Campus virtual

Controles a la exportación

  • (ITAR/EAR, dual-use)
pexels-frans-van-heerden-2881632

Qué es esto en una frase

Normas que dicen qué tecnología, software o datos técnicos pueden compartirse (en persona, por email, en repositorios, en conferencias, en la nube…) con quién y desde dónde. El objetivo: cumplir la ley, evitar sanciones y seguir investigando y enseñando con seguridad.

Cómo lo hacemos en SEIUM

Screening de personas/entidades y usos finales.

Clasificación (¿ITAR? ¿EAR/EU dual-use? ¿no control?).

Technology Control Plan (TCP): quién puede ver qué, y cómo se protege.

Licencias o excepciones (si aplican).

Ejecución con evidencias (logs, marcados, controles técnicos).

Cierre y archivo.

Regla de oro: si vas a compartir detalles técnicos que permitan diseñar, producir, integrar o mejorar el desempeño de un ítem potencialmente sensible, para y consulta.

,

Resumen ejecutivo

Para leer en 2 minutos

Algunas tecnologías, software y datos técnicos están controlados por marcos como ITAR/EAR (EE. UU.) y Doble Uso de la UE.

También lo es dar acceso a repos, enseñar detalles en una videollamada, subir código o presentar un póster si contiene información controlada.

Compartir tecnología controlada dentro del país con una persona extranjera cuenta como exportación.

Primero clasifica y consulta a la Oficina de Export Controls (OEC).

Glosario esencial

ITAR

Normativa, EE. UU. para artículos de defensa y sus datos técnicos/servicios.

EAR / Doble Uso (UE)

Control de tecnologías civiles con posible uso militar/estratégico (p. ej., ciertos sensores, comunicaciones, cifrado, materiales, actuadores, electrónica).

Exportación

Enviar a otro país o compartir con una persona extranjera (incluye Zoom, email, repos, Cloud, demos).

Deemed export

Compartir tecnología controlada con una persona extranjera aunque estemos en España.

Clasificación

Decidir si algo es ITAR, EAR/ECCN, Dual-Use UE o No control.

TCP (Technology Control Plan)

Plan que define quién accede, cómo y con qué controles.

Licencia

Permiso oficial para exportar/compartir bajo ciertas condiciones.

¡Mantente informado y cumple con las normativas para evitar complicaciones legales!

Regla del “semáforo"

Rojo (para y consulta)

• Drones, UAS, UGV, sensores avanzados, RF/SDR, cifrado, control de vuelo, navegación sin GNSS, potencia de alto rendimiento, materiales especiales, compósitos avanzados, integración de cargas, algoritmos que suben performance sensible, documentación de integración y tolerancias.
• Proyectos con partners de riesgo (países sancionados), o con restricciones contractuales sobre publicación/participación por nacionalidad.

Ámbar (probable control):

• Bancos de prueba con specs “curiosas” (muy altas tensiones/corrientes, radar, visión hiperespectral, satcom, INS de grado alto), software de procesado señal o ciber-OT con detalle operativo, firmware para FOC/DTC muy optimizado, beamforming avanzado, etc.

Verde (normalmente OK)

• Docencia estándar, investigación fundamental sin restricciones de publicación ni de acceso por nacionalidad, contenidos ya públicos (papers, patentes, normas), datasets anonimizados/sintéticos sin valor de ingeniería sensible.

,

El proceso SEIUM en 7 pasos (claro y accionable)

¿Vas a compartir algo fuera de tu equipo, presentar en un congreso, abrir un repo, subir un preprint, enviar un prototipo, hacer una demo o recibir visitantes? → Activa el flujo.

  • Personas/entidades: comprobamos listas de sanciones y restricciones.
  • Uso final: ¿para qué lo quieren? ¿Dónde acabará? Si huele raro, paramos.
  • Documento breve: ¿ITAR (defensa)? ¿EAR/ECCN o Dual-Use UE? ¿no control?
  • Lo hace el IP con la OEC (tenemos guía y plantilla).

 

  • Quién accede (por rol y nacionalidad).
  • Controles técnicos: IAM/MFA, geofencing, cifrado, DLP, clean-rooms digitales, ramas protegidas, sin USB, sin mirrors no autorizados.
  • Controles físicos: laboratorio restringido, taquillas/jaulas, no-photo en zonas rojas.

Publicaciones: revisión de export antes de enviar paper/póster/código.

  • Si hace falta, la pide la OEC/Empowered Official.
  • Si aplica una excepción, se documenta (no vale “de palabra”).Publicaciones: revisión de export antes de enviar paper/póster/código.
  • Si hace falta, la pide la OEC/Empowered Official.
  • Clausulado de export en NDA, subcontratas, compras, convenios.
  • Obligación de notificar cambios de end-user/end-use.
  • Cambios de alcance → reclasificar.
  • Logs inmutables, marcas de export en documentos/archivos, control de descargables, repos segregados.
  • Retirar accesos, sanitizar datos, inventariar lo devuelto, archivar clasificación/licencias/TCP/logs.

Ejemplos típicos (para no equivocarte)

Repo Git con weights de un modelo que mejora el tracking de blancos con radar o visión en condiciones extremas → alto riesgo. No publiques sin clasificación y TCP.

Presentación en congreso: si incluye parámetros, curvas y procedimientos que permiten reproducir un rendimiento sensible → requiere revisión de export.

Visita internacional al laboratorio: si verían o fotografiarían bancos/planos controlados → acceso restringido, briefing previo, no-photo, acompañamiento.

Estudiante extranjero en tu equipo: si tocará tecnología controlada, es deemed export → TCP y, si aplica, licencia.

Demo portable (hand-carry): puede requerir permiso temporal y documentos de retorno; coordina con OEC antes de viajar.

Controles técnicos mínimos (IT/OT) — “sin dolor, pero serios”

  • Identidades & accesos: MFA, IAM por rol/nacionalidad, bloqueo geográfico si procede.
  •  Clasificados/  etiquetados (ITAR/EAR/DU/NC), cifrado en reposo y tránsito, DLP en endpoints/correo, marcas visibles en PDFs/planos.
  • Ramas protegidas, code owners, no public por defecto, y revisión de export antes de hacer público
  • Redes OT aisladas, air-gaps cuando toque, inventario con número de serie, control de cámaras.
  •  Portátiles endurecidos, acceso por VDI, nada de datos locales persistentes
  • Evidencias: logs centralizados, inmutables, con retención según régimen.

Roles en SEIUM (quién hace qué)

  • Empowered Official (EO): autoridad final, puede parar un proyecto y tramitar licencias.
  • OEC (Export Controls & Research Compliance): clasificación, screening, soporte contratos, plantillas y archivo.
  • Investigador/a Principal (IP): identifica riesgos, abre clasificación, implementa el TCP.
  • Gestor/a de laboratorio/IT: aplica controles técnicos, marca activos, guarda evidencias.
  • Asesoría legal: mete cláusulas de export en NDAs/contratos y verifica flow-downs.
  • DPO/Privacidad: alinea export con GDPR (transferencias internacionales de datos personales).

Formación, auditoría y métricas

Formación obligatoria anual (todo el personal y estudiantes que operan en labs o manejan datos técnicos).

Formación avanzada para IPs, lab managers, compras y gestores de proyectos.

  • % de proyectos con clasificación documentada.
  • Tiempo medio clasificación→decisión.
  • % cobertura de formación (objetivo ≥ 98 %).
  • Incidentes y near-misses (objetivo: 0 críticos).
  • Tiempos de licencia, cuando apliquen.

Publicaciones, docencia abierta y open-source

Investigación fundamental y dominio público suelen estar exentos, si y solo si no hay restricciones de publicación ni de acceso por nacionalidad y no se revelan detalles que permitan reproducir performance sensible.

Si algo debe publicarse, pero contiene “detalles peligrosos”, aplicamos sanitización (agregación, síntesis, límites de precisión, omisión de parámetros críticos).

FAQ corta Dudas Habituales

 Sí, si compartes tecnología/datos controlados o asistencia técnica detallada.

Dar acceso a tecnología controlada a una persona extranjera dentro del país

A menudo sí, pero se pierde la exención si hay restricciones de publicación o de participación por nacionalidad o si divulgas detalles técnicos críticos.

Solo tras revisión de export. Si es sensible, se redacta/sanitiza o se mantiene cerrado.

No lo adivines. Clasifica con la OEC: tenemos matriz de decisión y ejemplo de ECCN por familias tecnológicas.

Vida estudiantil

Checklists listos para usar

  • ¿He activado el flujo (Paso 0)?
  • ¿He hecho screening de personas/organizaciones y uso final?
  • ¿Tengo clasificación (ITAR/EAR/DU/NC) en un documento?
  • Si aplica, ¿hay TCP y están configurados los controles técnicos?
  • ¿Necesita licencia? Si sí, ¿está tramitada/aprobada?
  • ¿He pasado por revisión de export si voy a publicar o presentar?
  • Activos etiquetados (control/no control).
  • Accesos por rol/nacionalidad, MFA.
  • Cifrado y DLP activos.
  • Repos privados por defecto; branches
  • No-photo en zonas rojas; visitantes acompañados.
  • Logs y videncias al día.

Plantillas y recursos internos

  • Guía rápida de clasificación + matriz de decisión.
  • Plantilla TCP (Technology Control Plan).
  • Checklist de publicaciones y conferencias (export-review).
  • Protocolo de viajes/hand-carry.
  • Modelos de cláusulas para contratos/NDAs y flow-downs

Encaje con otras políticas SEIUM

  • Ética, DIH y derechos humanos: no hacemos instrucción operativa/ofensiva ni bypass de salvaguardas
  • GDPR y privacidad: las transferencias internacionales de datos personales se evalúan además bajo RGPD (SCCs, minimización, DPA)
  • Seguridad & HSE: laboratorios con gates de seguridad física/operativa integrados
  • Transparencia & buen gobierno: publicamos métricas agregadas, nunca datos sensibles.

Contactos

Esta guía combina el rigor normativo con una explicación práctica. La filosofía es “compliance-by-design”: clasificar antes de compartir, controlar accesos, documentar decisiones y publicar de forma responsable. Así evitamos riesgos y mantenemos viva la misión de SEIUM: impulsar ingeniería avanzada con seguridad,

Oficina de Export Controls & Research Compliance (OEC)

exportcontrols@seium.university

Empowered Official (EO)

eo@seium.university

Asesoría Legal

legal@seium.university

DPO — Protección de Datos

dpo@seium.university

SEIUM UNIVERSITY

Acceso Rapido

Soporte

Contáctanos

Facebook Instagram Linkedin

SEIUM-UNIVERSIDAD  INTERNACIONAL DE INGENIERÍA AVANZADA MULTIMODAL

Copyright © 2025 Seium, Todos los Derechos Reservados.