Transferencia de datos transfronteriza: SCC, BCR y decisiones de adecuación
Las transferencias internacionales de datos se encuentran entre las áreas técnicamente más complejas y legalmente inciertas del cumplimiento de la privacidad global. Cuando los datos personales cruzan fronteras (de los servidores en la nube de la UE a los de EE. UU., de Japón al sistema global de recursos humanos de una multinacional, de Brasil a un centro de procesamiento de la India), se aplican simultáneamente múltiples marcos legales, cada uno de los cuales requiere que existan mecanismos de transferencia específicos antes de que los datos se muevan.
La sentencia Schrems II (TJUE, 16 de julio de 2020) trastornó fundamentalmente el panorama de las transferencias internacionales al invalidar el Escudo de Privacidad y exigir a las organizaciones que realicen Evaluaciones de Impacto de las Transferencias (AIT) para las transferencias basadas en Cláusulas Contractuales Estándar. Desde entonces, se han producido tres acontecimientos importantes: la adecuación del Marco de Privacidad de Datos UE-EE. UU. (julio de 2023), las SCC de la UE actualizadas (junio de 2021) y una proliferación de restricciones de transferencia a nivel nacional desde países como China (PIPL), India (Ley DPDP) y Arabia Saudita (PDPL). Esta guía proporciona una hoja de ruta completa para navegar por el laberinto de la transferencia internacional de datos.
Conclusiones clave
- El RGPD de la UE restringe las transferencias de datos personales a países fuera del EEE sin la protección o salvaguardias adecuadas
- Las decisiones de adecuación son el mecanismo más simple: no se necesitan salvaguardias adicionales si el país de destino tiene la adecuación de la UE
- Las cláusulas contractuales estándar (SCC de 2021) son el mecanismo más utilizado: cuatro módulos que cubren las transferencias de controlador a controlador, de controlador a procesador, de procesador a controlador y de procesador a procesador.
- Se requieren evaluaciones de impacto de las transferencias (AIT) para las transferencias basadas en SCC: evaluar si la ley del país de destino permite una protección efectiva.
- Las Normas Corporativas Vinculantes (BCR, por sus siglas en inglés) funcionan para transferencias intragrupo, pero requieren la aprobación de la DPA de la UE: un proceso de 2 a 3 años
- El Marco de Privacidad de Datos UE-EE. UU. (julio de 2023) proporciona un mecanismo basado en la adecuación para las transferencias a EE. UU.: verificar el estado de certificación DPF
- China PIPL, Arabia Saudita PDPL y India DPDP imponen restricciones a las transferencias salientes que requieren sus propios mecanismos.
- Los requisitos de localización de datos territoriales (Rusia, China para los CIIO, datos de salud/finanzas de Arabia Saudita) prohíben por completo ciertas transferencias salientes.
La base legal para las restricciones de transferencia
Capítulo V del RGPD UE
El Capítulo V del RGPD (artículos 44 a 49) establece que los datos personales sólo podrán transferirse a un tercer país si:
- La Comisión Europea ha adoptado una decisión de adecuación para ese país (artículo 45)
- Existen salvaguardias adecuadas (artículo 46): CCS, BCR, códigos de conducta aprobados con compromisos vinculantes, mecanismos de certificación aprobados, instrumentos jurídicamente vinculantes entre autoridades públicas
- Se aplica una excepción específica (artículo 49): consentimiento explícito, necesidad del contrato, derechos legales, intereses vitales, interés público, registros públicos.
El principio: los datos personales de la UE deben disfrutar del mismo nivel de protección dondequiera que fluyan. El mecanismo de transferencia es la herramienta que teóricamente logra esto.
Jurisprudencia clave
Schrems I (TJUE, 2015): Invalidó el marco de puerto seguro para las transferencias entre la UE y los EE. UU. al determinar que la ley de seguridad nacional de los EE. UU. impedía la aplicación efectiva de los principios del RGPD.
Schrems II (TJUE, 2020): Escudo de privacidad invalidado (sucesor de Safe Harbor); encontró que las cláusulas modelo (SCC) siguen siendo válidas en principio, pero los controladores/procesadores deben verificar caso por caso que el país de destino brinde una protección efectiva. Esto creó el requisito TIA.
Marco de privacidad de datos UE-EE. UU. (Decisión de la Comisión, julio de 2023): Adoptado tras la Orden Ejecutiva 14086 de EE. UU. (octubre de 2022) sobre la reforma de la inteligencia de señales. Proporciona adecuación para los participantes certificados del DPF. Impugnado por Max Schrems en los tribunales irlandeses: el procedimiento Schrems III está en curso, pero el DPF sigue siendo válido a menos que el TJUE emita una suspensión.
Decisiones de adecuación
El mecanismo de transferencia más simple: no se necesitan salvaguardias adicionales si la Comisión ha adoptado una decisión de adecuación para el país de destino.
Decisiones de adecuación actuales de la UE (a marzo de 2026):
- Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, República de Corea, Suiza, Reino Unido, Uruguay, Estados Unidos (Marco de privacidad de datos UE-EE. UU.: organizaciones certificadas solo bajo DPF)
Advertencias importantes:
- EE.UU.: Adecuación solo para organizaciones certificadas según el DPF UE-EE.UU. Las transferencias a empresas estadounidenses no certificadas requieren SCC, BCR u otros mecanismos. Verifique el estado de la certificación del DPF en el sitio web del DPF (dataprivacyframework.gov) antes de confiar en la idoneidad.
- Canadá: la idoneidad cubre las organizaciones comerciales bajo PIPEDA; no cubre todas las entidades canadienses ni las leyes provinciales del sector privado.
- Japón: Adecuación sujeta a normas suplementarias para los datos personales de la UE
- Reino Unido: Decisión de adecuación adoptada en junio de 2021 con cláusula de extinción de cuatro años; renovación prevista en 2025
Las decisiones de adecuación están sujetas a revisión y pueden suspenderse; el caso Schrems II demuestra el riesgo de dependencia de la adecuación. Mantener la documentación de contingencia del SCC incluso cuando se aplique actualmente la idoneidad.
Cláusulas contractuales tipo (SCC de la UE 2021)
Las SCC de la UE de 2021 (Decisión 2021/914 de la Comisión, 4 de junio de 2021) reemplazaron las cláusulas modelo más antiguas e introdujeron una estructura modular que cubre los cuatro escenarios de transferencia:
Cuatro módulos
Módulo 1 — Controlador a Controlador (C2C): Dos controladores de datos. Más común para: intercambio de datos entre empresas no afiliadas, envío de datos de clientes a proveedores de CRM que los procesarán para fines propios, asociaciones de datos conjuntas.
Módulo 2: Controlador a Procesador (C2P): El controlador de datos subcontrata el procesamiento a un procesador externo. Más común para: servicios en la nube, SaaS, subcontratación de TI, servicios de análisis, centros de datos.
Módulo 3 — Procesador a Procesador (P2P): Acuerdos de subprocesador. Se utiliza cuando un procesador utiliza un subprocesador.
Módulo 4 — Procesador a Controlador (P2C): El procesador devuelve datos al controlador. Menos común; utilizado en escenarios de arquitectura específicos.
Componentes obligatorios del SCC
Las CEC 2021 incluyen cláusulas de obligado cumplimiento que no pueden modificarse:
- Cláusula 2: Efecto e invariabilidad: las partes acuerdan que las cláusulas no pueden modificarse excepto en las formas permitidas.
- Cláusula 7: Cláusula de acoplamiento: permitir la adhesión de partes adicionales
- Cláusula 9: Modalidad de autorización del subencargado (autorización escrita general o específica)
- Cláusula 17: Ley aplicable (debe ser una ley de un estado miembro en la que esté establecida al menos una de las partes; o una ley de un estado miembro que permita derechos a terceros beneficiarios)
- Cláusula 18: Elección del foro (tribunales competentes del Estado miembro que rigen las SCC)
Qué fiestas se pueden personalizar:
- Salvaguardias adicionales más allá del mínimo (alentadas por el CEPD)
- Contenido del anexo específico de la empresa (descripción del tratamiento, categorías de datos, medidas técnicas)
- Enfoque de autorización del subprocesador (general o específico)
- Mecanismo de reparación para los interesados en el país de destino
IDTA del Reino Unido
Para transferencias desde el Reino Unido (no la UE), utilice el Acuerdo de Transferencia Internacional de Datos (IDTA) de la ICO o el Anexo IDTA a las SCC de la UE. Estos reemplazaron a las SCC de la UE para transferencias al Reino Unido a partir del 21 de septiembre de 2022 (con extensión hasta el 21 de marzo de 2024 para los contratos de SCC de la UE preexistentes).
Evaluaciones de impacto de transferencias (TIA)
Tras Schrems II, el CEPD publicó la Recomendación 01/2020 sobre transferencias con un requisito TIA obligatorio para transferencias basadas en SCC. La TIA es un análisis documentado que evalúa si el marco legal del país de destino impide una protección efectiva de los datos transferidos.
Pasos de la TIA (Recomendaciones EDPB 01/2020)
Paso 1: Conozca sus transferencias: Asigne todas las transferencias, incluidas las transferencias posteriores a través de procesadores y subprocesadores.
Paso 2: Verificar las herramientas de transferencia utilizadas: Confirme qué mecanismo de transferencia se aplica (módulo SCC, adecuación, etc.).
Paso 3: Evaluar la ley del tercer país: Evaluar si la ley del país de destino impide la efectividad de las SCC. Factores relevantes:
- ¿Permite el país el acceso del gobierno a datos personales más allá de lo necesario y proporcionado?
- ¿Existen recursos legales efectivos para los individuos de la UE si se violan sus derechos?
- ¿Tiene el país una autoridad supervisora independiente?
Paso 4: Identificar y adoptar medidas complementarias: Si la TIA identifica una ley problemática del país de destino, implemente medidas complementarias:
Medidas técnicas:
- Cifrado de extremo a extremo (donde el importador no tiene acceso a la clave de descifrado)
- Seudonimización en la UE antes de la transferencia
- Procesamiento dividido/multipartito donde ningún importador tiene acceso a todos los datos
- Arquitectura de conocimiento cero
Medidas contractuales:
- Obligación de transparencia (el importador notifica al exportador cualquier solicitud legalmente vinculante de divulgación de datos)
- El importador impugna las solicitudes de divulgación de datos cuando sea legalmente posible.
- Reducción de los datos tratados al mínimo necesario
Medidas organizativas:
- Políticas internas que limitan el acceso del gobierno
- Personal técnico adecuado para manejar las solicitudes de aplicación de la ley.
Paso 5: Tome medidas procesales formales: Complete los SCC, actualice los registros y documente la TIA.
Paso 6: Reevaluar a intervalos apropiados: Las TIA no son ejercicios únicos; reevaluar cuando: cambie la ley del país de destino, se modifiquen las CEC, surja una nueva orientación importante del CEPD o de las APD nacionales.
Consideraciones específicas de cada país de la TIA
| País de destino | Cuestiones clave de la TIA | Estado |
|---|---|---|
| Estados Unidos | Vigilancia FISA de la Sección 702; Orden Ejecutiva 14086 reformas | DPF brinda adecuación para entidades certificadas; entidades no certificadas requieren TIA completa |
| China | Obligaciones de acceso a datos de CSL/PIPL; amplias disposiciones de seguridad nacional | Desafíos importantes de la TIA; considerar el cifrado y la minimización de datos |
| India | Poderes de interceptación según la Ley de TI; Reglas de transferencia de la Ley DPDP | TIA desafía el marco de vigilancia dado |
| Rusia | Localización de datos; Acceso a Roskomnadzor | Las transferencias son en gran medida poco prácticas para el cumplimiento de la UE |
| Arabia Saudita | Poderes gubernamentales de acceso a datos; Mecanismos de transferencia PDPL | Se necesita una evaluación TIA caso por caso |
Normas corporativas vinculantes (NCV)
Las BCR son normas de protección de datos intragrupo legalmente vinculantes aprobadas por una autoridad supervisora competente de la UE. Son el mecanismo de transferencia más sólido pero también el más complejo de implementar.
Las NCV cubren:
- BCR del controlador: permite transferencias intragrupo dentro de un grupo corporativo donde todos los miembros del grupo actúan como controladores
- NCV del procesador: permiten a los procesadores (incluidas las empresas de servicios intragrupo) recibir y procesar datos de los controladores de la UE
Ventajas BCR:
- Una vez aprobado, no se necesita ningún mecanismo por transferencia para los flujos intragrupo cubiertos
- Demuestra el más alto nivel de compromiso de cumplimiento.
- Algunas DPA tratan a los grupos tenedores de BCR como más confiables
Requisitos BCR (artículo 47 del RGPD y directrices del CEPD):
- Vinculante para todos los miembros del grupo y exigible por los interesados como terceros beneficiarios
- Especificar claramente la estructura del grupo y los miembros del grupo.
- Cubrir todos los traslados y conjuntos de traslados dentro del grupo.
- Debe incluir: fines del procesamiento de datos, categorías de datos, destinatarios, períodos de almacenamiento, información para miembros del grupo fuera de la UE
- Especificar los derechos del interesado, incluido cómo ejercerlos.
- Incluir verificación de cumplimiento (auditorías, capacitación)
- Mecanismo de notificación de cambios.
- Mecanismo de cooperación con las APD
Proceso BCR: Aplicar ante la autoridad supervisora principal (la DPA donde se encuentra la sede de la empresa en la UE). La APD principal lleva a cabo un procedimiento de reconocimiento mutuo con otras APD de la UE. Cronograma: normalmente de 2 a 3 años desde la solicitud hasta la aprobación. La solicitud requiere documentación extensa.
Titulares de BCR aprobadas: Más de 100 grupos multinacionales tienen BCR aprobadas por la Comisión de la UE, incluidos IBM, Marriott, BCG, Ernst & Young, Johnson & Johnson.
Restricciones de transferencia a países fuera de la UE
Muchos países fuera de la UE imponen ahora sus propias restricciones a la transferencia de datos salientes. Esto crea una complejidad de cumplimiento bidireccional para las organizaciones multinacionales.
China PIPL
Evaluación de seguridad CAC requerida para: CIIO; transferencias de datos de más de 100.000 personas al año. Contratos estándar (inspirados en las SCC de la UE pero específicos de China) para transferencias de menor volumen. Mecanismo de certificación de transferencias intragrupo. (Consulte la guía PIPL dedicada a China para obtener todos los detalles).
Arabia Saudita PDPL
Se requiere aprobación o adecuación de SDAIA para la mayoría de las transferencias salientes. La localización de sectores específicos (salud, finanzas) puede prohibir por completo ciertas transferencias. Mecanismo de cláusulas contractuales estándar en desarrollo por SDAIA.
Ley DPDP de la India
Enfoque de lista positiva: transferencias permitidas a todos los países excepto aquellos específicamente restringidos por notificación al Gobierno Central. La localización específica del sector (RBI, salud) sigue aplicándose de forma independiente.
Brasil LGPD
Se requieren decisiones de adecuación de la ANPD o salvaguardas contractuales. La ANPD está desarrollando plantillas de cláusulas contractuales estándar. Consentimiento explícito disponible como mecanismo alternativo.
Rusia
La Ley Federal N° 149-FZ y la Ley Federal N° 152-FZ exigen que los datos personales de los ciudadanos rusos se recopilen y procesen inicialmente dentro de Rusia. Las transferencias transfronterizas solo se permiten después de la localización en Rusia. En la práctica, las sanciones y las restricciones tecnológicas hacen que las transferencias de datos desde Rusia sean extremadamente complejas.
Lista de verificación de cumplimiento de transferencias transfronterizas
- Todas las transferencias de datos transfronterizas asignadas (flujos de controlador, procesador, subprocesador)
- Mecanismo de transferencia determinado para cada flujo (adecuación, SCC, BCR, derogaciones)
- Destinos de adecuación de la UE verificados (certificación DPF verificada para destinatarios de EE. UU.)
- SCC de la UE seleccionadas: módulo correcto para cada relación de transferencia
- Anexos del SCC completados: descripción de datos, medidas técnicas/organizativas
- Evaluación de impacto de transferencias realizada para transferencias basadas en SCC
- Medidas complementarias implementadas cuando la TIA identifica problemas
- IDTA o Anexo del Reino Unido utilizado para transferencias desde el Reino Unido (no SCC de la UE)
- Solicitud BCR presentada si se realizan transferencias intragrupo a escala
- Cadenas SCC de subencargados implementadas (Módulo 3 o aprobación del controlador de los subencargados)
- Restricciones a las transferencias salientes fuera de la UE evaluadas (PIPL, PDPL, DPDP, LGPD)
- Requisitos de localización de datos evaluados para sectores regulados
- Calendario de reevaluación de TIA establecido
- Registros de actividades de procesamiento actualizados para reflejar los mecanismos de transferencia
- Requisitos de notificación de la DPA evaluados para las transferencias en el marco de derogaciones
Preguntas frecuentes
¿Podemos utilizar SCC antiguas de la UE (anteriores a 2021) para contratos existentes?
No. La fecha límite de transición para reemplazar los antiguos SCC de la UE por los SCC de 2021 era el 27 de diciembre de 2022. Los antiguos SCC de la UE ya no son válidos. Si todavía tiene contratos que hacen referencia a las SCC antiguas (emitidas en virtud de las Decisiones 2001/497/CE, 2004/915/CE o 2010/87/UE), esos contratos deben actualizarse a las SCC de 2021. Cualquier contrato nuevo debe utilizar los SCC de 2021. Seguir dependiendo de los SCC antiguos expone a su organización a medidas de cumplimiento.
¿Necesitamos un SCC para cada transferencia de datos o solo un acuerdo general?
Las SCC deben ejecutarse entre cada par de exportador e importador de datos. Si su empresa (con sede en la UE) utiliza 10 proveedores de nube diferentes, cada uno de los cuales recibe datos personales, necesitará 10 acuerdos SCC separados. Dentro de un único acuerdo SCC, puede cubrir múltiples categorías de datos, múltiples interesados y múltiples propósitos, pero cada relación bilateral necesita su propio acuerdo ejecutado. Para organizaciones grandes con muchos proveedores, mantener un sistema de seguimiento de renovación e inventario de SCC es esencial.
¿Qué es el Marco de Privacidad de Datos UE-EE.UU. y cómo lo utilizamos?
El Marco de Privacidad de Datos (DPF) UE-EE. UU. es un mecanismo de adecuación adoptado por la Comisión Europea el 10 de julio de 2023, tras la Orden Ejecutiva 14086 de EE. UU. sobre el fortalecimiento de las salvaguardias de privacidad para la inteligencia de señales. Permite que los datos personales fluyan desde la UE a organizaciones estadounidenses certificadas sin SCC ni TIA. Para utilizar DPF: (1) El destinatario de EE. UU. debe autocertificarse ante el Departamento de Comercio de EE. UU.; (2) Verificar la certificación en dataprivacyframework.gov; (3) Si se certifican, las transferencias UE→EE.UU. a esa organización no requieren ningún mecanismo adicional. El DPF está siendo impugnado legalmente (Schrems III): mantenga la documentación de respaldo del SCC como contingencia.
¿Cuáles son los hallazgos de AIT más comunes que crean problemas?
Los hallazgos problemáticos más comunes de la TIA involucran: (1) Amplio acceso a la vigilancia gubernamental, particularmente la Sección 702 de EE. UU. FISA y autoridades equivalentes en otros países que permiten la recolección masiva sin supervisión judicial; (2) Leyes de seguridad nacional que anulan las protecciones de la privacidad, algo común en estados autoritarios; (3) Falta de recursos legales efectivos para los individuos de la UE, donde los tribunales no son independientes o los individuos de la UE no tienen legitimación activa; (4) Obligaciones de acceso a datos impuestas a los procesadores; por ejemplo, las obligaciones de China en virtud de CSL/PIPL para los CIIO. Cuando la TIA identifica problemas, normalmente se implementan medidas técnicas (cifrado, seudonimización) para abordar el riesgo específico, pero en realidad deben impedir el acceso identificado, no solo pretenderlo.
¿Las derogaciones previstas en el artículo 49 funcionan para las transferencias de rutina?
No. El CEPD ha declarado sistemáticamente que las excepciones del artículo 49 se aplican únicamente a transferencias ocasionales y no repetitivas. El consentimiento explícito (derogación 49(1)(a)) es particularmente problemático para las transferencias de rutina: el consentimiento debe ser específico (nombrar el país de destino y explicar los riesgos de la transferencia), otorgarse libremente (lo que puede ser difícil en contextos de empleo o servicios esenciales) y obtenerse de manera demostrable antes de cada transferencia. Para los flujos de datos sistemáticos y continuos, como los servicios en la nube, los sistemas de recursos humanos o los sistemas CRM, las excepciones no son apropiadas. Utilice SCC, BCR o mecanismos de adecuación para transferencias de rutina.
¿Cómo manejamos las transferencias de datos de subprocesadores?
Las transferencias de subencargados deben estar cubiertas por mecanismos de transferencia adecuados. Según el Módulo 2 de las SCC de la UE (Controlador a Procesador), el procesador solo debe contratar subprocesadores ubicados en países adecuados o bajo SCC. El Módulo 3 (Procesador a Procesador) cubre la relación del subprocesador. El responsable del tratamiento debe ser informado y aprobar a los subencargados (ya sea específicamente o por categoría con notificación). Los subprocesadores deben estar sujetos a las mismas obligaciones de protección de datos que el procesador, generalmente a través de un acuerdo de subprocesamiento que incorpora las CEC del Módulo 3. Muchas organizaciones mantienen una lista de subprocesadores e informan a los interesados a través de avisos de privacidad.
Próximos pasos
El cumplimiento de la transferencia de datos transfronterizos es una actividad de gestión continua, no un proyecto único. A medida que las nuevas leyes nacionales restringen las transferencias salientes, las decisiones de adecuación se ven cuestionadas legalmente y su panorama de proveedores evoluciona, su inventario de mecanismos de transferencia debe seguir el ritmo.
ECOSIRE ayuda a las organizaciones a diseñar marcos de mecanismos de transferencia, realizar evaluaciones de impacto de las transferencias e implementar salvaguardias técnicas para las operaciones internacionales de datos. Nuestra experiencia abarca el RGPD de la UE, el RGPD del Reino Unido, PIPL, LGPD y marcos nacionales emergentes.
Comenzar: Servicios ECOSIRE
Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. Los requisitos de transferencia de datos transfronterizos son complejos, específicos de cada jurisdicción y están sujetos a cambios rápidos a través de decisiones judiciales y orientación regulatoria. Consulte a un asesor legal calificado para obtener asesoramiento específico para los flujos de transferencia de su organización.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
China PIPL Compliance: Cross-Border Data Transfer Guide
Complete guide to China's Personal Information Protection Law (PIPL) covering processing rules, cross-border transfer mechanisms, CAC enforcement, and compliance steps.
Regulaciones de transferencia de datos transfronteriza: navegando por los flujos de datos internacionales
Explore las regulaciones de transferencia de datos transfronterizas con SCC, decisiones de adecuación, BCR y evaluaciones de impacto de transferencia para el cumplimiento del RGPD, el Reino Unido y APAC.
Logística de comercio electrónico transfronterizo: estrategias de envío, aduanas y cumplimiento
Guía de logística de comercio electrónico transfronterizo. Cubre envíos internacionales, despacho de aduanas, cálculo de derechos, redes de cumplimiento, devoluciones y cumplimiento.