02 · Análisis legal y comercial¶
Qué puedes y qué no puedes hacer comercialmente con cada licencia. Léelo antes de lanzar.
Gemma 4 (Apache 2.0) — el escenario claro¶
Puedes¶
- ✅ Usar comercialmente sin pagar regalías a Google (SaaS, APIs, productos de consumidor).
- ✅ Crear y vender APIs propias basadas en Gemma 4.
- ✅ Fine-tunear sobre datos propietarios y vender el modelo derivado sin compartir pesos ni datos.
- ✅ Self-hostear en cualquier infraestructura (AWS, on-prem, edge, móvil).
- ✅ Distribuir el modelo y derivados (con la licencia adjunta).
Debes¶
- 📝 Incluir el texto de la licencia Apache 2.0 con la distribución.
- 📝 Conservar avisos de copyright.
- 📝 Indicar si has hecho modificaciones.
- 📝 No usar la marca "Gemma" como nombre de producto ni implicar endorsement de Google.
- ❌ "GemmaPro", "GemmaAI", "Gemma Assistant"
- ✅ "Powered by Gemma 4", "Built with Gemma 4"
No tienes¶
- ⚠️ Garantías ni soporte (provisto "as is").
- ⚠️ Acceso a los datos de entrenamiento (es open-weight, no fully-open-source en sentido OSI estricto).
- ⚠️ Cobertura de indemnización por reclamos de IP sobre los outputs (eres responsable de tus outputs).
Modelos anteriores (Gemma 1/2/3 y especializados) — escenario heredado¶
Operan bajo los Gemma Terms of Use + Gemma Prohibited Use Policy.
Prohibited Use Policy cubre¶
- Actividades ilegales.
- Violación de derechos humanos.
- Daño a menores (CSAM).
- Ataques a infraestructura crítica.
- Generación de desinformación electoral.
- Contenido sexual no consensuado.
- Generación de armas químicas/biológicas/radiológicas/nucleares.
- Intentos de eludir filtros de seguridad.
⚠️ Aplica a modelos derivados también (incluso si los fine-tuneas).
Flow-down obligatorio¶
Debes pasar las restricciones a TODOS tus usuarios contractualmente. Tu ToS de producto debe replicar las prohibiciones de Google.
Restricción remota¶
Google se reserva el derecho a "restringir el uso de Gemma" si cree que violas el ToU. Aplica solo a los servicios cloud y a futuros pesos publicados — pesos ya descargados son tuyos.
Updates unilaterales¶
Google puede modificar el ToU; uso continuado = aceptación.
MedGemma, TxGemma, MedSigLIP¶
Usan Health AI Developer Foundations (HAI-DEF) terms, aún más estrictos: - Requieren validación clínica antes de uso clínico real. - Advertencias explícitas: "not yet clinical grade". - No son adecuados para diagnóstico directo sin trabajo regulatorio adicional (FDA SaMD / CE marking en EU).
Comparativa con la competencia¶
| Modelo | Licencia | Restricción de escala | Prohibited use | Marca | Fine-tune comercial | Distribuir derivados |
|---|---|---|---|---|---|---|
| Gemma 4 | Apache 2.0 | Ninguna | Ninguna (solo legal aplicable) | No usar nombre "Gemma" | ✅ | ✅ |
| Gemma 1-3 | Gemma ToU custom | Ninguna | Lista explícita + flow-down | Restricciones | ✅ con flow-down | ✅ con flow-down |
| Llama 4 | Meta Community License | >700M MAU dispara licencia adicional | AUP de Meta | Atribución "Built with Llama" | ✅ | ⚠️ no para entrenar otros LLMs |
| Mistral 7B / Small | Apache 2.0 | Ninguna | Ninguna | — | ✅ | ✅ |
| Mistral Large/comercial | MRL custom | Sí, separada | Restricciones | — | ⚠️ acuerdo requerido | Restringido |
| Qwen 3.5 | Apache 2.0 (varía) | Ninguna | Ninguna | — | ✅ | ✅ |
| DeepSeek V4 | MIT | Ninguna | Ninguna | — | ✅ | ✅ |
| Phi-4 (Microsoft) | MIT | Ninguna | Ninguna | — | ✅ | ✅ |
Veredicto legal¶
Modelos legalmente más limpios para construir un negocio: 1. Gemma 4 (Apache 2.0) — calidad top-3, multimodal con audio 2. DeepSeek V4 (MIT) — mejor para agentic coding 3. Qwen 3.5 (Apache 2.0) — fuerte alternativa generalista 4. Phi-4 (MIT) — pequeño y eficiente
Gemma 4 destaca por la combinación de: 1. Calidad top-3 en Arena. 2. Respaldo de Google (estabilidad de mantenimiento). 3. Ecosistema multimodal con audio nativo en edge (único en su clase). 4. Apache 2.0 sin cláusulas de scale (a diferencia de Llama 4).
Compliance: EU AI Act + GDPR¶
EU AI Act (en vigor escalonado desde 2024)¶
La mayoría de productos en este playbook caen en "riesgo limitado": - Requiere: transparencia básica ("estás interactuando con IA"). - No requiere: certificación, evaluación de conformidad.
Riesgo alto (escala con abogado regulatorio): - Salud, biometría, educación, empleo (screening), scoring crediticio, justicia, infraestructura crítica. - Requiere: gestión de riesgos, calidad de datos, documentación técnica, supervisión humana, ciberseguridad.
Prohibidos: - Social scoring, manipulación subliminal, reconocimiento de emociones en trabajo/educación, biometría en tiempo real en espacios públicos (con excepciones).
GDPR¶
- DPIA (Data Protection Impact Assessment) obligatorio si procesas datos sensibles.
- DPA (Data Processing Agreement) con clientes B2B.
- Cifrado at-rest y in-transit (TLS 1.3+, AES-256).
- Right to erasure — si fine-tuneas con datos personales, debes poder eliminarlos. En la práctica esto significa: no fine-tunees con PII directa; usa RAG con índice eliminable.
Argumento de venta: soberanía de datos¶
"Tus datos nunca salen de tu infraestructura."
Mata objeciones en legal, salud, gobierno y finanzas. Apuesta fuerte en EU (DORA para finanzas, AI Act para todo, GDPR transversal).
Snapshot defensivo recomendado¶
El día que descargues los pesos de Gemma 4:
# Guarda hash de pesos + texto exacto de la licencia + fecha
mkdir -p evidence/gemma4-snapshot-$(date +%Y%m%d)
cp ~/.ollama/models/manifests/registry.ollama.ai/library/gemma4 \
evidence/gemma4-snapshot-$(date +%Y%m%d)/
curl -o evidence/gemma4-snapshot-$(date +%Y%m%d)/LICENSE.txt \
https://raw.githubusercontent.com/google-deepmind/gemma/main/LICENSE
date -u +"%Y-%m-%dT%H:%M:%SZ" > evidence/gemma4-snapshot-$(date +%Y%m%d)/timestamp.txt
sha256sum ~/.ollama/models/blobs/*gemma4* \
> evidence/gemma4-snapshot-$(date +%Y%m%d)/hashes.txt
Apache 2.0 es irrevocable para versiones ya publicadas, pero Google PODRÍA aplicar términos distintos a Gemma 5. Mantén la copia.
Checklist legal antes de lanzar¶
- [ ] LICENSE de Apache 2.0 incluido en el repo.
- [ ] NOTICE con atribución a Google y advertencia de marca.
- [ ] Tu producto NO se llama "Gemma..." ni incluye logo de Google.
- [ ] Si usas Gemma 1/2/3: ToS de tu producto replica Prohibited Use Policy.
- [ ] Si usas MedGemma/TxGemma: producto marcado como "no clinical grade" + abogado regulatorio consultado.
- [ ] DPA template listo para clientes EU.
- [ ] Política de privacidad describe qué se procesa localmente vs en cloud.
- [ ] Términos de servicio con limitación de responsabilidad sobre outputs IA.
- [ ] Snapshot de pesos + licencia archivado.