SCC y Schrems II: transferencias internacionales de datos

·

Cada vez que una empresa española envía datos de clientes o empleados a un proveedor de servicios en la nube con sede en Estados Unidos, transfiere datos personales fuera del Espacio Económico Europeo (EEE). Ese acto, aparentemente rutinario, está sujeto al Capítulo V del Reglamento (UE) 2016/679 (RGPD) y exige disponer de un mecanismo legal habilitante antes de que los datos crucen la frontera. Sin él, la transferencia es ilícita y puede ser sancionada con hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial conforme al artículo 83.5 del RGPD.

Este artículo analiza, con rigor normativo, los mecanismos vigentes: decisiones de adecuación, cláusulas contractuales tipo (SCC) de 2021 y el EU-US Data Privacy Framework (DPF). También explica cómo la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE) cambió las reglas del juego y por qué la evaluación de impacto de la transferencia (TIA) es hoy imprescindible.

El Capítulo V del RGPD: el principio de no elusión

El artículo 44 del RGPD establece el principio general de las transferencias internacionales: «Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo».

Este principio tiene una consecuencia práctica inmediata: ningún otro artículo del RGPD —ni el consentimiento del artículo 6, ni el interés legítimo— sustituye al mecanismo habilitante del Capítulo V. Para que una transferencia internacional sea lícita se necesitan dos condiciones simultáneas: una base legal para el tratamiento en el EEE (arts. 6 o 9 RGPD) y un mecanismo habilitante del Capítulo V para sacar esos datos fuera del EEE.

El Capítulo V contempla tres grandes vías: las decisiones de adecuación (art. 45), las garantías adecuadas (art. 46, que incluye las cláusulas contractuales tipo) y las excepciones específicas para situaciones concretas (art. 49). Las normas corporativas vinculantes (art. 47, BCR por sus siglas en inglés) son también una garantía adecuada, pero de acceso más complejo por el largo proceso de aprobación ante las autoridades de control.

Decisiones de adecuación (artículo 45 del RGPD)

Cuando la Comisión Europea constata que un tercer país ofrece un nivel de protección esencialmente equivalente al del EEE, adopta una decisión de adecuación. La transferencia a ese país no requiere garantía adicional: el mecanismo es la propia decisión y la empresa puede transferir datos como si lo hiciese dentro del EEE.

A fecha de 2026, disponen de decisión de adecuación plena o sectorial, entre otros, Andorra, Argentina, Canadá (sector privado), las Islas Feroe, Guernesey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, el Reino Unido, la República de Corea, Suiza y Uruguay. El catálogo se actualiza periódicamente y cada decisión tiene un ámbito material específico que conviene revisar antes de asumir cobertura automática.

La novedad más relevante de los últimos años es la decisión de adecuación para las transferencias hacia empresas de EE.UU. certificadas en el EU-US Data Privacy Framework (DPF), aprobada el 10 de julio de 2023 mediante la Decisión de Ejecución (UE) 2023/1795. La abordaremos en detalle más adelante.

Las cláusulas contractuales tipo (SCC): base legal y funcionamiento

Cuando el país de destino no cuenta con decisión de adecuación, la opción más habitual para las empresas es acudir a las garantías adecuadas del artículo 46 del RGPD. Las cláusulas contractuales tipo (SCC, por sus siglas en inglés Standard Contractual Clauses) son el instrumento más utilizado, al amparo del artículo 46.2.c del RGPD.

Su mecánica es sencilla en teoría: el exportador de datos (en el EEE) y el importador de datos (fuera del EEE) firman un contrato que incluye las cláusulas aprobadas por la Comisión Europea. Ese contrato impone al importador las obligaciones equivalentes a las del RGPD y otorga a los interesados derechos ejecutables directamente frente al importador. Si el importador incumple sus obligaciones, el exportador puede y debe suspender la transferencia.

El problema que evidenció el caso Schrems II es que la firma de ese contrato no garantiza, por sí sola, que el importador pueda cumplirlo en la práctica, si la legislación del país de destino obliga a las empresas a dar acceso a sus datos a los servicios de inteligencia sin que los ciudadanos europeos dispongan de recurso judicial efectivo.

La sentencia Schrems II: el Privacy Shield cae, las SCC sobreviven con condiciones

El 16 de julio de 2020, el TJUE dictó sentencia en el asunto C-311/18 (Data Protection Commissioner contra Facebook Ireland y Maximillian Schrems), conocida como Schrems II. Las consecuencias fueron dos, de distinto alcance:

Esta segunda consecuencia introdujo en la práctica empresarial el concepto de evaluación de impacto de la transferencia (TIA), que el Comité Europeo de Protección de Datos (CEPD) desarrolló en sus Recomendaciones 01/2020.

Las SCC de 2021: estructura modular y plazo de adopción

La Comisión Europea aprobó las nuevas cláusulas contractuales tipo mediante la Decisión de Ejecución (UE) 2021/914, de 4 de junio de 2021. Las SCC de 2021 sustituyeron a las versiones anteriores (2001 y 2010) e incorporaron los requisitos derivados de Schrems II. Su diseño modular permite cubrir cuatro tipos de relación entre exportador e importador de datos:

Módulo Relación cubierta Ejemplo típico
Módulo 1 Responsable → Responsable Matriz en EE.UU. recibe datos de la filial española
Módulo 2 Responsable → Encargado Empresa española contrata un SaaS alojado en EE.UU.
Módulo 3 Encargado → Subencargado Proveedor cloud europeo subcontrata almacenamiento en EE.UU.
Módulo 4 Encargado → Responsable Filial española (encargado) transfiere datos al grupo (responsable) en EE.UU.

El período transitorio para migrar de las SCC antiguas a las de 2021 venció el 27 de diciembre de 2022. Desde esa fecha, únicamente las SCC de 2021 son válidas como mecanismo habilitante. Las cláusulas anteriores que aún figuren en contratos vigentes con importadores extracomunitarios carecen de eficacia legal a estos efectos y deben ser actualizadas.

La evaluación de impacto de la transferencia (TIA)

La Transfer Impact Assessment (TIA), también denominada evaluación de impacto de la transferencia (EIT), es el análisis que el exportador de datos debe realizar para verificar si las SCC pueden ser efectivas en el país de destino. No existe un formato oficial único, pero el CEPD describe en sus Recomendaciones 01/2020 un proceso que en la práctica empresarial se aborda en tres fases:

  1. Conocer la transferencia: identificar qué datos personales se transfieren, a qué país, con qué finalidad, bajo qué módulo de las SCC y quién es el importador.
  2. Identificar el mecanismo habilitante: verificar que se dispone de SCC 2021 firmadas u otro mecanismo válido (decisión de adecuación, BCR, etc.).
  3. Valorar la efectividad práctica: analizar el marco legal del país de destino —legislación de vigilancia, acceso de autoridades públicas, recursos judiciales disponibles para los interesados— y determinar si el importador puede cumplir las obligaciones de las SCC en ese contexto. Si no puede, deben adoptarse medidas suplementarias o suspenderse la transferencia.

Las medidas suplementarias pueden ser técnicas (cifrado de extremo a extremo que impida al importador descifrar los datos, seudonimización, operaciones de descifrado solo en el EEE), contractuales (obligaciones adicionales al importador de resistir y notificar solicitudes de acceso de autoridades) u organizativas (procedimientos para detectar y gestionar solicitudes abusivas). Estas medidas no son un mero trámite formal: si el ordenamiento del país de destino obliga legalmente al importador a desvelar los datos y no existe recurso efectivo para los interesados, ni las mejores medidas técnicas salvan jurídicamente la transferencia.

Desde Summum Consultoría acompañamos a las organizaciones en su adecuación al RGPD, incluido el mapeo de transferencias internacionales y la elaboración de las TIA correspondientes, adaptadas al sector y al tamaño de cada empresa. El enfoque práctico que aplicamos busca que cada medida adoptada sea proporcionada y esté debidamente documentada ante una eventual inspección de la Agencia Española de Protección de Datos (AEPD).

El EU-US Data Privacy Framework: ¿el nuevo Privacy Shield?

El 10 de julio de 2023, la Comisión Europea aprobó la Decisión de Ejecución (UE) 2023/1795, que otorga adecuación a las transferencias de datos a empresas de EE.UU. certificadas en el Marco EU-US de Privacidad de Datos (EU-US Data Privacy Framework, DPF). Las empresas estadounidenses que se certifican voluntariamente ante el Departamento de Comercio de EE.UU. quedan cubiertas por esta decisión, sin necesidad de SCC ni TIA para las transferencias incluidas en el ámbito de su certificación.

Las principales novedades del DPF respecto al Privacy Shield invalidado son:

Sin embargo, el DPF no está exento de incertidumbre. Activistas de privacidad anunciaron ya en 2023 su intención de impugnarlo ante el TJUE, argumentando que las reformas son insuficientes para eliminar los vicios que motivaron Schrems II. Hasta que exista una nueva sentencia de invalidación, el DPF es un mecanismo legalmente válido y las empresas pueden apoyarse en él. No obstante, es prudente documentar la certificación del proveedor en cada operación de transferencia, dado el contexto de litigiosidad.

Si el proveedor estadounidense no está certificado en el DPF, o si su certificación no cubre la categoría de datos o la finalidad del tratamiento concreto, la empresa española exportadora debe recurrir a las SCC 2021 y completar la TIA correspondiente.

Visión comparada de los mecanismos de transferencia

Mecanismo Base legal RGPD ¿Requiere TIA? ¿Requiere contrato adicional? Estado en 2026
Decisión de adecuación Art. 45 No No Válido (según país)
SCC 2021 Art. 46.2.c Sí (cláusulas modulares) Válido
EU-US DPF Art. 45 (Dec. 2023/1795) No (si proveedor certificado) No Válido (sujeto a posible impugnación judicial)
Normas corporativas vinculantes (BCR) Art. 47 Sí (aprobación por autoridad de control) Válido (proceso largo y complejo)
Excepciones específicas Art. 49 No No Solo para casos puntuales; no uso sistemático
Privacy Shield Antiguo art. 45 Inválido (sentencia Schrems II, julio 2020)
SCC antiguas (2001/2010) Antiguo art. 46 Inválidas desde el 27 de diciembre de 2022

Consecuencias del incumplimiento

Las transferencias internacionales sin mecanismo habilitante constituyen una infracción grave del RGPD. El artículo 83.5.c tipifica el incumplimiento del Capítulo V con sanciones de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial total del ejercicio financiero anterior, aplicándose el importe que sea mayor. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) complementa el régimen sancionador en el ordenamiento español sin modificar los umbrales máximos establecidos en el Reglamento europeo.

Más allá de las sanciones económicas, la AEPD puede acordar la suspensión cautelar de la transferencia mientras investiga el incumplimiento. Esto puede interrumpir el acceso a herramientas SaaS, plataformas en la nube o servicios de análisis con servidores fuera del EEE, con un impacto operativo significativo para la organización afectada.

Si deseas revisar el mapa de transferencias internacionales de tu organización y adecuarlo a la normativa vigente, el equipo de protección de datos de Summum Consultoría está a tu disposición en nuestras cinco oficinas de Castilla y León y Canarias —Valladolid, Burgos, Palencia, Aranda de Duero y Las Palmas—. Llevamos desde 2007 acompañando a empresas en su adecuación normativa, con un enfoque práctico y proporcionado a la realidad de cada organización.

Preguntas frecuentes

¿Puedo seguir usando las SCC de 2010 si ya las tenía firmadas con mis proveedores?

No. El período transitorio para migrar a las SCC de 2021 venció el 27 de diciembre de 2022. Las versiones anteriores de las cláusulas contractuales tipo (2001 y 2010) ya no son un mecanismo habilitante válido. Si tus contratos con proveedores extracomunitarios aún incluyen las SCC antiguas, debes actualizarlos a la versión de 2021 aprobada por la Decisión de Ejecución (UE) 2021/914. Mantener las SCC antiguas supone carecer de mecanismo habilitante, con la consecuente exposición sancionadora.

Si mi proveedor estadounidense está certificado en el EU-US DPF, ¿necesito hacer algo más?

Debes verificar que la certificación en el registro público del DPF esté activa y vigente en el momento de la transferencia, y que cubra la categoría de datos que transfieres (los datos de recursos humanos y los datos de personas distintas de los empleados están bajo ámbitos de certificación diferentes). Si la certificación cubre tu transferencia, no necesitas SCC ni TIA. No obstante, es recomendable documentar esa verificación como parte del registro de actividades de tratamiento (art. 30 RGPD), especialmente dado el contexto de posible impugnación judicial del DPF. Si en algún momento el TJUE invalida el DPF, deberás disponer de SCC 2021 con TIA como alternativa inmediata.

¿En qué se diferencia la evaluación de impacto de la transferencia (TIA) de la EIPD?

La evaluación de impacto de la transferencia (TIA) analiza específicamente si el mecanismo habilitante elegido —normalmente las SCC— puede ser efectivo en el país de destino, centrándose en el marco legal de ese país y en los riesgos para los interesados derivados del posible acceso de autoridades extranjeras. La evaluación de impacto relativa a la protección de datos (EIPD o DPIA), regulada en el artículo 35 del RGPD, analiza los riesgos del tratamiento en sí para los derechos y libertades de los interesados, con independencia de si hay transferencia internacional. Son análisis distintos y complementarios: un mismo tratamiento puede requerir ambos. Puedes ampliar información en nuestro artículo sobre cómo realizar una EIPD paso a paso.

¿La AEPD puede investigar si nuestra empresa realiza transferencias internacionales sin mecanismo habilitante?

Sí. La AEPD puede iniciar actuaciones de oficio o a raíz de una denuncia —por ejemplo, de un empleado o cliente cuyos datos se transfieran a un proveedor extracomunitario sin cobertura— para verificar la existencia de mecanismo habilitante. En caso de comprobar la ausencia de dicho mecanismo, puede imponer medidas correctivas, ordenar la suspensión inmediata de la transferencia e iniciar un procedimiento sancionador en el marco del artículo 83.5 del RGPD. La documentación ordenada de las TIA realizadas y de los contratos SCC firmados es la mejor evidencia de diligencia ante una inspección.