O DeepSeek é seguro para uso sob o RGPD?
Resposta rápida
A API do DeepSeek apresenta o maior risco para o RGPD entre os principais LLMs, porque os servidores estão sujeitos à lei chinesa de acesso a dados (PIPL), não existe uma decisão de adequação da UE para a China, e os Termos de Serviço reservam explicitamente o direito de compartilhar dados com as autoridades chinesas. Os modelos de código aberto do DeepSeek executados localmente têm um perfil de risco diferente e mais baixo.
- ▸API do DeepSeek: servidores na China, sujeitos à lei PIPL de divulgação — risco máximo
- ▸Sem decisão de adequação da UE para a China: CCT + AIT requeridas, mas o resultado da AIT pode ser desfavorável
- ▸Pesos locais do DeepSeek R1/V3 (Apache 2.0): risco muito menor se implantados localmente sem chamadas à API
Atualizado: 2 de junho de 2026
Pontos principais
- ✓A API do DeepSeek é o LLM de maior risco para o RGPD: jurisdição chinesa, lei PIPL de acesso a dados, sem decisão de adequação da UE
- ✓As CCT são tecnicamente possíveis, mas uma Avaliação de Impacto de Transferência para a China provavelmente produzirá um resultado desfavorável para dados sensíveis
- ✓Os modelos de código aberto do DeepSeek (R1, V3, Coder V2) são Apache 2.0: executados localmente, têm o mesmo baixo risco que Qwen ou Llama local
- ✓Para dados regulados pela UE: evite a API do DeepSeek; use pesos locais ou mude para um modelo com opções de API hospedadas na UE
Por que a API do DeepSeek tem alto risco sob o RGPD
Três fatores cumulativos fazem da API do DeepSeek a opção de maior risco para dados regulados pelo RGPD entre os principais LLMs. Primeiro: os servidores estão na China, tornando cada chamada à API uma transferência para país terceiro segundo o Artigo 44 do RGPD. Segundo: a China não tem decisão de adequação da UE (ao contrário dos EUA, que têm o Quadro de Privacidade de Dados UE-EUA). Terceiro: a Lei de Proteção de Informações Pessoais da China (PIPL) obriga organizações que operam na China a fornecer dados às autoridades estatais mediante solicitação.
As Cláusulas Contratuais Padrão são um mecanismo jurídico válido para transferências para a China. No entanto, após o Schrems II, as organizações também devem conduzir uma Avaliação de Impacto de Transferência avaliando se as CCT fornecem proteção real na prática. Para a China, a AIT é difícil de superar para dados sensíveis: a PIPL pode substituir as proteções contratuais e o governo chinês pode exigir acesso. A orientação do CEPD da UE deixa claro que onde medidas suplementares não podem compensar deficiências no quadro jurídico do país de destino, a transferência não deve ser realizada.
Isso se aplica a qualquer dado pessoal: registros de RH, informações de clientes, notas médicas, correspondência jurídica. Se seus prompts contiverem algum desses dados, a API do DeepSeek cria exposição regulatória que as CCT sozinhas podem não resolver.
Pesos locais do DeepSeek — um perfil de risco completamente diferente
Os modelos de código aberto do DeepSeek (R1, V3, Coder V2) são um produto distinto da API. São lançados sob Apache 2.0 e podem ser baixados e executados localmente sem nenhuma conexão com os servidores do DeepSeek. A execução de pesos locais elimina completamente o problema de transferência do Artigo 44 do RGPD — da mesma forma que o Qwen ou Llama local.
O DeepSeek R1 7B ou 8B local funciona confortavelmente via Ollama em uma GPU com 6–8 GB de VRAM. O desempenho é excelente: o R1 é um dos modelos de raciocínio mais fortes disponíveis no nível 7B. Para tarefas de codificação, o DeepSeek Coder V2 está disponível em variantes menores.
A questão restante para o DeepSeek local: treinamento do modelo. O DeepSeek não publicou detalhes completos sobre quais dados foram usados para treinar esses modelos. Para ambientes de alta garantia (saúde, jurídico, governo), essa incerteza pode ser relevante mesmo para implantação local. Qwen 3 (Alibaba/Tongyi) e Llama 4 (Meta) fornecem mais transparência sobre a procedência dos dados de treinamento.
| Implantação | Risco RGPD | Motivo | Ação recomendada |
|---|---|---|---|
| API do DeepSeek | Máximo | Servidores chineses, PIPL, sem decisão de adequação | Evitar para dados pessoais ou sensíveis |
| DeepSeek local (R1/V3) | Baixo | Sem transferência, pesos Apache 2.0 | Aceitável; note a opacidade dos dados de treinamento |
| Qwen local (2.5/3) | Baixo | Sem transferência, Apache 2.0, informações de treinamento publicadas | Recomendado para uso com dados sensíveis |
| Claude / OpenAI API | Médio | Jurisdição EUA; região UE reduz mas não elimina o risco | CCT + DPA requeridos; preferir região UE |
Respostas rápidas: DeepSeek e o RGPD
Posso usar a API do DeepSeek com Cláusulas Contratuais Padrão para o RGPD?▾
DeepSeek R1 é a mesma coisa que a API do DeepSeek?▾
ollama run deepseek-r1:7b) não implica nenhum risco de transferência.