Evaluación de Impacto de Transferencia (TIA) - ACTUALIZADA

ISMS Copilot ha realizado una Evaluación de Impacto de Transferencia (TIA) para las transferencias internacionales de datos a los Estados Unidos bajo los requisitos del Capítulo V del RGPD. Este artículo explica las conclusiones de la evaluación, las medidas suplementarias implementadas y cómo el Modo de Protección de Datos Avanzada afecta sus obligaciones de transferencia.

¿Qué es una Evaluación de Impacto de Transferencia?

Bajo el RGPD y la sentencia Schrems II, las organizaciones que transfieren datos personales a países fuera de la UE/EEE deben evaluar si las leyes del país de destino proporcionan una protección adecuada. Las Cláusulas Contractuales Tipo (SCC) por sí solas pueden no ser suficientes; debe evaluar si se necesitan salvaguardas adicionales.

Una TIA evalúa:

• Leyes en el país de destino que podrían permitir el acceso gubernamental a los datos

• Si su importador de datos (subencargado) podría estar sujeto a esas leyes

• Medidas técnicas y organizativas que mitigan los riesgos identificados

• Si la combinación de SCC + medidas suplementarias proporciona una protección adecuada

Seguimiento del Marco de Privacidad de Datos UE-EE. UU.

En julio de 2023, la Comisión Europea adoptó una decisión de adecuación para el Marco de Privacidad de Datos (DPF) UE-EE. UU. Sin embargo, ISMS Copilot no confía únicamente en el DPF e implementa medidas suplementarias independientemente de las decisiones de adecuación.

Las organizaciones deben monitorear cualquier impugnación al DPF (similar a las decisiones Schrems I/II).

TIA de ISMS Copilot: Proveedores de IA con sede en EE. UU.

Alcance de la evaluación

ISMS Copilot realizó una Evaluación de Impacto de Transferencia para los subencargados con sede en EE. UU. utilizados cuando el Modo de Protección de Datos Avanzada está desactivado:

• Anthropic (Claude) [PREDETERMINADO]: Procesamiento de conversaciones de IA

• OpenAI: Procesamiento de conversaciones de IA y análisis de documentos

• xAI (Grok): Procesamiento de conversaciones de IA

• Google Gemini: Procesamiento de conversaciones de IA

• SendGrid (Twilio): Envío de correos electrónicos transaccionales

• Kit (ConvertKit): Correos electrónicos de incorporación y actualizaciones de productos

Marco legal: Acceso del gobierno de EE. UU.

La TIA evaluó las leyes de vigilancia de EE. UU. que podrían permitir el acceso del gobierno:

FISA Sección 702

• Permite a las agencias de inteligencia de EE. UU. obligar a las empresas estadounidenses a proporcionar comunicaciones de personas no estadounidenses

• Se aplica a "proveedores de servicios de comunicación electrónica"

• El objetivo debe ser con fines de inteligencia extranjera

Orden Ejecutiva 12333

• Rige las actividades de inteligencia extranjera

• Puede permitir la interceptación de datos en tránsito

Ley CLOUD

• Permite a las autoridades policiales de EE. UU. obligar a la divulgación de datos en poder de empresas estadounidenses, incluso si se almacenan en el extranjero

• Requiere un proceso legal (orden judicial o citación)

Hallazgos de la evaluación de riesgos

La TIA de ISMS Copilot concluyó que los riesgos se mitigan mediante los siguientes factores:

Naturaleza de los datos procesados

• Consultas relacionadas con el cumplimiento y borradores de políticas

• Generalmente no son contenidos de comunicaciones objetivo de FISA 702

• Es poco probable que cumplan con el umbral de "inteligencia extranjera" para ser objetivo

Retención limitada por parte de los proveedores de IA

• xAI/OpenAI: Retención de 30 días solo para control de abuso

• No se almacenan de forma permanente ni se indexan con fines de inteligencia

• Prohibición contractual de utilizar datos para el entrenamiento de modelos

Cifrado de extremo a extremo

• El cifrado TLS 1.3 protege los datos en tránsito

• Reduce el riesgo de interceptación masiva bajo la EO 12333

Sin evidencia de solicitudes gubernamentales

• xAI, OpenAI y los proveedores de correo electrónico no han informado haber recibido solicitudes de acceso gubernamental para los datos de los clientes de ISMS Copilot

• Los informes de transparencia muestran solicitudes policiales dirigidas, no vigilancia masiva

Medidas suplementarias

Más allá de las Cláusulas Contractuales Tipo, ISMS Copilot implementa estas medidas técnicas y organizativas suplementarias:

Medidas técnicas

• Cifrado en tránsito: TLS 1.3 para todas las transferencias de datos

• Cifrado en reposo: Base de datos de la UE cifrada con AES-256

• Retención limitada: Caché del proveedor de IA de 30 días frente a almacenamiento permanente

• Retención controlada por el usuario: Los clientes establecen sus propios períodos de retención de datos (de 1 día a 7 años)

• Modo de reducción de PII: Redacción opcional en el lado del cliente de datos personales antes del procesamiento por IA

Medidas contractuales

• Sin entrenamiento con datos: Los proveedores de IA tienen prohibido contractualmente usar datos de clientes para el entrenamiento de modelos

• Cláusulas Contractuales Tipo: SCC aprobadas por la Comisión de la UE con todos los subencargados de EE. UU.

• Solo control de abuso: Retención de 30 días limitada a la detección de abuso de la plataforma, no para uso comercial

Medidas de control del usuario

• Modo de Protección de Datos Avanzada: Los usuarios pueden cambiar al procesamiento exclusivo en la UE (Mistral AI, retención cero) para evitar por completo las transferencias a EE. UU.

• Aislamiento del espacio de trabajo: Datos del cliente separados para limitar la exposición en cualquier solicitud individual

• Minimización de datos: Solo se recopilan datos esenciales; no se recopila información demográfica o personal innecesaria

Cómo el Modo de Protección de Datos Avanzada cambia las obligaciones de la TIA

Modo predeterminado (Protección de Datos Avanzada DESACTIVADA)

Cuando la Protección de Datos Avanzada está desactivada:

• Ubicación del procesamiento de IA: Estados Unidos (Anthropic Claude [PREDETERMINADO], OpenAI, xAI o Google Gemini - seleccionable por el usuario)

• Mecanismo de transferencia: Cláusulas Contractuales Tipo + medidas suplementarias

• Requisito de TIA: Las organizaciones sujetas al RGPD deben realizar o confiar en la TIA de ISMS Copilot

• Retención por proveedores de IA: 30 días (caché temporal para control de abuso)

• Transferencias de correo electrónico: Aún ocurren hacia proveedores de EE. UU. (SendGrid/Kit) independientemente de la configuración de IA

Protección de Datos Avanzada ACTIVADA (Modo solo UE)

Cuando la Protección de Datos Avanzada está activada:

• Ubicación del procesamiento de IA: Unión Europea (Mistral AI, Frankfurt)

• Mecanismo de transferencia: Sin transferencia internacional para el procesamiento de IA (UE a UE)

• Requisito de TIA: No se requiere para el procesamiento de IA (sin transferencia fuera de la UE/EEE)

• Retención por el proveedor de IA: Retención cero: los datos se procesan en tiempo real y se descartan

• Transferencias de correo electrónico: Aún ocurren hacia proveedores de EE. UU. (SendGrid/Kit); la TIA sigue siendo necesaria para los correos electrónicos

Las transferencias de correo electrónico permanecen independientemente del modo

Incluso con la Protección de Datos Avanzada activada, las comunicaciones por correo electrónico implican transferencias a EE. UU.:

• SendGrid (Twilio): Correos electrónicos transaccionales (verificación de cuenta, restablecimiento de contraseña, alertas de seguridad)

• Kit (ConvertKit): Secuencias de incorporación y actualizaciones de productos (opcional, el usuario puede darse de baja)

• Datos transferidos: Direcciones de correo electrónico, datos de participación (aperturas, clics), metadatos de mensajes

• Salvaguardas: Cláusulas Contractuales Tipo, cifrado en tránsito, DPA que cumplen con el RGPD

Para minimizar las transferencias de correo electrónico, los usuarios pueden darse de baja de las comunicaciones no esenciales.

Realización de su propia TIA

Cuándo necesita su propia evaluación

Las organizaciones deben realizar su propia TIA si:

• Procesa categorías especiales de datos (Artículo 9 del RGPD) a través de ISMS Copilot

• Su tolerancia al riesgo difiere de la evaluación de ISMS Copilot

• Su autoridad de protección de datos requiere TIA específicas de la organización

• Los contratos con clientes obligan a evaluaciones de transferencia independientes

• Procesa grandes volúmenes de datos personales de residentes de la UE

Preguntas clave para su TIA

Al realizar su propia evaluación, considere:

Sensibilidad de los datos

• ¿Qué tipos de datos personales está cargando?

• ¿Incluye categorías especiales de datos (salud, biométricos, opiniones políticas)?

• ¿Cómo perjudicaría a los interesados el acceso gubernamental no autorizado?

Probabilidad de acceso

• ¿Podrían sus datos de cumplimiento cumplir con el umbral de "inteligencia extranjera" bajo FISA 702?

• ¿Es usted o sus clientes objetivos potenciales de vigilancia gubernamental?

• ¿Maneja datos relacionados con la seguridad nacional, el terrorismo o el crimen organizado?

Medidas suplementarias

• ¿Son las medidas técnicas de ISMS Copilot (cifrado, retención limitada) suficientes para su caso de uso?

• ¿Debería activar el Modo de Protección de Datos Avanzada para el procesamiento exclusivo en la UE?

• ¿Debería activar el Modo de Reducción de PII para redactar datos personales antes del procesamiento de la IA?

• ¿Necesita anonimización adicional antes de cargar documentos?

Soluciones alternativas

• Si los riesgos no se pueden mitigar, ¿puede evitar la transferencia activando el Modo de Protección de Datos Avanzada?

• ¿Puede anonimizar los datos antes de usar ISMS Copilot?

• ¿Debería restringir el uso de ISMS Copilot únicamente a datos no personales?

Recursos para su TIA

• UK ICO: Evaluaciones de riesgo de transferencia

• Recomendaciones del CEPD 01/2020 sobre medidas suplementarias

• CNIL: Cómo realizar una Evaluación de Impacto de Transferencia

• Acuerdo de Tratamiento de Datos de ISMS Copilot (Sección 3: Transferencias internacionales de datos)

• Registro de Actividades de Tratamiento para información detallada de los subencargados

Guía de decisión: Qué modo debe utilizar

Use el Modo de Protección de Datos Avanzada (Solo UE) cuando:

• Su organización tenga requisitos obligatorios de residencia de datos en la UE

• Maneje datos personales de residentes de la UE y desee simplificar el cumplimiento de la TIA

• Los contratos con clientes prohíban el procesamiento de datos con sede en EE. UU.

• Procese categorías especiales de datos (Artículo 9 del RGPD)

• Su autoridad de protección de datos requiera procesamiento exclusivo en la UE

• Su evaluación de riesgos concluya que las transferencias a EE. UU. plantean riesgos inaceptables

• Deseee retención cero del proveedor de IA para una privacidad máxima

El modo predeterminado puede ser aceptable cuando:

• Procesa solo documentación de cumplimiento sin datos personales

• Su TIA concluye que las medidas suplementarias proporcionan una protección adecuada

• No está sujeto al RGPD (organización de fuera de la UE, sin interesados de la UE)

• Maneja solo contenido de cumplimiento no sensible (políticas genéricas, marcos)

• La retención de 30 días del proveedor de IA es aceptable bajo sus políticas

Documentar transferencias en su ROPA

Si utiliza ISMS Copilot para procesar datos personales, documéntelo en su Registro de Actividades de Tratamiento:

Modo predeterminado (Protección de Datos Avanzada DESACTIVADA)

• Subencargados: ISMS Copilot (UE), xAI (EE. UU.), OpenAI (EE. UU.), SendGrid (EE. UU.), Kit (EE. UU.)

• Destinos de transferencia: Estados Unidos

• Mecanismos de transferencia: Cláusulas Contractuales Tipo, cifrado, retención limitada

• Referencia de TIA: "Confiando en la Evaluación de Impacto de Transferencia de ISMS Copilot de fecha [fecha]" o "TIA interna realizada el [fecha]"

Modo de Protección de Datos Avanzada (ACTIVADO)

• Subencargados: ISMS Copilot (UE), Mistral AI (UE), SendGrid (EE. UU.), Kit (EE. UU.)

• Destinos de transferencia: Estados Unidos (solo correo electrónico)

• Mecanismos de transferencia: Cláusulas Contractuales Tipo para proveedores de correo electrónico

• Referencia de TIA: "El procesamiento de IA ocurre en la UE (sin transferencia); transferencias de correo electrónico cubiertas por SCC"

Consulte el Registro de Actividades de Tratamiento de ISMS Copilot para obtener una plantilla que puede referenciar.

Mejores prácticas

Para organizaciones de la UE

• Active el Modo de Protección de Datos Avanzada por defecto para evitar la complejidad de la TIA

• Documente ISMS Copilot en su ROPA con los detalles apropiados del subencargado

• Informe a los interesados que utiliza herramientas de IA para el procesamiento de cumplimiento (aviso de privacidad)

• Anonimice los datos personales antes de cargarlos cuando sea posible

• Realice una EIPD si procesa categorías especiales de datos o datos personales a gran escala

Para consultores de cumplimiento

• Evalúe los requisitos de residencia de datos de cada cliente antes de elegir un modo

• Cree espacios de trabajo separados por cliente para aislar los datos

• Incluya a ISMS Copilot como subencargado en los DPA de sus clientes

• Informe a los clientes sobre el modo que está utilizando y por qué

• Active el Modo de Reducción de PII para protección adicional al manejar informes de auditoría con nombres de empleados

Minimizar los riesgos de transferencia

• Activar el Modo de Protección de Datos Avanzada: Elimina por completo las transferencias de procesamiento de IA

• Activar el Modo de Reducción de PII: Redacta datos personales antes de que lleguen a los proveedores de IA

• Darse de baja de correos electrónicos no esenciales: Reduce las transferencias a proveedores de correo electrónico

• Establecer períodos de retención cortos: Limita el tiempo que se almacenan los datos

• Anonimizar antes de cargar: Eliminar o pseudonimizar identificadores personales

Preguntas frecuentes

¿Necesito realizar mi propia TIA si uso ISMS Copilot?

Depende. Si utiliza el modo predeterminado y procesa datos personales de residentes de la UE, debe realizar su propia TIA o documentar su confianza en la evaluación de ISMS Copilot. Si activa el Modo de Protección de Datos Avanzada, el procesamiento de IA permanece en la UE y no requiere una TIA (aunque las transferencias de correo electrónico aún lo requieren).

¿El Modo de Protección de Datos Avanzada elimina por completo las obligaciones de transferencia?

No. Elimina las transferencias para el procesamiento de IA, pero las comunicaciones por correo electrónico aún involucran proveedores con sede en EE. UU. (SendGrid, Kit). Estas transferencias de correo electrónico siguen sujetas a los requisitos del Capítulo V del RGPD y deben documentarse en su ROPA.

¿Qué pasa si mi autoridad de protección de datos rechaza la TIA de ISMS Copilot?

Si su autoridad de protección de datos concluye que las transferencias a EE. UU. plantean riesgos inaceptables, active el Modo de Protección de Datos Avanzada para procesar las cargas de trabajo de IA exclusivamente en la UE. Esto elimina la necesidad de TIA en el procesamiento de IA.

¿Puedo usar ISMS Copilot para categorías especiales de datos?

Sí, pero con precauciones. Active el Modo de Protección de Datos Avanzada para el procesamiento exclusivo en la UE, active el Modo de Reducción de PII, establezca períodos de retención cortos y realice una Evaluación de Impacto de Protección de Datos (EIPD) según lo requiere el Artículo 35 del RGPD. Asegúrese de tener una base legal bajo el Artículo 9.

¿Con qué frecuencia debo revisar mi TIA?

Revise su TIA siempre que:

• ISMS Copilot cambie de subencargados o flujos de datos

• Las leyes de vigilancia de EE. UU. cambien

• Su autoridad de protección de datos emita nuevas directrices

• La naturaleza o el volumen de los datos que procesa cambien significativamente

¿Dónde puedo encontrar las Cláusulas Contractuales Tipo de ISMS Copilot?

Las SCC están incorporadas en los acuerdos con los subencargados. Póngase en contacto con el soporte a través del Centro de Ayuda para solicitar copias de las SCC para fines de evaluación de proveedores o auditoría.

Recursos relacionados

• Acuerdo de Tratamiento de Datos (DPA) — Marco legal completo para el procesamiento de datos de ISMS Copilot

• Modo de Protección de Datos Avanzada — Cómo activar el procesamiento exclusivo en la UE

• Resumen de controles de datos — Retención, reducción de PII y configuración de privacidad

• Privacidad de datos y cumplimiento del RGPD — Sus derechos e implementación del RGPD

• Registro de Actividades de Tratamiento (ROPA) — Lista de subencargados y detalles del procesamiento

Obtener ayuda

Para preguntas sobre las evaluaciones de impacto de transferencia o transferencias internacionales de datos:

• Revise el Acuerdo de Tratamiento de Datos para conocer los mecanismos legales de transferencia

• Póngase en contacto con el soporte a través del Centro de Ayuda para obtener documentación de la TIA o copias de las SCC

• Incluya "Solicitud de TIA" o "Evaluación de Impacto de transferencia" en el asunto del mensaje

• Visite la Colección de seguridad para obtener documentación de cumplimiento exhaustiva