Volver al Blog
LegalTech & IA

¿Tu empresa necesita la evaluación del CAC para transferir datos fuera de China?

Comité Editorial de NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
24 de junio de 2026
10 min de lectura
¿Tu empresa necesita la evaluación del CAC para transferir datos fuera de China?

¿Qué es la evaluación del CAC y por qué debería importarte?

Si tu empresa transfiere datos personales desde China al extranjero, la PIPL (Ley de Protección de Información Personal) te exige, en ciertos casos, pasar una evaluación de seguridad del CAC (Administración del Ciberespacio de China). No es un trámite burocrático más: es un filtro que puede detener tus operaciones si no lo haces correctamente. Piensa en ello como el control de seguridad del aeropuerto, pero para datos: si no tienes los papeles en regla, no pasas.

¿Quién está obligado a realizar la evaluación del CAC?

No todas las empresas que transfieren datos fuera de China necesitan la evaluación del CAC. Según las Medidas de Evaluación de Seguridad para la Transferencia de Datos al Extranjero, la obligación aplica si cumples AL MENOS UNA de estas condiciones:

  • Procesas datos personales de más de 1 millón de personas (acumulado desde que iniciaste operaciones).
  • Has transferido datos personales de más de 100.000 personas al extranjero desde el 1 de enero del año anterior.
  • Has transferido datos personales sensibles de más de 10.000 personas al extranjero en el mismo período.
  • Eres un operador de infraestructura de información crítica (CIIO) y transfieres datos personales al extranjero.
  • El CAC considera que la transferencia puede afectar la seguridad nacional o los intereses públicos (un comodín que puede activar la obligación).

Si no cumples ninguna, puedes optar por otros mecanismos como el contrato estándar o la certificación. Pero ojo: la evaluación del CAC es más estricta y costosa, así que asegúrate de medir bien tus volúmenes.

¿Cómo saber si estás en el umbral?

Aquí viene lo divertido (sí, con ironía): calcular el número de personas cuyos datos has procesado desde el inicio. No es un promedio anual, es un acumulado histórico. Si tu app tiene 2 millones de usuarios registrados, aunque solo 500.000 estén activos, ya superaste el umbral de 1 millón. Y si has transferido datos de 100.000 usuarios al extranjero (por ejemplo, usando servidores en AWS en Singapur), también entras. La PIPL no perdona: el incumplimiento puede costarte hasta el 5% de tus ingresos anuales o 50 millones de yuanes (lo que sea mayor).

El proceso de evaluación: no es para cardíacos

La evaluación del CAC no es un formulario de cinco minutos. Debes presentar: un informe de impacto de protección de datos, el contrato con el receptor extranjero, y demostrar que el receptor cumple con estándares de protección equivalentes a los chinos. El CAC tiene 45 días hábiles para evaluar (prorrogables otros 45). Si no apruebas, no puedes transferir. Y si ya estabas transfiriendo sin evaluación, tienes 6 meses para regularizarte (según las medidas transitorias).

Consejos prácticos para sobrevivir

1. Haz un inventario de datos: cuenta cuántos usuarios tienes y cuántos datos has transferido. Usa herramientas de Data Mapping. 2. Revisa si eres CIIO: si operas en sectores como telecomunicaciones, finanzas, salud o transporte, podrías serlo sin saberlo. 3. Considera alternativas: si estás justo en el umbral, tal vez puedas reducir el volumen de transferencias o usar un contrato estándar (si aplica). 4. Busca asesoría legal local: la PIPL es interpretada por las autoridades locales, y cada provincia puede tener matices.

FAQ

¿Qué pasa si no hago la evaluación del CAC y transfiero datos igual?

Las sanciones pueden incluir multas de hasta 50 millones de yuanes o el 5% de los ingresos anuales, suspensión de actividades, revocación de licencias, y responsabilidad penal para los directivos. No es un riesgo que valga la pena correr.

¿La evaluación del CAC aplica solo a empresas chinas?

No, aplica a cualquier empresa que transfiera datos desde China, independientemente de su nacionalidad. Las empresas extranjeras con operaciones en China también están obligadas.

¿Puedo usar un contrato estándar en lugar de la evaluación del CAC?

Solo si no cumples con los umbrales que obligan a la evaluación. Si los cumples, el contrato estándar no es suficiente; debes pasar la evaluación del CAC.

📋 Checklist: ¿Debes hacer la evaluación del CAC?

  • ¿Procesas datos de más de 1 millón de personas (acumulado)?
  • ¿Has transferido datos de más de 100.000 personas al extranjero en el último año?
  • ¿Has transferido datos sensibles de más de 10.000 personas al extranjero?
  • ¿Eres un operador de infraestructura de información crítica (CIIO)?
  • ¿El CAC te ha notificado que debes evaluar?

Si marcaste al menos una, necesitas la evaluación del CAC. Si ninguna, puedes usar otros mecanismos.

NakedPact Logo

Comité Editorial de NakedPact

Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.

¿Eres propietario de un sitio web?

¿Eres propietario de un sitio web?

¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.

🛡️ Protege tus derechos con un clic

No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.

No confíes, verifica.

Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.

Analiza tu Contrato Ahora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.