Modelos de IA alojados en la UE

¿Qué significa alojado en la UE?

Alojado en la UE significa que la inferencia — la ejecución efectiva del modelo de lenguaje en servidores GPU — tiene lugar en centros de datos físicamente ubicados en la Unión Europea. Esto es diferente a tener una sede central en la UE o una entidad jurídica europea en un registro mercantil. Una empresa domiciliada legalmente en Ámsterdam pero que opera toda su capacidad de cómputo en Virginia no está alojada en la UE en el sentido técnico que importa para las obligaciones del RGPD. ¿Por qué importa esta distinción? Porque el RGPD exige a los responsables del tratamiento — y a sus interesados — saber dónde residen físicamente los datos personales durante el tratamiento. Cuando un prompt que contiene datos personales (nombres, direcciones, descripciones médicas) llega a una API de LLM, constituye una transferencia de datos personales a un encargado del tratamiento. La ubicación física de ese tratamiento determina qué mecanismos de transferencia son aplicables. Los subencargados también juegan un papel. Un proveedor cloud europeo puede arrendar capacidad GPU de una empresa de centro de datos propiedad de una matriz estadounidense. Esto puede ser conforme — siempre que se apliquen cláusulas contractuales tipo (CCT) o mecanismos de transferencia equivalentes — pero esta información debe estar documentada explícitamente en el DPA (acuerdo de tratamiento de datos) de su proveedor de LLM. Lea siempre el DPA, no solo la página de marketing.

Implicaciones del RGPD en la inferencia alojada en la UE

El RGPD regula cómo se tratan los datos personales de los residentes de la UE. Cuando su organización llama a una API de LLM con datos que contienen datos personales, usted es el responsable del tratamiento y el proveedor de la API es el encargado del tratamiento. Esto crea tres obligaciones concretas: 1. Acuerdo de tratamiento de datos (Artículo 28). Debe celebrar un DPA con el proveedor. Compruebe en él: qué subencargados se contratan, en qué país se encuentran y qué mecanismo jurídico aplica (CCT, decisión de adecuación, normas corporativas vinculantes). 2. Evaluación del impacto de la transferencia (Artículo 46 / Schrems II). Si el proveedor es estadounidense — aunque aloje en Fráncfort — la legislación FISA 702 de EE.UU. significa que las autoridades estadounidenses pueden en determinadas circunstancias exigir acceso a los datos. Tras la sentencia Schrems II del TJUE (2020), las cláusulas contractuales tipo más una evaluación del impacto de la transferencia (TIA) son el mecanismo estándar. Con proveedores alojados exclusivamente en la UE sin matriz estadounidense, esta evaluación desaparece en gran medida, reduciendo considerablemente la carga de cumplimiento. 3. Retención y supresión. ¿El proveedor de LLM almacena registros de prompts para entrenamiento, ajuste fino o seguimiento de calidad? En ese caso, ¿durante cuánto tiempo, y puede presentar una solicitud de supresión? El alojamiento en la UE no resuelve esto automáticamente; se requieren compromisos contractuales en el DPA.

Proveedores alojados en la UE en la base de datos de Tokonomix

La tabla a continuación muestra los proveedores cuya región de alojamiento en la base de datos de Tokonomix está marcada como región UE (eu / nl / de / fr). La puntuación media es la puntuación de referencia media de los últimos 7 días; — significa que aún no hay ninguna medición reciente disponible. Los datos se actualizan semanalmente a partir de la documentación de los proveedores y las ejecuciones de benchmarks.

Matriz de cumplimiento RGPD: modelos por proveedor

La tabla a continuación enumera todos los modelos activos alojados en la UE en la base de datos de Tokonomix, con la región de inferencia, el país de origen del modelo y la modalidad de salida. Son datos en vivo; la tabla se actualiza automáticamente cuando se añaden o modifican proveedores o modelos.

Ley de IA de la UE — lo que debe saber

La Ley de IA de la UE (Reglamento 2024/1689) se ha implementado de forma progresiva. Para la mayoría de las organizaciones que utilizan APIs de LLM, las reglas de IA de uso general (GPAI) son las más relevantes. Los modelos frontier con riesgo sistémico — evaluados mediante umbrales de cómputo y procesos de evaluación de riesgos — conllevan obligaciones adicionales de transparencia y auditoría para los proveedores, no para usted como desplegador. Como desplegador, sí tiene obligaciones de transparencia cuando utiliza IA en contacto público directo (p.ej. chatbots) y en ciertas aplicaciones de alto riesgo (selección de RRHH, puntuación crediticia, etc.). La inferencia alojada en la UE reduce la carga de cumplimiento en las transferencias de datos, pero no le exime de las obligaciones del desplegador en virtud de la Ley de IA. Consulte a su DPO o asesor jurídico para una evaluación de su caso de uso específico.

Preguntas frecuentes

¿El alojamiento en la UE es automáticamente conforme con el RGPD?

No. El alojamiento en la UE es una condición necesaria pero no suficiente. También necesita un acuerdo de tratamiento de datos válido, debe conocer a los subencargados y debe haber realizado una evaluación del impacto de la transferencia si el proveedor tiene una matriz estadounidense. Sin embargo, el alojamiento en la UE le protege en gran medida de los problemas relacionados con Schrems II y reduce el riesgo de que las autoridades extranjeras exijan acceso.

¿Qué proveedores ofrecen inferencia exclusivamente en la UE?

Según la base de datos de Tokonomix, OVH AI Endpoints (Gravelines, FR) y Mistral AI (UE) son los proveedores con una región de alojamiento en la UE. Mistral AI es una empresa francesa; OVH es un proveedor cloud europeo. Nota: la lista en la base de datos solo refleja los proveedores para los que Tokonomix ejecuta benchmarks de API. Existen más proveedores alojados en la UE fuera de nuestra base de datos.

¿La Ley de IA de la UE cambia qué modelos puedo usar?

La Ley de IA no prohíbe modelos específicos para aplicaciones empresariales normales. Lo que se prohíbe son ciertas aplicaciones, no los modelos en sí: identificación biométrica en tiempo real en espacios públicos, puntuación social, etc. Como desplegador, debe mantener documentación adicional para aplicaciones de alto riesgo (RRHH, puntuación financiera, infraestructura crítica). ¿Usa un modelo GPAI con riesgo sistémico? El proveedor tiene obligaciones adicionales; solicite su documentación de conformidad.

¿Qué ocurre con los proveedores estadounidenses con regiones en la UE?

Un proveedor como OpenAI o Google ofrece opciones regionales en la UE (p.ej. Fráncfort/París), pero como empresa estadounidense está sujeto a la FISA 702. Esto significa que los servicios de inteligencia estadounidenses pueden en principio exigir acceso, independientemente de la ubicación física de los datos. El Marco de Privacidad de Datos UE-EE.UU. (DPF, 2023) ofrece una decisión de adecuación para las empresas participantes, pero si eso es suficientemente robusto para su caso de uso es una valoración jurídica. Los proveedores alojados exclusivamente en la UE sin matriz estadounidense no tienen este riesgo.

¿Qué ocurre con los modelos no-UE que se ejecutan en infraestructura de la UE?

Muchos modelos del pool alojado en la UE de Tokonomix fueron desarrollados originalmente por partes no-UE (EE.UU., China). Eso es relevante para el RGPD en lo que respecta al entrenamiento del modelo (sus datos generalmente no están involucrados allí) pero no para la relación de encargado del tratamiento durante la inferencia. Lo que importa es dónde tiene lugar el cómputo. Si el modelo se ejecuta en servidores de la UE, se aplica la ventaja del alojamiento en la UE para las evaluaciones de transferencia — siempre que el proveedor también haya documentado correctamente a sus subencargados.

¿Cómo usa Tokonomix el alojamiento en la UE para las llamadas de consenso?

En la pasarela de consenso de Tokonomix, puede establecer el routing_intent en 'eu'. Tokonomix enrutará entonces la solicitud exclusivamente a proveedores cuya hosting_region esté dentro de la UE. Esto es relevante para aplicaciones donde todos los modelos participantes deben ejecutarse en la UE — p.ej. para el cumplimiento específico del sector en sanidad o servicios financieros. El pool de la UE es más pequeño que el pool global; espere una elección de modelos ligeramente menor pero un control total de las transferencias regionales.

¿Cuál es la diferencia entre alojado en la UE y soberano en la UE?

Alojado en la UE significa: los servidores están en la UE. Soberano en la UE (o 'soberanía de datos') va más allá: el proveedor también es legal y organizativamente independiente de las jurisdicciones no-UE, incluida ninguna sociedad matriz extranjera y ningún accionista extranjero con control. OVH y Mistral se acercan al modelo soberano; la mayoría de los grandes hiperescaladores (incluso con regiones de la UE) no. Para los requisitos de cumplimiento más exigentes (gobierno, infraestructura crítica), la soberanía es el criterio, no solo el alojamiento.

¿Con qué frecuencia se actualizan los datos de los proveedores?

Los datos de región de alojamiento en la base de datos de Tokonomix se actualizan semanalmente a partir de la documentación oficial de los proveedores. Las puntuaciones de benchmark se recalculan diariamente en base a ciclos de pruebas automatizadas. Si detecta una discrepancia, puede proponer una corrección mediante el botón de comentarios en la página del proveedor.