Transferencias Internacionales de Datos: RGPD en la Nube Global

Las transferencias internacionales de datos personales — cualquier comunicación o acceso a datos desde un territorio fuera del Espacio Económico Europeo (EEE) — están reguladas en el capítulo V del RGPD (Reglamento UE 2016/679) y solo pueden realizarse con una de las garantías adecuadas que el reglamento reconoce: la decisión de adecuación de la Comisión Europea para el país de destino (como la dictada para EE.UU. bajo el Marco de Privacidad UE-EE.UU. de julio de 2023), las Cláusulas Contractuales Tipo adoptadas por la Comisión (versión de junio de 2021, obligatoria para nuevos contratos desde diciembre de 2022), o las Reglas Corporativas Vinculantes aprobadas por una autoridad de control. Tras la sentencia Schrems II del Tribunal de Justicia de la UE (julio de 2020), las CCT deben complementarse con una Evaluación de Impacto de la Transferencia (TIA) que valore si el marco jurídico del país de destino hace prácticamente inaplicables las garantías contractuales, especialmente en países con legislación de vigilancia extraterritorial como EE.UU.

AWS, Google y Salesforce bajo el RGPD: más transferencias internacionales de las que cree

Cualquier empresa que utiliza servicios cloud, plataformas SaaS o proveedores con servidores fuera del Espacio Económico Europeo está realizando transferencias internacionales de datos personales reguladas por el capítulo V del RGPD. La sentencia Schrems II invalido el Privacy Shield en 2020 y exige además de las CCT una Evaluación de Impacto de la Transferencia (TIA) para verificar que las garantías son practicament eficaces en el país de destino. Las empresas que simplemente copiaron las CCT 2021 en sus contratos sin realizar la TIA siguen en situación de incumplimiento. En nuestra experiencia, las empresas identifican en una primera revisión entre un 30% y un 50% más de transferencias de las que creian realizar.

CCT 2021, TIA y Marco de Privacidad UE-EE.UU.: las tres garantías que toda empresa debe conocer

Nuestro equipo comienza por el mapeado completo de los flujos de datos fuera del EEE: proveedores cloud, plataformas SaaS, filiales extranjeras, subencargados del tratamiento que el proveedor principal utiliza en terceros países y herramientas de analytics o soporte con acceso remoto desde fuera de Europa. A partir de ese mapa, auditamos las garantías existentes, implementamos las CCT 2021 en todos los contratos que lo requieren y realizamos las TIA correspondientes.

Para grupos multinacionales con filiales en países sin decisión de adecuación, las Reglas Corporativas Vinculantes (BCR) son la solución estructural que permite gestionar las transferencias intragrupo de forma coherente y eficiente. En un contexto donde el cumplimiento normativo es cada vez más un factor de diferenciación competitiva, disponer de un sistema de transferencias internacionales auditable es una ventaja real en procesos de due diligence y en relaciones con clientes institucionales europeos. Coordinamos siempre con el DPO externalizado para integrar las transferencias en el registro de actividades del artículo 30 RGPD.

Contexto regulatorio en España

El capítulo V del RGPD regula las transferencias internacionales. Las garantías válidas incluyen las decisiones de adecuación del artículo 45 (Reino Unido, Canada, Japon, Corea del Sur, EE.UU. bajo el Marco de Privacidad UE-EE.UU. desde julio de 2023), las CCT adoptadas por la Comisión Europea (versión de junio de 2021, obligatoria para nuevos contratos desde diciembre de 2022), las BCR aprobadas por la autoridad coordinadora, y otros mecanismos del artículo 46. La TIA, aunque no esta formalmente mencionada en el RGPD, es exigida por el Comité Europeo de Protección de Datos y la AEPD para transferencias basadas en CCT hacia países con legislación de vigilancia extraterritorial.

Marco regulador: Capítulo V del RGPD y sus instrumentos

El Capítulo V del RGPD (artículos 44 a 49) establece el régimen de transferencias internacionales de datos. El artículo 44 contiene el principio general: cualquier transferencia de datos personales a un tercer país solo puede realizarse si se cumplen las condiciones de este capítulo. El incumplimiento de este requisito constituye infracción de los principios básicos del tratamiento, sancionable con multas de hasta 20 millones de euros o el 4% de la facturación global conforme al artículo 83.5 RGPD.

Los instrumentos de transferencia válidos son:

Decisiones de adecuación (artículo 45 RGPD): La Comisión Europea puede declarar que un tercer país ofrece un nivel de protección esencialmente equivalente al de la UE. Los países con decisión de adecuación vigente incluyen: Reino Unido, Suiza, Canadá (sector privado), Japón, Corea del Sur, Israel, Nueva Zelanda, y Estados Unidos bajo el EU-US Data Privacy Framework (desde julio de 2023, Decisión de Adecuación C(2023) 4745). Las transferencias a países con decisión de adecuación no requieren garantías adicionales.

Cláusulas Contractuales Tipo (artículo 46.2.c RGPD): Las CCT adoptadas por la Comisión Europea son la garantía más utilizada en la práctica. La versión vigente fue adoptada por la Decisión de Ejecución (UE) 2021/914 de junio de 2021, y era obligatoria para todos los nuevos contratos desde diciembre de 2022. Las CCT anteriores (de 2001 y 2004) quedaron derogadas. Las CCT 2021 incluyen módulos diferenciados para cuatro escenarios: responsable a responsable, responsable a encargado, encargado a encargado, y encargado a responsable.

Transfer Impact Assessment (TIA): El CEPD en sus Directrices 5/2021 establece que las CCT deben complementarse con una TIA cuando el país de destino tiene legislación de vigilancia extraterritorial que puede hacer inaplicables en la práctica las garantías contractuales. La TIA evalúa: (1) el marco jurídico del país de destino; (2) la práctica de las autoridades de ese país; (3) las circunstancias específicas de la transferencia (tipo de datos, sensibilidad, sector); y (4) si las medidas suplementarias adoptadas son eficaces para restablecer la equivalencia de protección.

Reglas Corporativas Vinculantes (artículo 46.2.b RGPD): Políticas de protección de datos internamente vinculantes adoptadas por un grupo multinacional y aprobadas por la autoridad de control coordinadora. El proceso de aprobación dura entre 12 y 24 meses pero el resultado es un instrumento robusto reconocido por todas las autoridades europeas.

Procedimiento para regularizar transferencias internacionales

La Schrems II (TJUE, C-311/18, julio 2020) invalido el Privacy Shield y estableció que las CCT por sí solas no son suficientes si el marco jurídico del país de destino no ofrece protección equivalente. El estándar aplicable es la “protección esencialmente equivalente”: las personas afectadas deben poder disfrutar en la práctica de un nivel de protección equivalente al que les garantizaría el RGPD si los datos se mantuvieran en la UE.

Juzgado competente: la AEPD y los recursos contencioso-administrativos

El control del cumplimiento del Capítulo V del RGPD corresponde a la AEPD como autoridad supervisora española. Las sanciones por transferencias internacionales sin garantías válidas pueden alcanzar las cuantías más elevadas del RGPD (artículo 83.5): hasta 20 millones de euros o el 4% de la facturación global.

Las resoluciones de la AEPD son impugnables ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional (para sanciones de especial relevancia) o ante los Juzgados Centrales de lo Contencioso-Administrativo. El plazo de impugnación es de dos meses desde la notificación de la resolución.

Las sentencias del TJUE (incluidas Schrems I — C-362/14 — y Schrems II — C-311/18) son directamente aplicables en España y vinculan a la AEPD en sus decisiones. La posible Schrems III que pudiera invalidar el EU-US DPF generaría el mismo impacto que Schrems II sobre las transferencias a EE.UU.

Caso práctico: plataforma SaaS española con clientes europeos y proveedores americanos

Una plataforma de gestión de RRHH con sede en Madrid y 120 clientes europeos utiliza: Salesforce (CRM, servidores en EE.UU.), AWS (infraestructura, región eu-west-1 principalmente pero con fallback a us-east-1), Zendesk (soporte, servidores en EE.UU.), y Google Analytics 4 (analytics, datos de usuarios procesados en EE.UU.).

La auditoría de transferencias revela cuatro flujos hacia EE.UU.:

• Salesforce: CCT 2021 en vigor desde 2022, pero sin TIA actualizada post-DPF. La empresa cliente se registra en el DPF de Salesforce como garantía adicional. TIA actualizada: el DPF + CCT es la combinación recomendada para EE.UU. hasta posible Schrems III.

• AWS: CCT 2021 en vigor. Los datos se procesan principalmente en Irlanda (eu-west-1), pero el contrato permite a AWS acceder desde EE.UU. para soporte técnico y operaciones globales. Esto es transferencia internacional aunque la región principal sea europea. TIA realizada: el acceso de ingenieros de EE.UU. está cubierto por las CCT + DPF de AWS. Medida suplementaria: cláusula contractual de acceso mínimo necesario.

• Zendesk: CCT 2021 no implementadas: el contrato original era de 2019 con las CCT antiguas ya derogadas. Acción: renegociación con Zendesk para incorporar las CCT 2021 módulo 2 (responsable a encargado). Plazo: 30 días.

• Google Analytics 4: La AEPD y otras autoridades europeas han declarado ilegal el uso de GA4 sin configuración específica que impida la transferencia de IPs a EE.UU. Solución: activación de la anonimización de IP antes del envío a Google + TIA + CCT con Google.

Resultado: cuatro flujos regularizados, registro de actividades actualizado, TIA documentadas. La empresa puede acreditar cumplimiento pleno del Capítulo V ante cualquier inspección.

Cinco errores comunes que BMC corrige

Error 1: Asumir que si el proveedor es europeo no hay transferencia internacional. Si una empresa irlandesa (dentro del EEE) procesa datos en servidores de AWS en Virginia, hay transferencia internacional. La nacionalidad del proveedor no determina si hay transferencia: lo determinante es el lugar donde se procesan o acceden los datos.

Error 2: Copiar las CCT 2021 en el contrato sin realizar la TIA. Las CCT 2021 son condición necesaria pero no suficiente para transferencias a países con legislación de vigilancia extraterritorial (especialmente EE.UU.). Sin TIA, la empresa está en incumplimiento aunque tenga las CCT firmadas.

Error 3: No incluir a los subencargados del tratamiento en el mapeado. El proveedor principal puede estar en la UE, pero sus subcontratistas (el proveedor de infraestructura, el sistema de backup, la herramienta de monitorización) pueden estar en terceros países. El responsable del tratamiento es responsable de las transferencias de toda la cadena.

Error 4: Tratar el EU-US DPF como solución definitiva sin implementar CCT alternativas. La historia del Privacy Shield (invalidado en 2020) y el Safe Harbor (invalidado en 2015) sugiere que el DPF puede ser impugnado nuevamente. Las empresas que solo se apoyan en el DPF sin mantener las CCT 2021 como garantía alternativa están asumiendo un riesgo de transición que se puede evitar con una estructura dual.

Error 5: No actualizar el registro de actividades con la referencia a la garantía aplicable. El artículo 30 RGPD exige que el registro de actividades identifique a los destinatarios en terceros países y la referencia a las garantías aplicables. Es el primer documento que solicita la AEPD en una inspección de transferencias internacionales.

Resultados que puedes esperar

• Mapeado completo de transferencias internacionales con identificación de todos los flujos fuera del EEE
• Auditoría de garantías existentes y plan de remediación para transferencias sin cobertura válida
• CCT 2021 implementadas en los contratos con encargados del tratamiento ubicados fuera del EEE
• TIA realizadas para las transferencias que lo requieren, especialmente hacia EE.UU.
• Registro de actividades actualizado con la referencia a la garantía aplicable a cada transferencia
• Asesoramiento sobre el Marco de Privacidad UE-EE.UU. y estrategia de garantías alternativas ante posible invalidación

El uso de cualquier servicio cloud americano, plataforma de CRM, herramienta de analytics o software de gestión con servidores fuera del EEE implica transferencias internacionales reguladas por el capítulo V del RGPD. El problema es que muchas empresas realizan estas transferencias sin garantías válidas y sin saberlo.

La sentencia Schrems II del Tribunal de Justicia de la UE supuso un punto de inflexion que todavia no ha sido completamente asimilado por el tejido empresarial español. La invalidacion del Privacy Shield y la exigencia de realizar una Evaluación de Impacto de la Transferencia (TIA) para verificar que las CCT son practicament eficaces en el país de destino convirtio un proceso relativamente sencillo en un ejercicio jurídico y técnico de mayor complejidad. Las empresas que simplemente copiaron y pegaron las nuevas CCT 2021 en sus contratos sin realizar la TIA correspondiente siguen en situación de incumplimiento.

El mapeado completo de las transferencias internacionales de su empresa es el punto de partida indispensable. En nuestra experiencia, las empresas suelen identificar en una primera revisión entre un 30% y un 50% más de transferencias de las que creian realizar: subencargados del tratamiento que el proveedor principal utiliza en terceros países, herramientas de soporte técnico con acceso remoto desde fuera del EEE, o soluciones de backup en regiones fuera de Europa que el proveedor cloud activa por defecto.

Para los grupos empresariales con presencia en varios países, las Reglas Corporativas Vinculantes son la solución estructural que permite gestionar las transferencias intragrupo de forma coherente y eficiente, sin necesidad de firmar CCT con cada entidad del grupo individualmente. El proceso de aprobación es complejo y prolongado, pero el resultado es un instrumento jurídico robusto reconocido por todas las autoridades de control europeas. En un contexto donde el cumplimiento normativo es cada vez más un factor de diferenciación competitiva, disponer de un sistema de transferencias internacionales auditable y documentado es una ventaja real en procesos de due diligence y en relaciones con clientes institucionales europeos.

Caso práctico: adecuación de transferencias internacionales en SaaS española con proveedores de EE. UU.

Una empresa española de SaaS de gestión de recursos humanos con 85 empleados y 240 clientes empresariales utilizaba tres proveedores de infraestructura y servicios con servidores en EE. UU.: AWS (us-east-1 para backups), Salesforce (CRM de ventas con datos de contactos de clientes) y Zendesk (soporte con historiales de tickets que incluían datos de empleados de los clientes).

Problema identificado. Una auditoría de protección de datos reveló que ninguna de las tres relaciones tenía un mecanismo de transferencia internacional correctamente documentado:

• AWS: sin TIA (Transfer Impact Assessment) ni verificación del subprocesador us-east-1
• Salesforce: TIA desactualizado (basado en las CCT 2010, anuladas; no actualizado a las CCT 2021)
• Zendesk: sin CCT firmado con la entidad legal receptora correcta (Zendesk Inc., no Zendesk Ireland)

La AEPD puede imponer multas de hasta 20 millones de euros o el 4 % de la facturación global por transferencias sin mecanismo válido (art. 83.5.c RGPD), sin necesidad de que se haya producido un daño real.

Adecuación ejecutada por BMC (3 meses):

1. Inventario de transferencias (mes 1): mapeo completo de todos los proveedores con acceso a datos personales, identificación de los 14 proveedores con transferencias fuera del EEE, clasificación por categoría de datos y criticidad.
2. Actualización de mecanismos (mes 2):
   • AWS: TIA elaborado con análisis del marco legal de EE. UU. (CLOUD Act, FISA 702, E.O. 14086), firma de DPA con cláusulas contractuales tipo SCCs 2021, verificación de medidas técnicas complementarias (cifrado en tránsito y en reposo, gestión de claves por el cliente).
   • Salesforce: actualización del TIA y sustitución de las CCT 2010 por las SCCs 2021 con el módulo correcto (Controller-to-Processor).
   • Zendesk: firma de CCT con Zendesk Inc. (entidad receptora real), revisión de las medidas técnicas de seguridad, adición de cláusula de notificación de órdenes gubernamentales.
3. Actualización del Registro de Actividades de Tratamiento (mes 3): inclusión de todas las transferencias con mecanismo, base legal, destinatario y medidas técnicas complementarias.

Resultado. La AEPD recibió una solicitud de información sobre las transferencias de uno de los clientes de la empresa SaaS (sector sanidad). BMC preparó el expediente de respuesta en menos de 5 días hábiles. La AEPD cerró la investigación sin apertura de procedimiento sancionador, al constatar que todos los mecanismos estaban en vigor y correctamente documentados.

Cinco preguntas que hacen nuestros clientes antes de contratar

¿Si uso AWS eu-west-1 (Irlanda) o Google Cloud europe-west1, sigo teniendo una transferencia internacional?

Depende. Si el dato se almacena y procesa exclusivamente en la región europea del proveedor y el proveedor no tiene acceso desde fuera del EEE, en principio no hay transferencia internacional. Sin embargo, muchos contratos de proveedores cloud incluyen cláusulas que permiten el acceso desde equipos de soporte en EE. UU. o la replicación de datos para disaster recovery en regiones fuera del EEE. El contrato y las condiciones de servicio determinan si existe transferencia real, no la ubicación del servidor. BMC revisa los contratos cloud para identificar si hay transferencias “ocultas” en las cláusulas de soporte y subprocesadores.

¿El Marco de Privacidad de Datos UE-EE. UU. (DPF) elimina la necesidad de CCT o TIA con proveedores de EE. UU.?

El DPF (Data Privacy Framework), adoptado por la Comisión Europea en julio de 2023, es un nuevo mecanismo de adecuación que permite transferir datos a empresas de EE. UU. certificadas en el DPF sin necesidad de CCT ni TIA. Sin embargo: (a) el proveedor debe estar certificado en el DPF (verificable en la lista del Departamento de Comercio de EE. UU.), (b) la certificación cubre solo las categorías de datos y finalidades declaradas, y (c) el DPF puede ser impugnado judicialmente (como lo fueron Safe Harbor y Privacy Shield). BMC recomienda verificar la certificación DPF del proveedor Y mantener CCT como salvaguarda adicional para datos de alta sensibilidad, como medida de resiliencia ante una eventual anulación del DPF.

¿Puedo usar Binding Corporate Rules (BCR) para las transferencias dentro de mi grupo multinacional?

Las BCR son el mecanismo más robusto para grupos multinacionales, pero también el más complejo y costoso de obtener: requieren aprobación de la autoridad de control líder (típicamente, la AEPD o la autoridad del Estado miembro donde tiene la sede el grupo), un proceso que puede durar 18-24 meses. Para grupos con menos de 10 entidades o transferencias no masivas, las CCT son más ágiles. BMC ha asistido a grupos con sede en España en el proceso de solicitud de BCR y, para los casos en que las BCR no son eficientes, diseña arquitecturas de transferencia basadas en CCT con documentación estandarizada que reduce el coste de gestión intragrupo.

¿Qué ocurre con los datos de mis empleados que proceso con proveedores RRHH fuera del EEE?

Los datos de empleados tienen el mismo régimen de transferencias internacionales que los datos de clientes: necesitan un mecanismo válido (CCT, DPF, BCR o decisión de adecuación). En la práctica, proveedores de nómina, gestión de talento o beneficios con procesamiento en EE. UU. o India son una fuente frecuente de transferencias no documentadas. Los empleados pueden presentar reclamaciones ante la AEPD por transferencias inadecuadas de sus datos, con el mismo régimen sancionador. BMC incluye los datos de empleados en el inventario de transferencias y revisa los contratos de los proveedores de RRHH.

¿Qué sanciones puede imponer la AEPD por transferencias sin mecanismo válido?

La AEPD puede imponer multas de hasta 20 millones de euros o el 4 % de la facturación global anual (el importe mayor) por transferencias sin mecanismo válido, conforme al art. 83.5 RGPD. En la práctica, las multas para PYMEs han oscilado entre 50.000 y 500.000 € en los últimos ejercicios, siendo el historial de cumplimiento y la actitud cooperativa con la AEPD factores atenuantes relevantes. Las transferencias a proveedores de servicios de cloud, marketing y CRM son el área de mayor riesgo para empresas de tamaño medio, por la proliferación de herramientas SaaS con procesamiento en EE. UU.

Integración con otros servicios BMC

La adecuación de transferencias internacionales forma parte de un programa de cumplimiento RGPD más amplio:

DPO externalizado. El Delegado de Protección de Datos externalizado de BMC mantiene actualizado el inventario de transferencias, revisa los nuevos contratos con proveedores internacionales antes de su firma y coordina la respuesta ante inspecciones de la AEPD relacionadas con transferencias. Contar con un DPO activo antes de una inspección es la diferencia entre un expediente que se cierra en 5 días y uno que se prolonga durante meses.

Evaluación de Impacto en la Protección de Datos (EIPD). Para transferencias de datos de categoría especial (salud, datos biométricos, datos de menores) a países sin decisión de adecuación, el RGPD puede requerir una EIPD previa. BMC realiza EIPDs para transferencias de alto riesgo y diseña las medidas técnicas complementarias que reducen el riesgo hasta un nivel aceptable.

Due diligence corporativo. En operaciones de M&A, inversión o fusión, la adecuación de las transferencias internacionales de datos del target es un área de due diligence de privacidad que puede condicionar el precio o la estructura de la operación. BMC realiza auditorías de privacidad de datos en contextos de due diligence con entrega de informe de riesgos y recomendaciones de remediación.

Métricas de éxito de nuestros encargos

Proceso de trabajo de BMC: del inventario al cumplimiento documentado

La adecuación de transferencias internacionales de BMC sigue un proceso de cuatro fases que garantiza cobertura completa y documentación apta para inspecciones regulatorias:

Fase 1: Inventario de flujos de datos transfronterizos. Mapeamos todos los sistemas y proveedores con acceso a datos personales: CRM, ERP, herramientas de marketing, proveedores de cloud, plataformas de comunicación, software de RRHH, y cualquier otro servicio SaaS. Para cada uno identificamos: entidad legal receptora, país de procesamiento, categorías de datos transferidos, base legal del tratamiento, y mecanismo de transferencia existente (si lo hay). El resultado es un inventario completo de transferencias que puede actualizarse de forma continua a medida que se incorporan nuevos proveedores.

Fase 2: Evaluación y cierre de brechas. Para cada transferencia sin mecanismo válido o con mecanismo desactualizado, seleccionamos el mecanismo adecuado (CCT 2021, DPF, BCR, o decisión de adecuación), elaboramos o actualizamos el TIA si el país destinatario no tiene decisión de adecuación, y coordinamos la firma de los documentos contractuales con los proveedores. BMC dispone de plantillas de DPA y CCT adaptadas a los principales proveedores cloud y SaaS del mercado, lo que acelera significativamente el proceso.

Fase 3: Actualización del Registro de Actividades de Tratamiento. Incorporamos todas las transferencias con su mecanismo, base legal, destinatario, categorías de datos y medidas técnicas complementarias al RAT, que queda en condiciones de ser presentado ante la AEPD en cualquier momento.

Fase 4: Mantenimiento continuo. El entorno regulatorio de las transferencias internacionales cambia con frecuencia (nuevas decisiones de adecuación, anulación de marcos existentes, actualizaciones de versión de las CCT). BMC monitoriza estos cambios y actualiza proactivamente los mecanismos afectados, notificando al cliente con suficiente antelación para gestionar los cambios contractuales necesarios.