Hace seis años en julio, el Tribunal de Justicia de la Unión Europea dictaminó en Schrems II (asunto C-311/18) que los datos personales exportados desde la UE a un tercer país deben gozar de una protección «sustancialmente equivalente» — y que las organizaciones que transfieren datos deben verificarlo ellas mismas, transferencia a transferencia. Así nació la Transfer Impact Assessment (TIA).
Seis años después, sigue siendo la parte más operativamente incómoda del cumplimiento del RGPD para las pymes. La mayoría de los flujos de datos tocan los EE. UU., el Reino Unido, India o Brasil. La mayoría de las organizaciones desconocen a qué país se conecta su SDK de seguimiento de cookies. Y el Data Privacy Framework UE-EE. UU. — adoptado en 2023 para sustituir al Privacy Shield invalidado — está bajo impugnación judicial en Schrems III, con sentencia del TJUE prevista para finales de 2026 o principios de 2027.
Esta guía explica qué exige realmente una Transfer Impact Assessment a una pyme en 2026, los seis pasos que hacen un TIA defendible y cómo encajarlos en el mapa de datos que ya mantienes.
¿Qué es una Transfer Impact Assessment?
Una Transfer Impact Assessment (TIA) es el análisis documentado que exige el capítulo V del RGPD siempre que se transfieran datos personales del EEE a un tercer país (un país fuera del EEE). Responde dos preguntas:
- ¿La transferencia está protegida por un mecanismo del artículo 46 — cláusulas contractuales tipo, normas corporativas vinculantes, código de conducta aprobado o sistema de certificación?
- ¿La legislación del país receptor proporciona una protección sustancialmente equivalente al RGPD — o necesitas medidas suplementarias (cifrado, seudonimización, adiciones contractuales) para cerrar la brecha?
La primera pregunta es contractual. La segunda es la difícil. Las recomendaciones 01/2020 del CEPD establecen la metodología; las autoridades nacionales de control han desarrollado guías específicas por país sobre esa base.
Una TIA no es un ejercicio puntual. El análisis debe revisarse cuando la legislación del país receptor cambia (una nueva ley de vigilancia, una sentencia), cuando cambia el acuerdo de transferencia (nuevo encargado, nuevo subencargado) o tras un incidente grave.
El legado de Schrems II: por qué existen las TIA
En julio de 2020, el TJUE invalidó el Privacy Shield UE-EE. UU. en Schrems II. El tribunal determinó que las leyes de vigilancia estadounidenses (FISA Sección 702, Orden Ejecutiva 12333) daban a los servicios de inteligencia estadounidenses un acceso a datos personales de residentes de la UE incompatible con los estándares de protección del RGPD — y que el sistema jurídico estadounidense no ofrecía un recurso efectivo a las personas no estadounidenses.
La sentencia no solo invalidó el Privacy Shield. Estableció una metodología: cualquier mecanismo de transferencia — CCT, BCR, lo que sea — solo funciona si el contexto jurídico del país receptor permite realmente que las protecciones del contrato sean efectivas. Una cláusula que obligue al importador a rechazar las solicitudes de acceso de gobiernos extranjeros carece de sentido si la ley local impone el cumplimiento.
Las recomendaciones 01/2020 del CEPD (versión final noviembre 2020) tradujeron la sentencia a la metodología TIA de seis pasos que se ha mantenido en gran medida estable desde entonces. Las autoridades nacionales — la CNIL en Francia, la AP en los Países Bajos, el BfDI en Alemania, la AEPD en España, la ICO en el Reino Unido — han publicado guías de aplicación, pero el marco del CEPD es el sustrato común.
¿Cuándo necesita una pyme una TIA?
Tres disparadores, todos rutinarios para cualquier pyme que use SaaS común:
- Cualquier encargado del tratamiento en un tercer país. CRMs estadounidenses, plataformas de analítica estadounidenses, proveedores de helpdesk indios, servicios BPO filipinos. Si tratan datos personales de la UE, necesitas una TIA por encargado (o por subencargado, cuando las transferencias se encadenan).
- Cualquier relación de subencargo que cruce fronteras. Tu SaaS alojado en la UE utiliza un contratista de soporte indio que puede leer tickets con datos personales de la UE — eso es una transferencia.
- Cualquier servicio de IA que trate datos fuera de la UE. La mayoría de los proveedores de modelos grandes ejecutan inferencia en centros de datos estadounidenses. Aunque el contrato diga «alojado en la UE», pregunta dónde se ejecuta realmente la inferencia.
¿Y las decisiones de adecuación? A abril de 2026, catorce jurisdicciones gozan de una decisión de adecuación: Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, República de Corea, Suiza, Reino Unido y Uruguay. Una transferencia a uno de estos países no requiere una TIA completa — la Comisión Europea ha hecho el análisis por ti. Aún documentas la transferencia en tu RAT, pero no se necesitan medidas suplementarias.
EE. UU. es un caso especial. El Data Privacy Framework UE-EE. UU. (DPF) proporciona adecuación a las organizaciones estadounidenses que se autocertifican. A abril de 2026, este marco sigue vigente pero impugnado en el TJUE (Schrems III). Muchas pymes de la UE se anticipan a una posible invalidación tratando las transferencias a EE. UU. como si no hubiera adecuación — TIA completas y medidas suplementarias incluso cuando el destinatario está certificado DPF. Es conservador; también es defendible.
La metodología TIA en seis pasos del CEPD
Las recomendaciones 01/2020 del CEPD establecen la estructura canónica. Cada paso es una sección de tu documento TIA.
Paso 1: Conoce tu transferencia
Documenta quién transfiere qué a quién, dónde y para qué fin. Sin esto, el resto es imposible. Para cada transferencia:
- El exportador (tú o tu encargado)
- El importador (la organización receptora)
- Las categorías de interesados y de datos personales
- El volumen y la frecuencia
- La finalidad
- Las transferencias ulteriores (subencargados, sub-subencargados)
Estos son exactamente los datos que tu RAT ya contiene, si tu mapa de datos está actualizado. La guía de mapeo de datos RGPD cubre la capa de inventario.
Paso 2: Identifica el instrumento de transferencia
Para cada transferencia, identifica el mecanismo del artículo 46: CCT 2021, BCR, código de conducta aprobado o sistema de certificación. La mayoría de las transferencias de pymes usan CCT (las cláusulas contractuales tipo de la Comisión Europea, modernizadas en junio de 2021 en cuatro módulos: C2C, C2P, P2C, P2P).
Si ningún instrumento del artículo 46 cubre la transferencia, no puedes apoyarte en derogaciones del artículo 49 salvo en casos definidos de forma estricta — consentimiento explícito, necesidad para la ejecución del contrato, razones importantes de interés público. Las derogaciones del artículo 49 son excepcionales, no un comodín para el tratamiento rutinario.
Paso 3: Evalúa el derecho del tercer país
¿Permite el derecho del país importador que las protecciones de las CCT sean efectivas? Este es el paso pesado. Evalúas:
- Leyes de vigilancia (¿tiene acceso la inteligencia extranjera?)
- Regímenes de acceso gubernamental (órdenes, citaciones, cartas de seguridad nacional)
- Recurso efectivo (¿pueden los interesados afectados de la UE impugnar el acceso?)
- Independencia de las autoridades de control
Las evaluaciones específicas por país publicadas por asociaciones comerciales, autoridades de control y bufetes de abogados pueden citarse. La CNIL mantiene una matriz de riesgo por país útil; el CEPD ha señalado países concretos — EE. UU. bajo FISA 702, China bajo la National Intelligence Law, Rusia, India bajo las IT Rules — como de alto riesgo.
Paso 4: Identifica medidas suplementarias
Si el derecho del tercer país no proporciona equivalencia sustancial, las medidas suplementarias deben cerrar la brecha. Las recomendaciones del CEPD identifican tres categorías:
- Técnicas — cifrado fuerte con claves en la UE, seudonimización, computación multipartita segura. Es la categoría más defendible.
- Contractuales — cláusulas adicionales que obliguen al importador a impugnar las solicitudes de acceso, notificar al exportador, publicar informes de transparencia. Útiles pero limitadas; los contratos no pueden anular el derecho nacional.
- Organizativas — políticas internas para responder a solicitudes de acceso, formación, gobernanza. Útiles como prueba de diligencia.
La combinación depende de la categoría de datos y del riesgo. Para categorías especiales de datos personales enviadas a un encargado estadounidense, el cifrado de extremo a extremo con claves en la UE es esencialmente el mínimo. Para datos operativos de bajo riesgo, las medidas contractuales pueden bastar.
Paso 5: Documenta la evaluación
La TIA es ella misma un documento. Recoge el análisis de los pasos 1–4, la conclusión (aceptable / requiere medidas adicionales / no permitida), las medidas suplementarias adoptadas, la persona responsable y la fecha de próxima revisión. Sin documentación, no puedes demostrar el cumplimiento ante una autoridad de control.
Una herramienta TIA seria almacena la evaluación como datos estructurados — no un Word en una carpeta de SharePoint — para que puedas responder a preguntas como «muéstrame todas las TIA para transferencias a EE. UU. concluidas como aprobadas condicionalmente». Aquí también se rentabiliza la integración con tu flujo EIPD: el mismo tratamiento puede ser objeto de una EIPD del artículo 35 y de una TIA del capítulo V, y la documentación no debe duplicarse.
Paso 6: Reevaluar
Tres disparadores fuerzan una reevaluación:
- Un cambio sustancial en el derecho del país importador (una nueva ley de vigilancia, una sentencia como Schrems II o su eventual sucesora)
- Un cambio sustancial en la transferencia (nuevo encargado, nuevo subencargado, nueva categoría de datos)
- Un incidente grave (una brecha de datos en el importador, una solicitud de acceso gubernamental recibida)
Más allá de los disparadores, una revisión anual programada captura la deriva. Cada TIA debe registrar su próxima fecha de revisión.
El panorama de transferencias en 2026
Una instantánea de lo que afronta una pyme hoy, país por país.
Estados Unidos. Data Privacy Framework UE-EE. UU. en vigor; Schrems III pendiente en el TJUE con sentencia esperada a finales de 2026 o principios de 2027. Los importadores estadounidenses certificados DPF pueden tratarse como adecuados según la legislación vigente, pero la práctica conservadora aplica medidas suplementarias de todos modos. El cifrado de extremo a extremo con claves en la UE sigue siendo la medida técnica más sólida.
Reino Unido. Decisión de adecuación en vigor, con renovación durante 2026. El Reino Unido se ha apartado del RGPD en algunos ámbitos (reglas de cookies más laxas, regulación de IA más laxa) pero conserva reglas de transferencia equivalentes al RGPD. La ICO británica está ampliamente alineada con el CEPD.
India. Sin decisión de adecuación. La Digital Personal Data Protection Act 2023 ha elevado algunas protecciones básicas, pero los poderes de vigilancia bajo las IT Rules siguen siendo una preocupación. Trátalo como alto riesgo; medidas suplementarias requeridas.
China. Sin decisión de adecuación. La Personal Information Protection Law (PIPL) requiere consentimiento explícito para transferencias transfronterizas y evaluaciones de seguridad gubernamentales para transferencias grandes. Combinada con la National Intelligence Law, las transferencias a China requieren medidas suplementarias fuertes o derogaciones.
Brasil. Aún sin decisión de adecuación, pero la LGPD ofrece protección similar al RGPD. La Comisión Europea ha señalado a Brasil para una posible evaluación de adecuación en 2026. Trátalo como riesgo moderado; CCT estándar más monitorización suele ser defendible.
Integrar las TIA en tu mapa de datos
Una herramienta TIA desconectada de tu inventario de transferencias hace el trabajo dos veces. Cada transferencia en tu mapa de datos ya debería tener:
- El país de destino
- El mecanismo de transferencia
- La base jurídica
- La categoría de datos
- El volumen y la frecuencia
Cuando esos datos están estructurados, generar una TIA se convierte en una cuestión de confirmar las heurísticas y añadir el análisis específico del país. Readmodel® trata cada transferencia en tu mapa como candidata a una TIA: cuando el país de destino queda fuera de la lista de adecuación, el sistema señala la transferencia en el registro de riesgos y ofrece un flujo TIA que pre-rellena los pasos 1, 2 y 6 desde el inventario.
Para el flujo EIPD más amplio que a menudo corre en paralelo a una TIA, consulta la guía de herramientas de automatización DPIA.
Transfer Impact Assessment: preguntas frecuentes
¿Es una Transfer Impact Assessment legalmente obligatoria por el RGPD? El texto del RGPD no usa la expresión «Transfer Impact Assessment». La exigencia proviene de Schrems II (TJUE C-311/18) y de las recomendaciones 01/2020 del CEPD, que interpretan los artículos 44–49 del RGPD. Las autoridades de control esperan ahora una TIA documentada para cualquier transferencia a un tercer país sin adecuación. En la práctica la respuesta es sí — vía jurisprudencia y guías del CEPD.
¿Necesito una TIA para transferencias a EE. UU. bajo el Data Privacy Framework UE-EE. UU.? Lectura estricta: no — la certificación DPF proporciona adecuación. Lectura práctica: sí, ligera. El litigio Schrems III implica que el estatus DPF podría cambiar. Documentar una TIA que concluye «adecuado bajo DPF, monitorizando cambios legales» te da tanto cumplimiento hoy como protección a futuro si el marco cae.
¿Cuál es la diferencia entre una TIA y una EIPD? Una EIPD (artículo 35) evalúa el tratamiento de alto riesgo por su impacto en los interesados. Una TIA (capítulo V vía Schrems II) evalúa si una transferencia a un tercer país mantiene una protección equivalente al RGPD. El mismo tratamiento puede requerir ambas: un tratamiento de alto riesgo que implique una transferencia a un tercer país requiere tanto una EIPD COMO una TIA. Las herramientas modernas de cumplimiento almacenan ambas como registros vinculados.
¿Necesitan las pequeñas empresas una TIA? Si usas SaaS no comunitario que trata datos personales — y casi toda pyme lo hace — sí. No hay una excepción al estilo del artículo 30(5) basada en plantilla para las transferencias. La profundidad del análisis puede ser proporcional, pero la documentación debe existir.
¿Cuál es la diferencia entre las CCT y las BCR? Las CCT son los contratos estándar pre-aprobados de la Comisión Europea que cualquier par de organizaciones puede adoptar. Se modernizaron en junio de 2021 con cuatro módulos. Las BCR (Binding Corporate Rules) son normas intragrupo para grandes grupos multinacionales que han sido aprobadas por una autoridad de control. Las BCR son caras de obtener pero más fáciles de operar a escala; las CCT son accesibles pero requieren trabajo por relación. La mayoría de las pymes usan CCT.
¿Puedo apoyarme en las derogaciones del artículo 49? Para tratamiento rutinario, no. Las derogaciones están diseñadas para casos estrictos y excepcionales: consentimiento explícito para una transferencia específica, necesidad para la ejecución de un contrato con el interesado, razones importantes de interés público. El CEPD ha sido enfático: el artículo 49 no es un atajo para mecanismos del artículo 46 ausentes.
¿Con qué frecuencia debo actualizar mis TIA? Tres disparadores fuerzan una actualización: un cambio en el derecho del país importador, un cambio en el acuerdo de transferencia, un incidente grave. Una revisión anual programada captura la deriva. La mayoría de las autoridades de control esperan que las TIA no tengan más de 12 meses en el momento de la inspección.
¿Qué ocurre si Schrems III invalida el Data Privacy Framework UE-EE. UU.? Si el TJUE invalida el DPF, los importadores estadounidenses certificados DPF pierden su estatus de adecuación. Las pymes que aplicaron preventivamente medidas suplementarias quedarán en gran parte intactas. Las pymes que se apoyan únicamente en el DPF tendrán que adoptar rápidamente CCT más medidas suplementarias o repatriar el tratamiento al EEE. La lección de 2020 (invalidación del Privacy Shield): la práctica conservadora ahora te ahorra una carrera contrarreloj después.
Empieza a documentar tus transferencias hoy
Una TIA no es un formulario único — es documentación que debe seguir las realidades de adónde van tus datos, quién tiene acceso y bajo qué régimen jurídico. El inventario de datos es el cimiento; la TIA se construye encima.
Crea una cuenta Readmodel® gratuita, documenta tus servicios y transferencias, y el sistema señalará cada transferencia transfronteriza que necesite una TIA. Plantillas para la metodología en seis pasos del CEPD, indicadores de riesgo por país e integración con el flujo EIPD están disponibles en todos los planes, incluido el plan gratuito Explore.