Volver al inicio

Transfer Impact Assessment (TIA)

Última actualización: Marzo 2026

Versión: 1.0

Evaluación del impacto de las transferencias internacionales de datos personales a países fuera del EEE, conforme a las recomendaciones del EDPB (01/2020) y la sentencia Schrems II del TJUE.

1. Transferencias Identificadas

SubencargadoPaís destinoDatos transferidosMecanismo legalRiesgo residual
ElevenLabsEE.UU.Audio de voz (procesamiento temporal, opt-out entrenamiento activo)SCCs + EU-US DPFMedio-bajo
Twilio (routing)EE.UU. (tránsito)Audio en tiempo real, metadatosSCCs + Twilio EU AddendumBajo
Google LLCGlobalEventos de calendarioSCCs + DPA de GoogleBajo

2. Análisis de la Legislación del País de Destino (EE.UU.)

Legislación relevante: FISA Section 702, Executive Order 12333, CLOUD Act.

Riesgo de acceso gubernamental: Existe la posibilidad teórica de que agencias estadounidenses soliciten acceso a datos bajo FISA 702. Sin embargo:

  • ElevenLabs procesa audio de voz de forma temporal en sus servidores en EE.UU. El opt-out de entrenamiento está activado y ElevenLabs está certificado bajo el EU-US DPF. El Encargado tiene previsto migrar al entorno Enterprise de ElevenLabs en la UE (eu.elevenlabs.io) durante el Q3 2026, lo que eliminará esta transferencia internacional.
  • No se transfieren datos identificativos directos (nombre, DNI) a ElevenLabs — solo audio de voz.
  • El EU-US Data Privacy Framework (DPF) está vigente y proporciona un marco de adecuación reconocido por la Comisión Europea.
  • ElevenLabs está certificado bajo el EU-US DPF y el Swiss-US DPF (ver: elevenlabs.io/eu-us-data-privacy-framework-policy).

3. Medidas Suplementarias Adoptadas

De acuerdo con las recomendaciones del EDPB, se aplican las siguientes medidas suplementarias:

Medidas técnicas

  • Cifrado en tránsito (TLS 1.3) para todas las transferencias a subencargados en EE.UU.
  • Opt-out de entrenamiento activado en ElevenLabs ("Improve models for everyone" = OFF).
  • Retención configurada al mínimo operativo.
  • Migración a entorno Enterprise UE prevista Q3 2026 (incluirá DPA formal, data residency UE y Zero Retention Mode).
  • Minimización de datos: solo se transfiere el audio de voz, sin metadatos identificativos.
  • Almacenamiento principal en la UE (AWS eu-west-1).

Medidas contractuales

  • SCCs (Cláusulas Contractuales Tipo) aplicables con todos los subencargados.
  • Cláusulas de no-entrenamiento (véase Cláusula 5bis del DPA).
  • Compromiso contractual de notificación en caso de solicitud gubernamental.
  • Derecho a suspender la transferencia si las garantías dejan de ser suficientes.

Medidas organizativas

  • Revisión semestral de la legislación de los países de destino.
  • Monitorización de cambios en las políticas de los subencargados.
  • Plan de contingencia para migrar el procesamiento de voz a un proveedor con sede en la UE si las garantías dejan de ser suficientes.

4. Conclusión

Considerando que el procesamiento en EE.UU. se limita a audio de voz de forma temporal, que el opt-out de entrenamiento está activado, que ElevenLabs está certificado bajo el EU-US Data Privacy Framework, y que está prevista la migración al entorno Enterprise de ElevenLabs en la UE durante el Q3 2026 (eliminando la transferencia internacional), se considera que el nivel de protección es adecuado para los tratamientos realizados por ToniAgent con las medidas suplementarias adoptadas.

Esta evaluación será revisada semestralmente o ante cualquier cambio relevante en la legislación o en los subencargados.

Próxima revisión programada: Octubre 2026

Contacto: privacy@toniagent.com