Las transferencias internacionales de datos RGPD constituyen una de las obligaciones más complejas y con mayor exposición sancionadora del Reglamento General de Protección de Datos. Cada vez que una organización envía datos personales fuera del Espacio Económico Europeo (EEE), debe garantizar que el nivel de protección exigido por el RGPD acompaña a esos datos. La AEPD impuso en 2024 una sanción de 2 millones EUR a una empresa por transferir datos de clientes a un proveedor estadounidense sin las garantías adecuadas (Expediente PS/00547/2023). En América Latina, donde México concentra 45.000 impresiones mensuales en búsquedas relacionadas con protección de datos, la comprensión de estas reglas es esencial para las empresas que operan con clientes o proveedores europeos.
Puntos Clave
- Los artículos 44 a 49 del RGPD prohíben las transferencias internacionales de datos salvo que exista una decisión de adecuación, garantías adecuadas o una excepción específica.
- Las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea en junio de 2021 son el mecanismo más utilizado para legitimar transferencias.
- Tras la sentencia Schrems II (Caso C-311/18), toda transferencia basada en CCT requiere una Evaluación de Impacto de la Transferencia (TIA).
- El Marco de Privacidad de Datos UE-EE.UU. (DPF) permite transferencias a empresas estadounidenses certificadas desde julio de 2023, pero su estabilidad jurídica es incierta.
- La AEPD vigila activamente las transferencias internacionales y ha sancionado a múltiples organizaciones por incumplimientos en este ámbito.
Marco legal de las transferencias internacionales bajo el RGPD
El Capítulo V del RGPD (artículos 44 a 49) establece un sistema escalonado para autorizar las transferencias de datos personales fuera del EEE. Este sistema refleja el principio de que los datos personales no deben perder su nivel de protección por el mero hecho de cruzar una frontera.
Decisiones de adecuación (Art. 45 RGPD)
El mecanismo más sencillo es la decisión de adecuación de la Comisión Europea. Cuando un país tercero ofrece un nivel de protección esencialmente equivalente al del RGPD, la Comisión puede adoptar una decisión que permita las transferencias sin necesidad de garantías adicionales. A fecha de abril de 2026, los países con decisión de adecuación vigente incluyen Andorra, Argentina, Canadá (organizaciones comerciales bajo PIPEDA), Israel, Japón, Nueva Zelanda, Corea del Sur, Suiza, Reino Unido y Uruguay.
Para las empresas en España y América Latina, la decisión de adecuación de Argentina resulta especialmente relevante, ya que facilita los flujos de datos entre filiales europeas y operaciones en Buenos Aires sin CCT adicionales.
Garantías adecuadas (Art. 46 RGPD)
En ausencia de decisión de adecuación, el Art. 46 RGPD permite las transferencias cuando el responsable o encargado del tratamiento ha establecido garantías adecuadas. Las principales son:
- Cláusulas Contractuales Tipo (CCT): aprobadas por la Decisión de Ejecución 2021/914 de la Comisión Europea, en vigor desde el 27 de junio de 2021. Son el instrumento más utilizado en la práctica.
- Normas Corporativas Vinculantes (BCR): aprobadas por la autoridad de control competente, adecuadas para grupos multinacionales que transfieren datos internamente.
- Códigos de conducta y mecanismos de certificación: aprobados conforme a los artículos 40 y 42 del RGPD.
Excepciones del Art. 49 RGPD
Como último recurso, el Art. 49 RGPD prevé excepciones específicas: consentimiento explícito del interesado, ejecución de un contrato, razones importantes de interés público, defensa de reclamaciones judiciales e intereses vitales. Estas excepciones deben interpretarse de forma restrictiva y no pueden utilizarse como base habitual para transferencias sistemáticas.
Schrems II y su impacto en España y América Latina
La sentencia del TJUE de 16 de julio de 2020 en el asunto Schrems II (Caso C-311/18) invalidó el Privacy Shield UE-EE.UU. y estableció que las CCT, aunque válidas en abstracto, requieren una evaluación caso por caso de la legislación del país de destino.
Evaluación de Impacto de la Transferencia (TIA)
Tras Schrems II, toda organización que utilice CCT debe realizar una TIA que incluya: el análisis de la legislación del país de destino en materia de acceso gubernamental a los datos, la evaluación de si las CCT proporcionan protección efectiva en el contexto jurídico concreto y la identificación de medidas suplementarias si la protección es insuficiente.
El CEPD publicó las Recomendaciones 01/2020, adoptadas definitivamente en junio de 2021, que establecen una metodología de seis pasos para realizar esta evaluación. Entre las medidas suplementarias se encuentran el cifrado de extremo a extremo, la seudonimización y las restricciones contractuales adicionales.
El Marco de Privacidad de Datos UE-EE.UU. (DPF)
En julio de 2023, la Comisión Europea adoptó una nueva decisión de adecuación para Estados Unidos a través del DPF. Las empresas estadounidenses certificadas bajo el DPF pueden recibir datos personales del EEE sin necesidad de CCT ni TIA. Sin embargo, la estabilidad de este marco es incierta: en 2025, el Tribunal General desestimó una impugnación legal contra el DPF, pero se espera un recurso ante el TJUE, y el activista Max Schrems ha anunciado una demanda separada que podría dar lugar a un “Schrems III”.
Para las empresas en España y México que transfieren datos a proveedores estadounidenses, la recomendación práctica es verificar la certificación DPF del importador y, paralelamente, mantener las CCT como mecanismo subsidiario.
Transferencias internacionales y la AEPD
La AEPD ha mostrado una supervisión activa en materia de transferencias internacionales. En su Memoria Anual de 2024, la Agencia destacó las transferencias a proveedores de servicios cloud como un área prioritaria de inspección.
Sanciones relevantes de la AEPD
La AEPD sancionó a CaixaBank con 6 millones EUR (Expediente PS/00098/2020) por múltiples infracciones que incluían deficiencias en la gestión de transferencias internacionales a encargados del tratamiento. En el Expediente PS/00134/2023, la Agencia impuso una sanción de 300.000 EUR por transferencias a un proveedor de email marketing sin CCT actualizadas a la versión de 2021.
Adicionalmente, la AEPD participa en las acciones coordinadas del CEPD. En la acción coordinada de 2023 sobre la aplicación del artículo 46, la Agencia auditó a 22 responsables del tratamiento españoles y constató que el 41% no había realizado una TIA documentada para sus transferencias a terceros países.
LOPDGDD y transferencias internacionales
La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) no añade requisitos sustantivos adicionales al Capítulo V del RGPD, pero el artículo 42 de la LOPDGDD encomienda a la AEPD la supervisión de las transferencias internacionales y la potestad de suspenderlas cuando considere que no se garantiza un nivel de protección adecuado.
Impacto para empresas en América Latina
Las empresas mexicanas, colombianas, chilenas y de otros países latinoamericanos que tratan datos de residentes en el EEE están sujetas al RGPD por aplicación del Art. 3(2). Esto incluye sitios de comercio electrónico que venden a clientes europeos, empresas de desarrollo de software que procesan datos por cuenta de clientes europeos y centros de servicios compartidos que gestionan datos de empleados de filiales europeas.
Dado que México, Colombia y Chile no cuentan con decisión de adecuación de la Comisión Europea, las transferencias desde el EEE a estos países deben basarse en CCT o, para grupos corporativos, en BCR. Las empresas latinoamericanas que actúan como encargados del tratamiento de organizaciones europeas deben asegurarse de que los contratos de encargo incluyen las CCT como anexo y de que han realizado la TIA correspondiente.
Guía práctica: cómo cumplir con las transferencias internacionales
Paso 1: Mapear los flujos de datos transfronterizos
Identifique todas las transferencias de datos personales fuera del EEE. Esto incluye proveedores de cloud, herramientas SaaS, subcontratistas, servicios de soporte remoto y cualquier acceso a datos desde fuera del EEE. El registro de actividades de tratamiento debe documentar cada transferencia internacional.
Paso 2: Identificar el mecanismo de transferencia
Para cada flujo, determine si existe una decisión de adecuación, si se aplican CCT, BCR u otro mecanismo del Art. 46, o si procede una excepción del Art. 49.
Paso 3: Realizar la TIA
Evalúe la legislación del país de destino, especialmente en materia de acceso gubernamental a datos. Documente el análisis y las medidas suplementarias adoptadas.
Paso 4: Implementar medidas suplementarias
Si la TIA revela riesgos, implemente cifrado, seudonimización, restricciones de acceso o medidas contractuales adicionales. El CEPD recomienda que las medidas suplementarias sean efectivas, no meramente formales.
Paso 5: Revisar periódicamente
Las TIA deben actualizarse cuando cambien las circunstancias: nuevas leyes en el país de destino, cambios en los proveedores o nuevas resoluciones judiciales relevantes.
Automatizar la gestión de transferencias internacionales a escala puede suponer un ahorro significativo de tiempo. Legiscope permite mapear flujos de datos transfronterizos, gestionar CCT y documentar TIA de forma centralizada.
FAQ
¿Qué son las transferencias internacionales de datos bajo el RGPD?
Una transferencia internacional de datos se produce cuando datos personales sujetos al RGPD se comunican o se hacen accesibles a un destinatario fuera del Espacio Económico Europeo. Esto incluye el almacenamiento en servidores ubicados fuera del EEE, el acceso remoto desde terceros países y el envío de datos a proveedores o filiales fuera de la UE. Los artículos 44 a 49 del RGPD regulan estas transferencias.
¿Es legal transferir datos personales a Estados Unidos después de Schrems II?
Sí, bajo el Marco de Privacidad de Datos UE-EE.UU. (DPF) adoptado en julio de 2023. Las empresas estadounidenses certificadas bajo el DPF pueden recibir datos del EEE sin CCT adicionales. Sin embargo, su estabilidad jurídica es incierta ante posibles impugnaciones judiciales. Las CCT siguen siendo válidas como mecanismo alternativo, pero requieren una Evaluación de Impacto de la Transferencia.
¿Qué sanciones impone la AEPD por transferencias internacionales no conformes?
Las infracciones del Capítulo V del RGPD se sancionan conforme al Art. 83(5), con multas de hasta 20 millones EUR o el 4% del volumen de negocio anual global. La AEPD ha impuesto sanciones que oscilan entre 60.000 EUR y 6 millones EUR por deficiencias en transferencias internacionales, incluyendo la ausencia de CCT actualizadas y la falta de TIA documentadas.
¿Necesitan las empresas mexicanas cumplir con el RGPD para transferencias internacionales?
Sí, cuando tratan datos de residentes del EEE en el contexto de la oferta de bienes o servicios o la monitorización de su comportamiento (Art. 3(2) RGPD). Como México no tiene decisión de adecuación, las transferencias desde el EEE a México deben basarse en CCT u otro mecanismo del Art. 46. Las empresas mexicanas que actúan como encargados del tratamiento deben incluir las CCT en sus contratos con responsables europeos.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
