Cuando una empresa decide adoptar inteligencia artificial generativa, la primera pregunta técnica que emerge no es qué modelo elegir, sino dónde va a ejecutarse ese modelo. La decisión entre desplegar la IA en infraestructura propia (on-premise o private cloud) o consumirla como servicio desde la nube pública tiene implicaciones directas en coste, privacidad de datos, cumplimiento normativo y velocidad de puesta en marcha. No hay una respuesta universal: depende de tu sector, del tipo de datos que procesa la IA y del volumen de uso. Este artículo desglosa los factores clave para que puedas tomar esa decisión con criterio.
Qué significa realmente «IA on-premise»
El término on-premise en el contexto de IA se refiere a ejecutar el modelo de lenguaje —u otro modelo de IA— en servidores que tu organización controla físicamente o en un private cloud (nube privada en tu propio datacenter o en un colocation exclusivo). Los datos de entrada y las respuestas nunca salen del perímetro que tú gestionas.
Las opciones más habituales en 2025-2026 son:
- Modelos abiertos desplegados localmente: Llama 3 (Meta), Mistral, Gemma 2 (Google DeepMind) o Qwen 2.5, ejecutados con Ollama, vLLM o LM Studio sobre GPUs propias.
- Appliances dedicados: Servidores preconfigurados de NVIDIA (DGX, HGX) o soluciones de Dell, HPE y Lenovo con GPUs A100/H100 optimizadas para inferencia.
- Private cloud contratado: Instancias GPU dedicadas (no compartidas) en proveedores como Hetzner, OVHcloud o AWS Outposts donde la infraestructura es lógicamente exclusiva.
En todos los casos, el denominador común es que el dato nunca atraviesa una API pública ni entra en los sistemas de entrenamiento del proveedor.
Qué significa desplegar IA en la nube pública
La alternativa es consumir el modelo a través de la API de un proveedor: OpenAI, Google Vertex AI, AWS Bedrock, Azure OpenAI Service o Mistral AI Platform son los más habituales en Europa. El modelo se ejecuta en los servidores del proveedor; tú envías el prompt y recibes la respuesta. La ventaja es obvia: sin infraestructura propia, sin GPU, sin mantenimiento. Pero los datos viajan fuera de tu entorno.
Entre ambos extremos existe un abanico de opciones intermedias: despliegues en nubes soberanas europeas (GAIA-X, Scaleway, T-Systems), acuerdos contractuales de procesamiento de datos con proveedores hiperescala que garantizan que los datos no se usan para reentrenamiento (como el Data Processing Addendum de OpenAI Enterprise o Azure OpenAI con política «no training on customer data»), y arquitecturas hybrid donde parte del procesamiento ocurre en local y parte en nube.
Comparativa directa: on-premise vs nube
| Dimensión | On-premise / IA soberana | Nube pública (API externa) |
|---|---|---|
| Control de datos | Total. Los datos no salen del perímetro. | Parcial. Depende del contrato DPA y la política del proveedor. |
| Coste inicial | Alto (hardware GPU, licencias, instalación). | Bajo o nulo (pago por uso desde el primer token). |
| Coste a escala | Bajo por inferencia una vez amortizado el hardware. | Crece linealmente con el volumen de tokens procesados. |
| Latencia | Muy baja si la GPU está en red local. | Variable según región y saturación del proveedor. |
| Calidad del modelo | Limitada a modelos abiertos (Llama 3, Mistral…); algo por debajo de los fronteras privados. | Acceso a los modelos más potentes (GPT-4o, Gemini 1.5 Pro, Claude 3.5…). |
| Tiempo hasta producción | Semanas o meses (compra, instalación, integración). | Días o incluso horas. |
| Mantenimiento | Responsabilidad interna o del consultor. | Gestionado por el proveedor (actualizaciones, escalado). |
| Cumplimiento RGPD | Más sencillo; datos bajo tu control directo. | Requiere cláusulas contractuales estándar (SCCs) si el proveedor es fuera del EEE. |
| AI Act (Reglamento UE 2024/1689) | Mayor autonomía para gestionar el ciclo de vida del modelo. | Responsabilidad compartida; el proveedor asume parte del cumplimiento como «proveedor de modelos de uso general». |
| Personalización / fine-tuning | Total libertad sobre el modelo base. | Limitada a las opciones que el proveedor habilite (fine-tuning de OpenAI, Azure…). |
El marco normativo que debe guiar la decisión
RGPD y transferencias internacionales de datos
El Reglamento General de Protección de Datos (RGPD) —Reglamento UE 2016/679— exige que cualquier tratamiento de datos personales cumpla los principios de minimización, limitación de finalidad y licitud. Cuando envías un prompt que contiene datos personales (nombre de cliente, historial médico, correo electrónico) a la API de un proveedor estadounidense, estás realizando una transferencia internacional de datos que requiere una base jurídica adecuada: el Marco de Privacidad UE-EE. UU. (Data Privacy Framework, aprobado en julio de 2023 por la Comisión Europea con Decisión de Adecuación 2023/1795), las Cláusulas Contractuales Tipo (SCCs) actualizadas en 2021, o las normas corporativas vinculantes.
Si los datos son especialmente sensibles —historiales clínicos, expedientes laborales, datos financieros sometidos a secreto bancario— la solución on-premise elimina de raíz el riesgo de transferencia y simplifica enormemente la auditoría RGPD.
AI Act: el Reglamento de IA europeo
El Reglamento UE 2024/1689 de Inteligencia Artificial (AI Act), en vigor desde agosto de 2024, clasifica los sistemas de IA por nivel de riesgo. Los sistemas de alto riesgo —aplicaciones en RRHH, crédito, acceso a servicios esenciales, infraestructura crítica— deben cumplir requisitos de trazabilidad, supervisión humana y documentación técnica. Si ejecutas el modelo en tu infraestructura, tienes control total sobre los registros de inferencia, los logs y la cadena de custodia del dato, lo que facilita demostrar el cumplimiento ante una auditoría. En la nube, esa trazabilidad depende de lo que el proveedor exponga en sus consolas.
Para sectores regulados (sanidad, finanzas, defensa), la arquitectura on-premise o en nube soberana europea suele ser la única que supera el escrutinio del Delegado de Protección de Datos o del regulador sectorial. Si necesitas orientación sobre el encaje de tu sistema en el AI Act, nuestros compañeros de Summum Consultoría — AI Act trabajan la parte de cumplimiento legal y gobernanza.
Normativas sectoriales adicionales
Más allá del RGPD y el AI Act, hay normativas sectoriales que a menudo zanjan el debate sin margen de interpretación:
- Sector financiero: La Directiva DORA (Reglamento UE 2022/2554), en aplicación desde enero de 2025, exige que las entidades financieras documenten y gestionen el riesgo de sus proveedores TIC, incluidos los de IA en nube.
- Sector sanitario: El Reglamento de Espacio Europeo de Datos Sanitarios (EHDS, en tramitación) establecerá restricciones adicionales sobre el tratamiento de datos clínicos fuera del EEE.
- Administraciones públicas y sus proveedores: El Esquema Nacional de Seguridad (ENS, Real Decreto 311/2022) exige que los sistemas TIC que soportan servicios públicos estén dentro de infraestructuras con garantías equivalentes; en la práctica, esto empuja hacia cloud soberana o private cloud certificado.
Cuándo elegir on-premise (IA soberana)
La solución on-premise es la indicada cuando concurren uno o más de estos factores:
- Datos especialmente sensibles: historiales médicos, secreto profesional (abogados, auditores), expedientes penales, datos de menores.
- Volumen alto y estable de inferencia: si procesas decenas de miles de peticiones diarias de forma continua, el coste por token de las APIs de nube puede superar en meses el coste de amortizar hardware dedicado.
- Requisito de latencia muy baja: aplicaciones en tiempo real (análisis de voz en llamadas, visión artificial en línea de producción) donde la latencia de red a un datacenter externo no es aceptable.
- Personalización profunda del modelo: si necesitas hacer fine-tuning continuo con datos propietarios o adaptar la arquitectura del modelo, on-premise ofrece libertad total.
- Entornos air-gapped: instalaciones industriales, defensa o infraestructuras críticas sin conexión a internet.
- Exigencia del cliente o del contrato: pliegos de licitación pública, contratos con grandes corporaciones o exigencias auditoras que prohiben explícitamente el procesamiento externo.
Si tu organización encaja en este perfil, en Summum IA diseñamos y desplegamos arquitecturas de IA soberana on-premise: desde la selección del modelo hasta la integración con tus sistemas internos, pasando por el hardening de seguridad y la documentación para el AI Act.
Cuándo elegir la nube pública
La nube tiene ventajas decisivas en escenarios distintos:
- Proyectos piloto o prueba de concepto: empezar con una API en la nube permite validar el caso de uso en días, sin inversión en hardware.
- Demanda variable o estacional: si el volumen de peticiones fluctúa mucho (campañas, temporadas), la nube escala automáticamente y el coste se ajusta al uso real.
- Acceso a modelos de frontera: si la calidad del modelo es crítica —por ejemplo, redacción jurídica compleja, análisis de contratos, generación de código avanzado— los modelos de frontera de las APIs públicas siguen superando a los mejores modelos abiertos en tareas cognitivamente exigentes.
- Datos no sensibles: si el prompt no contiene datos personales ni información confidencial (consultas sobre catálogos públicos, resúmenes de noticias, traducción de textos corporativos genéricos), la nube es perfectamente válida bajo RGPD con las garantías contractuales adecuadas.
- Equipo técnico pequeño: gestionar una infraestructura GPU on-premise requiere ingeniería especializada en MLOps; si no la tienes, la nube reduce drásticamente la carga operativa.
La vía intermedia: RAG con datos en local y modelo en la nube
Una arquitectura muy habitual en pymes que quieren lo mejor de ambos mundos es la Generación Aumentada por Recuperación (RAG) con segmentación de datos. El esquema funciona así: los documentos propietarios (manuales, contratos, base de conocimiento) permanecen indexados en un vector store dentro de tu infraestructura; en el momento de la consulta, el sistema recupera los fragmentos relevantes en local y los inyecta en el prompt, que entonces sí viaja a la API del proveedor de nube. El modelo externo nunca accede directamente a tu base documental; solo procesa el contexto que tú seleccionas.
Esta arquitectura no elimina por completo el riesgo de transferencia —los fragmentos seleccionados salen al proveedor—, pero lo minimiza y permite usar modelos de nube de alta calidad para el razonamiento sin exponer el corpus completo. Combinado con un acuerdo DPA robusto, es la solución que más empresas europeas están adoptando en 2025-2026.
Coste real: el cálculo que hay que hacer antes de decidir
Uno de los errores más frecuentes es comparar el coste de la nube con el coste del hardware on-premise sin considerar todos los factores. El cálculo correcto incluye:
- On-premise: hardware GPU (una NVIDIA H100 80 GB ronda los 25.000-35.000 € en 2025), servidor de cómputo, almacenamiento, red, SAI, rack, electricidad, refrigeración, personal de mantenimiento, licencias de software de inferencia, actualizaciones de modelo, seguridad.
- Nube: coste por token (por ejemplo, GPT-4o cobra ~2,5 $/M tokens de entrada y ~10 $/M tokens de salida en 2025; Mistral Large ~2 $/M entrada; Llama 3 70B en Bedrock ~0,27 $/M entrada), más costes de red, almacenamiento del contexto y posibles licencias de orquestación.
La regla práctica que manejamos en proyectos de consultoría: por encima de los 500 millones de tokens mensuales procesados de forma estable, el on-premise suele amortizarse en menos de 18 meses. Por debajo de esa cifra, la nube es económicamente más eficiente salvo que haya restricciones de datos que lo impidan.
Preguntas frecuentes
¿Puedo usar ChatGPT con datos de clientes sin incumplir el RGPD?
Depende del plan y del contrato. La versión gratuita y la de pago estándar de ChatGPT utilizan las conversaciones para mejorar los modelos de OpenAI, lo que puede implicar una cesión de datos. ChatGPT Enterprise y la API de OpenAI con Data Processing Addendum firmado garantizan que los datos del cliente no se usan para reentrenamiento y permiten elegir la región de procesamiento (incluyendo Europa). Aun así, siendo OpenAI una empresa estadounidense, se aplica la transferencia internacional de datos, que requiere el marco DPF o SCCs. Si los datos son especialmente sensibles, consulta con tu DPO antes de activar cualquier integración.
¿Qué modelos abiertos son más adecuados para on-premise en 2026?
En junio de 2026, los modelos de código abierto más utilizados en despliegues on-premise empresariales son Llama 3.1 (70B y 405B) de Meta, Mistral Large 2 y Qwen 2.5 72B de Alibaba Cloud (licencia Apache 2.0 para uso comercial). Para tareas de codificación, DeepSeek Coder V2 es altamente competitivo. La elección depende del idioma principal (Qwen 2.5 tiene mejor soporte multilingüe para el español), del tamaño de la GPU disponible y de la tarea específica. En Summum IA evaluamos y probamos los modelos antes de recomendar uno para cada caso de uso.
¿Una pyme puede permitirse una IA on-premise?
Con hardware de rango medio ya es posible. Una GPU NVIDIA RTX 4090 (unos 2.000 €) o A10G (unos 4.000 € segunda mano) es suficiente para ejecutar modelos de 7B a 13B parámetros en cuantización de 4 bits con calidad razonable. Para modelos más grandes (70B+) hace falta invertir más, pero el ecosistema de herramientas de cuantización (GGUF, GPTQ, AWQ) ha democratizado enormemente el acceso. La clave es dimensionar la solución al caso de uso: no toda pyme necesita un modelo de 70B. Para muchos casos de automatización documental o atención interna, un modelo de 8B bien ajustado es suficiente.
¿Cómo afecta el AI Act al despliegue on-premise?
El AI Act clasifica los sistemas por riesgo, no por su arquitectura de despliegue. Es decir, que un sistema on-premise de alto riesgo tiene las mismas obligaciones de documentación, trazabilidad y supervisión humana que uno en nube. Lo que cambia es la responsabilidad operativa: si usas la API de un proveedor, él asume parte de las obligaciones como «proveedor de modelos de uso general» (GPAI) según el Artículo 51 del AI Act; si despliegas tu propio modelo, tú eres el proveedor y el responsable. Esto añade carga de cumplimiento, pero también da control total sobre la documentación técnica requerida. Nuestro equipo de cumplimiento técnico del AI Act puede ayudarte a estructurar esa documentación independientemente del modelo de despliegue elegido.