Saltar al contenido
← Volver a Insights

La cadena multimodelo es una estructura jurídica, no solo una arquitectura

La capa de selección de modelos es una interfaz jurídica, no solo una decisión de infraestructura: cada salto de respaldo envía datos del usuario a una nueva entidad, bajo una nueva ley, con una nueva política de conservación que nadie ha divulgado.

28 de junio de 2026 · Quantum Nexus Ventures FZCO

Cuando se construye una cadena de respaldo de modelos de IA, no se está tomando una decisión puramente técnica. Se está tomando una serie de decisiones jurídicas, una por cada modelo de la cadena, que probablemente la política de privacidad no divulga, que el anexo del acuerdo de tratamiento de datos no enumera y a las que los usuarios no han consentido.

La arquitectura parece limpia: si el modelo principal no está disponible o ha superado su capacidad, la solicitud pasa al secundario y luego al terciario. La estructura jurídica se presenta de otra manera: los mismos datos del usuario se transfieren a tres entidades jurídicas distintas, cada una regida por una ley nacional diferente, cada una operando bajo una política de conservación de datos diferente, cada una sujeta a un régimen distinto de solicitudes de acceso gubernamental.

Nadie en el ámbito de la IA está hablando de esto.

La cadena de subencargados del tratamiento

Conforme al artículo 28 del RGPD, un responsable del tratamiento debe contratar a los encargados mediante un contrato vinculante (artículo 28, apartado 3) que cubra el objeto y la duración, la naturaleza y la finalidad, el tipo de datos personales, las categorías de interesados, y las obligaciones y derechos del responsable. Un encargado solo puede recurrir a un subencargado con la autorización previa por escrito del responsable (artículo 28, apartado 2), y debe imponerle por contrato las mismas obligaciones de protección de datos, siguiendo plenamente responsable ante el responsable del tratamiento (artículo 28, apartado 4). Cuando la cadena contiene tres proveedores de modelos, cada uno es un encargado o subencargado al que la cadena debe vincular mediante tal contrato.Fuentes: Artículo 28 del RGPD

La mayoría de las empresas que construyen sobre API de IA tienen un único acuerdo de tratamiento de datos: con el proveedor que utilizan principalmente. Los proveedores de respaldo o bien no figuran en absoluto en la lista de subencargados, o bien aparecen sin un acuerdo de tratamiento vinculante en vigor. Cuando una solicitud pasa al modelo secundario, la transferencia de datos es técnicamente no autorizada conforme al RGPD.

Esto no es teórico. Las autoridades de protección de datos han impuesto multas sustanciales por divulgar datos personales a destinatarios sin una base válida, o por transferirlos sin garantías adecuadas: la multa de 65 millones de coronas noruegas impuesta por Noruega a Grindr por compartir datos con socios publicitarios sin consentimiento válido, y la multa de 290 millones de euros de la autoridad neerlandesa de protección de datos contra Uber por transferir datos de conductores a Estados Unidos sin garantías adecuadas conforme al artículo 44. El hecho de que la transferencia fuera automatizada y de que el responsable del tratamiento no supiera que ocurría no elimina la responsabilidad. Puede incrementarla.Fuentes: Decisión Grindr · Decisión Uber

El problema de la jurisdicción

La residencia de los datos y la jurisdicción jurídica no son lo mismo. Un proveedor de modelos puede operar servidores en Fráncfort sin dejar de estar sujeto a las leyes de su país de constitución. Esta distinción cobra una importancia crítica cuando la cadena incluye proveedores constituidos en países con leyes de acceso a datos de alcance extraterritorial.

El artículo 7 de la Ley de Inteligencia Nacional de China (2017, modificada en 2018) dispone que todas las organizaciones y los ciudadanos deberán «apoyar, asistir y cooperar con las labores de inteligencia nacional de conformidad con la ley», un amplio deber de cooperación, si bien matizado por ese criterio de «de conformidad con la ley» y por las protecciones del artículo 8. La Ley de Protección de la Información Personal de China añade su propio régimen de transferencias internacionales (artículos 38 y 39). Ambas se aplican a las empresas constituidas en China con independencia de dónde estén ubicados sus servidores.Fuentes: Ley de Inteligencia Nacional

No existe una decisión de adecuación entre la UE y China. La transferencia de datos personales de un usuario europeo a un proveedor de IA chino —incluido el supuesto de una API a un proveedor cuyos servidores pueden estar en Europa pero cuya entidad matriz es china— debe ampararse en un instrumento de transferencia del capítulo V del RGPD, en la práctica las cláusulas contractuales tipo respaldadas por una evaluación de impacto de la transferencia y por las medidas complementarias que resulten necesarias (el consentimiento explícito conforme al artículo 49 es solo una excepción restringida). A diferencia de las transferencias entre la UE y Estados Unidos, la adecuación de estas garantías respecto de China no ha sido enjuiciada por el TJUE como ocurrió en el asunto Schrems II, lo que deja a los exportadores la tarea de evaluar por sí mismos la legislación china en materia de vigilancia, incluida la Ley de Inteligencia Nacional.Fuentes: Schrems II (C-311/18) · Recomendaciones 01/2020 del CEPD

Cuando la cadena incluye proveedores de múltiples jurisdicciones, cada salto de modelo es potencialmente una transferencia transfronteriza. El usuario consintió en utilizar la plataforma. No consintió en cada transferencia individual.

La cascada de conservación

Cada proveedor de la cadena tiene su propia política de conservación de datos. Aunque los tres afirmen no entrenar con los datos de la API, los plazos de conservación con fines de registro, supervisión de abusos e infraestructura difieren. Una solicitud que pasa al modelo terciario puede conservarse durante un periodo distinto y bajo una política distinta que una solicitud gestionada por el principal.

El problema práctico es que no se puede auditar esto. Se puede leer la política de privacidad. No se puede inspeccionar la infraestructura de conservación real. Cuando un usuario ejerce su derecho de supresión conforme al artículo 17 del RGPD, se pueden borrar los datos de los sistemas propios y enviar solicitudes de eliminación a cada proveedor. No se puede verificar que esas eliminaciones se hayan ejecutado. No se puede aportar prueba del cumplimiento.Fuentes: Artículo 17 del RGPD

La brecha de información

Los artículos 13, apartado 1, letra e), y 14, apartado 1, letra e), del RGPD obligan a los responsables del tratamiento a informar a los interesados, en el momento de la recogida, de los destinatarios —o al menos de las categorías de destinatarios— de sus datos personales. Una lista de subencargados que nombra al proveedor de modelos principal pero no a los proveedores de respaldo está incompleta. Cuando se activa un respaldo, se han transferido datos a un encargado no divulgado en la información sobre privacidad.Fuentes: Artículo 13 · Artículo 14

Esto importa sobre todo cuando el respaldo es silencioso: el usuario envía una consulta, el modelo principal no está disponible, la solicitud se redirige al secundario y el usuario recibe una respuesta sin indicación alguna de que un proveedor distinto haya tratado sus datos. Su expectativa razonable en el momento del envío no se cumplió.

Cómo es la arquitectura mínima viable de cumplimiento

La solución no consiste en eliminar las cadenas de respaldo. La ingeniería de fiabilidad tiene razones legítimas para emplearlas. La solución consiste en tratar la estructura jurídica de la cadena con el mismo rigor que su estructura técnica.

Eso significa: un acuerdo de tratamiento de datos firmado con cada proveedor de la cadena antes de que se trate dato alguno. Una lista de subencargados que refleje la cadena real, incluidos los respaldos. Una información sobre privacidad que divulgue el conjunto completo de posibles encargados o, como mínimo, las categorías de encargado por jurisdicción. Un mecanismo de registro que documente qué proveedor gestionó cada solicitud, de modo que las solicitudes de supresión puedan dirigirse con exactitud. Una evaluación de impacto de la transferencia para todo proveedor sujeto a leyes de acceso gubernamental de alcance extraterritorial.

Nada de esto es técnicamente complejo. La complejidad es organizativa: requiere tratar la capa de selección de modelos como una interfaz jurídica, no solo como una decisión de infraestructura.

La brecha que importa

La industria de la IA ha invertido cuantiosamente en explicar qué hacen los modelos. Casi nada ha invertido en documentar adónde van los datos cuando los modelos se encadenan. Lo primero es un problema de transparencia de los modelos. Lo segundo es un problema de gobernanza de datos, y es el que aflorará primero en la aplicación de la normativa.

La cadena que trata los datos es una estructura jurídica. Debería diseñarse como tal.

Este es un artículo de opinión y liderazgo de pensamiento. No constituye asesoramiento jurídico ni financiero.