En una frase. Las cláusulas contractuales tipo (CCT) de la Decisión de Ejecución (UE) 2021/914 son el instrumento más usado para legitimar transferencias internacionales de datos fuera del EEE cuando no hay decisión de adecuación; se componen de cuatro módulos según la relación entre las partes y exigen, tras Schrems II, una evaluación de impacto de la transferencia (TIA).
Si envías datos personales a un proveedor en Estados Unidos, India, Latinoamérica u otro país sin decisión de adecuación, las CCT son casi siempre tu herramienta. Pero firmarlas no basta: la sentencia Schrems II del TJUE (C-311/18, julio de 2020) obliga a comprobar que el país de destino ofrece una protección equivalente y a añadir garantías si no la ofrece.
Puntos clave
- Las CCT vigentes son las de la Decisión 2021/914; las antiguas cláusulas de 2001/2010 quedaron sin efecto.
- Hay cuatro módulos (C2C, C2P, P2P, P2C) que se eligen según quién exporta y quién importa los datos.
- Firmar CCT no exime de realizar una TIA (Transfer Impact Assessment) tras Schrems II.
- Deben completarse los anexos (partes, descripción de la transferencia, medidas de seguridad); un anexo genérico es un defecto habitual.
- El Marco de Privacidad de Datos UE-EE. UU. (adecuación de 2023) cubre a empresas certificadas, pero fuera de él siguen haciendo falta CCT.
Qué son y cuándo se usan las CCT
Las transferencias internacionales de datos solo son lícitas si concurre una de las vías del Capítulo V RGPD: una decisión de adecuación (art. 45), garantías adecuadas (art. 46) o una excepción puntual (art. 49). Las CCT son la garantía adecuada del art. 46(2)© más habitual, porque no necesitan autorización previa de la autoridad.
Se recurre a ellas cuando el importador está en un país sin decisión de adecuación. El marco general de estas transferencias lo desarrollo en la guía sobre transferencias internacionales de datos. Para el caso concreto del Reino Unido tras el Brexit, existe una decisión de adecuación propia que explico en transferencias Reino Unido-España.
Los cuatro módulos de la Decisión 2021/914
La gran novedad de las CCT de 2021 es su estructura modular. Eliges el módulo según los roles de exportador e importador:
| Módulo | Exportador → Importador | Ejemplo |
|---|---|---|
| 1 (C2C) | Responsable → Responsable | Matriz UE cede datos a filial en tercer país |
| 2 (C2P) | Responsable → Encargado | Empresa UE usa un SaaS de EE. UU. |
| 3 (P2P) | Encargado → Subencargado | Proveedor UE subcontrata a un tercero fuera del EEE |
| 4 (P2C) | Encargado → Responsable | Proveedor UE devuelve datos a un responsable de un tercer país |
El módulo más común en la práctica es el 2 (Controller-to-Processor): la empresa española (responsable) contrata un proveedor cloud extranjero (encargado). Para saber quién es responsable y quién encargado en cada relación, conviene tener clara la distinción de responsable frente a encargado del tratamiento.
Elegir mal el módulo invalida la garantía. Además, cuando el importador es un encargado, las CCT no sustituyen al contrato del art. 28: ambos conviven, y por eso muchos proveedores integran las CCT como anexo del contrato de encargado del tratamiento.
Los anexos: donde se juega el cumplimiento real
Las CCT tienen tres anexos que hay que completar de verdad, no dejar en blanco ni con texto genérico:
- Anexo I: identificación de las partes, descripción de la transferencia (categorías de interesados y datos, finalidad, frecuencia, plazo de conservación) y autoridad de control competente.
- Anexo II: medidas técnicas y organizativas de seguridad. Es el anexo que más se descuida y el que primero revisa una inspección.
- Anexo III: lista de subencargados, cuando aplique.
Un anexo II copiado de una plantilla sin adaptar las medidas reales es una de las observaciones recurrentes en auditorías. Documenta las medidas efectivas, no un catálogo teórico.
Schrems II y la evaluación de impacto de la transferencia (TIA)
Aquí está el matiz que muchos olvidan: firmar CCT no cierra el análisis. Schrems II invalidó el Privacy Shield y obligó al exportador a verificar, caso por caso, si la legislación del país de destino (por ejemplo, leyes de vigilancia como la FISA 702 en EE. UU.) impide al importador cumplir las CCT.
Esa verificación es la TIA (Transfer Impact Assessment). Si concluye que la protección no es equivalente, hay que añadir medidas suplementarias siguiendo las Recomendaciones 01/2020 del CEPD:
- Técnicas: cifrado con claves en el EEE, seudonimización robusta (véase anonimización y seudonimización).
- Contractuales: obligaciones de transparencia sobre requerimientos de autoridades.
- Organizativas: políticas de respuesta a solicitudes gubernamentales.
Sin TIA, la AEPD y el CEPD consideran que la transferencia carece de garantías reales aunque las CCT estén firmadas.
La cláusula de puerto seguro y la responsabilidad solidaria
Dos aspectos de las CCT de 2021 sorprenden a quien las firma por primera vez. El primero es la cláusula de conflicto: las partes se comprometen a informar y a suspender la transferencia si la legislación del país de destino impide cumplir las cláusulas. No es un formalismo; es la traducción contractual de la doctrina Schrems II y obliga a vigilar de forma continua el marco legal del importador.
El segundo es la responsabilidad frente a los interesados. Las CCT otorgan a las personas afectadas la condición de terceros beneficiarios: pueden invocarlas directamente ante los tribunales del Estado miembro donde residen. Esto significa que un fallo del importador extranjero puede acabar reclamándose ante un juzgado español, y que el exportador responde solidariamente en determinados supuestos. Por eso las CCT no son un trámite de “firmar y archivar”, sino un compromiso con obligaciones vivas que conviene revisar en cada renovación contractual y contrastar con el checklist de cumplimiento RGPD.
El Marco de Privacidad de Datos UE-EE. UU.
En julio de 2023 la Comisión adoptó una decisión de adecuación para el EU-US Data Privacy Framework. Las transferencias a empresas estadounidenses certificadas en el marco ya no necesitan CCT ni TIA (equivalen a un país adecuado). Pero:
- Solo cubre a las entidades efectivamente certificadas en la lista del Departamento de Comercio.
- Para cualquier importador no certificado en EE. UU., o para el resto de terceros países, siguen haciendo falta CCT + TIA.
Verifica siempre la certificación antes de asumir que estás cubierto. Estas obligaciones afectan de lleno a empresas que operan con proveedores globales; el caso de las organizaciones fuera de la UE lo trato en RGPD para empresas fuera de la UE.
Mantener el inventario de transferencias, el módulo de CCT usado en cada una y su TIA asociada es una tarea viva que cambia cada vez que se contrata un proveedor. Plataformas como Legiscope permiten vincular cada transferencia con su base y su documentación.
FAQ
¿Siguen siendo válidas las CCT antiguas de 2010?
No. Las cláusulas anteriores (Decisiones 2001/497 y 2010/87) dejaron de ser válidas: el periodo transitorio para migrar a las CCT de la Decisión 2021/914 finalizó a finales de 2022. Cualquier transferencia debe basarse ya en las CCT de 2021.
¿Basta con firmar las CCT para transferir a EE. UU.?
No, salvo que el importador esté certificado en el Marco de Privacidad de Datos UE-EE. UU. Para importadores no certificados, además de las CCT hay que realizar una TIA y, si procede, añadir medidas suplementarias conforme a Schrems II.
¿Qué módulo de CCT elijo?
Depende de los roles. Si tu empresa (responsable) contrata un proveedor extranjero (encargado), es el Módulo 2 (C2P), el más frecuente. Si ambas partes son responsables independientes, el Módulo 1; entre encargado y subencargado, el Módulo 3.
¿Las CCT sustituyen al contrato del art. 28?
No. Cuando el importador es un encargado, las CCT y el contrato del art. 28 conviven: uno regula la transferencia internacional y el otro la relación de encargo. En la práctica se integran, con las CCT como anexo del contrato de encargado.
Fuentes oficiales: Decisión de Ejecución (UE) 2021/914 sobre CCT, Recomendaciones 01/2020 del CEPD sobre medidas suplementarias y Agencia Española de Protección de Datos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial