¿Se Aplica el RGPD a las Empresas de EE. UU.? El Artículo 3 Explicado (2026)

El RGPD se aplica a empresas de EE. UU. que ofrecen bienes o servicios a personas en la UE o controlan su comportamiento allí, conforme al artículo 3(2) del Reglamento (UE) 2016/679. No se requiere ninguna oficina, empleados ni establecimiento en la UE. Esta guía cubre cada activador, obligación y exposición a multas que una empresa de EE. UU. necesita entender.
Para una visión general completa de lo que exige el RGPD, incluidos los siete principios de tratamiento de datos y las seis bases jurídicas, consulte la guía complementaria.
¿Realmente se Aplica el RGPD a una Empresa de EE. UU. Sin Presencia en la UE?
Sí. El artículo 3(2) del Reglamento (UE) 2016/679 extiende el alcance del RGPD más allá de las fronteras de la UE. La disposición se aplica a cualquier responsable o encargado no establecido en la Unión cuando su tratamiento de datos personales se relacione con: (a) la oferta de bienes o servicios, independientemente de si se exige un pago, a interesados que se encuentren en la Unión; o (b) el control del comportamiento de los interesados, en la medida en que su comportamiento tenga lugar dentro de la Unión.
La frase clave es "no establecido en la Unión". El artículo 3(2) se redactó específicamente para captar a entidades ajenas a la UE. Una empresa de software en Austin, un editor de medios en Chicago y un minorista de comercio electrónico en Phoenix pueden entrar todos en el ámbito del RGPD en función exclusivamente de cómo tratan la información sobre personas que se encuentran físicamente en la UE en el momento de ese tratamiento. Esta es la clave que las empresas de EE. UU. suelen pasar por alto: el gancho jurisdiccional del RGPD se basa en la ubicación del interesado en el momento del tratamiento, no en la ubicación de la empresa o de sus servidores.
Existe una segunda vía de entrada al RGPD que se aplica con independencia del artículo 3(2). El artículo 3(1) alcanza a los responsables y encargados establecidos en la UE. Esto importa para las empresas de EE. UU. que hayan abierto una sucursal, una filial o incluso un acuerdo comercial estable en un Estado miembro de la UE. Si ese establecimiento en la UE participa en el tratamiento de datos personales, incluso si el tratamiento real ocurre en servidores de EE. UU., el artículo 3(1) se aplica a ese tratamiento en el contexto de las actividades del establecimiento en la UE. Es probable que una empresa de EE. UU. con una oficina de ventas en Alemania, una filial de distribución en Francia o un equipo de atención al cliente en los Países Bajos esté cubierta por el artículo 3(1) para sus operaciones en la UE, independientemente del análisis del artículo 3(2).
La prueba de establecimiento del artículo 3(1) proviene de la jurisprudencia previa al RGPD del TJUE en Google Spain contra AEPD (asunto C-131/12, 2014), que sostuvo que la filial española de una empresa matriz estadounidense constituía un establecimiento en la UE, sometiendo las actividades de tratamiento de datos de la matriz al derecho de protección de datos de la UE. La misma lógica se aplica conforme al artículo 3(1) del RGPD.
Los Dos Activadores del Artículo 3(2): Dirección y Control
Activador 1: La Prueba de Dirección Conforme al Artículo 3(2)(a)
El primer activador se aplica cuando una empresa de EE. UU. ofrece bienes o servicios a interesados que se encuentran en la Unión. "Ofrecer" requiere un elemento de dirección deliberada. El considerando 23 del RGPD traza la línea explícitamente: "La mera accesibilidad del sitio web del responsable del tratamiento, del encargado del tratamiento o de un intermediario en la Unión, de una dirección de correo electrónico o de otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país en el que esté establecido el responsable, no basta para determinar tal intención."
En términos sencillos: una empresa de EE. UU. cuyo sitio web está en inglés no dirige automáticamente sus actividades a residentes de la UE porque el inglés se habla ampliamente en Europa. Las Directrices 3/2018 del CEPD sobre el ámbito territorial (versión 2.0, adoptadas el 12 de noviembre de 2019) desarrollan este límite en detalle. El CEPD identifica una lista no exhaustiva de factores que, tomados en conjunto o individualmente, indican una intención de ofrecer bienes o servicios a interesados de la UE.
Factores que indican una dirección conforme al considerando 23 y las Directrices 3/2018 del CEPD:
- Usar un idioma o moneda generalmente utilizados en uno o más Estados miembros de la UE junto con la posibilidad de encargar bienes o servicios en ese idioma (por ejemplo, una página de producto en alemán con un carrito de compra que acepta euros).
- Mencionar directamente a clientes o usuarios de la UE o de Estados miembros específicos.
- Ofrecer opciones de entrega a direcciones de Estados miembros de la UE.
- Usar un dominio de nivel superior de código de país para un Estado miembro de la UE (por ejemplo, .de, .fr, .nl).
- Ejecutar campañas de publicidad pagada geodirigidas a Estados miembros de la UE.
- Incluir información específica sobre el IVA de la UE o mostrar precios con impuestos incluidos para jurisdicciones de la UE.
- Proporcionar una vía de soporte al cliente en un idioma o huso horario de la UE.
Cada uno de estos factores es evidencia de intención; ninguno es automáticamente decisivo por sí solo. Las Directrices del CEPD reconocen que una combinación de factores aumenta el peso del análisis. Una empresa de EE. UU. que envía a direcciones de la UE, acepta euros y ejecuta anuncios de Google en francés ha acumulado tres indicadores sólidos de dirección.
Ejemplos concretos en los que la dirección casi con certeza se aplica:
| Escenario | ¿Se Aplica el RGPD Conforme al Art. 3(2)(a)? |
|---|---|
| Minorista de comercio electrónico de EE. UU. envía a Alemania y Francia; el pago acepta euros | Casi con certeza sí |
| SaaS de EE. UU. cuya página de precios indica "Para clientes de la UE, el IVA se añade al finalizar la compra" | Casi con certeza sí |
| Servicio de suscripción de EE. UU. ejecuta campañas publicitarias en Facebook o Google geodirigidas a Estados miembros de la UE | Casi con certeza sí |
| Aplicación de EE. UU. añade una versión en alemán de su producto | Casi con certeza sí |
| Sitio de noticias de EE. UU. usa solo inglés, no tiene precios, envíos ni publicidad específicos de la UE | Improbable por sí solo |
| Sitio web de un bufete de EE. UU. con un formulario de contacto solo en inglés, sin servicios dirigidos a la UE | Improbable por sí solo |
| Bloguero de EE. UU. cuyas publicaciones son accesibles globalmente sin funciones dirigidas a la UE | Improbable por sí solo |
La distinción clave es la intención más la capacidad. La accesibilidad sin intención de dirección queda fuera del artículo 3(2)(a). El alcance dirigido o la infraestructura construida para atender a usuarios de la UE cruza la línea.
Activador 2: La Prueba de Control Conforme al Artículo 3(2)(b)
El segundo activador es el control conductual. El considerando 24 del RGPD explica que esto cubre el seguimiento de residentes de la UE en línea, particularmente el uso de técnicas de elaboración de perfiles para analizar o predecir preferencias, comportamientos y actitudes personales. El activador de control es más amplio de lo que parece a primera vista: no requiere una dirección intencionada de usuarios de la UE. Si su infraestructura técnica recopila datos a nivel individual de personas que se encuentran en la UE y utiliza esos datos para tomar decisiones sobre ellas, el activador de control puede aplicarse independientemente del análisis de dirección.
Las Directrices 3/2018 del CEPD enfatizan que "control" requiere un elemento de seguimiento del comportamiento de una persona a lo largo del tiempo. Es menos probable que la recopilación puntual de una dirección IP en un registro de acceso, sin ninguna elaboración de perfiles o uso posterior, constituya control. El seguimiento persistente mediante cookies, píxeles, huellas digitales de dispositivos o tecnologías de seguimiento entre sitios normalmente sí lo hace.
Actividades que comúnmente activan la prueba de control para empresas de EE. UU.:
- Instalar píxeles publicitarios o de reorientación de terceros (etiquetas de conversión de Google Ads, Meta Pixel, LinkedIn Insight Tag) en un sitio web visitado por usuarios de la UE, donde esos píxeles recopilan direcciones IP y comportamiento de navegación para crear segmentos de audiencia.
- Ejecutar analítica web (incluida la analítica autoalojada) configurada para capturar y conservar direcciones IP o identificadores de dispositivo a nivel individual de visitantes de la UE a lo largo del tiempo.
- Usar una plataforma de datos de clientes (CDP) que combina el historial de navegación, los patrones de compra y los datos de apertura de correos electrónicos de usuarios de la UE en un perfil conductual para dirigir o personalizar contenido posteriormente.
- Operar una aplicación móvil que registra los datos de ubicación o el comportamiento dentro de la aplicación de usuarios de la UE a lo largo del tiempo.
- Ejecutar un programa de recompensas o fidelización que rastrea el historial de compras de miembros de la UE y envía ofertas dirigidas basadas en ese historial.
- Usar una herramienta de enriquecimiento de CRM que combina datos de contacto individuales de la UE con señales conductuales de terceros.
Una empresa de EE. UU. no necesita saber que un usuario específico está en la UE para que se aplique el activador de control. Si la tecnología utilizada recopila datos a nivel individual de residentes de la UE y esos datos se tratan para tomar decisiones sobre ellos, se cumple el activador. El CEPD señala explícitamente que el seguimiento del comportamiento de los interesados "en la medida en que su comportamiento tenga lugar dentro de la Unión" se centra en el lugar donde ocurre el comportamiento rastreado, no en el lugar donde se realiza el tratamiento.
La Tabla de Escenarios: ¿Se Aplica el RGPD?
| Escenario | Art. 3(2)(a) Dirección | Art. 3(2)(b) Control | ¿Se Aplica el RGPD? |
|---|---|---|---|
| Minorista de EE. UU. envía a la UE, pago en euros | Sí | Depende de la analítica | Sí |
| SaaS de EE. UU. con base de suscriptores en la UE y página de precios específica de la UE | Sí | Probable (analítica de uso) | Sí |
| Empresa de ad-tech de EE. UU. que ejecuta píxeles de reorientación sobre usuarios de la UE | Improbable por sí solo | Sí (elaboración de perfiles) | Sí |
| Empresa de EE. UU. sin clientes en la UE pero con GA4 recopilando IP de la UE para elaboración de perfiles | No | Posiblemente | Posiblemente (evaluar la configuración de analítica) |
| Bloguero de EE. UU., solo en inglés, sin envíos a la UE, sin publicidad dirigida a la UE, sin elaboración de perfiles analíticos de la UE | No | No | No |
| Empresa de EE. UU. con una filial de ventas en Alemania | Establecimiento del art. 3(1) | Establecimiento del art. 3(1) | Sí (art. 3(1)) |
Artículo 27: El Requisito del Representante en la UE
Una vez que el artículo 3(2) atrae a una empresa de EE. UU. al ámbito del RGPD, el artículo 27(1) impone una obligación estructural: la empresa debe designar por escrito un representante establecido en uno de los Estados miembros de la UE donde se encuentren los interesados de la empresa.
El papel del representante en la UE es sustantivo, no ceremonial. El representante actúa como el punto de contacto local de la empresa tanto para los interesados como para las autoridades de control. Los residentes de la UE pueden ejercer sus derechos del RGPD (acceso, rectificación, supresión, portabilidad, oposición) directamente a través del representante. Cualquier autoridad de control de la UE puede dirigir correspondencia de aplicación, órdenes administrativas y procedimientos al representante. Conforme al artículo 27(4), la designación no exime al responsable ni al encargado de ninguna responsabilidad conforme al RGPD; el representante actúa además de, no en lugar de, la empresa de EE. UU.
El representante debe estar establecido (tener una presencia real, no solo una dirección registrada) en un Estado miembro de la UE, no meramente en el EEE. Esta distinción importa: Noruega, Islandia y Liechtenstein han adoptado el RGPD como Estados del EEE, y una presencia únicamente en el EEE (por ejemplo, un representante en Noruega) no satisface el artículo 27 a efectos de las autoridades de control de la UE, aunque el CEPD ha señalado en la práctica que los representantes con base en el EEE generalmente son aceptables dada la aplicación del RGPD en el EEE. Las empresas de EE. UU. deben confirmar con su asesoría jurídica si un Estado del EEE cumple los requisitos para su situación específica.
La identidad y los datos de contacto del representante del artículo 27 deben divulgarse en el aviso de privacidad de la empresa. Los interesados deben poder contactar al representante. Existen servicios comerciales de representación en todos los principales Estados miembros de la UE específicamente para este fin; el costo suele oscilar entre unos pocos cientos y unos pocos miles de euros al año, muy por debajo de la exposición a multas por omitir el requisito.
La Excepción Restringida del Artículo 27(2)
No todas las empresas de EE. UU. que cumplen el artículo 3(2) deben designar un representante. El artículo 27(2)(a) excluye el tratamiento que sea simultáneamente: (a) ocasional (no rutinario ni continuo); (b) no incluya el tratamiento a gran escala de datos de categoría especial conforme al artículo 9(1) (datos de salud, biométricos, genéticos, origen racial o étnico, creencias religiosas o filosóficas, opiniones políticas, afiliación sindical, orientación sexual o condenas penales); y (c) sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines del tratamiento. Las autoridades públicas también están exentas conforme al artículo 27(2)(b).
Esta excepción es restringida en la práctica. La mayoría de las empresas de EE. UU. que operan un sitio web con cookies publicitarias, una lista de correo de marketing, una aplicación móvil o analítica conductual no calificarán. Su tratamiento es continuo (no ocasional) e implica un seguimiento persistente a nivel individual. Un investigador académico de EE. UU. que realizó una encuesta anónima puntual a participantes de la UE podría calificar; una empresa de SaaS de EE. UU. con una base recurrente de clientes en la UE no calificará.
No designar un representante requerido conforme al artículo 27 es una infracción del nivel 1 (artículo 83(4)), exponiendo a la empresa a hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor.
El RGPD y las Leyes Estatales de Privacidad de EE. UU.: Cómo Interactúan
Muchas empresas de EE. UU. sujetas al RGPD también están cubiertas por leyes estatales de privacidad de EE. UU., principalmente la Ley de Privacidad del Consumidor de California (CCPA), modificada y reforzada por la Ley de Derechos de Privacidad de California (CPRA, vigente desde el 1 de enero de 2023). El régimen CCPA/CPRA y el RGPD comparten un ADN conceptual (ambos exigen avisos de privacidad, derechos de los interesados y gobernanza de flujos de datos), pero difieren en varios aspectos importantes que requieren un trabajo de cumplimiento diferenciado en lugar de un único programa unificado.
Base jurídica frente al modelo de exclusión. El RGPD exige una base jurídica para cada actividad de tratamiento antes de que comience el tratamiento (inclusión voluntaria por defecto). La CCPA/CPRA usa un modelo diferente: el tratamiento generalmente está permitido, pero los consumidores tienen derecho a excluirse de la venta o el intercambio de su información personal. El estándar de consentimiento del RGPD conforme al artículo 7 exige una indicación de acuerdo libre, específica, informada e inequívoca; el consentimiento de la CCPA para datos sensibles requiere inclusión voluntaria, pero el mecanismo general de "venta/intercambio" usa una exclusión voluntaria destacada. Una empresa de EE. UU. no puede satisfacer el requisito de base jurídica del RGPD simplemente proporcionando un mecanismo de exclusión voluntaria de la CCPA.
Alcance de los derechos de los interesados. Ambos regímenes otorgan derechos de acceso, supresión y portabilidad. El RGPD además prevé el derecho de oposición conforme al artículo 21 y el derecho a la limitación del tratamiento conforme al artículo 18, que no tienen un equivalente directo en la CCPA/CPRA. El RGPD también otorga derechos sobre la toma de decisiones automatizada conforme al artículo 22 que van más allá de la exclusión de elaboración de perfiles de la CCPA.
Definiciones de datos sensibles. La CPRA añadió una categoría de "información personal sensible" (SPI) con requisitos de consentimiento de inclusión voluntaria para ciertos usos. Las categorías especiales del artículo 9 del RGPD son similares pero no idénticas. Por ejemplo, la CPRA incluye números de identificación gubernamental, geolocalización precisa y afiliación sindical como SPI; el RGPD incluye el origen racial o étnico, las creencias religiosas y los datos de salud. Una empresa debe mapear sus tipos de datos frente a ambas definiciones por separado.
Umbrales de alcance. La CCPA/CPRA se aplica a empresas con fines de lucro que cumplen uno de tres umbrales: ingresos brutos anuales superiores a 25 millones de dólares; comprar, vender o compartir anualmente información personal de 100 000 o más consumidores u hogares; o derivar el 50% o más de los ingresos anuales de la venta o el intercambio de información personal. El RGPD no tiene umbral de ingresos ni de volumen; cualquier empresa que cumpla las pruebas del artículo 3(2) está cubierta independientemente de su tamaño, con sujeción a obligaciones más restringidas para encargados más pequeños conforme a ciertos artículos.
Encargado del tratamiento frente a proveedor de servicios. El artículo 28 del RGPD usa el término "encargado del tratamiento" para los proveedores que tratan datos en nombre de un responsable. La CCPA/CPRA usa "proveedor de servicios". Ambos exigen un contrato escrito que especifique el alcance del tratamiento, pero los términos contractuales exigidos difieren. Un acuerdo combinado de encargo de tratamiento/acuerdo de proveedor de servicios que satisfaga ambos es alcanzable pero requiere una redacción cuidadosa.
Implicación práctica. Una empresa de EE. UU. de tamaño mediano con usuarios en la UE y clientes o empleados con base en California debería tratar el RGPD y la CCPA/CPRA como dos programas de cumplimiento paralelos con una base compartida de mapeo de datos y gestión de proveedores, no como un único ejercicio. Los pasos de auditoría se solapan (inventario de datos, contratos con proveedores, actualización del aviso de privacidad, flujo de trabajo de derechos de los interesados), pero los estándares jurídicos sustantivos divergen en las capas de base jurídica y consentimiento.
Para la comparación completa, consulte la guía de comparación RGPD vs. CCPA.
Transferencias de Datos UE-EE. UU.: El DPF y las CCT de 2021
Cuando una empresa de EE. UU. recibe datos personales de una entidad de la UE (un cliente, socio o proveedor), surge una cuestión jurídica separada: el capítulo V del RGPD (artículos 44 a 49) exige un mecanismo de transferencia lícito para los datos personales que fluyen de la UE a un tercer país, incluido Estados Unidos. La sentencia Schrems II del TJUE (Comisionado de Protección de Datos contra Facebook Ireland, asunto C-311/18, 16 de julio de 2020) invalidó el mecanismo predecesor Privacy Shield, dejando un vacío hasta que se adoptó el actual DPF.
Actualmente hay disponibles dos herramientas principales.
El Marco de Privacidad de Datos UE-EE. UU. (DPF)
El 10 de julio de 2023, la Comisión Europea adoptó su decisión de adecuación para el Marco de Privacidad de Datos UE-EE. UU. como Decisión de Ejecución (UE) 2023/1795 de la Comisión, conforme al artículo 45(3) del RGPD. La decisión de adecuación concluye que Estados Unidos garantiza un nivel adecuado de protección para los datos personales transferidos a organizaciones de EE. UU. certificadas por el DPF. Esto significa que las empresas y personas de la UE pueden transferir datos personales a una empresa de EE. UU. certificada sin ejecutar un contrato de transferencia separado ni realizar una Evaluación de Impacto de la Transferencia para esa transferencia específica.
El DPF está administrado por el Departamento de Comercio de EE. UU. Una empresa de EE. UU. se autocertifica anualmente ante el Departamento de Comercio, comprometiéndose con los siete Principios del DPF: Aviso, Elección, Responsabilidad por la Transferencia Posterior, Seguridad, Integridad de los Datos y Limitación de la Finalidad, Acceso, y Recurso, Aplicación y Responsabilidad. La certificación es pública: el Departamento de Comercio mantiene una lista consultable de organizaciones certificadas en dataprivacyframework.gov que las empresas de la UE pueden consultar para verificar el estado de un socio de EE. UU.
La elegibilidad para la certificación del DPF se limita a organizaciones de EE. UU. sujetas a la jurisdicción de la Comisión Federal de Comercio o del Departamento de Transporte de EE. UU. Esto cubre a la mayoría de las empresas privadas de EE. UU. Sin embargo, las instituciones financieras reguladas exclusivamente bajo la GLBA, los operadores de telecomunicaciones sujetos a la jurisdicción de la FCC y ciertas organizaciones sin fines de lucro pueden no calificar. Cualquier empresa que no esté segura de su elegibilidad debe confirmarlo con el Departamento de Comercio o con asesoría jurídica antes de comprometerse con el DPF como su mecanismo de transferencia.
Conforme a la decisión de adecuación del DPF, las personas de la UE cuyos datos se transfieren a una empresa de EE. UU. certificada por el DPF cuentan con cuatro niveles de recurso: (1) reclamación directa ante la organización certificada (que debe responder en un plazo de 45 días); (2) resolución independiente de disputas a través de uno de los organismos aprobados por el DPF; (3) arbitraje vinculante a través del Panel del DPF para reclamaciones residuales no resueltas; y (4) la Junta de Supervisión de la Privacidad y las Libertades Civiles (PCLOB) para reclamaciones sobre el acceso del gobierno de EE. UU. a los datos transferidos, un mecanismo insertado específicamente para abordar las preocupaciones de seguridad nacional que llevaron al TJUE a invalidar Privacy Shield.
La estabilidad a largo plazo del DPF enfrenta un escrutinio jurídico continuo. La autoridad francesa de protección de datos (CNIL) y otras han señalado que persisten las diferencias estructurales entre el derecho de vigilancia de la UE y el de EE. UU., y son posibles futuras impugnaciones ante el TJUE. La decisión de adecuación está sujeta a revisión periódica por parte de la Comisión Europea. Las empresas de EE. UU. que deseen un mecanismo de transferencia menos dependiente de la durabilidad política de una única decisión de adecuación también deberían ejecutar las CCT de 2021 como medida de refuerzo adicional.
Para un análisis detallado del riesgo litigioso del DPF y el mecanismo de la PCLOB, consulte la guía de transferencias internacionales de datos del RGPD.
Cláusulas Contractuales Tipo de 2021
Las empresas de EE. UU. que no están certificadas por el DPF, o que prefieren un mecanismo contractual, usan las Cláusulas Contractuales Tipo de 2021 establecidas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021. Las CCT de 2021 reemplazan las decisiones de CCT de 2001 y 2010 previas al RGPD; esas cláusulas antiguas ya no pueden usarse para nuevas transferencias.
Las CCT de 2021 usan una estructura modular de cuatro módulos que se corresponde con diferentes relaciones de transferencia:
- Módulo 1 (Responsable a responsable): la empresa de EE. UU. recibe datos personales de la UE de un responsable de la UE y los trata para sus propios fines. Ejemplo: una firma de analítica de datos de EE. UU. que recibe datos de segmentación de clientes de una marca de la UE para un análisis independiente.
- Módulo 2 (Responsable a encargado): la empresa de EE. UU. trata datos personales de la UE estrictamente en nombre de un responsable de la UE. Ejemplo: un proveedor de alojamiento en la nube, una plataforma de entrega de correo electrónico o una herramienta de automatización de marketing de EE. UU. que actúa como encargado para una empresa de la UE.
- Módulo 3 (Encargado a subencargado): la empresa de EE. UU. actúa como subencargada contratada por un encargado de la UE. Ejemplo: un centro de datos de EE. UU. usado por un proveedor de nube de la UE.
- Módulo 4 (Encargado a responsable): la empresa de EE. UU., actuando como encargada, envía datos de vuelta a su responsable en la UE. Este es el escenario menos común.
Elegir el módulo incorrecto es en sí mismo un fallo de cumplimiento. Una empresa de EE. UU. que recibe datos de la UE de un socio comercial de la UE debe caracterizar correctamente si actúa como responsable o como encargado de esa actividad de tratamiento antes de ejecutar las CCT.
Las CCT de 2021 también exigen a las partes completar una Evaluación de Impacto de la Transferencia (TIA), en la que el importador de datos de EE. UU. evalúa si el derecho de EE. UU. (incluidas las autoridades de seguridad nacional como la sección 702 de la FISA y la orden ejecutiva 12333) entra en conflicto con sus obligaciones conforme a las CCT. El importador debe notificar al exportador de la UE si no puede cumplir con las CCT y debe acordar medidas complementarias (cifrado, seudonimización, restricciones contractuales de acceso) cuando el derecho de EE. UU. cree un vacío. Los interesados son terceros beneficiarios de las CCT y pueden hacer valer las cláusulas contra cualquiera de las partes.
Normas Corporativas Vinculantes para Grupos Multinacionales
Un tercer mecanismo de transferencia, las Normas Corporativas Vinculantes (NCV), está disponible para grupos corporativos multinacionales que transfieren datos internamente a través de fronteras. Las NCV requieren la aprobación de una autoridad de control principal y tardan meses en obtenerse. Son prácticas únicamente para grandes multinacionales con transferencias transfronterizas intragrupo sustanciales y continuas. Para la mayoría de las empresas de EE. UU., la autocertificación del DPF o las CCT de 2021 son la opción operativa.
Aplicación del RGPD Contra Empresas de EE. UU.: Ejemplos Reales
Las multas del artículo 83 del RGPD se aplican a empresas ajenas a la UE en las mismas condiciones que a las entidades establecidas en la UE. Varias acciones sancionadoras emblemáticas involucraron directamente a empresas con sede u origen en EE. UU.
Meta Platforms (DPC de Irlanda, mayo de 2023): la Comisión de Protección de Datos de Irlanda (DPC) impuso una multa de 1200 millones de euros a Meta Platforms Ireland por transferir datos de usuarios de la UE a servidores de EE. UU. de Meta bajo CCT, sin medidas complementarias adecuadas para abordar el vacío de la legislación de vigilancia de EE. UU. identificado en Schrems II. Esta es la multa individual del RGPD más grande registrada a mediados de 2026 e involucró a una empresa de origen estadounidense con un establecimiento en la UE (se aplicó el artículo 3(1) a través de la filial irlandesa). La DPC también ordenó a Meta suspender las transferencias de datos UE-EE. UU.
WhatsApp Ireland (DPC de Irlanda, septiembre de 2021): la DPC multó a WhatsApp con 225 millones de euros por infracciones de transparencia, específicamente por no proporcionar a los usuarios de la UE información suficientemente clara sobre cómo se compartían sus datos entre WhatsApp y otras empresas de Meta. Este caso se tramitó bajo el mecanismo de ventanilla única con el establecimiento en la UE de Meta como responsable principal.
Amazon Europe (CNPD de Luxemburgo, julio de 2021): la Comisión Nacional de Protección de Datos de Luxemburgo multó a Amazon con 746 millones de euros por tratar datos de publicidad conductual de usuarios de la UE sin una base jurídica válida, específicamente por la orientación publicitaria construida en torno al historial de navegación y compras de los usuarios. Amazon es una empresa de EE. UU. que opera a través de entidades de la UE; la CNPD actuó como autoridad principal dado que la sede europea de Amazon está en Luxemburgo.
Google LLC (CNIL de Francia, enero de 2022): la CNIL multó a Google LLC (la entidad matriz de EE. UU.) con 150 millones de euros por instalar cookies publicitarias en los dispositivos de los usuarios sin consentimiento válido y por dificultar más el proceso de rechazo de cookies que el de aceptación. Esta multa se dirigió a la empresa matriz de EE. UU., no solo a su filial en la UE.
Google Ireland (DPC de Irlanda, múltiples): la DPC ha llevado a cabo múltiples investigaciones contra Google Ireland, que abarcan la conservación de datos de analítica y las prácticas de publicidad dirigida.
Estas acciones sancionadoras demuestran varios puntos que las empresas de EE. UU. deben interiorizar. Primero, las multas se evalúan contra la empresa en su conjunto, incluidas las entidades matrices de EE. UU. Segundo, los mecanismos de aplicación contra entidades ajenas a la UE incluyen dirigir la aplicación a través de representantes en la UE y aplicar presión comercial ordenando a las entidades de la UE que suspendan las transferencias a socios de EE. UU. no conformes. Tercero, el mecanismo de ventanilla única significa que la elección de la ubicación del establecimiento en la UE de una empresa de EE. UU. determina qué autoridad de control lidera las investigaciones transfronterizas, y la DPC de Irlanda y la CNPD de Luxemburgo se han convertido en autoridades principales particularmente activas para las grandes empresas tecnológicas.
La Lista Completa de Verificación de Cumplimiento del RGPD para Empresas de EE. UU.
Establecer que el RGPD se aplica es la puerta de entrada, no la línea de meta. Una empresa de EE. UU. dentro del ámbito del artículo 3(2) debe satisfacer todo el conjunto de obligaciones del RGPD como responsable del tratamiento:
Paso 1: Designar un representante en la UE conforme al artículo 27. Designación por escrito, presencia en un Estado miembro de la UE, identidad divulgada en el aviso de privacidad. Excepción: solo si la excepción restringida del artículo 27(2) realmente se aplica.
Paso 2: Realizar un ejercicio de mapeo de datos. Identifique cada categoría de datos personales de la UE tratados, el propósito de cada actividad de tratamiento, la base jurídica invocada, el período de conservación y cualquier encargado o destinatario externo. Esto alimenta los registros de actividades de tratamiento del artículo 30.
Paso 3: Establecer bases jurídicas para cada actividad de tratamiento. Conforme al artículo 6(1), cada actividad de tratamiento debe apoyarse en una de seis bases jurídicas: consentimiento, contrato, obligación legal, intereses vitales, tarea pública o interés legítimo (que requiere una prueba de ponderación). Las actividades de marketing normalmente requieren consentimiento. La base jurídica de ejecución de contrato se aplica cuando el tratamiento es necesario para ejecutar un contrato con el interesado. El interés legítimo requiere una prueba documentada de tres partes: el interés es legítimo, el tratamiento es necesario para él, y los intereses y derechos del interesado no prevalecen.
Paso 4: Actualizar el aviso de privacidad. El aviso de información de los artículos 13/14 debe divulgar: la identidad y los datos de contacto del responsable y (si corresponde) del representante en la UE; los fines y las bases jurídicas de cada actividad de tratamiento; cualquier transferencia a terceros países y el mecanismo utilizado; los períodos de conservación; y los derechos del interesado (acceso, rectificación, supresión, limitación, portabilidad, oposición y el derecho a presentar una reclamación ante una autoridad de control).
Paso 5: Construir un flujo de trabajo de derechos de los interesados (DSR). El RGPD otorga a los residentes de la UE el derecho a acceder a sus datos (art. 15), corregirlos (art. 16), suprimirlos (art. 17), limitar el tratamiento (art. 18), recibir una copia portable (art. 20) y oponerse al tratamiento (art. 21). Las solicitudes generalmente deben responderse dentro de un mes natural, con una posible extensión de dos meses para solicitudes complejas. No se permite ningún cargo por la primera solicitud de cada año.
Paso 6: Realizar una auditoría de cookies y consentimiento. La mayoría de los sitios web de empresas de EE. UU. instalan cookies de publicidad y analítica que requieren un consentimiento válido conforme al RGPD (libre, específico, informado, inequívoco y tan fácil de retirar como de otorgar) antes de su activación. El CEPD y múltiples autoridades de control han confirmado que las casillas premarcadas, el consentimiento agrupado y los "muros de consentimiento" (exigir el consentimiento para acceder al sitio) no satisfacen el consentimiento del RGPD. Un enfoque de gestión de consentimiento conforme requiere un aviso por capas con opciones de inclusión granulares y un mecanismo para retirar el consentimiento en cualquier momento.
Paso 7: Ejecutar contratos de encargo conforme al artículo 28. Cada proveedor o subcontratista que trate datos personales de la UE en nombre de la empresa (almacenamiento en la nube, entrega de correo electrónico, CRM, analítica, herramientas de soporte) requiere un contrato de encargo de tratamiento por escrito conforme al artículo 28(3) que especifique el alcance del tratamiento, las instrucciones, las obligaciones de seguridad, las normas de subencargo, los derechos de auditoría y las obligaciones de devolución o eliminación al finalizar el contrato.
Paso 8: Elegir un mecanismo de transferencia de datos. Si la empresa recibe datos personales de la UE de entidades o personas de la UE, verifique si la empresa está certificada por el DPF o si existen CCT de 2021 vigentes para cada relación de transferencia relevante.
Paso 9: Establecer un procedimiento de notificación de violaciones de seguridad. El artículo 33 exige la notificación a la autoridad de control competente dentro de las 72 horas siguientes a tener conocimiento de una violación de la seguridad de los datos personales, salvo que sea improbable que la violación entrañe un riesgo para las personas físicas. El plazo de 72 horas comienza cuando el equipo interno de la empresa tiene conocimiento de la violación, no cuando finaliza la investigación forense. Se puede presentar una notificación preliminar dentro de las 72 horas con más detalles a seguir.
Paso 10: Evaluar si se requiere un Delegado de Protección de Datos (DPD). El artículo 37 del RGPD exige un DPD para: autoridades públicas; empresas cuyas actividades principales requieran un seguimiento de personas a gran escala, habitual y sistemático; y empresas cuyas actividades principales impliquen un tratamiento a gran escala de datos de categoría especial (salud, biométricos, genéticos, penales). La mayoría de las empresas de EE. UU. dedicadas a SaaS estándar, comercio electrónico o servicios profesionales no alcanzarán el umbral del DPD, pero las empresas que operan plataformas de ad-tech, tecnología sanitaria o analítica de recursos humanos a gran escala deben evaluarlo cuidadosamente.
Paso 11: Realizar Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) cuando sea necesario. El artículo 35 exige una EIPD antes de comenzar cualquier tratamiento que probablemente entrañe un alto riesgo para las personas físicas, incluida la elaboración de perfiles a gran escala, el seguimiento sistemático de zonas de acceso público y el tratamiento de datos de categoría especial a escala.
Paso 12: Mantener registros de las actividades de tratamiento conforme al artículo 30. Los responsables deben mantener un registro escrito de todas las actividades de tratamiento, disponible para las autoridades de control a solicitud. La excepción del artículo 30(5) para empresas con menos de 250 empleados es restringida y no se aplica si el tratamiento es continuo, supone riesgos para los interesados o implica datos de categoría especial.
Descargo de responsabilidad: Este artículo presenta información legal general sobre el ámbito territorial del RGPD y su aplicación a empresas con sede en EE. UU. No es asesoramiento legal y no crea una relación abogado-cliente. Las determinaciones de cumplimiento del RGPD dependen de los hechos específicos de cómo su organización trata los datos personales. Consulte a un abogado o profesional de la protección de datos autorizado en su jurisdicción para obtener asesoramiento sobre su situación específica. Información verificada a fecha de junio de 2026.
Preguntas frecuentes
¿Se aplica el RGPD a las empresas de EE. UU.?
Sí, el RGPD se aplica a las empresas de EE. UU. que cumplan cualquiera de las pruebas del artículo 3(2): la empresa ofrece bienes o servicios a personas en la UE (incluso de forma gratuita), o controla el comportamiento de personas en la UE, por ejemplo mediante píxeles publicitarios, elaboración de perfiles analíticos o seguimiento de ubicación. No se requiere presencia física ni establecimiento en la UE. El análisis se centra en si la empresa dirige intencionadamente sus actividades a usuarios de la UE o controla técnicamente su comportamiento mientras se encuentran en la Unión.
¿Mi sitio web de EE. UU. debe cumplir con el RGPD?
Depende de si su sitio web cumple alguno de los activadores del artículo 3(2). Si su sitio web acepta pagos en euros, ofrece envíos a la UE, ejecuta publicidad dirigida a la UE, o usa cookies de analítica o publicitarias que rastrean a visitantes individuales de la UE a lo largo del tiempo, es probable que se aplique el RGPD. El considerando 23 deja claro que la mera accesibilidad del sitio web en la UE no es suficiente: un sitio solo en inglés y dirigido únicamente a EE. UU., sin funciones orientadas a la UE, opciones de pago de la UE ni publicidad dirigida a la UE, es improbable que active el RGPD por sí solo, incluso si residentes de la UE lo visitan ocasionalmente.
¿Qué es un representante en la UE conforme al artículo 27 y necesita uno mi empresa de EE. UU.?
Un representante conforme al artículo 27 es una persona física u organización establecida en un Estado miembro de la UE que una empresa ajena a la UE designa como su punto de contacto local para los interesados y las autoridades de control. Su empresa de EE. UU. necesita uno si el artículo 3(2) se aplica a su tratamiento y no se aplica la excepción restringida del artículo 27(2): esa excepción cubre únicamente el tratamiento que es ocasional, no implica datos de categoría especial a gran escala y supone un riesgo mínimo para los interesados. La mayoría de las empresas de EE. UU. con una base continua de clientes en la UE, una lista de marketing o un programa de analítica deben designar un representante. No hacerlo es una infracción del nivel 1 conforme al artículo 83(4), con multas de hasta 10 millones de euros o el 2% de la facturación anual global.
¿Puede la UE multar a una empresa de EE. UU. sin activos en la UE?
Sí. Las multas del RGPD se evalúan contra la empresa y pueden hacerse cumplir de varias maneras: a través del representante del artículo 27, mediante órdenes que dirigen a socios con base en la UE a suspender las transferencias de datos a la empresa de EE. UU. no conforme, y mediante mecanismos transfronterizos de aplicación legal. Las autoridades de control de la UE han impuesto multas que superan los 1000 millones de euros contra empresas con sede en EE. UU. que operan a través de filiales en la UE. Es más difícil cobrar a una empresa de EE. UU. que opera enteramente sin activos en la UE, pero las consecuencias reputacionales y comerciales de una orden de aplicación que bloquea las transferencias de datos a la UE son graves de todos modos.
¿Cuál es la diferencia entre el RGPD y la CCPA para una empresa de EE. UU.?
El RGPD exige una base jurídica para cada actividad de tratamiento antes de que comience (un modelo de permiso previo), mientras que la CCPA/CPRA usa un modelo de exclusión voluntaria posterior para la venta o el intercambio de información personal. El estándar de consentimiento del RGPD exige una indicación de acuerdo libre, específica, informada e inequívoca; el marco general de la CCPA permite el tratamiento a menos que el consumidor se excluya de la venta o el intercambio. El RGPD se aplica a cualquier empresa que dirija sus actividades o controle a residentes de la UE, independientemente de los ingresos; la CCPA/CPRA se aplica a empresas con fines de lucro de California que cumplen umbrales específicos de ingresos o volumen de datos. Una empresa con exposición tanto en la UE como en California necesita ambos programas de cumplimiento, aunque la base de mapeo de datos y gestión de proveedores puede compartirse.
¿Qué es el Marco de Privacidad de Datos UE-EE. UU. y cómo funciona la autocertificación?
El Marco de Privacidad de Datos UE-EE. UU. (DPF) es un mecanismo de adecuación adoptado por la Comisión Europea el 10 de julio de 2023 (Decisión 2023/1795). Permite a las entidades de la UE transferir datos personales a organizaciones de EE. UU. autocertificadas sin ejecutar Cláusulas Contractuales Tipo para cada transferencia. Una empresa de EE. UU. se autocertifica anualmente ante el Departamento de Comercio de EE. UU. comprometiéndose con los siete Principios del DPF (Aviso, Elección, Responsabilidad por la Transferencia Posterior, Seguridad, Integridad de los Datos y Limitación de la Finalidad, Acceso, y Recurso, Aplicación y Responsabilidad). La certificación se limita a empresas bajo la jurisdicción de la FTC o del Departamento de Transporte. Las organizaciones certificadas por el DPF figuran públicamente en dataprivacyframework.gov.
¿Significa la certificación del DPF que una empresa de EE. UU. cumple plenamente con el RGPD?
No. La certificación del DPF aborda únicamente el mecanismo de transferencia de datos: permite que los datos personales de la UE fluyan lícitamente a la empresa de EE. UU. certificada sin ejecutar CCT para cada transferencia. No sustituye el cumplimiento pleno del RGPD. Una empresa de EE. UU. certificada por el DPF aún debe tener una base jurídica para cada actividad de tratamiento, proporcionar un aviso de privacidad conforme a los artículos 13/14, responder a las solicitudes de derechos de los interesados, mantener registros del artículo 30, ejecutar contratos de encargo del artículo 28 con los proveedores y satisfacer todas las demás obligaciones del RGPD. El DPF es una solución de derecho de transferencia, no una insignia general de cumplimiento del RGPD.
¿Qué autoridad de control de la UE tiene jurisdicción sobre una empresa de EE. UU.?
Una empresa ajena a la UE sin establecimiento en la UE está sujeta a la jurisdicción de cualquier autoridad de control de un Estado miembro de la UE donde se encuentren sus interesados. Si una empresa de EE. UU. designa un representante conforme al artículo 27 en, por ejemplo, Irlanda, la Comisión de Protección de Datos de Irlanda tiene jurisdicción principal para los asuntos que surjan a través del representante. Sin un representante, cualquier autoridad de control de un Estado miembro donde residan los interesados afectados puede abrir una investigación. Esto difiere del mecanismo de ventanilla única disponible para los responsables establecidos en la UE, donde una única autoridad principal coordina la aplicación transfronteriza.
¿Deben las empresas de EE. UU. B2B cumplir con el RGPD para contactos comerciales de la UE?
Sí, si tratan datos personales de personas físicas de empresas de la UE. El RGPD protege a las personas físicas, no a las entidades jurídicas. Los contactos comerciales individuales (nombres, direcciones de correo electrónico laborales, números de marcación directa de empleados de empresas de la UE) son datos personales conforme al RGPD porque identifican a una persona física. Una plataforma de SaaS, una herramienta de automatización de marketing o un equipo de ventas salientes de EE. UU. que trata datos de contacto de empleados de la UE para prospección, alcance o fines de CRM puede estar cubierto bajo la prueba de dirección (si se dirige deliberadamente a empresas de la UE) o la prueba de control (si los datos de contacto se usan para elaboración de perfiles o seguimiento conductual). La exención para datos de contacto empresarial que existe en algunas leyes nacionales de protección de datos no existe en el RGPD.
¿Cuáles son las multas del RGPD más grandes contra empresas de EE. UU.?
La más grande registrada a mediados de 2026 es la multa de 1200 millones de euros contra Meta Platforms por la DPC de Irlanda en mayo de 2023, por transferir datos de usuarios de la UE a servidores de EE. UU. sin garantías adecuadas. La CNPD de Luxemburgo multó a Amazon con 746 millones de euros en julio de 2021 por tratar datos publicitarios de usuarios de la UE sin una base jurídica válida. La DPC de Irlanda multó a WhatsApp con 225 millones de euros en septiembre de 2021 por infracciones de transparencia. La CNIL de Francia multó a Google LLC con 150 millones de euros en enero de 2022 por prácticas de consentimiento de cookies que dificultaban más el rechazo que la aceptación. Estas acciones involucraron a empresas con sede en EE. UU. que operan a través de filiales en la UE.
Fuentes y referencias
- RGPD, artículos 3, 27, 83 y considerandos 23-24 (Reglamento (UE) 2016/679)(eur-lex.europa.eu)
- Directrices 3/2018 del CEPD sobre el Ámbito Territorial (artículo 3 del RGPD), versión 2.0, adoptadas el 12 de noviembre de 2019(edpb.europa.eu)
- Decisión de Ejecución (UE) 2023/1795 de la Comisión: Decisión de Adecuación del Marco de Privacidad de Datos UE-EE. UU., 10 de julio de 2023(eur-lex.europa.eu)
- Decisión de Ejecución (UE) 2021/914 de la Comisión: Cláusulas Contractuales Tipo para Transferencias Internacionales, 4 de junio de 2021(eur-lex.europa.eu)
- Programa del Marco de Privacidad de Datos UE-EE. UU.: Siete Principios(dataprivacyframework.gov)
- Transferencias de Datos UE-EE. UU.: Panorama de los Mecanismos Disponibles(commission.europa.eu)
- TJUE: Comisionado de Protección de Datos contra Facebook Ireland (Schrems II), asunto C-311/18, 16 de julio de 2020(curia.europa.eu)
- TJUE: Google Spain contra AEPD y Mario Costeja González, asunto C-131/12, 13 de mayo de 2014(curia.europa.eu)