Transfer Impact Assessment (TIA) — Resumen
Última actualización: 13 de mayo de 2026
A raíz de la sentencia Schrems II del TJUE (C-311/18, julio de 2020), los responsables que transfieran datos personales a terceros países deben documentar un Transfer Impact Assessment conforme a los arts. 44-49 del RGPD y las Recomendaciones 01/2020 del EDPB. Esta página es el resumen ejecutivo público del TIA interno de Clozo; la versión completa está disponible bajo solicitud a legal@useclozo.com para inspectores de la AEPD y personas interesadas.
Subencargados cubiertos por este TIA
Cuatro subencargados con sede en EE. UU.: Resend Inc. (correos transaccionales), Anthropic PBC (mejora de texto con IA, utilizada como función principal del servicio bajo el Art. 6(1)(b) RGPD — datos PII eliminados antes de transmisión, sin necesidad de consentimiento), Cloudflare Inc. (CDN + seguridad de borde + almacenamiento R2), PostHog Inc. (analítica de producto sujeta a consentimiento) y Functional Software, Inc. (Sentry — monitorización de errores, región UE utilizada, CCT firmadas). Nota: Stripe Payments Europe Ltd. (Irlanda, UE) es el importador de datos de referencia para pagos — sin transferencia a terceros países; cualquier subprocesamiento posterior en EE. UU. queda cubierto por la propia cadena de CCT de Stripe, revisada anualmente. Cada uno opera bajo certificación activa EU-US Data Privacy Framework (DPF), Cláusulas Contractuales Tipo (CCT, Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021), o ambas. La lista completa con país, mecanismo de transferencia y categorías de datos se publica en /subprocessors.
Subencargados sin obligación de TIA
Crisp IM SAS (Francia), Geoapify GmbH (Alemania), Gotenberg (autoalojado en Railway UE), VIES (institución UE): todos operan dentro de la UE/EEE — no se requiere TIA. Sentry utiliza su región UE donde está disponible.
Metodología de seis pasos del EDPB
(1) Conocer las transferencias — cada importador estadounidense documentado con categorías de datos y volumen; (2) Identificar el instrumento de transferencia — DPF principal, CCT de respaldo; (3) Evaluar el derecho del tercer país — US FISA 702 + EO 12333 + CLOUD Act analizados por importador; (4) Identificar medidas suplementarias — cifrado en tránsito (TLS 1.3) y en reposo (equivalente a AES-256), depuración de PII antes de transmisión a Anthropic (apps/common/ai_scrub), minimización de datos; (5) Implementar medidas procedimentales y contractuales — DPA firmados con cada subencargado estadounidense; (6) Reevaluar a intervalos apropiados — revisión anual más ante cualquier sentencia Schrems-III, retirada del DPF o cambio de subencargado.
Conclusión
La certificación DPF más las CCT Módulo 2/3 más las medidas suplementarias enumeradas proporcionan un nivel de protección esencialmente equivalente al art. 46 del RGPD. El riesgo residual (acceso del gobierno estadounidense vía FISA 702) está materialmente reducido para las transferencias específicas que realiza Clozo porque (a) los datos de Anthropic están depurados de PII antes de la transmisión, (b) Stripe no es un proveedor de servicios de comunicaciones electrónicas según FISA 702, (c) el contenido de correo transaccional vía Resend no es comercial y de bajo volumen, (d) el tráfico de Cloudflare registra solo metadatos sin contenido comercial en texto claro. Anthropic NO está certificado EU-US DPF — las CCT son su único mecanismo de transferencia, documentado en el DPA §7 y la Política de Privacidad §6.
Solicitar el TIA completo
Los inspectores de la AEPD y las personas interesadas que ejerzan sus derechos del art. 15 del RGPD pueden solicitar el documento TIA interno completo por correo a legal@useclozo.com. El documento completo incluye modelos de amenazas por importador, informes de transparencia y estado de revisión jurídica. El TIA interno está sometido a revisión por un DPO/asesor jurídico español (objetivo 2026-Q3) antes de pasar del estado BORRADOR a ACTIVO.
Volver al inicio de sesión·Política de Privacidad·Encargo del tratamiento·Subencargados·Condiciones de uso·Aviso legal