasta 5.000.000 SAR (~1,33 millones USD), que pueden duplicarse por infracciones reincidentes; multas penales de hasta 3.000.000 SAR más posible prisión por la divulgación intencionada de datos personales sensibles para causar daño o para beneficio personal.

Riesgos transfronterizos de la IA en la nube: Artículo 29, CLOUD Act y adecuación de la SDAIA

Enviar un prompt a una API de IA en la nube es una transferencia de datos transfronteriza en el momento en que ese prompt contiene datos personales y el servidor de inferencia se encuentra fuera del Reino. El Artículo 29 de la PDPL rige exactamente este escenario.

El Artículo 29 impone tres condiciones acumulativas a cualquier transferencia transfronteriza: (1) la transferencia no debe perjudicar la seguridad nacional ni los intereses vitales del Reino; (2) la jurisdicción receptora debe ofrecer un nivel de protección de datos al menos equivalente al de la PDPL, según evalúe la SDAIA; y (3) solo pueden transferirse los datos personales mínimos necesarios (minimización de datos).

La SDAIA aún no ha publicado su lista de países con adecuación. Hasta que lo haga, las organizaciones no pueden basarse en una simple determinación de "este país es adecuado". En la práctica, las transferencias lícitas dependen de las Cláusulas Contractuales Tipo (SCCs, cuatro variantes modulares) emitidas por la SDAIA, de las Normas Comunes Vinculantes (BCRs) para transferencias intragrupo o de un Certificado de Acreditación, cada uno de los cuales añade carga legal y obligaciones continuas de evaluación de riesgos.

La CLOUD Act de EE. UU. (18 U.S.C. § 2713) es el problema estructural que la mayoría de las empresas saudíes pasan por alto. Exige a los proveedores de nube con sede en EE. UU. —AWS, Microsoft Azure, Google Cloud— conservar y entregar datos en respuesta a una orden válida del gobierno de EE. UU., *independientemente de dónde estén almacenados físicamente esos datos*. Los datos alojados en una región de AWS Riad o Azure Arabia Saudí siguen siendo accesibles.

Esto crea un conflicto legal directo. El Marco Regulatorio de Computación en la Nube de Arabia Saudí (CCRF) prohíbe a los proveedores de servicios en la nube divulgar datos de los suscriptores salvo cuando lo exija la ley saudí. Un proveedor estadounidense al que se notifica una orden de la CLOUD Act está simultáneamente obligado por la ley de EE. UU. a divulgar y prohibido por la ley saudí de hacerlo. No existe ningún acuerdo ejecutivo bilateral CLOUD Act entre EE. UU. y Arabia Saudí (solo el Reino Unido y Australia han firmado tales acuerdos con EE. UU.), por lo que no hay un mecanismo de resolución limpio.

La tabla siguiente compara los tres modelos de despliegue frente a las dimensiones clave de cumplimiento saudí.

FactorAPI en la nube de EE. UU.Nube en región saudí (AWS/Azure)IA local en las instalaciones
Transferencia del Artículo 29 de la PDPLActivada — requiere aprobación de la SDAIA + adecuación + SCCsDatos en KSA, pero proveedor con sede en EE. UU. — adecuación aún sin resolverNo activada — sin transferencia transfronteriza
Exposición a la CLOUD ActAlta — el gobierno de EE. UU. puede obligar a la entregaAlta — los servidores de la región saudí no ofrecen protección frente a la CLOUD ActNinguna — hardware en el Reino, fuera de la jurisdicción de EE. UU.
SAMA (sector financiero)No conformeParcial — centro de datos en KSA + aprobación de la SAMA requeridaPlenamente conforme
Riesgo de aplicación de la SDAIAAltoModerado — persiste la brecha de la CLOUD ActMínimo
Evaluación de riesgos de datos sensiblesObligatoria a gran escalaRequerida para transferencias de datos sensiblesNo requerida — sin transferencia transfronteriza

Cómo la IA local dentro del Reino resuelve el desafío de cumplimiento

Ejecutar la IA en hardware ubicado físicamente dentro de Arabia Saudí elimina por completo la transferencia transfronteriza y, con ella, las partes más difíciles del cumplimiento de la PDPL.

El Artículo 29 simplemente no se aplica. Si un prompt y su inferencia nunca salen de tus instalaciones, no hay transferencia que evaluar, ni determinación de adecuación que esperar, ni SCCs que ejecutar, ni evaluación de riesgo de transferencia que presentar. La obligación más compleja de la PDPL se elimina a nivel de arquitectura.

La superficie de ataque de la CLOUD Act desaparece. Los datos procesados en tus propias GPU, detrás de tu propio firewall, no están en manos de un proveedor con sede en EE. UU. y, por tanto, no son accesibles mediante una orden de entrega del gobierno de EE. UU.

El cumplimiento de la SAMA se vuelve directo. Las instituciones financieras que deben mantener los datos bancarios básicos y de clientes dentro del Reino pueden ejecutar la inferencia de IA en la misma infraestructura nacional, sin aprobación de nube separada y sin tráfico de salida que vigilar.

Conservas un registro de auditoría completo. Cada prompt, modelo y salida permanece en registros que tú controlas, que es exactamente lo que la SDAIA, la SAMA y la NCA esperan ver al auditar flujos de datos y registros de acceso.

Esto se alinea con la dirección nacional. Arabia Saudí declaró 2026 el Año de la Inteligencia Artificial, y el borrador de la Global AI Hub Law (2025) trata la soberanía de datos como una prioridad estratégica. La IA local dentro del Reino no es una solución provisional: es la arquitectura hacia la que el entorno regulatorio orienta activamente.

Herramientas y modelos para el despliegue de IA local dentro del Reino

Un stack de IA local de producción necesita un entorno de ejecución de inferencia, una capa de servicio y un modelo, todos ellos de código abierto y desplegables en hardware alojado en Arabia Saudí.

  • Ollama — la forma más sencilla de ejecutar modelos abiertos en local; descargas de modelos en una línea, una API compatible con OpenAI y aceleración por GPU lista para usar. Consulta ¿Qué son los LLM locales? para los fundamentos.
  • llama.cpp — el motor de inferencia subyacente para modelos cuantizados GGUF; máximo control sobre la cuantización, la longitud de contexto y el ajuste de hardware para CPU o GPU.
  • vLLM — servicio de alto rendimiento para cargas de trabajo empresariales multiusuario; paged attention y batching continuo para solicitudes concurrentes en árabe.
  • Open WebUI — un front-end de chat autoalojado con control de acceso basado en roles y registro de auditoría, adecuado para equipos internos.
  • ALLaM 7B — el modelo árabe de desarrollo saudí (NCAI/SDAIA, ahora HUMAIN), publicado bajo Apache 2.0 con cuantizaciones GGUF en Hugging Face que se ejecutan directamente en Ollama y llama.cpp. El principal modelo árabe autoalojable de forma pública.
  • Qwen2.5 — una sólida alternativa multilingüe cuando necesitas una amplia cobertura de idiomas junto al árabe; revisa los compromisos en LLM locales multilingües.
  • Dimensionamiento de hardware — un modelo de 7B necesita aproximadamente 6–8 GB de VRAM con Q4_K_M; un modelo de 70B necesita 40–48 GB. Usa la Calculadora de VRAM para dimensionar tus GPU dentro del Reino antes de la compra.

Notas sectoriales sobre SAMA, gobierno y sanidad

Las normas sectoriales se superponen a la PDPL y a menudo son más estrictas, en particular en cuanto a localización de datos.

Servicios financieros (SAMA). Los "Principios de Inteligencia Artificial para Instituciones Financieras" (2023) del Banco Central Saudí obligan a todas las entidades con licencia de la SAMA a cumplir requisitos de gobernanza de IA, gestión de riesgos y rendición de cuentas. El Marco Regulatorio de Computación en la Nube de la SAMA exige aprobación previa antes de usar cualquier servicio en la nube, una aprobación separada para la nube fuera del Reino, y obliga a que los sistemas bancarios básicos, los datos de clientes, los registros de transacciones y las credenciales de pago estén alojados físicamente en Arabia Saudí. La Autoridad Nacional de Ciberseguridad (NCA) aplica en paralelo los Controles Esenciales de Ciberseguridad (ECC). Para la IA financiera, la inferencia en las instalaciones es la vía de menor resistencia regulatoria.

Gobierno e infraestructura crítica. El Marco Regulatorio de Computación en la Nube restringe que las entidades gubernamentales y la infraestructura nacional crítica usen servicios de nube extranjeros para cargas de trabajo sensibles. El borrador de la Global AI Hub Law (2025) refuerza los modelos de centros de datos soberanos. El despliegue de IA local encaja directamente con esta postura.

Sanidad. Los datos de salud son una de las siete categorías de datos sensibles de la PDPL, por lo que atraen las condiciones de transferencia más estrictas y evaluaciones de riesgos obligatorias a gran escala. Las expectativas de tratamiento de datos del Ministerio de Sanidad empujan con fuerza hacia el procesamiento en el país. La IA local mantiene los datos de los pacientes en las instalaciones de principio a fin. Consulta la Lista de verificación de seguridad y privacidad de LLM locales para los pasos de verificación.

Esto no es asesoramiento legal. La interpretación regulatoria depende de tus datos, sector y actividades de tratamiento específicos. Consulta a tu DPO y a un asesor legal cualificado en Arabia Saudí antes de actuar sobre cualquier cosa de esta guía.

Preguntas frecuentes: PDPL saudí e IA local

¿La PDPL saudí exige que todos los datos permanezcan en Arabia Saudí?

No: la PDPL no es una ley general de localización de datos. Su Artículo 29 es un marco regulado de transferencia transfronteriza: las transferencias al extranjero solo se permiten si cumplen las condiciones de seguridad nacional, protección adecuada y minimización de datos. Sin embargo, como la SDAIA aún no ha publicado su lista de países con adecuación y las normas sectoriales (SAMA, sanidad) pueden exigir el almacenamiento dentro del Reino, mantener los datos en el país suele ser la vía conforme más sencilla.

¿Qué es la SDAIA y qué competencias tiene?

La SDAIA (Autoridad Saudí de Datos e Inteligencia Artificial) es el regulador competente de la PDPL. Supervisa el cumplimiento, opera comités de aplicación, emite Cláusulas Contractuales Tipo y orientación sobre transferencias, y puede imponer multas administrativas de hasta 5.000.000 SAR, duplicadas para reincidentes. Ha emitido 48 decisiones formales de infracción desde que comenzó la aplicación plena en septiembre de 2024.

¿Cómo se aplica el Artículo 29 de la PDPL a los servicios de IA en la nube?

Cuando un prompt contiene datos personales y se envía a un servidor de inferencia fuera del Reino, eso es una transferencia transfronteriza sujeta al Artículo 29. Debes superar la comprobación de seguridad nacional, demostrar una protección equivalente en la jurisdicción receptora (normalmente mediante SCCs de la SDAIA, ya que aún no existe lista de adecuación) y transferir solo los datos mínimos necesarios. Ejecutar la inferencia en local evita todo esto.

¿AWS Riad o Azure Arabia Saudí me protegen de los riesgos de la PDPL?

Parcialmente. Alojar datos en una región de nube saudí ayuda con la residencia física de los datos, pero el proveedor sigue teniendo su sede en EE. UU. y, por tanto, está sujeto a la CLOUD Act de EE. UU., que puede obligar a la entrega de datos con independencia de la ubicación de almacenamiento. La cuestión de la adecuación de la jurisdicción de origen del proveedor también sigue sin resolverse. La IA local en las instalaciones es el único modelo que elimina ambos problemas.

¿Qué es la CLOUD Act y por qué importa para las empresas saudíes?

La CLOUD Act de EE. UU. (18 U.S.C. § 2713) exige a los proveedores de nube con sede en EE. UU. entregar datos en respuesta a una orden válida del gobierno de EE. UU., incluso cuando los datos estén en un centro de datos extranjero. Para las empresas saudíes esto entra en conflicto directo con el Marco Regulatorio de Computación en la Nube, que prohíbe a los proveedores divulgar datos salvo cuando lo exija la ley saudí. No existe ningún acuerdo bilateral CLOUD Act entre EE. UU. y Arabia Saudí para mediar en el conflicto.

¿Qué sanciones puede imponer la SDAIA?

Multas administrativas de hasta 5.000.000 SAR (~1,33 millones USD), que pueden duplicarse por infracciones reincidentes. La divulgación intencionada de datos personales sensibles para causar daño o para beneficio personal conlleva sanciones penales: multas de hasta 3.000.000 SAR y posible prisión. Las advertencias están disponibles como sanción menor.

¿Tiene la SAMA requisitos de localización de datos separados?

Sí, y son más estrictos que la PDPL general. La SAMA exige a las instituciones financieras mantener los sistemas bancarios básicos, los datos de clientes, los registros de transacciones y las credenciales de pago físicamente en Arabia Saudí, obtener aprobación previa antes de usar cualquier servicio en la nube y conseguir una aprobación separada para cualquier nube fuera del Reino. La NCA aplica controles de ciberseguridad paralelos. La IA en las instalaciones es plenamente conforme por defecto.

¿Qué categorías de datos sensibles reciben un trato más estricto bajo la PDPL?

Siete categorías: origen racial o étnico; creencias religiosas, intelectuales o políticas; antecedentes penales; datos biométricos usados para identificación; datos genéticos; datos de salud; y datos que indiquen filiación desconocida. Las transferencias transfronterizas continuas o a gran escala de estas categorías requieren una evaluación de riesgos obligatoria conforme al Reglamento de Transferencias.

¿Ejecutar la IA en local elimina todas las obligaciones de la PDPL?

No: elimina la obligación de transferencia transfronteriza (Artículo 29), que es la más difícil, pero aún necesitas una base legal para el tratamiento, debes respetar los derechos de los interesados (acceso, rectificación, supresión), implementar salvaguardas técnicas y organizativas y mantener registros de auditoría. El despliegue local facilita el cumplimiento de esas obligaciones restantes porque todo permanece bajo tu control.

¿Qué es el borrador de la Global AI Hub Law saudí?

Es un borrador de ley de 2025 que enfatiza la infraestructura soberana de IA y marcos de centros de datos diseñados para mantener los datos y el procesamiento de IA dentro del Reino mientras atrae inversión extranjera. Junto con la declaración del Consejo de Ministros de 2026 como Año de la Inteligencia Artificial, señala una clara dirección nacional hacia la capacidad de IA dentro del Reino, que el despliegue local apoya directamente.

Fuentes

  • SDAIA — Personal Data Protection Law (oficial) — sdaia.gov.sa
  • ICLG — Data Protection Laws and Regulations: Saudi Arabia 2025–2026 — iclg.com
  • A&O Shearman — Enforcement of the Saudi PDPL — aoshearman.com
  • Clyde & Co — Enforcement of the Saudi PDP Law is live (March 2026) — clydeco.com
  • King & Spalding — International Personal Data Transfers under the Saudi PDPL — kslaw.com
  • Chambers & Partners — Data Protection & Privacy 2026: Saudi Arabia — chambers.com
  • ITIF — Saudi Arabia Cross-Border Data Transfer Regulation (June 2025) — itif.org
  • Kiteworks — SAMA Cloud Computing & Data Residency Compliance — kiteworks.com
  • US Congress — CLOUD Act overview (18 U.S.C. § 2713) — congress.gov
  • Simmons & Simmons — Cloud Computing Regulatory Framework (CCRF) in Saudi Arabia — simmons-simmons.com

Nota sobre hechos de terceros

Este artículo hace referencia a modelos de IA, benchmarks, precios y licencias de terceros. El panorama de la IA cambia rápidamente. Las puntuaciones de benchmark, los términos de licencia, los nombres de modelos y los precios de API pueden cambiar entre el momento en que se escribió y cuando usted lo lee. Antes de tomar decisiones de despliegue o cumplimiento basadas en este artículo, verifique las cifras actuales en la fuente oficial de cada proveedor: tarjetas de modelos de Hugging Face para licencias y benchmarks, sitios web de proveedores para precios de API y EUR-Lex para el texto actualizado del RGPD y la Ley de IA de la UE. Este artículo refleja información públicamente disponible a mayo de 2026.

Run PromptQuorum with a local LLM, your own API keys, or both — you pick the backend.

Join the PromptQuorum Waitlist →

← Back to Local LLMs

PDPL saudí y soberanía de datos: IA local 2026