¿Tu empresa necesita la evaluación del CAC para transferir datos fuera de China?

Índice de Contenidos
¿Qué es la evaluación del CAC y por qué debería importarte?
Si tu empresa transfiere datos personales desde China al extranjero, la PIPL (Ley de Protección de Información Personal) te exige, en ciertos casos, pasar una evaluación de seguridad del CAC (Administración del Ciberespacio de China). No es un trámite burocrático más: es un filtro que puede detener tus operaciones si no lo haces correctamente. Piensa en ello como el control de seguridad del aeropuerto, pero para datos: si no tienes los papeles en regla, no pasas.
¿Quién está obligado a realizar la evaluación del CAC?
No todas las empresas que transfieren datos fuera de China necesitan la evaluación del CAC. Según las Medidas de Evaluación de Seguridad para la Transferencia de Datos al Extranjero, la obligación aplica si cumples AL MENOS UNA de estas condiciones:
- Procesas datos personales de más de 1 millón de personas (acumulado desde que iniciaste operaciones).
- Has transferido datos personales de más de 100.000 personas al extranjero desde el 1 de enero del año anterior.
- Has transferido datos personales sensibles de más de 10.000 personas al extranjero en el mismo período.
- Eres un operador de infraestructura de información crítica (CIIO) y transfieres datos personales al extranjero.
- El CAC considera que la transferencia puede afectar la seguridad nacional o los intereses públicos (un comodín que puede activar la obligación).
Si no cumples ninguna, puedes optar por otros mecanismos como el contrato estándar o la certificación. Pero ojo: la evaluación del CAC es más estricta y costosa, así que asegúrate de medir bien tus volúmenes.
¿Cómo saber si estás en el umbral?
Aquí viene lo divertido (sí, con ironía): calcular el número de personas cuyos datos has procesado desde el inicio. No es un promedio anual, es un acumulado histórico. Si tu app tiene 2 millones de usuarios registrados, aunque solo 500.000 estén activos, ya superaste el umbral de 1 millón. Y si has transferido datos de 100.000 usuarios al extranjero (por ejemplo, usando servidores en AWS en Singapur), también entras. La PIPL no perdona: el incumplimiento puede costarte hasta el 5% de tus ingresos anuales o 50 millones de yuanes (lo que sea mayor).
El proceso de evaluación: no es para cardíacos
La evaluación del CAC no es un formulario de cinco minutos. Debes presentar: un informe de impacto de protección de datos, el contrato con el receptor extranjero, y demostrar que el receptor cumple con estándares de protección equivalentes a los chinos. El CAC tiene 45 días hábiles para evaluar (prorrogables otros 45). Si no apruebas, no puedes transferir. Y si ya estabas transfiriendo sin evaluación, tienes 6 meses para regularizarte (según las medidas transitorias).
Consejos prácticos para sobrevivir
1. Haz un inventario de datos: cuenta cuántos usuarios tienes y cuántos datos has transferido. Usa herramientas de Data Mapping. 2. Revisa si eres CIIO: si operas en sectores como telecomunicaciones, finanzas, salud o transporte, podrías serlo sin saberlo. 3. Considera alternativas: si estás justo en el umbral, tal vez puedas reducir el volumen de transferencias o usar un contrato estándar (si aplica). 4. Busca asesoría legal local: la PIPL es interpretada por las autoridades locales, y cada provincia puede tener matices.
FAQ
¿Qué pasa si no hago la evaluación del CAC y transfiero datos igual?
Las sanciones pueden incluir multas de hasta 50 millones de yuanes o el 5% de los ingresos anuales, suspensión de actividades, revocación de licencias, y responsabilidad penal para los directivos. No es un riesgo que valga la pena correr.
¿La evaluación del CAC aplica solo a empresas chinas?
No, aplica a cualquier empresa que transfiera datos desde China, independientemente de su nacionalidad. Las empresas extranjeras con operaciones en China también están obligadas.
¿Puedo usar un contrato estándar en lugar de la evaluación del CAC?
Solo si no cumples con los umbrales que obligan a la evaluación. Si los cumples, el contrato estándar no es suficiente; debes pasar la evaluación del CAC.
📋 Checklist: ¿Debes hacer la evaluación del CAC?
- ¿Procesas datos de más de 1 millón de personas (acumulado)?
- ¿Has transferido datos de más de 100.000 personas al extranjero en el último año?
- ¿Has transferido datos sensibles de más de 10.000 personas al extranjero?
- ¿Eres un operador de infraestructura de información crítica (CIIO)?
- ¿El CAC te ha notificado que debes evaluar?
Si marcaste al menos una, necesitas la evaluación del CAC. Si ninguna, puedes usar otros mecanismos.

Comité Editorial de NakedPact
Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.
Fuentes y Referencias Normativas

¿Eres propietario de un sitio web?
¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.
Lecturas Recomendadas

¿Pagaste tu vuelo y la aerolínea te exige más dinero para reprogramarlo? Esto dice la justicia

Tu privacidad no es un juego: Checklist CCPA/CPRA para tu Privacy Policy

AI Act: Se la scadenza slitta, ma i questionari no. Preparati o sarai fuorigioco
🛡️ Protege tus derechos con un clic
No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.
No confíes, verifica.
Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.
Analiza tu Contrato Ahora