Home/Local LLMs/Soberanía de datos y la UAE PDPL: ejecutar IA on-premise para cumplimiento (2026)

Enterprise

Soberanía de datos y la UAE PDPL: ejecutar IA on-premise para cumplimiento (2026)

Last updated: June 2026·14 min de lectura·Por Hans Kuepper · Fundador de PromptQuorum, herramienta de despacho multi-modelo · PromptQuorum

Leer en:

🇺🇸en 🇩🇪de 🇫🇷fr 🇯🇵ja 🇨🇳zh 🇪🇸es 🇧🇷pt 🇸🇦ar 🇰🇷ko

La Ley de Protección de Datos Personales de los EAU (Federal Decree-Law No. 45 of 2021) exige salvaguardas específicas antes de que los datos personales puedan salir de los EAU. Ejecutar modelos de IA on-premise elimina por completo la cuestión de la transferencia transfronteriza — los datos permanecen dentro de las fronteras nacionales y la soberanía se mantiene por diseño. Esta guía cubre las obligaciones de la PDPL, cómo la IA en la nube genera riesgo de transferencia, las opciones de despliegue on-premise y las consideraciones por sector. *No es asesoramiento legal — consulta a tu DPO o a un asesor legal de los EAU para tu situación específica.*

La Ley de Protección de Datos Personales de los EAU (Federal Decree-Law No. 45 of 2021) exige salvaguardas específicas antes de que los datos personales puedan salir de los EAU. Las APIs de IA en la nube envían datos a servidores extranjeros, lo que genera obligaciones de transferencia transfronteriza. Ejecutar modelos de IA on-premise mantiene los datos personales dentro de las fronteras nacionales, abordando la residencia y la soberanía por diseño. Esta guía cubre las obligaciones de la PDPL, el riesgo de transferencia, las opciones de despliegue soberano y las consideraciones por sector para bancos, gobierno y empresas de los EAU.

Key Takeaways

UAE PDPL: Federal Decree-Law No. 45 of 2021. En vigor desde el January 2, 2022. Regulador: UAE Data Office (UAEDO).
Las transferencias transfronterizas requieren protección adecuada en el país de destino, o Standard Contractual Clauses (SCCs) / Binding Corporate Rules (BCRs). Hasta 2026 no se ha publicado ninguna lista oficial de adecuación de los EAU.
Plazo de cumplimiento completo: January 1, 2027. Los Reglamentos Ejecutivos siguen pendientes — se recomienda asesoramiento legal para los detalles de implementación.
DPIA obligatorio (Artículo 21) para el tratamiento de alto riesgo: elaboración de perfiles a gran escala, decisiones automatizadas con efectos jurídicos, transferencias transfronterizas a jurisdicciones no adecuadas.
Los interesados pueden oponerse a las decisiones automatizadas que produzcan efectos jurídicos o significativos. Las organizaciones deben revelar la lógica del tratamiento automatizado ante solicitudes de acceso.
IA local on-premise: la inferencia ocurre dentro de los EAU — los datos personales nunca cruzan una frontera — reduce por diseño la exposición a transferencias transfronterizas de la PDPL.
DIFC (DIFC Data Protection Law No. 5 of 2020, modificada en julio de 2025) y ADGM operan regímenes de protección de datos separados; la PDPL federal excluye explícitamente las zonas francas con sus propias leyes.
Sectores: la CBUAE lanzó la Sovereign Financial Cloud Services Infrastructure (SFCSI) el February 25, 2026. Salud: DHA + ADHICS. Todas las capas sectoriales se construyen sobre la PDPL.
*No es asesoramiento legal. Consulta a un asesor legal o DPO cualificado de los EAU para tus obligaciones de cumplimiento específicas.*

Ejecutar la inferencia de IA on-premise en los EAU elimina la transferencia transfronteriza de datos personales bajo la Federal Decree-Law No. 45 of 2021 (UAE PDPL), porque los datos nunca salen de la infraestructura nacional.

La ley de protección de datos de los EAU dice que necesitas aprobación para enviar datos personales a otros países. Si tu IA se ejecuta localmente dentro de los EAU, ningún dato sale — así que la regla de transferencia no se aplica.

UAE PDPL: ley, regulador y cronología

La Ley de Protección de Datos Personales de los EAU (PDPL) es la Federal Decree-Law No. 45 of 2021. Entró en vigor el January 2, 2022, convirtiendo a los EAU en el primer estado del Golfo en promulgar una ley federal de privacidad integral.

Regulador: UAE Data Office (UAEDO). El Data Office fue establecido por la Federal Decree-Law No. 44 of 2021, un instrumento complementario de la PDPL. Tiene autoridad para realizar auditorías, investigar reclamaciones y emitir orientación.

Plazo de cumplimiento: January 1, 2027. Las organizaciones deben tener programas de cumplimiento completo de la PDPL implementados para esta fecha.

Reglamentos Ejecutivos: aún pendientes. Los reglamentos de aplicación — que especificarán las plantillas de SCCs, el marco de adecuación y las reglas por sector — no se habían publicado a principios de 2026. Esto genera incertidumbre en la implementación. Consulta a un DPO o asesor legal cualificado de los EAU para tu situación específica.

Ley: Federal Decree-Law No. 45 of 2021 sobre la Protección de Datos Personales
Fecha de entrada en vigor: January 2, 2022
Regulador: UAE Data Office (UAEDO), establecido por la Federal Decree-Law No. 44 of 2021
Objetivo de cumplimiento completo: January 1, 2027
Reglamentos Ejecutivos: pendientes a principios de 2026
Ámbito: se aplica al tratamiento de datos personales de residentes de los EAU por entidades de los EAU y por encargados extraterritoriales que se dirijan a residentes de los EAU

Cómo las APIs de IA en la nube generan riesgo de transferencia transfronteriza bajo la PDPL

Cuando llamas a una API de IA en la nube, los datos personales salen de los EAU. Un flujo de trabajo empresarial típico — enviar una consulta de cliente a un endpoint de API alojado en EE. UU. o la UE — es una transferencia transfronteriza bajo la PDPL, incluso si los datos son transitorios.

La PDPL restringe las transferencias transfronterizas. Los datos solo pueden fluir a un país de destino si este proporciona un nivel adecuado de protección reconocido por la UAE Data Office, o si existen salvaguardas contractuales específicas (SCCs o BCRs). Hasta 2026, la UAE Data Office no había publicado una lista formal de adecuación.

Puede requerirse un DPIA. Al transferir a una jurisdicción no adecuada — que actualmente abarca todos los países a la espera de la lista de adecuación — puede requerirse una Evaluación de Impacto sobre la Privacidad de los Datos (Artículo 21) antes de la transferencia.

Ejemplos prácticos de riesgo:

Enviar consultas de soporte al cliente a GPT-4o (alojado en EE. UU.): transferencia transfronteriza del contenido de la consulta, que puede contener identificadores personales
Usar una IA documental basada en la nube para procesar archivos de RR. HH.: datos personales de empleados enviados fuera de los EAU
Traducción basada en API de registros médicos: datos sensibles de categoría especial saliendo de los EAU sin un marco formal de SCC establecido
Fine-tuning de un LLM en la nube con datos propios de clientes: transferencia sustancial de datos personales sin conservar una copia en el país

Cómo la IA on-premise aborda la residencia y la soberanía de datos en los EAU

IA on-premise significa: el modelo se ejecuta en hardware dentro de los EAU. Los datos personales se procesan localmente, las respuestas se devuelven localmente y nada cruza una frontera en el momento de la inferencia.

La cuestión de la transferencia transfronteriza desaparece. Si los datos nunca salen de la infraestructura de los EAU, no se necesita ninguna decisión de adecuación, SCC ni BCR para la inferencia. La residencia se mantiene por diseño en lugar de por contrato.

Los LLMs locales son la implementación principal. Los modelos open-weight (Falcon 3, Llama 3.1, Qwen3, Jais y otros) pueden desplegarse en servidores ubicados en los EAU usando Ollama, vLLM o llama.cpp — todo sin enviar datos a una API externa.

Soberanía por diseño: los pesos del modelo, la configuración y todos los logs de procesamiento permanecen dentro de la jurisdicción de los EAU. Esto se alinea con la UAE National AI Strategy 2031, que enmarca los datos como "el petróleo del futuro" que requiere gobernanza nacional.

✅ Los datos de inferencia permanecen en los EAU — sin transferencia transfronteriza de datos personales en tiempo de ejecución
✅ No se requiere decisión de adecuación ni SCC para el paso de inferencia
✅ Se reduce el alcance del DPIA — el procesamiento es local, no transfronterizo
✅ Se alinea con los objetivos de gobernanza de datos nacional de la UAE AI Strategy 2031
✅ Los logs de auditoría y las salidas del modelo permanecen dentro de la jurisdicción de los EAU
❌ Requiere hardware en el país (servidor GPU, almacenamiento NVMe, refrigeración) o GPU en la nube basada en los EAU
❌ La descarga de los pesos del modelo desde Hugging Face aún requiere acceso a internet — airgap tras la descarga inicial
❌ El equipo técnico debe gestionar las actualizaciones del modelo, la monitorización y la seguridad

IA en la nube vs. on-premise: comparación de riesgo transfronterizo de la PDPL

Esta tabla compara la postura de cumplimiento de la PDPL de las APIs de IA en la nube frente a la inferencia de IA local on-premise. No es asesoramiento legal — consulta a tu DPO.

Factor	API de IA en la nube	IA local on-premise
¿Los datos cruzan la frontera de los EAU?	Sí — enviados a servidores de EE. UU./UE	No — procesados localmente
¿Obligación de transferencia transfronteriza de la PDPL?	Sí — requiere adecuación o SCCs	No aplicable (sin transferencia)
¿Se requiere decisión de adecuación?	Sí (lista aún no publicada)	No
¿Se requiere SCC/BCR?	Sí (a la espera de las plantillas de los Reglamentos Ejecutivos)	No
¿DPIA activado por transferencia transfronteriza?	Probable para datos sensibles	No por transferencia (solo si el tratamiento es de alto riesgo)
¿Jurisdicción de los logs de auditoría?	Jurisdicción extranjera	Jurisdicción de los EAU
¿Alcance de aplicación de la UAEDO?	Incierto para proveedores extranjeros	Jurisdicción clara de los EAU
¿Alineación con la UAE AI Strategy 2031?	Parcial (infraestructura extranjera)	Total (gobernanza de datos nacional)

Opciones de despliegue de IA soberana para organizaciones de los EAU

Estas son las opciones prácticas para ejecutar IA dentro de las fronteras de los EAU:

Opción 1 — Servidor GPU on-premise autogestionado. Despliega un servidor NVIDIA RTX 4090 o A100 en tu centro de datos en los EAU. Ejecuta Ollama o vLLM con Falcon 3-7B, Llama 3.1-8B o Qwen3-8B. Soberanía total: tu hardware, tu jurisdicción.
Opción 2 — GPU en la nube basada en los EAU. Usa un proveedor de GPU en la nube con centros de datos físicamente ubicados en los EAU (G42 Cloud, Microsoft Azure UAE North, AWS Middle East UAE). Los datos permanecen en el país. Revisa cuidadosamente el alcance del DPA — Azure UAE North opera bajo los términos de Microsoft UAE; verifica el cumplimiento de la PDPL con el proveedor.
Opción 3 — Sistema on-premise con airgap. Para soberanía máxima (gobierno, defensa, reguladores financieros): descarga los pesos del modelo una vez, aísla el servidor (airgap) y ejecútalo sin conexión. Sin internet saliente en el momento de la inferencia. Consulta LLM local on-premise con airgap.
Opción 4 — Híbrido: inferencia local, fine-tuning en la nube. Realiza el fine-tuning con datos anonimizados o sintéticos (la nube es aceptable para datos no personales), despliega los pesos ajustados localmente. Reduce el riesgo de transferencia aprovechando el cómputo en la nube para el entrenamiento del modelo.
Modelos recomendados para despliegue soberano en los EAU: Falcon 3 (1B–10B, TII Abu Dhabi — modelo nativo de los EAU), Jais (13B–30B, Core42/G42/MBZUAI — árabe-inglés, Abu Dhabi), Llama 3.1 (8B–70B, Meta, Apache 2.0), Qwen3 (8B–32B, multilingüe incluyendo árabe).

DIFC y ADGM: regímenes de protección de datos de zona franca

La UAE PDPL excluye explícitamente las zonas francas que ya tienen sus propias leyes de protección de datos. Tanto DIFC como ADGM cumplen este criterio.

DIFC (Dubai International Financial Centre): Opera bajo la DIFC Data Protection Law No. 5 of 2020, un régimen modelado según el GDPR. En julio de 2025, la Amendment Law No. 1 of 2025 entró en vigor (efectiva el 15 de julio de 2025), alineándose más estrechamente con las mejores prácticas internacionales e introduciendo evaluaciones de adecuación documentadas obligatorias para las transferencias transfronterizas. El DIFC Commissioner of Data Protection es el regulador.

ADGM (Abu Dhabi Global Market): Marco de protección de datos propio alineado con el GDPR. Notablemente incluye el "interés legítimo" como base jurídica permitida — una base que no está disponible bajo la PDPL federal, que se apoya más en el consentimiento.

Cumplimiento en tres capas: Las organizaciones que operan tanto en el continente de los EAU como en una zona franca deben gestionar el cumplimiento bajo ambos regímenes. Una sociedad holding de los EAU con una filial en DIFC se enfrenta tanto a la PDPL federal como a la ley DIFC.

DIFC: DIFC Data Protection Law No. 5 of 2020 + Amendment Law No. 1 of 2025 (15 de julio de 2025)
ADGM: ADGM Data Protection Regulations (modeladas según el GDPR, incluye la base de "interés legítimo")
La PDPL federal excluye las zonas francas con leyes propias (DIFC, ADGM)
Grupos multientidad: asigna cada entidad jurídica a su régimen aplicable por separado
Ventaja de la IA on-premise: el hardware dentro de la zona satisface los tres regímenes simultáneamente

Consideraciones de cumplimiento de IA por sector en los EAU

La PDPL federal es la base. Los sectores regulados añaden requisitos adicionales por encima:

Banca y finanzas (CBUAE, DFSA): El Banco Central de los EAU lanzó la primera Sovereign Financial Cloud Services Infrastructure (SFCSI) del mundo el February 25, 2026 como parte del FIT Programme. Las instituciones financieras que procesan datos de clientes se enfrentan a requisitos de gobernanza de la CBUAE superpuestos a la PDPL. La DFSA cubre por separado a las firmas reguladas por DIFC.
Salud (DHA, ADHICS): Los datos de salud son datos personales de "categoría especial" bajo la PDPL, con protecciones reforzadas. La Dubai Health Authority (DHA) y el Abu Dhabi Healthcare Information and Cyber Security Standard (ADHICS) añaden requisitos de gobernanza de datos por sector. La IA utilizada en entornos clínicos debe abordar tanto la PDPL como los marcos regulatorios de salud.
Gobierno y sector público: Las entidades gubernamentales suelen procesar datos dentro de la infraestructura nacional de los EAU por defecto. La UAE AI Strategy 2031 exige marcos de gobernanza de datos nacionales para la IA gubernamental. La IA on-premise es la opción segura por defecto para los despliegues gubernamentales.
Telecomunicaciones: Los marcos regulatorios preexistentes de telecomunicaciones cubren los datos de telecomunicaciones. La PDPL añade una capa federal sobre los datos personales procesados por los operadores de telecomunicaciones.

Preguntas frecuentes sobre la UAE PDPL y el cumplimiento de IA

¿Es la UAE PDPL similar al GDPR?

La UAE PDPL se inspira en el GDPR pero no es idéntica. Diferencias clave: la PDPL se apoya más en el consentimiento como base jurídica (el GDPR también permite el interés legítimo, que no es una base estándar de la PDPL); los Reglamentos Ejecutivos están pendientes (la implementación del GDPR es madura); y la aplicación aún se está desarrollando. Las leyes de protección de datos de DIFC y ADGM están modeladas más estrechamente según el GDPR e incluyen el interés legítimo.

¿La UAE PDPL exige la localización de datos — almacenar los datos físicamente dentro de los EAU?

La PDPL federal no exige explícitamente la localización de datos (requerir que todos los datos se almacenen en el país). Regula las transferencias transfronterizas — exigiendo protección adecuada o salvaguardas contractuales cuando los datos salen de los EAU. Sin embargo, las reglas por sector (p. ej., la CBUAE SFCSI para servicios financieros) pueden empujar de hecho hacia el almacenamiento en el país. La IA on-premise logra la residencia manteniendo el procesamiento local.

¿Cuáles son las sanciones por incumplimiento de la UAE PDPL?

Hasta 2026, el marco de sanciones de los Reglamentos Ejecutivos no se había publicado. El texto de la ley PDPL contempla sanciones que incluyen multas, pero los importes específicos y los procedimientos de aplicación estaban pendientes de los Reglamentos Ejecutivos. Esta incertidumbre es en sí misma una razón para establecer prácticas conformes antes del plazo de enero de 2027. Consulta a un asesor legal de los EAU para la orientación más reciente sobre sanciones.

¿Ejecutar IA localmente significa automáticamente que cumplo con la PDPL?

No — el despliegue de IA local aborda el riesgo de transferencia transfronteriza pero no te hace automáticamente conforme. Aún necesitas: base jurídica para el tratamiento de datos personales, DPIA para actividades de alto riesgo, procedimientos de derechos de los interesados (acceso, supresión, oposición) y políticas de retención y seguridad de datos. La IA local es una ayuda importante para el cumplimiento, no una solución completa.

¿Qué es la UAE Data Office y qué hace?

La UAE Data Office (UAEDO) es el regulador federal de protección de datos establecido por la Federal Decree-Law No. 44 of 2021. Supervisa la implementación de la PDPL, realiza auditorías, investiga reclamaciones y emite orientación. A principios de 2026, la Data Office aún estaba desarrollando su capacidad de aplicación y se esperaba que publicara los Reglamentos Ejecutivos antes del plazo de enero de 2027.

¿La UAE PDPL se aplica a mi empresa si tenemos sede fuera de los EAU?

La PDPL tiene alcance extraterritorial: puede aplicarse a organizaciones fuera de los EAU que procesen datos personales de residentes de los EAU o personas dentro de los EAU. El alcance extraterritorial exacto será aclarado por los Reglamentos Ejecutivos. Las organizaciones con clientes o usuarios en los EAU deben evaluar sus obligaciones independientemente de la ubicación de su sede.

¿Cómo realizo un DPIA para un proyecto de IA bajo la UAE PDPL?

Bajo el Artículo 21, se requiere un DPIA para el tratamiento que probablemente resulte en un alto riesgo: toma de decisiones automatizada, elaboración de perfiles a gran escala, tratamiento de datos sensibles o transferencias transfronterizas a jurisdicciones no adecuadas. El DPIA debe documentar: la naturaleza y el propósito del tratamiento, la evaluación de necesidad, los riesgos identificados y las medidas de mitigación. Actualiza el DPIA cuando cambie el alcance o el propósito.

¿Necesito un Data Processing Agreement (DPA) con mi proveedor de IA en la nube bajo la PDPL?

Sí — si un proveedor en la nube procesa datos personales en tu nombre, necesitas un acuerdo contractual que rija sus obligaciones de tratamiento, similar a un DPA del Artículo 28 del GDPR. Los proveedores de IA en la nube deberían ofrecer un acuerdo de tratamiento de datos conforme a la UAE PDPL. Si hay una transferencia transfronteriza involucrada, también se requieren SCCs o BCRs (a la espera de las plantillas de los Reglamentos Ejecutivos).

¿Cuál es la diferencia entre la PDPL del continente, la ley DIFC y la ley ADGM?

Las entidades del continente de los EAU se rigen por la PDPL federal (Federal Decree-Law No. 45 of 2021). Las entidades de DIFC siguen la DIFC Data Protection Law No. 5 of 2020 (modificada en julio de 2025). Las entidades de ADGM siguen las ADGM Data Protection Regulations. La PDPL excluye explícitamente las zonas francas con sus propias leyes. Los grupos multientidad deben asignar cada entidad jurídica a su régimen aplicable.

¿Qué modelos de IA open-weight son los mejores para el despliegue soberano en los EAU?

Tres opciones sólidas: Falcon 3 (1B–10B, del Technology Innovation Institute, Abu Dhabi — una familia de modelos nativa de los EAU), Jais (13B–30B, de Core42/G42/MBZUAI, Abu Dhabi — bilingüe árabe-inglés) y Llama 3.1 (8B–70B, Meta, Apache 2.0). Todos pueden desplegarse on-premise con Ollama o vLLM. Falcon y Jais están especialmente alineados con los objetivos de soberanía de IA de los EAU. Consulta nuestra guía de los mejores LLMs locales en árabe.

Fuentes

UAE Federal Decree-Law No. 45 of 2021 sobre la Protección de Datos Personales — uaepdpl.com
UAE Data Office (UAEDO) — uaedataoffice.gov.ae
DIFC Data Protection Law No. 5 of 2020 y Amendment Law No. 1 of 2025 — difc.ae/business/laws-and-regulations/
ADGM Data Protection Regulations — adgm.com/setting-up/financial-services-regulations
Anuncio de la CBUAE Sovereign Financial Cloud Services Infrastructure (SFCSI), February 25, 2026 — centralbank.ae
Securiti UAE PDPL Overview — securiti.ai/uae-personal-data-protection-law
Chambers and Partners — Data Protection & Privacy 2026, UAE — practiceguides.chambers.com

Nota sobre hechos de terceros

Este artículo hace referencia a modelos de IA, benchmarks, precios y licencias de terceros. El panorama de la IA cambia rápidamente. Las puntuaciones de benchmark, los términos de licencia, los nombres de modelos y los precios de API pueden cambiar entre el momento en que se escribió y cuando usted lo lee. Antes de tomar decisiones de despliegue o cumplimiento basadas en este artículo, verifique las cifras actuales en la fuente oficial de cada proveedor: tarjetas de modelos de Hugging Face para licencias y benchmarks, sitios web de proveedores para precios de API y EUR-Lex para el texto actualizado del RGPD y la Ley de IA de la UE. Este artículo refleja información públicamente disponible a mayo de 2026.

Run PromptQuorum with a local LLM, your own API keys, or both — you pick the backend.

Join the PromptQuorum Waitlist →

← Back to Local LLMs