IA local para datos sensibles: cuándo una clínica o un despacho no debería usar la nube
Este tema me interesa especialmente porque lo estoy empezando a aplicar en la Clínica Azorín en la que colaboro en la Gerencia. La IA puede ayudar mucho en gestión, protocolos, documentación, análisis de procesos y atención interna. Pero los datos de pacientes no son material para experimentar sin criterio. Lo que cuento aquí no lo escribo como teoría tecnológica. Lo he tenido que pensar para mi propio caso.
En la clínica no trabajamos con “documentos”. Trabajamos con historiales clínicos, informes de diagnóstico, consentimientos, pruebas de imagen, fotografías, conversaciones privadas y datos de salud que exigen un nivel especial de protección. Un despacho de abogados no trabaja con “texto”. Trabaja con expedientes judiciales, estrategias de defensa, contratos de confidencialidad, divorcios, herencias, reclamaciones y datos personales de terceros.
Por eso, cuando alguien copia y pega esa información en una inteligencia artificial sin pensar dónde va, el problema no es tecnológico. Es de criterio.
La decisión importante no es si una clínica, un despacho o una pyme puede usar inteligencia artificial. La decisión importante es qué información puede ir a la nube, qué información debe anonimizarse y qué procesos conviene trabajar en local o en un entorno controlado antes de automatizar.
La inteligencia artificial puede ahorrar muchas horas. Puede resumir documentos, ordenar información, preparar borradores, extraer datos clave y convertir procesos lentos en tareas mucho más ágiles. Pero no todos los datos deberían pasar por el mismo sitio. Y ahí empieza una conversación que muchas empresas todavía no han tenido.
El riesgo invisible: cuando la productividad se adelanta al criterio
La escena se repite cada día. Un fisioterapeuta copia un informe clínico para resumirlo antes de una visita. Un abogado pega una demanda para ordenar argumentos. Una asesoría sube un Excel con datos de clientes para detectar patrones. Una clínica transforma notas internas en un protocolo de atención.
Nadie lo hace con mala intención. Al contrario. Lo hacen porque la herramienta ayuda, ahorra tiempo y resuelve tareas que antes eran pesadas. El problema es que, en ese gesto aparentemente inocente, puede haber salido información sensible del entorno controlado del negocio.
El riesgo no siempre empieza con un ataque informático. A veces empieza con alguien intentando trabajar mejor sin tener una norma clara. Ese es el punto: el problema no es usar IA. El problema es usarla sin haber definido antes qué datos se pueden usar, dónde se pueden usar y bajo qué condiciones.
En 2023, Samsung restringió el uso de ChatGPT y herramientas similares después de detectar que un empleado había subido código sensible a la plataforma. Reuters informó entonces de que la compañía limitó temporalmente el uso de IA generativa en dispositivos corporativos mientras revisaba medidas para crear un entorno seguro de uso.
La clave del caso no es Samsung. La clave es el patrón. Un empleado tenía un problema, usó una herramienta útil y pegó información sensible. No estaba intentando filtrar nada. Solo quería resolver una tarea. Eso mismo puede pasar en una clínica, en un despacho, en una asesoría o en cualquier pyme que maneje información confidencial.
Y cuando no hay normas, cada persona improvisa.
No todos los datos son iguales
Antes de hablar de IA local, modelos abiertos, Pinokio, Ollama, LM Studio o cualquier otro nombre que suena a personaje secundario de Star Wars, conviene hacer algo mucho más sencillo: clasificar la información.
En un negocio real no todo tiene el mismo nivel de riesgo. No es lo mismo pedir a ChatGPT ideas para un post que pegar un historial clínico. No es lo mismo resumir una ley pública que subir un expediente judicial con nombres, fechas, importes y estrategia procesal.
Por eso, la primera decisión no es técnica. Es operativa. Yo lo ordenaría con un semáforo muy simple.
Nivel verde: información pública o genérica. Aquí entran ideas de contenido, borradores de correos sin datos personales, explicaciones de conceptos, esquemas de campañas, textos comerciales generales, procesos descritos sin clientes concretos o resúmenes de normativa pública. Este tipo de información puede trabajarse razonablemente en herramientas de IA en la nube.
Nivel amarillo: información interna anonimizada. Aquí entran plantillas de contratos sin nombres, protocolos de atención sin datos de pacientes, resúmenes de casos sin referencias identificables, procesos internos o datos agregados. Puede trabajarse con IA en la nube si antes se ha limpiado bien la información. Y “limpiar bien” no significa cambiar “María” por “Cliente 1” y dejar el DNI, la fecha exacta y media biografía dentro del documento.
Nivel rojo: información sensible o identificable. Aquí entran historiales médicos, informes de diagnóstico, DNI, nóminas, expedientes judiciales, contratos firmados, datos financieros, fotografías de pacientes, audios privados, conversaciones con clientes o cualquier documento que permita identificar a una persona. Este tipo de información no debería tratarse alegremente en una herramienta externa sin revisar condiciones, permisos, base legal, contrato, configuración y proceso.
Si ese documento te incomodaría verlo impreso encima del mostrador de tu clínica o del despacho, no deberías pegarlo sin pensar en una herramienta externa.
Este semáforo no sustituye el asesoramiento legal ni la revisión de protección de datos. Pero sirve para algo muy importante: que el equipo deje de improvisar. Porque cuando no hay criterio común, cada persona decide por su cuenta. Y eso, en negocios con datos sensibles, es jugar a la ruleta con una venda en los ojos.
Qué es realmente la IA local
Una IA local es un modelo de inteligencia artificial que funciona en tu propio ordenador, en un servidor de la empresa o en una infraestructura que controlas. En lugar de subir el documento a una herramienta externa para que lo procese, el análisis se realiza dentro de tu propio entorno.
Esto puede ser interesante para clínicas, despachos, asesorías y pymes que trabajan con información delicada, porque reduce la exposición de datos, permite crear flujos más controlados y evita depender siempre de límites, cambios de precio o condiciones de terceros.
Pero conviene decirlo claro: la IA local no es magia. No basta con instalar una herramienta y declarar inaugurada la “soberanía tecnológica”. Una IA local también necesita permisos, mantenimiento, control de accesos, copias de seguridad, revisión humana y normas internas.
Si no hay proceso, solo has cambiado el lugar donde vive el caos. Antes estaba en la nube. Ahora está en tu oficina. Muy recogido todo, pero sigue siendo caos.
La IA local no sustituye a ChatGPT. Lo complementa
Aquí es donde muchas conversaciones sobre IA local se pasan de frenada. No se trata de dejar de usar ChatGPT, Gemini, Claude o Perplexity. Sería absurdo. Son herramientas muy potentes para pensar, redactar, analizar, estructurar ideas, crear contenido, preparar procesos o trabajar con información no sensible.
Además, no todo uso de IA en la nube es igual. Hay diferencias entre usar una cuenta personal, una cuenta profesional, una API o un entorno empresarial. OpenAI afirma que en sus planes Business, Enterprise, Edu, Healthcare y API no utiliza por defecto los datos de la organización para entrenar sus modelos.
Eso importa. No conviene meterlo todo en el mismo saco. Pero incluso aunque un proveedor no entrene con tus datos, sigue existiendo una decisión operativa: ¿quiero que este documento concreto salga de mi entorno para ser procesado?
En algunos casos, la respuesta será sí. En otros, será no. La inteligencia está en distinguirlos.
El modelo razonable: nube, local e híbrido
La decisión no debería plantearse como una pelea entre nube y local. No es fútbol. No hay que hacerse de un equipo. La mayoría de negocios serios acabarán usando un modelo híbrido.
La IA en la nube tiene sentido para tareas de nivel verde: ideas, estrategia, contenidos, textos comerciales, documentos sin datos personales, explicaciones, formación, procesos genéricos y análisis donde no hay información sensible. Aquí la nube es rápida, cómoda y potente.
La IA local puede tener sentido para tareas de nivel rojo: análisis de documentos confidenciales, primer resumen de historiales, extracción de información de expedientes, clasificación de documentos internos, trabajo con informes sensibles o procesamiento de información que no debería salir del entorno del negocio.
Y entre medias está el uso más interesante: IA en la nube con información filtrada. Puedes usar un proceso interno para extraer, limpiar o anonimizar información y después usar una herramienta en la nube para mejorar la redacción, estructurar un protocolo, generar una plantilla o convertir esa información en contenido formativo.
Una clínica podría analizar internamente varios informes para detectar patrones de preguntas frecuentes. Después elimina cualquier dato personal y usa IA en la nube para crear una guía general de preparación para pacientes. Un despacho podría ordenar un expediente internamente, extraer una estructura sin nombres ni datos identificables y después usar IA en la nube para mejorar una plantilla de comunicación. Una asesoría podría analizar internamente documentos con datos sensibles y usar solo información agregada para crear recomendaciones generales.
Ese es el camino. No todo local. No todo nube. Criterio.
Si te parece interesante, revisa mi metodología de trabajo
El error habitual: empezar instalando herramientas
El vídeo que me hizo pensar en este tema hablaba de herramientas como Pinokio, modelos locales, generación de voz, vídeo, imagen y modelos de lenguaje funcionando en el ordenador. Es interesante. Mucho. Pero en una empresa real, el primer paso no debería ser instalar nada.
El primer paso debería ser responder a estas preguntas: qué documentos manejamos, qué datos contienen, quién puede acceder a ellos, qué tareas queremos acelerar, qué información se puede anonimizar, qué herramientas usa ya el equipo, qué riesgos estamos asumiendo hoy sin darnos cuenta, qué resultados necesitan revisión humana, qué está prohibido hacer con IA, dónde se guardan las respuestas generadas y quién revisa el cumplimiento.
Después de responder eso, ya tiene sentido hablar de herramientas. Antes, lo que tienes es una lista de compras sin saber qué vas a cocinar.
Porque instalar una IA local sin proceso es como comprar una caja fuerte y dejar la llave puesta.
La IA local no arregla un proceso mal diseñado. Solo evita que una parte del caos salga de tu oficina.
Qué tareas tienen sentido para una primera prueba
Para una clínica, una primera prueba razonable podría ser resumir documentos internos no sensibles, convertir protocolos largos en checklists, extraer preguntas frecuentes de documentación interna, ordenar notas de reuniones, preparar borradores de comunicación interna o crear versiones explicativas de textos complejos, siempre sin datos de pacientes.
Para un despacho, podría ser resumir normativa pública, ordenar plantillas internas, clasificar documentos anonimizados, preparar checklists de fases de procedimiento, convertir notas en esquemas de trabajo o mejorar textos informativos sin datos de clientes.
Para una asesoría, podría ser agrupar consultas frecuentes, crear guías internas, analizar procedimientos, preparar borradores de emails sin datos personales, ordenar documentación administrativa o crear plantillas de revisión.
La clave es empezar con una prueba controlada. No con el documento más delicado de la empresa. Que nos conocemos.
Prueba barata para esta semana
No hace falta montar un servidor ni comprar una tarjeta gráfica que parezca diseñada para despegar un cohete. Empieza por algo más simple.
Elige un proceso repetitivo: resumir informes, ordenar notas, extraer puntos clave, preparar checklists o convertir documentos largos en versiones comprensibles. Después elige un documento no sensible o anonimizado de verdad. Nada de “he quitado el nombre pero he dejado el DNI, la fecha, la localidad y media vida del paciente”. Eso no cuenta.
Haz la tarea con tu IA habitual. Usa ChatGPT, Gemini, Claude o la herramienta que ya estés usando. Mide cuatro cosas: tiempo dedicado, calidad del resultado, correcciones necesarias y riesgo percibido.
Después hazte la pregunta buena: si este documento tuviera datos de pacientes, clientes o expedientes reales, ¿lo haría igual?
Si la respuesta es no, acabas de identificar un posible caso de uso para IA local o para un proceso híbrido. No necesitas todavía un gran proyecto tecnológico. Necesitas identificar dónde está el riesgo y qué proceso conviene ordenar primero.
Documenta una primera norma en una tabla sencilla: tipo de documento, nivel de sensibilidad, herramienta permitida, quién puede usarlo, qué revisión necesita y qué está prohibido. Eso ya es más que lo que hacen muchas empresas.
Y no, no hace falta llamarlo “protocolo estratégico de gobernanza cognitiva”. Llámalo “normas para no liarla con la IA”. Funciona igual y se entiende mejor.
Cuándo no merece la pena usar IA local
También hay que decir esto. La IA local no siempre compensa.
No merece la pena si el equipo no tiene criterio básico de protección de datos, nadie va a mantener el sistema, no hay responsable claro, solo se quiere usar para jugar con herramientas, los documentos pueden anonimizarse fácilmente y trabajarse en la nube con seguridad, la tarea exige mucho razonamiento y no contiene información sensible o el volumen de trabajo no justifica la complejidad.
A veces la mejor solución no es montar IA local. A veces la mejor solución es formar al equipo, crear tres normas internas y configurar bien las herramientas que ya usas.
Automatizar no siempre significa instalar más cosas. A veces significa quitar tonterías del medio.
La decisión que deberías tomar antes de seguir usando IA
Si trabajas en una clínica, un despacho o una pyme con información delicada, no necesitas convertirte en experto en modelos de lenguaje. Necesitas responder a una pregunta: ¿qué información de mi negocio no debería salir nunca de mi entorno sin control?
Después vendrán las herramientas. Pero primero va el criterio. Primero va el mapa de datos. Primero va el proceso. Primero va saber quién puede hacer qué.
La IA local puede ser una pieza muy útil dentro de ese sistema. Sobre todo para trabajar con documentos sensibles, reducir exposición y evitar depender completamente de proveedores externos. Pero no es la solución completa.
La solución completa es más sencilla de decir y más difícil de hacer: ordenar cómo entra, circula, se procesa y se reutiliza la información dentro del negocio.
Y entonces sí. Cuando tienes eso claro, puedes decidir qué va a la nube, qué se queda en local y qué no debería tocar ninguna IA todavía.
Porque el objetivo no es usar más inteligencia artificial. El objetivo es trabajar mejor sin poner en riesgo lo que tus clientes te han confiado.
La inteligencia artificial está entrando en clínicas, despachos, asesorías y pymes mucho más rápido de lo que están entrando las normas internas para usarla bien. Y ahí está el verdadero riesgo. No en la herramienta. En la improvisación.
Una empresa que trabaja con datos sensibles no puede depender de que cada persona del equipo “tenga cuidado”. Eso no es un sistema. Eso es una esperanza. Y la esperanza, en protección de datos, suele salir cara.
La IA local abre una oportunidad interesante: trabajar parte de la información sensible dentro de un entorno más controlado. Pero antes de instalar nada, conviene hacerse la pregunta importante: ¿tenemos claro qué datos pueden salir, cuáles deben anonimizarse y cuáles no deberían salir nunca?
Si la respuesta es no, ahí empieza el trabajo. No en el modelo. No en el prompt. No en la herramienta. En el proceso.
Si tienes una clínica, un despacho o una pyme que maneja información sensible, la primera automatización seria no es poner IA a responder. Es hacer una radiografía de tus datos, tus procesos y tus riesgos.
Porque la IA sin sistema no es innovación. Es una fuga esperando su momento.
Si quieres revisar qué procesos de tu negocio podrían apoyarse en IA sin poner en riesgo información sensible, empieza por una Radiografía de Negocio. Analizaremos qué datos manejas, qué tareas se repiten, qué información debería protegerse mejor y qué parte tiene sentido trabajar en nube, en local o con un modelo híbrido.
¿Te ves reflejado en esto?
No necesitas más teoría. Necesitas claridad sobre tu negocio.
Visita el Laboratorio IA →
Consultor de IA y procesos para pymes en Albacete. Ayudo a empresarios a ordenar su negocio antes de automatizarlo.
Sobre Enrique →