IA on-premise vs nube: cuándo conviene una IA soberana

·

Cuando una empresa decide adoptar inteligencia artificial generativa, la primera pregunta técnica que emerge no es qué modelo elegir, sino dónde va a ejecutarse ese modelo. La decisión entre desplegar la IA en infraestructura propia (on-premise o private cloud) o consumirla como servicio desde la nube pública tiene implicaciones directas en coste, privacidad de datos, cumplimiento normativo y velocidad de puesta en marcha. No hay una respuesta universal: depende de tu sector, del tipo de datos que procesa la IA y del volumen de uso. Este artículo desglosa los factores clave para que puedas tomar esa decisión con criterio.

Qué significa realmente «IA on-premise»

El término on-premise en el contexto de IA se refiere a ejecutar el modelo de lenguaje —u otro modelo de IA— en servidores que tu organización controla físicamente o en un private cloud (nube privada en tu propio datacenter o en un colocation exclusivo). Los datos de entrada y las respuestas nunca salen del perímetro que tú gestionas.

Las opciones más habituales en 2025-2026 son:

En todos los casos, el denominador común es que el dato nunca atraviesa una API pública ni entra en los sistemas de entrenamiento del proveedor.

Qué significa desplegar IA en la nube pública

La alternativa es consumir el modelo a través de la API de un proveedor: OpenAI, Google Vertex AI, AWS Bedrock, Azure OpenAI Service o Mistral AI Platform son los más habituales en Europa. El modelo se ejecuta en los servidores del proveedor; tú envías el prompt y recibes la respuesta. La ventaja es obvia: sin infraestructura propia, sin GPU, sin mantenimiento. Pero los datos viajan fuera de tu entorno.

Entre ambos extremos existe un abanico de opciones intermedias: despliegues en nubes soberanas europeas (GAIA-X, Scaleway, T-Systems), acuerdos contractuales de procesamiento de datos con proveedores hiperescala que garantizan que los datos no se usan para reentrenamiento (como el Data Processing Addendum de OpenAI Enterprise o Azure OpenAI con política «no training on customer data»), y arquitecturas hybrid donde parte del procesamiento ocurre en local y parte en nube.

Comparativa directa: on-premise vs nube

Dimensión On-premise / IA soberana Nube pública (API externa)
Control de datos Total. Los datos no salen del perímetro. Parcial. Depende del contrato DPA y la política del proveedor.
Coste inicial Alto (hardware GPU, licencias, instalación). Bajo o nulo (pago por uso desde el primer token).
Coste a escala Bajo por inferencia una vez amortizado el hardware. Crece linealmente con el volumen de tokens procesados.
Latencia Muy baja si la GPU está en red local. Variable según región y saturación del proveedor.
Calidad del modelo Limitada a modelos abiertos (Llama 3, Mistral…); algo por debajo de los fronteras privados. Acceso a los modelos más potentes (GPT-4o, Gemini 1.5 Pro, Claude 3.5…).
Tiempo hasta producción Semanas o meses (compra, instalación, integración). Días o incluso horas.
Mantenimiento Responsabilidad interna o del consultor. Gestionado por el proveedor (actualizaciones, escalado).
Cumplimiento RGPD Más sencillo; datos bajo tu control directo. Requiere cláusulas contractuales estándar (SCCs) si el proveedor es fuera del EEE.
AI Act (Reglamento UE 2024/1689) Mayor autonomía para gestionar el ciclo de vida del modelo. Responsabilidad compartida; el proveedor asume parte del cumplimiento como «proveedor de modelos de uso general».
Personalización / fine-tuning Total libertad sobre el modelo base. Limitada a las opciones que el proveedor habilite (fine-tuning de OpenAI, Azure…).

El marco normativo que debe guiar la decisión

RGPD y transferencias internacionales de datos

El Reglamento General de Protección de Datos (RGPD) —Reglamento UE 2016/679— exige que cualquier tratamiento de datos personales cumpla los principios de minimización, limitación de finalidad y licitud. Cuando envías un prompt que contiene datos personales (nombre de cliente, historial médico, correo electrónico) a la API de un proveedor estadounidense, estás realizando una transferencia internacional de datos que requiere una base jurídica adecuada: el Marco de Privacidad UE-EE. UU. (Data Privacy Framework, aprobado en julio de 2023 por la Comisión Europea con Decisión de Adecuación 2023/1795), las Cláusulas Contractuales Tipo (SCCs) actualizadas en 2021, o las normas corporativas vinculantes.

Si los datos son especialmente sensibles —historiales clínicos, expedientes laborales, datos financieros sometidos a secreto bancario— la solución on-premise elimina de raíz el riesgo de transferencia y simplifica enormemente la auditoría RGPD.

AI Act: el Reglamento de IA europeo

El Reglamento UE 2024/1689 de Inteligencia Artificial (AI Act), en vigor desde agosto de 2024, clasifica los sistemas de IA por nivel de riesgo. Los sistemas de alto riesgo —aplicaciones en RRHH, crédito, acceso a servicios esenciales, infraestructura crítica— deben cumplir requisitos de trazabilidad, supervisión humana y documentación técnica. Si ejecutas el modelo en tu infraestructura, tienes control total sobre los registros de inferencia, los logs y la cadena de custodia del dato, lo que facilita demostrar el cumplimiento ante una auditoría. En la nube, esa trazabilidad depende de lo que el proveedor exponga en sus consolas.

Para sectores regulados (sanidad, finanzas, defensa), la arquitectura on-premise o en nube soberana europea suele ser la única que supera el escrutinio del Delegado de Protección de Datos o del regulador sectorial. Si necesitas orientación sobre el encaje de tu sistema en el AI Act, nuestros compañeros de Summum Consultoría — AI Act trabajan la parte de cumplimiento legal y gobernanza.

Normativas sectoriales adicionales

Más allá del RGPD y el AI Act, hay normativas sectoriales que a menudo zanjan el debate sin margen de interpretación:

Cuándo elegir on-premise (IA soberana)

La solución on-premise es la indicada cuando concurren uno o más de estos factores:

Si tu organización encaja en este perfil, en Summum IA diseñamos y desplegamos arquitecturas de IA soberana on-premise: desde la selección del modelo hasta la integración con tus sistemas internos, pasando por el hardening de seguridad y la documentación para el AI Act.

Cuándo elegir la nube pública

La nube tiene ventajas decisivas en escenarios distintos:

La vía intermedia: RAG con datos en local y modelo en la nube

Una arquitectura muy habitual en pymes que quieren lo mejor de ambos mundos es la Generación Aumentada por Recuperación (RAG) con segmentación de datos. El esquema funciona así: los documentos propietarios (manuales, contratos, base de conocimiento) permanecen indexados en un vector store dentro de tu infraestructura; en el momento de la consulta, el sistema recupera los fragmentos relevantes en local y los inyecta en el prompt, que entonces sí viaja a la API del proveedor de nube. El modelo externo nunca accede directamente a tu base documental; solo procesa el contexto que tú seleccionas.

Esta arquitectura no elimina por completo el riesgo de transferencia —los fragmentos seleccionados salen al proveedor—, pero lo minimiza y permite usar modelos de nube de alta calidad para el razonamiento sin exponer el corpus completo. Combinado con un acuerdo DPA robusto, es la solución que más empresas europeas están adoptando en 2025-2026.

Coste real: el cálculo que hay que hacer antes de decidir

Uno de los errores más frecuentes es comparar el coste de la nube con el coste del hardware on-premise sin considerar todos los factores. El cálculo correcto incluye:

La regla práctica que manejamos en proyectos de consultoría: por encima de los 500 millones de tokens mensuales procesados de forma estable, el on-premise suele amortizarse en menos de 18 meses. Por debajo de esa cifra, la nube es económicamente más eficiente salvo que haya restricciones de datos que lo impidan.

Preguntas frecuentes

¿Puedo usar ChatGPT con datos de clientes sin incumplir el RGPD?

Depende del plan y del contrato. La versión gratuita y la de pago estándar de ChatGPT utilizan las conversaciones para mejorar los modelos de OpenAI, lo que puede implicar una cesión de datos. ChatGPT Enterprise y la API de OpenAI con Data Processing Addendum firmado garantizan que los datos del cliente no se usan para reentrenamiento y permiten elegir la región de procesamiento (incluyendo Europa). Aun así, siendo OpenAI una empresa estadounidense, se aplica la transferencia internacional de datos, que requiere el marco DPF o SCCs. Si los datos son especialmente sensibles, consulta con tu DPO antes de activar cualquier integración.

¿Qué modelos abiertos son más adecuados para on-premise en 2026?

En junio de 2026, los modelos de código abierto más utilizados en despliegues on-premise empresariales son Llama 3.1 (70B y 405B) de Meta, Mistral Large 2 y Qwen 2.5 72B de Alibaba Cloud (licencia Apache 2.0 para uso comercial). Para tareas de codificación, DeepSeek Coder V2 es altamente competitivo. La elección depende del idioma principal (Qwen 2.5 tiene mejor soporte multilingüe para el español), del tamaño de la GPU disponible y de la tarea específica. En Summum IA evaluamos y probamos los modelos antes de recomendar uno para cada caso de uso.

¿Una pyme puede permitirse una IA on-premise?

Con hardware de rango medio ya es posible. Una GPU NVIDIA RTX 4090 (unos 2.000 €) o A10G (unos 4.000 € segunda mano) es suficiente para ejecutar modelos de 7B a 13B parámetros en cuantización de 4 bits con calidad razonable. Para modelos más grandes (70B+) hace falta invertir más, pero el ecosistema de herramientas de cuantización (GGUF, GPTQ, AWQ) ha democratizado enormemente el acceso. La clave es dimensionar la solución al caso de uso: no toda pyme necesita un modelo de 70B. Para muchos casos de automatización documental o atención interna, un modelo de 8B bien ajustado es suficiente.

¿Cómo afecta el AI Act al despliegue on-premise?

El AI Act clasifica los sistemas por riesgo, no por su arquitectura de despliegue. Es decir, que un sistema on-premise de alto riesgo tiene las mismas obligaciones de documentación, trazabilidad y supervisión humana que uno en nube. Lo que cambia es la responsabilidad operativa: si usas la API de un proveedor, él asume parte de las obligaciones como «proveedor de modelos de uso general» (GPAI) según el Artículo 51 del AI Act; si despliegas tu propio modelo, tú eres el proveedor y el responsable. Esto añade carga de cumplimiento, pero también da control total sobre la documentación técnica requerida. Nuestro equipo de cumplimiento técnico del AI Act puede ayudarte a estructurar esa documentación independientemente del modelo de despliegue elegido.