Skip to main content
PromptQuorumPromptQuorum

¿Es seguro usar DeepSeek bajo el RGPD?

Leer en:
🇺🇸en🇩🇪de🇫🇷fr🇯🇵ja🇨🇳zh🇪🇸es

Respuesta rápida

La API de DeepSeek presenta el mayor riesgo para el RGPD entre los principales LLMs, porque los servidores están sujetos a la ley china de acceso a datos (PIPL), no existe una decisión de adecuación de la UE para China, y los Términos de Servicio se reservan explícitamente el derecho a compartir datos con las autoridades chinas. Los modelos de código abierto de DeepSeek ejecutados localmente tienen un perfil de riesgo diferente y más bajo.

  • API de DeepSeek: servidores en China, sujetos a la ley PIPL de divulgación — riesgo máximo
  • Sin decisión de adecuación de la UE para China: CCT + EIT requeridas, pero el resultado de la EIT puede ser desfavorable
  • Pesos locales de DeepSeek R1/V3 (Apache 2.0): riesgo mucho menor si se despliegan localmente sin llamadas a la API

Actualizado: 2026-05

Privacy & Security

Puntos clave

  • La API de DeepSeek es el LLM de mayor riesgo para el RGPD: jurisdicción china, ley PIPL de acceso a datos, sin decisión de adecuación de la UE
  • Las CCT son técnicamente posibles, pero una Evaluación de Impacto de Transferencia para China probablemente producirá un resultado desfavorable para datos sensibles
  • Los modelos de código abierto de DeepSeek (R1, V3, Coder V2) son Apache 2.0: ejecutados localmente, tienen el mismo bajo riesgo que Qwen o Llama local
  • Para datos regulados en la UE: evita la API de DeepSeek; usa pesos locales o cambia a un modelo con opciones de API alojadas en la UE

Por qué la API de DeepSeek tiene alto riesgo bajo el RGPD

Tres factores acumulativos hacen de la API de DeepSeek la opción de mayor riesgo para datos regulados por el RGPD entre los principales LLMs. Primero: los servidores están en China, lo que convierte cada llamada a la API en una transferencia a un tercer país según el Artículo 44 del RGPD. Segundo: China no tiene decisión de adecuación de la UE (a diferencia de EE.UU., que cuenta con el Marco de Privacidad de Datos UE-EE.UU.). Tercero: la Ley de Protección de la Información Personal de China (PIPL) obliga a las organizaciones que operan en China a proporcionar datos a las autoridades estatales bajo petición.

Las Cláusulas Contractuales Tipo son un mecanismo legal válido para las transferencias a China. Sin embargo, tras Schrems II, las organizaciones también deben realizar una Evaluación de Impacto de Transferencia que evalúe si las CCT ofrecen protección real en la práctica. Para China, la EIT es difícil de superar para datos sensibles: la PIPL puede invalidar las protecciones contractuales, y el gobierno chino puede exigir acceso. Las directrices del EDPB dejan claro que donde las medidas suplementarias no pueden compensar las deficiencias del marco legal del país de destino, la transferencia no debe realizarse.

Esto se aplica a cualquier dato personal: registros de RRHH, información de clientes, notas médicas, correspondencia legal. Si tus prompts contienen alguno de estos datos, la API de DeepSeek crea una exposición regulatoria que las CCT por sí solas pueden no resolver.

Pesos locales de DeepSeek — un perfil de riesgo completamente diferente

Los modelos de código abierto de DeepSeek (R1, V3, Coder V2) son un producto distinto a la API. Se publican bajo Apache 2.0 y pueden descargarse y ejecutarse localmente sin ninguna conexión a los servidores de DeepSeek. Ejecutar los pesos localmente elimina por completo el problema de transferencia del Artículo 44 del RGPD, de la misma forma que Qwen o Llama local.

DeepSeek R1 7B u 8B local funciona cómodamente via Ollama en una GPU con 6–8 GB de VRAM. El rendimiento es excelente: R1 es uno de los modelos de razonamiento más potentes disponibles en el nivel de 7B. Para tareas de código, DeepSeek Coder V2 está disponible en variantes más pequeñas.

La pregunta restante para DeepSeek local: el entrenamiento del modelo. DeepSeek no ha publicado detalles completos sobre los datos usados para entrenar estos modelos. Para entornos de alta garantía (sanidad, legal, administración pública), esta incertidumbre puede ser relevante incluso en el despliegue local. Qwen 2.5 (Alibaba/Tongyi) y Llama 4 (Meta) ofrecen más transparencia sobre la procedencia de los datos de entrenamiento.

DespliegueRiesgo RGPDMotivoAcción recomendada
API de DeepSeekMáximoServidores chinos, PIPL, sin decisión de adecuaciónEvitar para datos personales o sensibles
DeepSeek local (R1/V3)BajoSin transferencia, pesos Apache 2.0Aceptable; ten en cuenta la opacidad de los datos de entrenamiento
Qwen local (2.5/3)BajoSin transferencia, Apache 2.0, información de entrenamiento publicadaRecomendado para uso con datos sensibles
Claude / OpenAI APIMedioJurisdicción EE.UU.; la región UE reduce pero no elimina el riesgoCCT + DPA requeridos; preferir región UE

Respuestas rápidas: DeepSeek y el RGPD

¿Puedo usar la API de DeepSeek con Cláusulas Contractuales Tipo para el RGPD?
Técnicamente sí: puedes firmar CCT con la entidad responsable del tratamiento de DeepSeek. Sin embargo, también debes completar una Evaluación de Impacto de Transferencia que evalúe si la ley china socava esas CCT en la práctica. Dadas las obligaciones de divulgación de la PIPL, una EIT para datos personales sensibles probablemente concluirá que las CCT no son suficientes. Para datos no personales (código, texto público), el riesgo es menor.
¿DeepSeek R1 es lo mismo que la API de DeepSeek?
No. DeepSeek R1 se refiere al modelo de código abierto publicado en Hugging Face bajo Apache 2.0. La API de DeepSeek (api.deepseek.com) es un servicio en la nube separado con servidores en China. El riesgo para el RGPD aplica a la API, no a los pesos. Ejecutar R1 localmente via Ollama (ollama run deepseek-r1:7b) no implica ningún riesgo de transferencia.
¿Qué es la PIPL y por qué importa para el RGPD?
La Ley de Protección de la Información Personal de China (PIPL), en vigor desde noviembre de 2021, obliga a las organizaciones que operan en China a proporcionar información personal a las autoridades de seguridad pública o seguridad nacional bajo petición, independientemente de dónde estén ubicadas. Esto significa que DeepSeek, como empresa china, puede ser obligada a entregar datos procesados a través de su API. Las CCT no pueden invalidar una obligación de divulgación obligatoria en la ley del país de destino. Esta es la razón principal por la que las autoridades de protección de datos de la UE consideran las transferencias a China de alto riesgo.
¿Qué LLM es el más seguro para datos regulados por el RGPD?
Para la máxima seguridad bajo el RGPD: cualquier modelo de código abierto local (Qwen 2.5, Llama 4, DeepSeek R1 local) ejecutado offline sin llamadas a APIs externas. Entre ellos, Qwen 2.5 y Llama 4 tienen una procedencia de datos de entrenamiento más transparente. Consulta la comparación completa de riesgos RGPD entre LLMs para una herramienta de decisión estructurada.
← Volver a Prompt Bites