DeepSeek en España RGPD y LOPDGDD cumplimiento práctico

Q: ¿Usar DeepSeek desde España es legal?

Sí, en principio puede ser legal si el tratamiento cumple el RGPD y la LOPDGDD, y si las transferencias internacionales cuentan con una base válida y medidas adecuadas.

Q: ¿Las cláusulas contractuales tipo bastan para transferir datos a China?

No automáticamente. Incluso con SCC debes analizar la legislación y práctica del país de destino y valorar medidas suplementarias.

Q: ¿Debo hacer una evaluación de impacto?

Depende del riesgo. Si el uso implica perfiles, gran escala, datos sensibles o efectos relevantes sobre personas, la EIPD es muy probable.

Usar DeepSeek desde España puede ser jurídicamente viable, pero no conviene tratarlo como una simple integración técnica. Si tu empresa envía datos personales a un proveedor de IA fuera del Espacio Económico Europeo, entran en juego el RGPD, la LOPDGDD, el régimen de transferencias internacionales y las obligaciones habituales de seguridad, transparencia y responsabilidad proactiva.[1][2][3]

Resumen rápido

DeepSeek puede utilizarse desde España, pero debes analizar si existe tratamiento de datos personales y si hay transferencia internacional a un tercer país sin decisión de adecuación aplicable.[2]
La LOPDGDD no sustituye al RGPD: lo adapta y completa en España. El marco principal sigue siendo el RGPD, con atención especial a los artículos sobre encargado, seguridad, información a la persona interesada y transferencias internacionales.[1]
Si envías datos personales a infraestructura situada fuera del EEE, no basta con firmar un contrato comercial. Necesitas una base jurídica para el tratamiento y, además, una base válida para la transferencia internacional, normalmente cláusulas contractuales tipo más análisis del país de destino y medidas suplementarias.[2][3]
China no figura entre los territorios con decisión de adecuación de la Comisión Europea en la relación publicada por la AEPD. Por tanto, el análisis de transferencias debe ser especialmente estricto.[2]
En proyectos corporativos, la vía prudente es minimizar datos, evitar categorías especiales salvo necesidad clara, configurar políticas internas de uso, documentar una evaluación de impacto cuando proceda y revisar el contrato de encargo antes del despliegue.[1][2][3]
En la parte técnica, la API de DeepSeek sigue formato compatible con OpenAI y mantiene como base https://api.deepseek.com; los modelos V4 ofrecen 1M tokens de contexto y hasta 384K de salida, con precios y alias que conviene revisar antes de contratar.[4][5][6]

Qué normas aplican si usas DeepSeek desde España

Para una empresa o despacho en España, el punto de partida es sencillo: si utilizas DeepSeek con datos personales de clientes, empleados, proveedores o usuarios, estás dentro del ámbito del Reglamento (UE) 2016/679 y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.[1] La propia LOPDGDD define como objeto adaptar el ordenamiento español al RGPD y completar sus disposiciones, además de garantizar los derechos digitales.[1]

Eso significa que el análisis no debe limitarse a “dónde está el servidor”. Antes hay que responder cuatro preguntas: qué datos personales entran en el sistema, con qué finalidad, bajo qué base jurídica y quién actúa como responsable o encargado del tratamiento. En muchos casos DeepSeek operará como proveedor que presta un servicio a la organización cliente, pero la calificación exacta depende del contrato y del uso real del servicio. Si tu organización decide fines y medios esenciales del tratamiento, seguirá siendo responsable.[1][2]

También conviene separar dos planos que a menudo se mezclan. Uno es el tratamiento ordinario de datos personales: licitud, minimización, limitación de finalidad, exactitud, plazos de conservación y seguridad. Otro es la transferencia internacional a un tercer país. Puedes tener una base jurídica válida para tratar datos en España y, aun así, no tener una base suficiente para exportarlos fuera del EEE.[2][3]

Desde la perspectiva operativa, el caso de uso importa mucho. No es igual emplear el chat de DeepSeek para pruebas internas con texto anonimizado que integrar la API en un flujo de atención al cliente, revisión contractual o análisis de incidencias con datos identificables. En el segundo supuesto, el nivel de diligencia documental debe ser mucho mayor.

Transferencias internacionales: el punto crítico si los datos salen del EEE

La Agencia Española de Protección de Datos recuerda que las transferencias internacionales de datos personales son flujos desde España hacia destinatarios establecidos fuera del Espacio Económico Europeo. Cuando no existe una decisión de adecuación de la Comisión Europea para el país de destino, la transferencia solo puede basarse en las garantías del Capítulo V del RGPD o, en casos limitados, en alguna excepción del artículo 49.[2]

En la lista actual publicada por la AEPD figuran países y marcos como Suiza, Canadá para ciertas entidades, Japón, Reino Unido o el EU-US Data Privacy Framework para entidades adheridas en Estados Unidos, pero China no aparece como jurisdicción con decisión de adecuación.[2] En términos prácticos, si tu evaluación concluye que datos personales accesibles por DeepSeek se transfieren a China o a otra jurisdicción no adecuada, debes apoyarte en garantías adecuadas, normalmente las cláusulas contractuales tipo de la Comisión, y comprobar si bastan en ese contexto concreto.[2][3]

Aquí entra la doctrina posterior a Schrems II. La AEPD resume que, incluso usando cláusulas contractuales tipo, el exportador debe analizar el impacto de la legislación y la práctica del país importador para verificar si el nivel de protección es esencialmente equivalente al europeo. Además, deben valorarse medidas suplementarias conforme a las recomendaciones del Comité Europeo de Protección de Datos.[2][3]

Traducido a lenguaje de cumplimiento: no basta con archivar unas SCC firmadas. Debes documentar si el proveedor puede acceder a datos en claro, qué controles técnicos existen, si hay cifrado efectivo antes de la transferencia, quién gestiona las claves, qué subencargados intervienen y si el caso de uso permite seudonimizar o anonimizar la información antes de enviarla.[2][3]

Por eso, en proyectos con datos sensibles, secretos empresariales o expedientes completos de personas físicas, muchas organizaciones adoptan una regla simple: no enviar datos identificables a modelos externos salvo que exista aprobación formal de privacidad, seguridad y asesoría jurídica. Es una decisión de gobierno del dato, no solo de TI.

Bases jurídicas, transparencia y derechos del interesado

El hecho de usar un modelo de IA no crea una base jurídica nueva. Debes apoyarte en una de las bases del artículo 6 del RGPD, como ejecución de contrato, cumplimiento de obligación legal, consentimiento o interés legítimo, según la finalidad real del tratamiento. En entornos empresariales, las más habituales suelen ser ejecución de contrato o interés legítimo, pero este último exige una ponderación seria y documentada, no una fórmula genérica.[1][2]

Si pretendes tratar categorías especiales de datos, el listón sube: no basta la base del artículo 6, también necesitas una condición específica adicional del artículo 9 del RGPD. En la práctica, salvo que exista una necesidad claramente definida y un soporte jurídico sólido, conviene excluir este tipo de datos de cualquier flujo con IA externa.

La transparencia también cambia. Si utilizas DeepSeek dentro de un proceso que afecta a personas físicas, la información de privacidad debe reflejarlo de forma inteligible: finalidad, categorías de datos, destinatarios o categorías de destinatarios, transferencias internacionales, plazo de conservación y modo de ejercer derechos. La AEPD recuerda además que, cuando la transferencia se apoye en determinados supuestos, la persona interesada debe ser informada de dicha transferencia y de sus circunstancias relevantes.[2]

Los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad siguen vigentes. Por tanto, antes de desplegar la solución debes responder a una cuestión práctica: ¿puedes localizar, aislar y suprimir datos personales que se hayan enviado al proveedor, o al menos demostrar por qué no quedan retenidos más allá de la prestación del servicio? Si la respuesta es difusa, tienes un problema de cumplimiento.

También debes revisar si existe toma de decisiones automatizadas con efectos jurídicos o significativamente similares. Si DeepSeek solo asiste a una persona que decide después, el riesgo es menor. Si el resultado del modelo puntúa, clasifica o prioriza personas de forma determinante, el análisis jurídico y de impacto debe ser más profundo.

La mayoría de despliegues B2C usan consentimiento explícito; los B2B varían.

Cómo desplegar DeepSeek con un enfoque de cumplimiento práctico

Si tu empresa quiere usar DeepSeek de forma seria, conviene seguir un proceso corto, pero disciplinado. Este es un esquema razonable para DPO, responsables de seguridad, TI y asesoría jurídica.

Define el caso de uso. No apruebes “usar IA” en abstracto. Describe finalidad, usuarios internos, fuentes de datos, tipo de prompts, salidas esperadas y sistemas conectados.
Clasifica los datos. Determina si habrá datos personales, categorías especiales, datos de menores, datos laborales, secretos empresariales o documentación regulada.
Aplica minimización. Elimina identificadores directos, reduce contexto y evita enviar expedientes completos cuando baste con extractos o datos seudonimizados.
Revisa el encargo del tratamiento. Necesitas un contrato que delimite instrucciones, medidas de seguridad, subencargados, conservación, retorno o supresión y asistencia para derechos y brechas.
Analiza la transferencia internacional. Si procede, documenta la base del Capítulo V, las SCC y el análisis del país tercero, junto con medidas suplementarias técnicas y organizativas.[2][3]
Valora una EIPD. Si el tratamiento puede implicar alto riesgo, una evaluación de impacto en protección de datos deja de ser opcional y pasa a ser la vía correcta de trabajo.
Aprueba políticas internas de uso. Define qué datos no pueden copiarse en prompts, quién puede usar la herramienta, cómo se registran incidentes y qué controles de revisión humana son obligatorios.

En proyectos reales, la medida más eficaz suele ser la combinación de seudonimización previa, filtrado de prompts, registro de auditoría y revisión humana obligatoria para cualquier salida que afecte a personas. Esa combinación reduce riesgo jurídico y también riesgo operativo.

Si necesitas una referencia técnica, la API de DeepSeek mantiene compatibilidad con el formato de OpenAI y utiliza como base https://api.deepseek.com. Según la documentación oficial, DeepSeek-V4-Flash y DeepSeek-V4-Pro admiten contexto de 1M tokens y salida máxima de 384K; además, el modo de razonamiento está activado por defecto y en V4 Pro existe control de esfuerzo hasta max.[4][5][6]

curl https://api.deepseek.com/v1/chat/completions \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer TU_API_KEY" \
  -d '{
    "model": "deepseek-v4-flash",
    "messages": [
      {
        "role": "system",
        "content": "Responde de forma concisa y no retengas datos personales innecesarios."
      },
      {
        "role": "user",
        "content": "Analiza este texto seudonimizado y extrae riesgos contractuales."
      }
    ],
    "temperature": 0.2
  }'

Ese ejemplo no resuelve el cumplimiento por sí mismo. Sirve para ilustrar un punto: la integración técnica puede ser simple, pero el control previo sobre los datos que viajan en cada petición es lo que marca la diferencia entre un piloto gobernado y un riesgo evitable.

Modelos, precios y decisiones de compra con impacto en privacidad

La elección del modelo también influye en el diseño de cumplimiento. Un modelo más barato no siempre reduce riesgo; a veces lo aumenta si empuja a enviar más contexto del necesario o a compensar con reintentos masivos. Según la documentación oficial de DeepSeek, a mayo de 2026 los precios por 1M tokens son los siguientes: DeepSeek-V4-Flash, $0,028 en entrada con cache hit, $0,14 en entrada sin caché y $0,28 en salida; DeepSeek-V4-Pro, $0,145 en entrada con cache hit, $1,74 en entrada sin caché y $3,48 en salida.[5] La documentación en chino muestra además una promoción temporal para V4 Pro hasta el 31 de mayo de 2026, por lo que conviene comprobar si aplica a tu cuenta y región antes de presupuestar.[6]

Para legados, el registro de cambios indica que los alias deepseek-chat y deepseek-reasoner quedarán discontinuados el 24 de julio de 2026. Durante el periodo transitorio apuntan a modos no-thinking y thinking de deepseek-v4-flash.[4][7] Si tu organización quiere estabilidad contractual y trazabilidad técnica, conviene migrar cuanto antes a nombres de modelo explícitos y actualizar políticas, inventario de tratamientos y documentación de proveedores.

DeepSeek también documenta compatibilidad con API estilo OpenAI y publica pesos abiertos bajo licencia MIT en sus lanzamientos abiertos, lo que puede ser relevante para estrategias híbridas o despliegues más controlados si tu evaluación de riesgos desaconseja el uso de un servicio externo para ciertos datos.[4][8] Desde el punto de vista de privacidad, una arquitectura híbrida puede ser útil: tareas de bajo riesgo en API externa y casos con datos especialmente sensibles en entorno separado.

Si estás comparando opciones, puedes revisar precios de DeepSeek, la ficha de DeepSeek V4 Flash y el análisis de DeepSeek V4 Pro para alinear coste, rendimiento y restricciones de cumplimiento.

Coste de cumplimiento crece con el tamaño de la empresa pero es predecible.

Preguntas frecuentes

¿Usar DeepSeek desde España es legal?

Sí, en principio puede ser legal. La cuestión real no es la nacionalidad del proveedor, sino si el tratamiento cumple el RGPD y la LOPDGDD, y si las transferencias internacionales cuentan con una base válida y medidas adecuadas.[1][2][3]

¿Puedo basarme solo en el consentimiento de la persona usuaria?

No conviene plantearlo así. El consentimiento puede servir en algunos contextos, pero no resuelve por sí solo la gobernanza del tratamiento ni sustituye las exigencias del Capítulo V sobre transferencias internacionales. Además, en relaciones laborales o de desequilibrio puede no ser la base más sólida.

¿Las cláusulas contractuales tipo bastan para transferir datos a China?

No automáticamente. La AEPD recuerda que, incluso con SCC, debes analizar la legislación y práctica del país de destino y, en su caso, aplicar medidas suplementarias para alcanzar un nivel de protección esencialmente equivalente al europeo.[2][3]

¿Debo hacer una evaluación de impacto?

Depende del riesgo. Si el uso de DeepSeek implica perfiles, gran escala, datos sensibles, combinación de fuentes o efectos relevantes sobre personas, la EIPD es muy probable. Si el caso es limitado, con datos minimizados y revisión humana fuerte, puede bastar otra documentación de análisis de riesgos.

¿Qué política interna debería aprobar una empresa antes de usar la API?

Como mínimo, una política de uso aceptable de IA con clasificación de datos, prohibiciones expresas de copiar datos sensibles en prompts, revisión humana obligatoria, registro de accesos, canal de incidentes y procedimiento de validación previa para nuevos casos de uso.

¿Conviene migrar ya desde deepseek-chat y deepseek-reasoner?

Sí. La documentación oficial indica que ambos alias se discontinuarán el 24 de julio de 2026. Migrar antes reduce deuda técnica y evita desajustes entre documentación interna, contratos y configuración real.[4][7]

Recursos relacionados

Conclusión

Si quieres usar DeepSeek en España con criterio, la secuencia correcta no empieza en la API, sino en el inventario de datos y el análisis de transferencias. Define el caso de uso, minimiza los datos, revisa el contrato de encargo, documenta la base jurídica y evalúa si la transferencia internacional requiere SCC y medidas suplementarias. Después elige modelo, coste y arquitectura. Ese orden evita que un piloto rápido termine convertido en un problema jurídico. Si el proyecto afecta a clientes, empleados o expedientes identificables, la validación conjunta de DPO, seguridad y asesoría legal debería ser obligatoria antes del despliegue.

Fuentes

’]