TJUE C-311/18 — Schrems II
Análisis de Impacto de Transferencia Internacional
Evaluación de las transferencias internacionales de datos fuera del Espacio Económico Europeo bajo el marco Schrems II.
Versión 0.1 — borrador interno. Pendiente revisión por DPO externo certificado y asesor legal especializado en protección de datos. Esta página muestra el resumen ejecutivo. La versión 1.0 firmada se publicará tras review legal completa.
¿Qué es un TIA y por qué AudioMap lo tiene?
En julio de 2020, el TJUE invalidó el Privacy Shield UE-EEUU (sentencia Schrems II, C-311/18). Desde entonces, cualquier transferencia de datos personales fuera del EEE requiere documentar un Transfer Impact Assessment que justifique cómo se protegen los datos en el país receptor.
AudioMap procesa la inmensa mayoría de datos en infraestructura europea (Hetzner DE, AssemblyAI EU, Vertex EU, Cloudflare R2 EU). Solo dos sub-procesadores implican transferencia internacional: Stripe (pagos) y Sentry (observabilidad).
Alcance
Esta TIA cubre las dos únicas transferencias internacionales activas de AudioMap. Los demás sub-procesadores procesan dentro del EEE.
Transferencias evaluadas
| Sub-procesador | Destino | Datos | Mecanismo | Riesgo |
|---|---|---|---|---|
| Stripe Inc. | EEUU | Email, datos de tarjeta tokenizada, facturación. NO contenido del servicio. | EU-U.S. Data Privacy Framework + SCC (EU 2021/914 Mod 2) | BAJO |
| Functional Software dba Sentry | EEUU (almacenamiento en EU región Fráncfort) | Stack traces, breadcrumbs, metadata HTTP. NO contenido del usuario ni biometría. | EU-U.S. Data Privacy Framework + SCC + configuración EU region | BAJO |
Análisis del marco legal de EEUU
El marco legal estadounidense relevante para transferencias internacionales incluye:
- FISA Section 702: permite vigilancia masiva sin orden judicial individual de comunicaciones de "no-US persons".
- Executive Order 12333: amplía facultades de vigilancia exterior.
- CLOUD Act 2018: permite a autoridades US exigir datos almacenados por empresas US incluso si los datos están físicamente fuera de US.
Conclusión del análisis: la legislación US ofrece protección inferior al RGPD. Esto exige medidas técnicas y organizativas suplementarias.
Medidas suplementarias aplicadas
- Cifrado TLS in-transit en todas las transferencias
- Cifrado at-rest en destino (AES-256)
- Minimización: solo datos estrictamente necesarios para la finalidad de cada sub-procesador
- Stripe: tokenización de tarjeta — AudioMap nunca recibe el PAN; el contenido del servicio nunca llega a Stripe
- Sentry: configuración EU region + scrubbing agresivo de datos sensibles + sample rate 10% + retención 90d
- Cláusulas contractuales tipo (SCC) como fallback si DPF cae
- DPA Art. 28 RGPD firmados con cláusula de notificación 24h de breach
- Listado público de sub-procesadores en /legal/subprocessors con notificación 30d previa a cambios
Plan de contingencia (si DPF cae)
NOYB y otras organizaciones litigan para invalidar el EU-U.S. Data Privacy Framework, igual que se invalidaron Privacy Shield (2020) y Safe Harbor (2015). AudioMap mantiene un plan de contingencia:
- Si DPF cae para Stripe: SCC firmadas como fallback. Evaluación de Mollie (PSP europeo, NL) como alternativa. Migración de 4-6 semanas.
- Si DPF cae para Sentry: SCC firmadas. Evaluación de GlitchTip self-hosted en Hetzner DE. Migración de 2 semanas.
- "Modo soberanía total": Whisper local + Vertex EU + Hetzner DE permiten operar sin transferencia US salvo pagos. Documentado como opción para clientes B2B con requisitos extremos.
Conclusión
Las dos transferencias internacionales activas son legítimas con las salvaguardas aplicadas. El riesgo residual es bajo porque:
- Stripe y Sentry no reciben contenido del servicio (audio, transcripciones).
- AudioMap no es objetivo plausible de vigilancia masiva US.
- Existen mecanismos de fallback contractual (SCC) y técnico (alternativas EU).
Próxima revisión programada: 12 de mayo de 2027, o inmediata si TJUE invalida DPF.
Documentos relacionados: DPIA, Cumplimiento AEPD, Sub-procesadores, Soberanía de datos.