4/365 · ¿A dónde van tus datos cuando usas una API key?

Luis Vilela

2 min read

Ayer veíamos cómo conseguir tu propia API key. Hoy toca una pregunta que no siempre nos hacemos: cuando envías información a través de esa clave, ¿qué pasa con ella?

Es una cuestión importante. Sobre todo si trabajas en educación y manejas datos de alumnado.

Lo primero: entender el camino

Cuando usas una API key, tus datos viajan. Salen de tu aplicación, de tu Google Sheet o de tu servidor, y llegan a los servidores de la empresa que proporciona el modelo. Allí se procesan y vuelven con una respuesta.

Ese viaje implica que, durante un momento, tus datos están en manos de un tercero.

¿Qué hacen las empresas con esos datos?

Aquí es donde cada proveedor tiene sus propias políticas. Vamos a ver las principales.

OpenAI

Por defecto, en sus productos de consumo (como ChatGPT gratuito), OpenAI puede usar tus conversaciones para entrenar sus modelos. Sin embargo, cuando usas la API, la política es diferente: los datos enviados a través de la API no se utilizan para entrenar modelos, salvo que tú lo autorices expresamente.

Eso sí, pueden retener los datos durante un tiempo limitado (normalmente 30 días) para detectar usos abusivos.

Anthropic (Claude)

Anthropic tiene una política similar con su API: los datos que envías no se usan para entrenamiento. La retención temporal también existe por motivos de seguridad y cumplimiento.

Google (Gemini)

Con Gemini, depende del producto. En la versión gratuita de AI Studio, Google puede usar los datos para mejorar sus servicios. En las versiones de pago y en la API con acuerdos empresariales, las condiciones son más restrictivas.

Es importante revisar qué plan estás usando.

Mistral

Mistral, como empresa europea, está sujeta al RGPD desde su base. Su política indica que los datos de la API no se usan para entrenamiento. Además, al ofrecer modelos de código abierto, tienes la opción de ejecutarlos en tu propio servidor, con lo cual los datos nunca salen de tu infraestructura.

El caso especial de la educación

Si trabajas con menores o con datos sensibles, esto no es negociable: necesitas saber exactamente qué ocurre con la información.

Algunas preguntas que deberías poder responder antes de usar cualquier servicio:

  • ¿Dónde están físicamente los servidores?
  • ¿Se retienen los datos? ¿Durante cuánto tiempo?
  • ¿Se usan para entrenar modelos?
  • ¿Cumple con el RGPD?
  • ¿Hay un acuerdo de tratamiento de datos disponible?

Si no puedes responder a estas preguntas, quizás no deberías enviar esos datos.

La alternativa: modelos locales

Aquí es donde entran opciones como Mistral, LLaMA o cualquier modelo que puedas ejecutar en tu propio ordenador o servidor.

Cuando el modelo corre en local, los datos no viajan a ningún sitio. Se quedan contigo. Es más trabajo de configuración, pero para ciertos usos es la única opción realmente segura.

En próximos artículos hablaremos de cómo montar tu propio servidor con IA local. Spoiler: es más accesible de lo que parece.

Resumen

Usar una API key es cómodo y potente, pero implica confiar tus datos a terceros. Antes de hacerlo:

  • Lee las políticas de privacidad (sí, toca leerlas).
  • Evalúa qué tipo de datos vas a enviar.
  • Considera si una solución local tiene más sentido para tu caso.

La tecnología es una herramienta. Usarla bien significa también saber qué estás aceptando cuando la usas.

Nos vemos en el día 5/365

Read more