El 9 de julio de 2025, la Comisión Nacional de Informática y Libertades (CNIL) publicó la versión final de su guía práctica para la realización de la Análisis de Impacto de las Transferencias de Datos (AITD), en respuesta a las obligaciones reforzadas del RGPD en materia de flujos transfronterizos fuera del Espacio Económico Europeo (EEE) . Esta iniciativa responde directamente a la necesidad establecida tras el histórico pronunciamiento “Schrems II” de la Corte de Justicia de la Unión Europea, que exige a los exportadores de datos evaluar si los países terceros garantizan un nivel de protección sustancialmente equivalente al previsto en la normativa comunitaria, y adoptar medidas adicionales si se detectan deficiencias .
La guía, articulada con rigor académico, establece una metodología en dos grandes bloques: primero, la determinación de si procede realizar una AITD —identificando el tipo de transferencia, la responsabilidad del exportador y el alcance de los flujos de datos— y, segundo, la ejecución propiamente dicha mediante seis fases sistematizadas . Estas etapas comprenden: descripción del flujo para acotar contexto y sensibilidad; definición del instrumento jurídico utilizado (como cláusulas tipo o normas internas vinculantes); valoración del marco normativo y de las prácticas del país destino; diseño e implementación de medidas de mitigación adicionales; y, finalmente, revisión periódica del sistema para detectar cambios normativos o operacionales que afecten la eficacia del nivel de protección .
La publicación surge tras una fase consultiva que se extendió entre diciembre de 2023 y febrero de 2024, recibiendo aportaciones de 34 participantes —DPOs, consultores y profesionales de sectores como banca, salud, administración pública y TIC— con el fin de mejorar claridad y aplicabilidad . Como resultado, la versión final integra un modelo descargable y una síntesis de comentarios, facilitando una implementación práctica de gran utilidad a través de un modelo tabular que guía la documentación exhaustiva de cada fase.
Desde una perspectiva jurídica, esta guía no impone un modelo obligatorio, pero marca un estándar interpretativo que los responsables y operadores deben adoptar para demostrar conformidad con el RGPD. Su correcta aplicación permite no solo cumplir con obligaciones legales, sino también facilitar actividades de control e inspección y fortalecer la defensa frente a requerimientos regulatorios o litigios. Asimismo, la sistematización de las fases y la incorporación de criterios del Comité Europeo de Protección de Datos (CEPD) elevan el nivel de rigor jurídico, alineado al estado del arte en gobernanza de datos personales.
Para el ámbito académico y docente, el documento representa una oportunidad de estudio comparado entre jurisdicciones y marcos normativos, permitiendo reflexionar sobre la regulación híbrida de los flujos globales de información. Su uso en casos prácticos enriquecería el análisis de riesgo regulatorio, compliance y derecho digital transnacional, además de orientar la elaboración de protocolos internos y programas de formación en empresas y administraciones.
