Transferencias internacionales de datos en IA

·

Contratar un servicio de IA con región europea no demuestra que no existan transferencias internacionales. Hay que revisar alojamiento, soporte, telemetría, subencargados, copias y acceso remoto. Si los datos personales se ponen a disposición de una entidad fuera del EEE, debe aplicarse el capítulo V del RGPD además del resto de obligaciones del tratamiento.

Mapear el flujo real

El primer paso es construir un inventario que cubra todos los flujos de datos que intervienen en el uso del servicio de IA:

Por cada flujo se registra exportador, importador, país, finalidad, categoría, frecuencia, mecanismo y plazo.

Región no equivale a ausencia de acceso

Un proveedor puede almacenar los datos en la UE y, aun así, permitir soporte desde terceros países, o utilizar subencargados con presencia global. Por eso la evaluación debe basarse en el contrato y en la arquitectura real del servicio, no en el selector de región que muestra la interfaz.

La pregunta que hay que responder es quién puede acceder a los datos, con qué credenciales, desde dónde y si ese acceso es técnicamente posible, con independencia de dónde se anuncie que residen los datos.

Orden de mecanismos

Decisión de adecuación

Si la Comisión Europea reconoce un nivel de protección adecuado para el país de destino, los datos pueden fluir amparados en esa decisión, respetando su alcance y sus condiciones.

Garantías del artículo 46

En ausencia de decisión de adecuación, pueden utilizarse cláusulas contractuales tipo (SCC), normas corporativas vinculantes u otros mecanismos válidos. Las SCC de 2021 requieren anexos concretos y una descripción real de las medidas aplicadas, no una simple remisión genérica.

Excepciones del artículo 49

Están pensadas para situaciones específicas y puntuales, y no deben utilizarse para sostener transferencias masivas, repetitivas y estructurales.

SCC y anexos

Los anexos de las cláusulas contractuales tipo deben identificar:

Copiar la fórmula «cifrado y control de acceso» sin describir cómo se implementa realmente no es suficiente para sostener las garantías exigidas.

Evaluación de impacto de transferencia (TIA)

La evaluación de impacto de transferencia (TIA) analiza si la ley y la práctica del país de destino pueden afectar a las garantías pactadas. Debe incluir:

  1. transferencia y mecanismo utilizado;
  2. país e importador;
  3. legislación relevante del país de destino;
  4. experiencia documentada, cuando sea pertinente;
  5. posibilidad de acceso público a los datos;
  6. medidas suplementarias aplicables;
  7. riesgo residual tras aplicar las medidas;
  8. aprobación y revisión periódica.

La TIA no debe basarse únicamente en las declaraciones del proveedor.

Medidas suplementarias

Técnicas

Contractuales

Organizativas

Si ninguna medida puede garantizar una protección esencialmente equivalente a la europea, no debe realizarse la transferencia.

Particularidades de la IA

Los servicios de IA pueden crear datos derivados, embeddings o inferencias. Aunque no reproduzcan el dato original de forma literal, pueden seguir siendo datos personales y deben incluirse en el análisis de transferencias.

También hay que revisar si el proveedor utiliza el contenido para mejorar sus propios modelos. Esta finalidad puede cambiar su rol respecto al tratamiento y exigir otra base jurídica, más información a los interesados y más control por parte del cliente.

Subencargados

El contrato debe ofrecer lista, ubicación, función y mecanismo de cambios de los subencargados. Una autorización genérica requiere información previa y una posibilidad real de oposición en los términos aplicables, no una cláusula que la vacíe de contenido.

Una cadena de subencargados larga aumenta la incertidumbre. Debe poder saberse quién aloja los datos, quién modera, quién monitoriza y quién presta soporte en cada eslabón.

Transferencias mediante herramientas

Un agente de IA puede enviar datos a buscadores, correo, CRM o plugins conectados. Cada herramienta constituye un flujo independiente que debe evaluarse por separado. Los permisos y los destinatarios deben limitarse expresamente; no puede dejarse que sea el propio modelo quien decida la jurisdicción de destino.

Registro y transparencia

El registro de actividades de tratamiento (RAT) debe reflejar las transferencias y las garantías aplicadas. La información a las personas afectadas debe mencionar los países o categorías de destino, los mecanismos utilizados y cómo obtener copia de las garantías cuando proceda.

La transparencia no legitima por sí sola una transferencia desproporcionada: primero debe existir una base jurídica y una necesidad real para realizarla.

Revisión continua

Existen varios disparadores que obligan a revisar el análisis realizado:

El contrato y su análisis se monitorizan de forma continua; no se archivan una sola vez y se olvidan.

Plan de revisión

Semana 1

Inventario técnico y contractual.

Semana 2

Roles, países y mecanismos.

Semana 3

Evaluación de impacto de transferencia (TIA) y medidas suplementarias.

Semana 4

Decisión, documentación y configuración.

Errores frecuentes

  1. Confiar solo en que el proveedor ofrezca región UE.
  2. Ignorar el soporte y la telemetría.
  3. Firmar las SCC sin completar los anexos.
  4. Usar el artículo 49 de forma habitual en vez de excepcional.
  5. No evaluar los embeddings como posibles datos personales.
  6. Desconocer quiénes son los subencargados.
  7. No controlar las herramientas conectadas al agente.
  8. Cifrar con claves gestionadas por el mismo proveedor sin analizar el riesgo.
  9. No informar a las personas afectadas.
  10. No revisar los cambios posteriores del servicio.

Checklist

Preguntas frecuentes

¿Alojar en Europa evita las transferencias internacionales?

No necesariamente. Deben revisarse también el soporte, los subencargados y el acceso remoto desde fuera del EEE.

¿Las SCC bastan siempre?

No. Debe evaluarse el contexto del país de destino y aplicar medidas suplementarias cuando sean necesarias para alcanzar una protección esencialmente equivalente.

¿Un embedding es un dato personal?

Puede serlo si se relaciona con una persona identificada o identificable, o si permite su singularización o inferencia. Debe analizarse caso por caso, según el contexto.

¿Puede usarse el consentimiento como base para estas transferencias?

Las excepciones del artículo 49 (entre ellas el consentimiento explícito) son restrictivas y no suelen ser una base adecuada para servicios estructurales y recurrentes.

Fuentes oficiales consultadas

Summum Consultoría puede mapear los flujos de datos, revisar SCC y TIA, y coordinar las medidas técnicas y organizativas necesarias.