OficialLM

Local o cloud: la falsa disyuntiva de la IA en sectores regulados

EEEquipo editorial · 11 de junio de 202614 min de lectura

Lo que aprendimos desplegando IA para notarías primero en un servidor y luego en la nube.


Hace un año, la primera versión de OficialLM corría en un servidor local que montamos desde cero específicamente para nuestro primer cliente. Lo montamos así porque en un inicio, lo juzgamos como la forma más pertinente de hacer ese despliegue de IA en el contexto de datos sensibles que maneja una notaría: datos de escrituras, secreto profesional, mejor que nada salga de la notaría. Tardamos unos meses en darnos cuenta de que habíamos contestado muy rápido a una pregunta mal formulada.


La pregunta que nos hacían los notarios era razonable: «¿dónde están mis datos?». La que había que responder era otra: “¿están seguros mis datos?” (quién puede verlos, qué se guarda y durante cuánto tiempo). Parecen la misma pregunta. Conducen a decisiones de arquitectura opuestas.

¿Por qué el instinto de hacer un despliegue en local?

Los sectores regulados en España están girando hacia la IA local, y se entiende. Proveedores notariales ya ofrecen modelos que corren íntegramente en la máquina del despacho, sin tratamiento externo de la información, con la LOPDGDD como argumento central [1]. El propio Centro Tecnológico del Notariado, al presentar su proyecto Atenea, insistió en un modelo «seguro, sin almacenamiento de información y con un estricto cumplimiento de la ley de protección de datos» [2]. 


Con ese telón de fondo, «la IA no sale de tu oficina» es un mensaje comercial casi perfecto. Se entiende en una frase. Da tranquilidad a nivel psicológico si no conoces a fondo las implicaciones de seguridad de las distintas alternativas. Se enseña señalando una torre de PC con cables.


¿El problema? Que la torre de PC con cables no es la fortaleza que aparenta.

Lo que el candado no cuenta

La seguridad cien por cien no existe. Esto es crítico de entender. El propio gobierno de Estados Unidos especifica distintas clasificaciones de seguridad (NIST, FedRAMP, DoDIL, FIPS 199…) según la naturaleza de su contratista y el tipo de información que procesa; y cualquier entidad es susceptible de ser hackeada. Por tanto, lo que existe son decisiones entre trade-offs: cuánta capacidad sacrificas, cuánto mantenimiento asumes, qué riesgos cambias por qué otros. Un servidor en la notaría también hay que parchearlo, vigilarlo, respaldarlo y protegerlo. Quien gestiona eso suele ser la misma empresa informática que tarda tres días en venir a mirar la impresora. La nube de un proveedor serio (AWS, Azure, Google…) tiene un equipo de seguridad trabajando en ello cada día, sistemas ignífugos, seguridad física externa al centro de datos…; el servidor del despacho tiene, con suerte, una revisión cada trimestre. De hecho hemos hablado con varias notarías en las que usando sistemas de gestión tradicionalmente líderes en el ámbito de notarías, han sido hackeadas.


Luego está lo que se pierde en utilidad del sistema. Los modelos que caben en un servidor de despacho razonable (las guías especializadas hablan de hardware de entre 8.000 y 60.000 euros, más mantenimiento mensual) son modelos de una escala muy inferior a la frontera. En redacción jurídica, esa distancia se nota donde más duele: en el matiz. Llamadas a herramientas bien ejecutadas de manera secuencial, extracción de documentos y datos provenientes de esos documentos de manera consistente, mantener el formato de resultado y las cláusulas pertinentes, requiere de los mejores modelos de IA que haya disponibles en ese momento. 


Y queda un problema serio a medio plazo pero que se suele considerar (erróneamente) menos que otros factores en el momento de la decisión de compra: la obsolescencia. Los modelos de IA mejoran cada pocos meses (por no decir que el ritmo actual son actualizaciones mensuales de cada proveedor grande de LLMs). El servidor en el que invertiste envejece en la medida en la que no permite correr modelos de última generación, y invertir más en GPUs y en actualizar ese sistema de hardware propio es sencillamente un sin sentido (económico y operativo) si tu actividad principal es otra (llevar la notaría). En un mercado que se mueve a esta velocidad, fijar la capacidad de tu IA al hardware de 2026 es como comprar el periódico de hoy para leerlo durante cinco años (pero ese periodico cuesta €15.000 sin problema). 


Nosotros pasamos por todo esto. El despliegue local de OficialLM funcionaba, pero cada actualización de modelo era un proyecto en sí, la capacidad estaba limitada por la máquina (el propio servidor dedicado exclusivamente a correr la IA) y la seguridad real dependía de quién mantuviera el servidor. Migramos a un despliegue en nube y diseñamos las garantías adicionales de seguridad que de verdad importaban.

La pregunta bien hecha

El RGPD no exige que la IA corra sin internet. Exige, cifrado de datos, control de acceso, acceso por roles y privacidad por diseño [5]. Todo eso se puede cumplir y auditar en una nube desplegada en la UE: alojamiento en la UE, políticas de API de cero retención de datos (ZDR - el proveedor del modelo no guarda ningún dato tras procesar), cifrado en tránsito y en reposo, y control de accesos por rol, de forma que cada oficial ve lo suyo y nadie más.


¿Es eso menos seguro que un servidor en el despacho? Depende de qué amenaza te preocupe. Contra un proveedor que quiera quedarse tus datos, gana el contrato de cero retención de datos verificable. Contra un ransomware, gana quien tenga mejor equipo de seguridad. Contra el empleado curioso, gana el control de accesos con registro. El servidor local solo gana con claridad en un escenario: el corte total de internet. Y ese día la notaría tiene problemas más urgentes que la IA.


En OficialLM la decisión salió de esa lista de amenazas. Nube europea, retención cero, encriptación de principio a fin, procesamiento efímero de datos en sandbox, anonimización de PII y accesos por rol. Es menos vistoso que una caja con cables en el despacho. Pero protege más (o, al menos, protege al nivel en el que los trade-offs tienen sentido para una notaría). 


La disyuntiva local-o-cloud encoge un problema de garantías a un problema de geografía. Y los datos no están seguros por estar cerca o dentro de tu despacho físicamente: están seguros cuando los sistemas por los que pasan están diseñados y mantenidos para tener un nivel de seguridad adecuado. 

Referencias

[1] Nueva IA para Notarías de JPA — https://jpainformatica.info/blog/nueva-ia-para-notarias-de-jpa

[2] El Notariado aplica una IA supervisada para mejorar la calidad e inmediatez de la información notarial (CGN, 27/03/2025) — https://www.notariado.org/portal/en/-/el-notariado-aplica-una-ia-supervisada-para-mejorar-la-calidad-e-inmediatez-de-la-informaci%C3%B3n-notarial

[3] EU Artificial Intelligence Act — Implementation timeline — https://artificialintelligenceact.eu/

[4] IA on-premise con modelos locales para tu empresa (Javadex, 2026) — https://www.javadex.es/blog/ia-on-premise-modelos-locales-empresa-sin-internet-espana-2026

[5] IA y Privacidad: Cumplimiento RGPD y Ley de IA (Audidat) — https://www.audidat.com/blog/ciberseguridad/ia-privacidad-rgpd-ley-ia/