Transferencias internacionales de datos del RGPD: CCT, adecuación y el MPD

Las transferencias internacionales de datos son una de las áreas más complejas del cumplimiento del RGPD, y para las empresas SaaS, son casi inevitables. Si usa regiones de AWS en EE. UU., envía correos electrónicos a través de Mailchimp, rastrea analítica con Amplitude, procesa pagos a través de Stripe o aloja cualquier cosa en una plataforma con sede en EE. UU., los datos personales están cruzando fronteras — y el RGPD tiene reglas estrictas sobre cuándo y cómo puede ocurrir esto.

El Capítulo V del RGPD (artículos 44-50) establece que los datos personales solo pueden transferirse fuera del Espacio Económico Europeo si se dispone de protecciones adecuadas. El reglamento proporciona varios mecanismos para establecer dichas protecciones, y elegir el correcto para cada flujo de datos es una parte fundamental de su programa de cumplimiento.

Esta guía cubre los mecanismos de transferencia disponibles, cómo funcionan en la práctica para las empresas SaaS y qué necesita documentar.

Por qué importan las transferencias internacionales

Las restricciones de transferencia del RGPD existen porque las leyes de protección de datos fuera del EEE pueden no proporcionar el mismo nivel de protección. Cuando los datos personales salen del EEE, pueden estar sujetos a vigilancia gubernamental extranjera, regulaciones de privacidad más débiles o una aplicación inadecuada — todo lo cual podría socavar las protecciones que ofrece el RGPD.

Para las empresas SaaS, esto no es una preocupación abstracta. Su stack de proveedores casi con certeza incluye servicios con sede en EE. UU. Su infraestructura puede abarcar múltiples continentes. Sus clientes pueden ser globales. Cada uno de estos flujos de datos necesita una base legal válida para la transferencia.

Mecanismo de transferencia 1: Decisiones de adecuación

Cómo funciona

La Comisión Europea puede determinar que un país (o un sector dentro de un país) proporciona un nivel “adecuado” de protección de datos. Una vez que existe una decisión de adecuación, los datos pueden fluir a ese país tan libremente como fluyen dentro del EEE — sin garantías adicionales necesarias.

Países actualmente adecuados

A fecha de 2026, la Comisión Europea ha emitido decisiones de adecuación para:

• Andorra, Argentina, Canadá (organizaciones comerciales bajo PIPEDA), Islas Feroe, Guernsey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, República de Corea, Suiza, Reino Unido, Uruguay

Y para Estados Unidos, el Marco de Privacidad de Datos UE-EE. UU. proporciona una decisión de adecuación sectorial (cubierta en detalle a continuación).

Uso de la adecuación en la práctica

Si su proveedor está establecido en un país adecuado y procesa datos allí, puede basarse en la decisión de adecuación sin garantías contractuales adicionales. Sin embargo, debe:

• Verificar que el tratamiento del proveedor realmente se realiza en el país adecuado (no externalizado a un país no adecuado)
• Monitorizar cambios en las decisiones de adecuación (la Comisión puede revocarlas)
• Documentar la decisión de adecuación como su mecanismo de transferencia en su RAT

Mecanismo de transferencia 2: El Marco de Privacidad de Datos UE-EE. UU. (MPD)

Antecedentes

El Marco de Privacidad de Datos UE-EE. UU. reemplazó al Privacy Shield (invalidado por el Tribunal de Justicia de la UE en la sentencia Schrems II en 2020). El MPD fue adoptado por la Comisión Europea como decisión de adecuación en julio de 2023, permitiendo transferencias de datos a organizaciones estadounidenses que se hayan autocertificado bajo el Marco.

Cómo funciona

Las organizaciones estadounidenses pueden autocertificarse ante el MPD a través de la Administración de Comercio Internacional del Departamento de Comercio de EE. UU. Las organizaciones certificadas se comprometen con un conjunto de principios de protección de datos (notificación, elección, responsabilidad por transferencias ulteriores, seguridad, integridad de los datos, limitación de la finalidad, acceso y recurso/cumplimiento/responsabilidad).

Verificar la certificación del MPD

Antes de basarse en el MPD como mecanismo de transferencia, verifique que su proveedor específico esté realmente certificado:

1. Consulte la Lista del Marco de Privacidad de Datos mantenida por el Departamento de Comercio
2. Verifique que la certificación esté vigente (no haya expirado ni sido retirada)
3. Confirme que la certificación cubre el tipo de datos que está transfiriendo (el MPD distingue entre datos de RR. HH. y datos que no son de RR. HH.)

Consideraciones prácticas

El MPD es específico por proveedor. La decisión de adecuación cubre transferencias a organizaciones certificadas, no a todas las transferencias a EE. UU. Si un proveedor no está certificado en el MPD, necesita un mecanismo diferente.

El MPD puede ser impugnado. Los defensores de la privacidad ya han presentado impugnaciones contra el Marco. Aunque se mantiene vigente a fecha de 2026, la historia de los acuerdos de transferencia de datos entre EE. UU. y la UE (Safe Harbor invalidado en 2015, Privacy Shield invalidado en 2020) sugiere que la longevidad del MPD no está garantizada. Tener las CCT como respaldo es prudente.

Cadenas de subencargados. Incluso si su proveedor principal está certificado en el MPD, verifique si sus subencargados también están certificados o cubiertos por un mecanismo de transferencia alternativo.

Mecanismo de transferencia 3: Cláusulas Contractuales Tipo (CCT)

Cómo funcionan las CCT

Las Cláusulas Contractuales Tipo son términos contractuales preaprobados adoptados por la Comisión Europea que proporcionan garantías de protección de datos para transferencias internacionales. Al incorporar las CCT en su contrato con un destinatario de datos fuera del EEE, ambas partes se comprometen a obligaciones específicas de protección de datos.

Las CCT actuales

La Comisión Europea adoptó nuevas CCT en junio de 2021 (reemplazando las versiones anteriores). Las nuevas CCT son modulares, con cuatro escenarios:

Módulo 1: Responsable a responsable. Para transferencias entre dos responsables — por ejemplo, compartir datos de clientes con una organización asociada fuera del EEE.

Módulo 2: Responsable a encargado. El módulo más común para empresas SaaS — para transferencias a encargados que tratan datos en su nombre fuera del EEE. Esto cubre su relación con proveedores con sede en EE. UU. cuando usted es el responsable.

Módulo 3: Encargado a encargado. Para transferencias entre encargados — cuando su encargado contrata a un subencargado fuera del EEE.

Módulo 4: Encargado a responsable. Para escenarios menos comunes donde un encargado transfiere datos de vuelta a un responsable fuera del EEE.

Las CCT en la práctica

Integración con DPA. Las CCT se incorporan típicamente como un anexo a su Acuerdo de Tratamiento de Datos. La mayoría de los grandes proveedores SaaS incluyen las CCT en su DPA por defecto.

Medidas complementarias. Desde Schrems II, las CCT por sí solas pueden no ser suficientes. Debe evaluar si las leyes del país destinatario socavan las protecciones proporcionadas por las CCT y, de ser así, implementar medidas complementarias. Esta evaluación se formaliza como una Evaluación de Impacto de Transferencia (véase más adelante).

No pueden modificarse. Las CCT están estandarizadas — no puede cambiar sus cláusulas principales. Puede añadir cláusulas adicionales (por ejemplo, términos comerciales) siempre que no contradigan las protecciones de las CCT.

Mecanismo de transferencia 4: Normas corporativas vinculantes (NCV)

Las NCV son políticas internas de protección de datos adoptadas por un grupo multinacional de empresas para transferencias de datos personales dentro del grupo. Deben ser aprobadas por la autoridad de control competente.

Las NCV son principalmente relevantes para grandes corporaciones con entidades en múltiples países. Para la mayoría de las empresas SaaS, las CCT y el MPD son los mecanismos prácticos. Si forma parte de un grupo corporativo con NCV, puede basarse en ellas para transferencias intragrupo.

Evaluaciones de Impacto de Transferencias

Por qué son necesarias

La sentencia Schrems II estableció que antes de basarse en las CCT (o NCV) para transferencias, debe evaluar si el marco legal del país de destino proporciona protecciones “esencialmente equivalentes” a las garantizadas dentro de la UE. Si no las proporciona, debe implementar medidas complementarias para cerrar la brecha — o detener la transferencia.

Cómo realizar una EIT

Paso 1: Conozca su transferencia. Identifique los datos que se transfieren, la finalidad, el destinatario y el país de destino.

Paso 2: Identifique el mecanismo de transferencia. ¿Qué módulo de CCT se aplica? ¿Es el MPD una alternativa?

Paso 3: Evalúe las leyes del país de destino. ¿Tiene el país leyes de vigilancia que puedan obligar al destinatario a revelar datos personales? ¿Existen recursos legales efectivos para los interesados? Áreas clave a evaluar:

• Acceso gubernamental a datos (leyes de vigilancia, solicitudes de cumplimiento de la ley)
• Legislación y aplicación de la protección de datos
• Estado de derecho e independencia judicial
• Compromisos internacionales sobre protección de datos

Paso 4: Evalúe si el mecanismo de transferencia es efectivo. Dadas las leyes del país de destino, ¿proporcionan las CCT protección suficiente? Si las autoridades gubernamentales pudieran obligar al destinatario a revelar datos de formas que anulen las protecciones de las CCT, el mecanismo por sí solo no es efectivo.

Paso 5: Identifique medidas complementarias si son necesarias. Estas pueden ser:

• Técnicas: Cifrado donde el destinatario no tiene la clave, seudonimización, tratamiento dividido
• Organizativas: Controles de acceso estrictos, informes de transparencia, políticas sobre solicitudes gubernamentales
• Contractuales: Compromisos adicionales para impugnar solicitudes gubernamentales, obligaciones de notificación

Paso 6: Documente la evaluación. Registre su análisis, conclusiones y cualquier medida complementaria. Esta documentación demuestra responsabilidad proactiva.

Orientación práctica para transferencias a EE. UU.

Para transferencias a Estados Unidos — el destino más común para las empresas SaaS — el análisis depende del mecanismo:

Proveedores certificados en el MPD: La decisión de adecuación aborda las preocupaciones planteadas en Schrems II (incluidas las reformas de vigilancia de EE. UU. a través de la Orden Ejecutiva 14086). No se requiere una EIT adicional para transferencias a organizaciones certificadas en el MPD. Sin embargo, monitorice las impugnaciones al Marco.

CCT a proveedores estadounidenses no certificados en el MPD: Necesita una EIT. Las medidas complementarias deben abordar el riesgo de acceso gubernamental de EE. UU. El cifrado en tránsito y en reposo, donde las claves son controladas por usted (el responsable), es la medida técnica más robusta.

Qué documentar en su RAT

Para cada transferencia internacional, su Registro de Actividades de Tratamiento debe incluir:

• El país de destino
• El mecanismo de transferencia (adecuación, MPD, módulo de CCT, NCV)
• El destinatario (nombre del proveedor y rol)
• Las categorías de datos transferidos
• Referencia a la EIT (si se usan CCT)
• Referencia a medidas complementarias (si procede)

Errores comunes de las empresas SaaS

Asumir que todos los proveedores de EE. UU. están cubiertos por el MPD. El MPD es voluntario. No todas las empresas estadounidenses se han certificado. Verifique el estado de cada proveedor individualmente.

Olvidar las transferencias de subencargados. Su proveedor puede estar en la UE, pero sus subencargados podrían no estarlo. Revise las listas de subencargados de sus proveedores para identificar adónde van realmente los datos.

No actualizar cuando cambian los proveedores. Si un proveedor cambia su región de alojamiento, añade un subencargado en un nuevo país o pierde su certificación del MPD, su mecanismo de transferencia puede necesitar actualización.

Ignorar las transferencias de datos de empleados. Si usa plataformas de RR. HH. con sede en EE. UU., proveedores de nóminas o administradores de beneficios, los datos de empleados se están transfiriendo internacionalmente. Estas transferencias necesitan la misma base legal que las transferencias de datos de clientes.

Tratar al Reino Unido como EEE. Desde el Brexit, el Reino Unido es un “tercer país” a efectos del RGPD. La UE ha emitido una decisión de adecuación para el Reino Unido (válida a fecha de 2026), por lo que las transferencias pueden realizarse libremente — pero si esa decisión de adecuación caduca o se revoca, necesitará CCT.

Cómo GRCTrail mapea sus transferencias

GRCTrail proporciona visibilidad sobre sus flujos de datos internacionales:

Registro de proveedores con mapeo de transferencias. Cada proveedor en su registro incluye sus ubicaciones de tratamiento de datos, mecanismos de transferencia y estado de certificación del MPD. Vea de un vistazo qué proveedores transfieren datos internacionalmente y bajo qué mecanismo.

Conectado a su RAT. Las transferencias internacionales se documentan en su Registro de Actividades de Tratamiento automáticamente, vinculadas a los registros de proveedores y entradas de DPA correspondientes.

Monitorización de certificaciones. Rastree el estado de certificación del MPD de sus proveedores estadounidenses. Reciba alertas si la certificación de un proveedor caduca o cambia.

Mapee sus flujos de datos internacionales →

Guías relacionadas

• Acuerdos de Tratamiento de Datos (DPA) — Contratos que rigen las relaciones con encargados
• Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
• Multas y sanciones del RGPD — El coste de las transferencias no conformes
• Registro de Actividades de Tratamiento (RAT) — Documentación de su tratamiento

Comience con GRCTrail →