Contratar un servicio de IA con región europea no demuestra que no existan transferencias internacionales. Hay que revisar alojamiento, soporte, telemetría, subencargados, copias y acceso remoto. Si los datos personales se ponen a disposición de una entidad fuera del EEE, debe aplicarse el capítulo V del RGPD además del resto de obligaciones del tratamiento.
Mapear el flujo real
El primer paso es construir un inventario que cubra todos los flujos de datos que intervienen en el uso del servicio de IA:
- prompts y adjuntos;
- respuestas;
- logs y telemetría;
- embeddings e índices;
- datos de entrenamiento o ajuste;
- memoria;
- herramientas conectadas;
- copias;
- soporte;
- moderación y seguridad.
Por cada flujo se registra exportador, importador, país, finalidad, categoría, frecuencia, mecanismo y plazo.
Región no equivale a ausencia de acceso
Un proveedor puede almacenar los datos en la UE y, aun así, permitir soporte desde terceros países, o utilizar subencargados con presencia global. Por eso la evaluación debe basarse en el contrato y en la arquitectura real del servicio, no en el selector de región que muestra la interfaz.
La pregunta que hay que responder es quién puede acceder a los datos, con qué credenciales, desde dónde y si ese acceso es técnicamente posible, con independencia de dónde se anuncie que residen los datos.
Orden de mecanismos
Decisión de adecuación
Si la Comisión Europea reconoce un nivel de protección adecuado para el país de destino, los datos pueden fluir amparados en esa decisión, respetando su alcance y sus condiciones.
Garantías del artículo 46
En ausencia de decisión de adecuación, pueden utilizarse cláusulas contractuales tipo (SCC), normas corporativas vinculantes u otros mecanismos válidos. Las SCC de 2021 requieren anexos concretos y una descripción real de las medidas aplicadas, no una simple remisión genérica.
Excepciones del artículo 49
Están pensadas para situaciones específicas y puntuales, y no deben utilizarse para sostener transferencias masivas, repetitivas y estructurales.
SCC y anexos
Los anexos de las cláusulas contractuales tipo deben identificar:
- partes y roles;
- interesados y datos;
- frecuencia;
- finalidad;
- conservación;
- subencargados;
- autoridad competente;
- medidas técnicas y organizativas.
Copiar la fórmula «cifrado y control de acceso» sin describir cómo se implementa realmente no es suficiente para sostener las garantías exigidas.
Evaluación de impacto de transferencia (TIA)
La evaluación de impacto de transferencia (TIA) analiza si la ley y la práctica del país de destino pueden afectar a las garantías pactadas. Debe incluir:
- transferencia y mecanismo utilizado;
- país e importador;
- legislación relevante del país de destino;
- experiencia documentada, cuando sea pertinente;
- posibilidad de acceso público a los datos;
- medidas suplementarias aplicables;
- riesgo residual tras aplicar las medidas;
- aprobación y revisión periódica.
La TIA no debe basarse únicamente en las declaraciones del proveedor.
Medidas suplementarias
Técnicas
- cifrado fuerte;
- claves bajo control europeo cuando sea viable;
- seudonimización;
- minimización;
- procesamiento local previo;
- separación de datos;
- acceso temporal y registrado.
Contractuales
- impugnación de solicitudes de acceso;
- transparencia;
- notificación;
- límites de acceso;
- auditoría;
- devolución y borrado.
Organizativas
- política de solicitudes gubernamentales;
- control del soporte;
- formación;
- registro;
- revisión periódica de subencargados.
Si ninguna medida puede garantizar una protección esencialmente equivalente a la europea, no debe realizarse la transferencia.
Particularidades de la IA
Los servicios de IA pueden crear datos derivados, embeddings o inferencias. Aunque no reproduzcan el dato original de forma literal, pueden seguir siendo datos personales y deben incluirse en el análisis de transferencias.
También hay que revisar si el proveedor utiliza el contenido para mejorar sus propios modelos. Esta finalidad puede cambiar su rol respecto al tratamiento y exigir otra base jurídica, más información a los interesados y más control por parte del cliente.
Subencargados
El contrato debe ofrecer lista, ubicación, función y mecanismo de cambios de los subencargados. Una autorización genérica requiere información previa y una posibilidad real de oposición en los términos aplicables, no una cláusula que la vacíe de contenido.
Una cadena de subencargados larga aumenta la incertidumbre. Debe poder saberse quién aloja los datos, quién modera, quién monitoriza y quién presta soporte en cada eslabón.
Transferencias mediante herramientas
Un agente de IA puede enviar datos a buscadores, correo, CRM o plugins conectados. Cada herramienta constituye un flujo independiente que debe evaluarse por separado. Los permisos y los destinatarios deben limitarse expresamente; no puede dejarse que sea el propio modelo quien decida la jurisdicción de destino.
Registro y transparencia
El registro de actividades de tratamiento (RAT) debe reflejar las transferencias y las garantías aplicadas. La información a las personas afectadas debe mencionar los países o categorías de destino, los mecanismos utilizados y cómo obtener copia de las garantías cuando proceda.
La transparencia no legitima por sí sola una transferencia desproporcionada: primero debe existir una base jurídica y una necesidad real para realizarla.
Revisión continua
Existen varios disparadores que obligan a revisar el análisis realizado:
- nuevo subencargado;
- cambio de región;
- cambio legal;
- nueva herramienta;
- uso de los datos para entrenamiento;
- incidente de seguridad;
- nueva categoría de datos tratada;
- cambio de modelo o de producto.
El contrato y su análisis se monitorizan de forma continua; no se archivan una sola vez y se olvidan.
Plan de revisión
Semana 1
Inventario técnico y contractual.
Semana 2
Roles, países y mecanismos.
Semana 3
Evaluación de impacto de transferencia (TIA) y medidas suplementarias.
Semana 4
Decisión, documentación y configuración.
Errores frecuentes
- Confiar solo en que el proveedor ofrezca región UE.
- Ignorar el soporte y la telemetría.
- Firmar las SCC sin completar los anexos.
- Usar el artículo 49 de forma habitual en vez de excepcional.
- No evaluar los embeddings como posibles datos personales.
- Desconocer quiénes son los subencargados.
- No controlar las herramientas conectadas al agente.
- Cifrar con claves gestionadas por el mismo proveedor sin analizar el riesgo.
- No informar a las personas afectadas.
- No revisar los cambios posteriores del servicio.
Checklist
- Flujos completos identificados.
- Exportador e importador determinados.
- Países y accesos remotos revisados.
- Decisión de adecuación o garantía válida aplicada.
- SCC completas, con anexos.
- TIA documentada.
- Medidas suplementarias definidas.
- Subencargados identificados.
- RAT e información a interesados actualizados.
- Monitorización de cambios activa.
Preguntas frecuentes
¿Alojar en Europa evita las transferencias internacionales?
No necesariamente. Deben revisarse también el soporte, los subencargados y el acceso remoto desde fuera del EEE.
¿Las SCC bastan siempre?
No. Debe evaluarse el contexto del país de destino y aplicar medidas suplementarias cuando sean necesarias para alcanzar una protección esencialmente equivalente.
¿Un embedding es un dato personal?
Puede serlo si se relaciona con una persona identificada o identificable, o si permite su singularización o inferencia. Debe analizarse caso por caso, según el contexto.
¿Puede usarse el consentimiento como base para estas transferencias?
Las excepciones del artículo 49 (entre ellas el consentimiento explícito) son restrictivas y no suelen ser una base adecuada para servicios estructurales y recurrentes.
Fuentes oficiales consultadas
- AEPD: garantías para transferencias internacionales
- EDPB: guía para pequeñas empresas
- Comisión Europea: SCC, preguntas y respuestas
- AEPD: orientaciones sobre IA agéntica
Summum Consultoría puede mapear los flujos de datos, revisar SCC y TIA, y coordinar las medidas técnicas y organizativas necesarias.