Transferencias Internacionales de Datos del RGPD: CCT y Adecuación (2026)

Cada vez que una empresa dirige datos personales de la UE a un servidor fuera del Espacio Económico Europeo, a un proveedor de nube de EE. UU., una empresa de subcontratación en la India o una filial canadiense, activa una obligación legal vinculante conforme al capítulo V del RGPD. Sin un mecanismo de transferencia válido vigente antes de que los datos se muevan, esa transferencia es ilícita sin importar cuán segura sea la gestión de los datos en el destino. Si es nuevo en el marco del RGPD, comience con ¿Qué es el RGPD? antes de continuar.
Por Qué el RGPD Restringe las Transferencias Internacionales de Datos
La protección de datos personales del RGPD no se detiene en la frontera del EEE. El artículo 44 establece lo que los profesionales denominan el principio antielusión: "Solo se realizará una transferencia de datos personales que sean objeto de tratamiento o que vayan a ser objeto de tratamiento tras su transferencia a un tercer país u organización internacional cuando, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplan las condiciones establecidas en el presente capítulo, incluso en lo que respecta a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional." Sin esta norma, una organización podría eludir las obligaciones del RGPD simplemente dirigiendo los datos a través de un servidor ajeno a la UE una vez y luego enviándolos a cualquier parte del mundo.
La segunda frase del artículo 44 refuerza ese punto: "Todas las disposiciones del presente capítulo se aplicarán con el fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado." La protección sigue a los datos dondequiera que vayan. La legislación interna de privacidad del país de destino es irrelevante para el análisis. Lo que importa es si el mecanismo específico del capítulo V utilizado mantendrá un nivel de protección esencialmente equivalente al garantizado dentro de la UE para los interesados cuyos datos se están moviendo.
Las normas del capítulo V se aplican a todo responsable y todo encargado cubierto por el RGPD, independientemente del tamaño, sector o volumen de transferencia de la organización. Una startup que envía registros de clientes a un procesador de pagos de EE. UU. está sujeta a las mismas obligaciones que una multinacional que dirige datos de RR. HH. a filiales asiáticas. La cuestión del umbral es simplemente: ¿el destinatario está en un país o territorio fuera del EEE? Si es así, se aplica el capítulo V.
También vale la pena aclarar qué constituye una "transferencia". El CEPD ha confirmado en las Directrices 05/2021 que el acceso remoto por parte de un destinatario en un tercer país, un administrador de sistemas que inicia sesión desde fuera del EEE, o un técnico de soporte que recupera una copia de seguridad, cuenta como una transferencia incluso si ningún archivo se copia físicamente a través de una frontera. Los responsables deben mapear todos esos puntos de acceso al evaluar su exposición en materia de transferencias.
La Jerarquía de Decisión de Tres Niveles
El capítulo V del RGPD establece una jerarquía estructurada de herramientas de transferencia. La jerarquía debe aplicarse en orden: primero se comprueba el nivel 1 (decisiones de adecuación); solo si no existe decisión de adecuación se vuelve relevante el nivel 2 (garantías adecuadas); y solo si las opciones del nivel 2 genuinamente no están disponibles o son inviables entra en juego el nivel 3 (excepciones del artículo 49). Las autoridades de control han rechazado sistemáticamente los intentos de saltar directamente a las excepciones cuando había opciones del nivel 2 disponibles.
La siguiente tabla resume los tres niveles y los mecanismos individuales dentro de cada uno.
| Mecanismo | Artículo | Cuándo Usarlo |
|---|---|---|
| Decisión de adecuación | Art. 45 | El país de destino figura en la lista de adecuación vigente de la Comisión (no se necesita contrato) |
| Cláusulas Contractuales Tipo | Art. 46(2)(c) | Cualquier transferencia a un país no adecuado; la herramienta más común |
| Normas Corporativas Vinculantes (responsable) | Art. 47 | Transferencias intragrupo dentro de una multinacional, aprobadas por la autoridad principal |
| Normas Corporativas Vinculantes (encargado) | Art. 47 | Transferencias intragrupo en la cadena de encargados, aprobadas por la autoridad principal |
| Cláusulas contractuales ad hoc | Art. 46(3)(a) | Cláusulas específicas aprobadas por la autoridad de control para escenarios de transferencia inusuales |
| Código de conducta aprobado | Art. 46(2)(e) | Código específico de un sector aprobado conforme al art. 40 por la autoridad de control competente |
| Certificación aprobada | Art. 46(2)(f) | Mecanismo de certificación aprobado conforme al art. 42 |
| Instrumento jurídicamente vinculante (autoridades públicas) | Art. 46(2)(a) | Acuerdos de intercambio de datos de gobierno a gobierno |
| Consentimiento explícito | Art. 49(1)(a) | Transferencia ocasional y no repetitiva con consentimiento específico e informado del interesado |
| Necesidad contractual | Art. 49(1)(b) | Transferencia objetivamente necesaria para un contrato con el interesado |
| Interés público importante | Art. 49(1)(d) | Motivos de interés público reconocidos en el derecho de la UE o de un Estado miembro |
| Reclamaciones judiciales | Art. 49(1)(e) | Formulación, ejercicio o defensa de reclamaciones judiciales |
| Intereses vitales | Art. 49(1)(f) | Proteger la vida cuando el interesado es incapaz de consentir |
Nivel 1: Decisiones de Adecuación Conforme al Artículo 45
El artículo 45(1) prevé la vía de transferencia más sencilla posible: "Podrá realizarse una transferencia de datos personales a un tercer país o una organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional en cuestión garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica."
En términos prácticos, una transferencia a una jurisdicción adecuada no requiere ningún contrato específico, ninguna evaluación de riesgo ni ninguna notificación a la autoridad de control. La transferencia se trata igual que una transferencia dentro de la UE. A mediados de 2026, 17 jurisdicciones cuentan con estatus de adecuación: Andorra, Argentina, Brasil (adecuación concedida el 26 de enero de 2026), Canadá (solo organizaciones comerciales), las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, la República de Corea (diciembre de 2021), Suiza, el Reino Unido (adecuación renovada el 19 de diciembre de 2025), Estados Unidos (solo organizaciones comerciales certificadas conforme al Marco de Privacidad de Datos UE-EE. UU.), Uruguay y la Organización Europea de Patentes (julio de 2025).
Las decisiones de adecuación no son concesiones permanentes de equivalencia. El artículo 45(3) exige a la Comisión realizar una revisión periódica al menos cada cuatro años y le otorga la facultad de derogar, modificar o suspender una decisión si la protección del país en cuestión cae por debajo del estándar exigido. El artículo 45(4) exige a la Comisión supervisar los avances continuos en terceros países y organizaciones internacionales que puedan afectar al funcionamiento de las decisiones existentes. La decisión de adecuación del Reino Unido, por ejemplo, estuvo sujeta a una revisión de caducidad y fue renovada en diciembre de 2025 tras el escrutinio de los avances legislativos posteriores al brexit. La decisión de adecuación de Japón ha sido revisada y confirmada, aunque la Comisión señaló normas complementarias negociadas con la Comisión de Protección de Información Personal de Japón.
La Comisión evalúa la adecuación examinando el Estado de derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación relevante vigente (tanto general como sectorial, incluida la seguridad pública, el derecho penal y el derecho de seguridad internacional), la existencia de autoridades de control independientes con facultades de aplicación adecuadas, y los compromisos internacionales que el país ha asumido. Ningún país se declara adecuado únicamente porque haya promulgado una ley de privacidad. La Comisión también debe evaluar la aplicación en la práctica.
Para las transferencias que quedan parcialmente fuera de una decisión de adecuación, por ejemplo, las transferencias a organismos gubernamentales canadienses, que no están cubiertas por la decisión de adecuación del sector comercial de Canadá, o las transferencias a organizaciones de EE. UU. que no están certificadas por el DPF, el responsable debe usar un mecanismo del artículo 46 para esos flujos no cubiertos. Las decisiones de adecuación con frecuencia excluyen a las autoridades públicas, los organismos de aplicación de la ley o sectores específicos. Leer cuidadosamente el alcance de la decisión relevante es esencial.
Para la lista completa y actualizada de países adecuados, los textos de las decisiones y los resúmenes de alcance, consulte nuestra página dedicada a las Decisiones de Adecuación de la UE.
Nivel 2: Garantías Adecuadas Conforme al Artículo 46
Para la gran mayoría de los destinos en todo el mundo, incluidos China, India, Rusia y la mayoría de las organizaciones de EE. UU. que no están certificadas por el DPF, no existe decisión de adecuación. El artículo 46(1) ofrece la solución: "A falta de una decisión con arreglo al artículo 45, apartado 3, los responsables o encargados del tratamiento solo podrán transmitir datos personales a un tercer país u organización internacional cuando hayan ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas."
El artículo 46(2) enumera las garantías que no requieren autorización previa caso por caso de la autoridad de control, lo que significa que el responsable o encargado puede implementarlas sin solicitar la aprobación regulatoria previa: instrumentos jurídicamente vinculantes entre autoridades públicas, NCV aprobadas conforme al artículo 47, CCT adoptadas por la Comisión, cláusulas tipo adoptadas por una autoridad de control y aprobadas por la Comisión, códigos de conducta aprobados conforme al artículo 40, y certificaciones aprobadas conforme al artículo 42. Las garantías que requieren autorización previa de la autoridad de protección de datos se enumeran en el artículo 46(3): cláusulas contractuales ad hoc y acuerdos administrativos entre autoridades públicas.
Las Cláusulas Contractuales Tipo en Profundidad
Las CCT modernizadas de la Comisión se adoptaron el 4 de junio de 2021 en la Decisión de Ejecución (UE) 2021/914, publicada en el Diario Oficial de la UE en L 199/31 el 7 de junio de 2021. Reemplazaron tres conjuntos de CCT adoptados bajo la Directiva 95/46/CE predecesora (Decisiones de la Comisión 2001/497/CE y 2010/87/UE), que fueron derogadas con efecto desde el 27 de septiembre de 2021. Un período transitorio se extendió hasta el 27 de diciembre de 2022, durante el cual los contratos que se basaban en las CCT antiguas y que se habían celebrado antes del 27 de septiembre de 2021 podían seguir siendo válidos sin modificación. Después del 27 de diciembre de 2022, cualquier nueva dependencia de las CCT antiguas se volvió ilícita.
Las CCT de 2021 usan una arquitectura modular: en lugar de emitir conjuntos separados de CCT para cada escenario de transferencia, la Comisión publicó un único documento del cual las partes seleccionan el módulo aplicable. Los cuatro módulos son:
- Módulo 1 (Responsable a responsable): cubre situaciones en las que un responsable del EEE exporta datos a un responsable fuera del EEE. Cada parte es responsable de forma independiente del cumplimiento de sus propias obligaciones. Caso de uso típico: compartir datos de clientes entre dos socios comerciales.
- Módulo 2 (Responsable a encargado): el módulo más utilizado. Cubre a un responsable del EEE que contrata a un encargado fuera del EEE (por ejemplo, un proveedor de infraestructura en la nube de EE. UU. o un servicio de nómina subcontratado). El encargado solo puede actuar conforme a las instrucciones documentadas del responsable.
- Módulo 3 (Encargado a encargado): cubre a un encargado del EEE que contrata a un subencargado fuera del EEE, cuando el encargado actúa bajo las instrucciones del responsable inicial. Se requiere autorización del responsable original antes de establecer la relación de subencargo.
- Módulo 4 (Encargado a responsable): cubre a un encargado fuera del EEE que devuelve o envía datos de vuelta a su responsable dentro del EEE. Este escenario surge cuando un encargado ajeno al EEE recopila datos en nombre de un responsable del EEE (por ejemplo, una empresa de investigación de mercado de EE. UU. que trata datos de encuestados de la UE y envía los resultados de vuelta a su cliente de la UE).
Las CCT de 2021 también introdujeron un mecanismo de acoplamiento: nuevas partes pueden unirse a una relación de CCT existente cofirmando las cláusulas, evitando la necesidad de volver a ejecutar un conjunto completo de CCT cada vez que se amplía el acuerdo de tratamiento. Esto simplifica el cumplimiento para cadenas de suministro complejas.
Las partes pueden añadir garantías adicionales o términos específicos del negocio a las CCT, siempre que las adiciones no contradigan las cláusulas obligatorias ni reduzcan el nivel de protección de los interesados. No pueden eliminar ni alterar las disposiciones obligatorias.
Una adición estructural crítica en las CCT de 2021 es la cláusula 14: leyes y prácticas locales que afectan al cumplimiento de las cláusulas. La cláusula 14(a) exige a las partes garantizar que no tienen motivos para creer que las leyes y prácticas del país de destino impiden que el importador cumpla con sus obligaciones conforme a las CCT. La cláusula 14(c) impone una obligación de evaluación documentada, especificando que las partes deben evaluar si las leyes del país de destino respetan la esencia de los derechos y libertades fundamentales y no exceden lo necesario y proporcionado en una sociedad democrática. Esta cláusula codifica efectivamente el requisito de Evaluación de Impacto de la Transferencia que impuso Schrems II, convirtiéndolo en una obligación contractual expresa entre exportador e importador en lugar de una mera expectativa regulatoria.
Para orientación paso a paso sobre la selección de módulos, una plantilla de evaluación de la cláusula 14 y comentarios sobre las cláusulas clave de las CCT, consulte nuestra página dedicada a las Cláusulas Contractuales Tipo.
Las Normas Corporativas Vinculantes en Profundidad
Las NCV son códigos internos de protección de datos jurídicamente vinculantes que un grupo multinacional adopta para regir las transferencias intragrupo de datos personales desde el EEE a entidades del grupo fuera del EEE. El artículo 47(1) especifica que las NCV deben ser jurídicamente vinculantes y aplicarse y ser exigibles por todos los miembros del grupo, deben conferir expresamente derechos exigibles a los interesados en relación con el tratamiento de sus datos personales, y deben cumplir los requisitos enumerados en el artículo 47(2).
El artículo 47(2) establece una lista de contenido mínimo. Las NCV deben especificar la estructura del grupo y los datos de contacto de los miembros; las transferencias de datos, incluidas las categorías de datos, el tipo de tratamiento y la finalidad; su carácter jurídicamente vinculante; la aplicación de los principios generales de protección de datos (limitación de la finalidad, minimización de datos, conservación limitada, etc.); los derechos de los interesados y cómo ejercerlos; los acuerdos de responsabilidad y la gestión de reclamaciones; y cómo puede auditar el cumplimiento una autoridad de control.
El RGPD distingue entre las NCV de responsable (que rigen las transferencias intragrupo donde las entidades del EEE son los responsables del tratamiento) y las NCV de encargado (que rigen las cadenas de encargados intragrupo). El CEPD ha publicado documentos de trabajo y recomendaciones dedicados a cada tipo. Las NCV de responsable se rigen principalmente por las Recomendaciones 1/2022 del CEPD; las NCV de encargado tienen su propio marco.
El proceso de aprobación de las NCV implica: presentar un borrador de NCV a la autoridad de control principal competente (normalmente la autoridad de protección de datos del país donde se encuentra el establecimiento principal de la entidad del EEE); la autoridad principal completa una revisión y redacta una decisión conforme al mecanismo de coherencia del artículo 63 del RGPD; el CEPD revisa la decisión y emite un dictamen; y la autoridad principal emite la aprobación final que refleja los comentarios del CEPD. El proceso normalmente tarda entre 12 y 18 meses incluso para presentaciones bien preparadas. Las autorizaciones de NCV previas al RGPD emitidas conforme a la Directiva 95/46/CE siguen siendo válidas a menos que se modifiquen o deroguen.
La limitación clave: las NCV cubren únicamente las transferencias dentro del grupo. No autorizan transferencias a encargados o responsables externos no relacionados. Una organización que tiene NCV aprobadas para transferencias intragrupo aún necesita CCT u otro mecanismo del artículo 46 para encargados externos.
Schrems II: La Sentencia que lo Cambió Todo
La sentencia del TJUE de julio de 2020 en el asunto C-311/18, Comisionado de Protección de Datos contra Facebook Ireland Limited y Maximillian Schrems, es la sentencia más trascendental sobre transferencias de datos en la historia del RGPD. Reformó el cumplimiento de las transferencias internacionales de datos de dos formas fundamentales.
La primera conclusión: el Tribunal invalidó la Decisión 2016/1250 de la Comisión, que había establecido el Privacy Shield UE-EE. UU. El Tribunal determinó que el marco jurídico de EE. UU., en particular la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera y la orden ejecutiva 12333, no ofrecía a los interesados de la UE una protección esencialmente equivalente a la garantizada dentro de la UE, porque los programas de vigilancia de EE. UU. permitían el acceso a datos personales de una manera no estrictamente necesaria ni proporcionada a lo que se requería en una sociedad democrática. El Tribunal también determinó que los interesados de la UE carecían de un recurso judicial efectivo contra el acceso de las agencias de inteligencia de EE. UU. a sus datos, un requisito conforme al artículo 47 de la Carta de los Derechos Fundamentales de la UE. Las transferencias del Privacy Shield a Estados Unidos se volvieron ilícitas el 16 de julio de 2020, el día en que se dictó la sentencia.
La segunda conclusión, con un efecto global más amplio: el Tribunal confirmó la validez de las CCT como mecanismo de transferencia pero impuso una obligación condicional. Las CCT crean derechos y obligaciones contractuales entre el exportador y el importador, pero no pueden vincular a las autoridades gubernamentales del país de destino. Antes de recurrir a las CCT, las partes deben evaluar si las leyes del país de destino menoscaban la eficacia práctica de las cláusulas. Si el importador no puede cumplir con las obligaciones de las CCT a la luz del derecho local, el exportador de datos debe suspender o poner fin a la transferencia. Si la autoridad de control correspondiente tiene conocimiento de dicha situación, está obligada conforme al artículo 58(2)(f) a suspender o prohibir la transferencia.
La sentencia otorgó una prima inmediata a lo que llegó a conocerse como Evaluaciones de Impacto de la Transferencia. Los responsables que se basaban en las CCT ya no podían simplemente ejecutar la plantilla y considerar terminado el análisis de cumplimiento. Debían documentar una evaluación jurídica y fáctica genuina del derecho del país de destino y, si la evaluación identificaba vacíos, implementar medidas complementarias para abordarlos o abstenerse de la transferencia.
La Cronología de Schrems: Safe Harbor, Privacy Shield, DPF
La relación de transferencia de datos UE-EE. UU. se ha visto moldeada por tres marcos sucesivos, cada uno adoptado después de que su predecesor fuera invalidado.
Safe Harbor (2000-2015): el marco original de autocertificación de EE. UU. bajo la Decisión 2000/520/CE de la Comisión permitía a las empresas de EE. UU. autocertificar el cumplimiento de los Principios de Safe Harbor. En octubre de 2015, el TJUE invalidó Safe Harbor en el asunto C-362/14 (Maximillian Schrems contra el Comisionado de Protección de Datos, conocido como Schrems I), determinando que la Comisión no tenía competencia para limitar las facultades de las autoridades de control nacionales de investigar reclamaciones simplemente declarando adecuada la protección de un país, y que Safe Harbor no cumplía la equivalencia porque el derecho de EE. UU. permitía un acceso amplio por parte de las autoridades públicas sin restricciones de proporcionalidad.
Privacy Shield (2016-2020): Privacy Shield se adoptó mediante la Decisión 2016/1250 de la Comisión el 12 de julio de 2016 como reemplazo de Safe Harbor, incorporando compromisos adicionales y un mecanismo de Defensor del Pueblo para las reclamaciones de los interesados de la UE. Fue invalidado por Schrems II el 16 de julio de 2020 por los motivos descritos anteriormente. Las organizaciones que dependían únicamente de Privacy Shield para las transferencias a EE. UU. perdieron inmediatamente su base de transferencia. Las que tenían CCT en paralelo debieron completar EIT para evaluar si esas CCT seguían siendo viables.
Marco de Privacidad de Datos UE-EE. UU. (2023-presente): el 10 de julio de 2023, la Comisión adoptó la Decisión de Ejecución (UE) 2023/1795, declarando adecuado a Estados Unidos para las organizaciones certificadas por el DPF. La base jurídica de la conclusión de adecuación es la orden ejecutiva 14086 de EE. UU. de 7 de octubre de 2022, "Mejora de las Garantías para las Actividades de Inteligencia de Señales de Estados Unidos", que impuso restricciones de proporcionalidad y necesidad a la recopilación de inteligencia de señales de EE. UU. y estableció el Tribunal de Revisión de Protección de Datos (DPRC) como un organismo independiente para resolver las reclamaciones de los interesados de la UE. El DPRC es un nuevo mecanismo judicial con autoridad para ordenar remedios, incluida la eliminación de datos recopilados indebidamente, vinculantes para las agencias de inteligencia de EE. UU.
La decisión de adecuación del DPF tiene un alcance limitado. Cubre únicamente las transferencias a organizaciones de EE. UU. que se hayan autocertificado conforme a los Principios del DPF (disponibles en el sitio web del DPF mantenido por el Departamento de Comercio de EE. UU.) y que estén bajo la jurisdicción de la Comisión Federal de Comercio o del Departamento de Transporte. Aproximadamente 2700 organizaciones de EE. UU. estaban certificadas a mediados de 2026. Las instituciones financieras de EE. UU. y otras entidades fuera de la jurisdicción de la FTC/DoT están excluidas y deben usar CCT.
La durabilidad jurídica del DPF es objeto de disputa. El Parlamento Europeo adoptó una resolución el 11 de abril de 2023 expresando preocupaciones sobre la adecuación de las garantías de EE. UU., y las organizaciones de libertades civiles han señalado su intención de impugnar la decisión ante el TJUE. Las organizaciones que dependen del DPF como su única base de transferencia a EE. UU. deben mantener acuerdos de respaldo de CCT para que una posible invalidación futura no cree una emergencia de cumplimiento.
Evaluaciones de Impacto de la Transferencia: Qué Son y Cómo Realizar Una
Una Evaluación de Impacto de la Transferencia es un ejercicio estructurado de diligencia debida que un exportador de datos debe completar antes de recurrir a las CCT, las NCV u otras garantías del artículo 46. El requisito de EIT surgió de Schrems II y fue puesto en práctica por el CEPD en las Recomendaciones 01/2020 v2.0, adoptadas el 18 de junio de 2021. Las CCT de 2021 incorporaron la EIT en la cláusula 14, convirtiéndola en una obligación contractual entre exportador e importador.
Las Recomendaciones del CEPD establecen una hoja de ruta de seis pasos para el proceso de EIT:
Paso 1, Conozca sus transferencias. Mapee todas las transferencias de datos personales a terceros países, incluidas las transferencias posteriores y el acceso remoto de partes ajenas al EEE. Identifique las categorías de datos, el destinatario, el país y el mecanismo de transferencia actualmente en uso. Este inventario constituye la base de la evaluación.
Paso 2, Verifique la herramienta de transferencia en la que se basa. Confirme que el instrumento del artículo 46 es uno que, en principio, puede utilizarse para el país de destino. Las CCT, por ejemplo, no pueden usarse para transferencias a autoridades públicas en el país de destino, porque las CCT vinculan únicamente a partes del sector privado.
Paso 3, Evalúe si la herramienta de transferencia es eficaz en el país de destino. Este es el núcleo de la EIT. El exportador y el importador deben evaluar si las leyes y prácticas del país de destino, en particular sus marcos de vigilancia y de aplicación de la ley, impedirían al importador cumplir con la garantía del artículo 46 en la práctica. El CEPD recomienda examinar: (a) si el país de destino es miembro de redes de vigilancia multilaterales como Five Eyes; (b) si sus leyes de vigilancia permiten la recopilación masiva de contenido de comunicaciones sin sospecha individualizada; (c) si los interesados pueden obtener recurso judicial contra el acceso gubernamental; y (d) el historial de actividad de vigilancia en el sector correspondiente.
Paso 4, Adopte medidas complementarias si es necesario. Cuando el paso 3 revele un vacío, el exportador debe adoptar medidas complementarias suficientes para elevar el nivel de protección al estándar de la UE. El CEPD las agrupa en tres categorías:
-
Medidas técnicas: cifrado de extremo a extremo cuando el importador o terceros no pueden acceder a la clave en texto plano; seudonimización (sustituir los identificadores directos por tokens, conservando la clave únicamente en el EEE); tratamiento dividido o multipartito para que ninguna parte ajena al EEE tenga el conjunto de datos completo; y arquitecturas de conocimiento cero para el almacenamiento en la nube. El CEPD subraya que las medidas técnicas deben ser genuinamente eficaces: el cifrado solo es una medida complementaria válida cuando el importador no tiene acceso a la clave en texto plano y el propósito del tratamiento puede lograrse con datos cifrados.
-
Medidas contractuales: disposiciones que exigen al importador notificar al exportador cualquier solicitud de acceso gubernamental o requerimiento jurídicamente vinculante; disposiciones que exigen al importador impugnar las solicitudes de acceso que parezcan desproporcionadas o ilícitas; cláusulas de transparencia; derechos de auditoría; y restricciones a las transferencias posteriores. Las medidas contractuales por sí solas rara vez son suficientes cuando la ley de vigilancia del país de destino prevalece sobre los compromisos contractuales, pero pueden reforzar las medidas técnicas.
-
Medidas organizativas: minimización de datos en la exportación (transferir solo lo estrictamente necesario); adopción de políticas internas que exijan escalar cuando se reciba un acceso gubernamental; formación del personal; y mantenimiento de registros de transferencia para demostrar el cumplimiento continuo.
Si ninguna combinación de medidas complementarias puede salvar el vacío, normalmente cuando la ley del país de destino otorga un acceso gubernamental generalizado a los datos de una forma que las medidas técnicas no pueden impedir, el CEPD concluye que la transferencia no puede proceder sobre la base del artículo 46.
Paso 5, Pasos procedimentales y formales. Ejecute las cláusulas de las CCT (u otro instrumento del artículo 46), documente el resultado de la EIT y asegúrese de que las medidas complementarias queden incorporadas contractualmente. Conserve la documentación de la EIT como evidencia de cumplimiento.
Paso 6, Reevalúe a intervalos apropiados. Una EIT no es un ejercicio único. El CEPD exige a los exportadores monitorear los avances legales en el país de destino y reevaluar si la evaluación sigue siendo válida. Cambios significativos en la ley de vigilancia del país de destino, nuevas resoluciones judiciales o avances en la aplicación pueden requerir actualizar la EIT y potencialmente suspender la transferencia.
El Marco de Privacidad de Datos UE-EE. UU. en la Práctica
Para el cumplimiento diario, el DPF opera de la siguiente manera. Una organización de EE. UU. que busca la certificación del DPF se autocertifica ante el Departamento de Comercio de EE. UU. de que se compromete a cumplir con los Principios del DPF, que cubren aviso, elección, responsabilidad por la transferencia posterior, seguridad, integridad de los datos y limitación de la finalidad, acceso, y recurso/aplicación/responsabilidad. El Departamento de Comercio mantiene una lista pública de organizaciones certificadas. La certificación debe renovarse anualmente.
Los interesados de la UE cuyos datos son tratados por una organización certificada por el DPF cuentan con múltiples vías de recurso. Primero pueden reclamar directamente ante la organización certificada, que debe responder en un plazo de 45 días. Si no quedan satisfechos, pueden escalar a un mecanismo de recurso independiente (normalmente un organismo de resolución de disputas aprobado o su autoridad nacional de protección de datos). Si la reclamación concierne un posible acceso por motivos de seguridad nacional, pueden remitir el asunto a su autoridad nacional de protección de datos, que puede reenviarlo al DPRC. El DPRC se estableció conforme al derecho de EE. UU. como un nuevo mecanismo judicial ubicado dentro del poder ejecutivo, con facultades vinculantes sobre las agencias de inteligencia de EE. UU.
Para los datos de RR. HH. transferidos de la UE a entidades de EE. UU. certificadas conforme a los Principios de RR. HH. del DPF, se aplica una vía distinta: los interesados de la UE pueden presentar reclamaciones a través de su autoridad nacional de protección de datos, que actúa como organismo de recurso.
Las organizaciones que estaban certificadas conforme a Privacy Shield recibieron automáticamente una cobertura transitoria del DPF por un período limitado, pero debían completar la autocertificación formal del DPF para mantener la protección de adecuación continua. Cualquier certificación de Privacy Shield que no se haya convertido en certificación del DPF ha caducado.
Nivel 3: Excepciones del Artículo 49, Excepciones Restringidas, No una Vía de Cumplimiento
El artículo 49(1) prevé un último nivel para situaciones en las que ni una decisión de adecuación ni las garantías del artículo 46 se aplican o son viables. Existen siete excepciones, cada una con condiciones estrictas.
Artículo 49(1)(a), Consentimiento explícito. El interesado debe consentir explícitamente la transferencia propuesta, habiendo sido informado de los posibles riesgos de las transferencias a países sin protección adecuada y sin una garantía apropiada. El consentimiento debe ser específico para la transferencia internacional en sí; no puede quedar oculto en un aviso de privacidad general ni agruparse con el consentimiento al tratamiento general. El considerando 111 del RGPD confirma que la excepción está disponible "cuando la transferencia sea ocasional y necesaria en relación con un contrato o una acción judicial".
Artículo 49(1)(b), Necesidad contractual. La transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable. "Necesaria" se interpreta de forma objetiva y estricta: la transferencia debe ser requerida para el contrato específico, no simplemente conveniente o comercialmente eficiente. Reservar un vuelo a un país no adecuado requiere necesariamente transmitir datos del pasajero a la aerolínea. Dirigir datos de la cuenta del cliente a través de un almacén de datos de EE. UU. para generar análisis de marketing no califica como "necesario para el contrato".
Artículo 49(1)(c), Medidas precontractuales a solicitud del interesado. Similar a (b) pero se aplica antes de que se celebre un contrato. El interesado debe haber solicitado la transferencia como parte de medidas precontractuales.
Artículo 49(1)(d), Interés público importante. La transferencia debe ser necesaria por razones importantes de interés público reconocidas por el derecho de la UE o de un Estado miembro. Las emergencias sanitarias internacionales, la cooperación fiscal intergubernamental y las investigaciones de delitos financieros se han reconocido como intereses públicos calificados. Esta excepción se aplica principalmente a organismos públicos y organizaciones sin fines de lucro que actúan en interés público.
Artículo 49(1)(e), Reclamaciones judiciales. La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones judiciales. Esto cubre las transferencias de pruebas a tribunales extranjeros, la divulgación en litigios internacionales y las investigaciones regulatorias. Como todas las excepciones del artículo 49, cubre únicamente la transferencia específica requerida para el procedimiento específico.
Artículo 49(1)(f), Intereses vitales. La transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas cuando el interesado es física o legalmente incapaz de dar su consentimiento. Las emergencias médicas que involucran a pacientes en el extranjero son el caso paradigmático.
Artículo 49(1)(g), Registros públicos. La transferencia se realiza desde un registro que está abierto a la consulta pública o a cualquier persona que pueda demostrar un interés legítimo, con sujeción a las condiciones que establezca el derecho que rige el registro.
La limitación más crítica sobre todas las excepciones del artículo 49 es que son excepcionales, no estructurales. El considerando 111 del RGPD establece explícitamente: "Dichas excepciones deben aplicarse, en particular, a las transferencias de datos requeridas y necesarias por importantes razones de interés público, por ejemplo en casos de intercambio internacional de datos entre autoridades de competencia, administraciones tributarias o aduaneras, entre autoridades de supervisión financiera, entre servicios competentes en materia de seguridad social o de salud pública, por ejemplo en el caso de rastreo de contactos de enfermedades contagiosas, o para reducir o eliminar el dopaje en el deporte." La arquitectura de los considerandos y la orientación de las autoridades de control es clara: el artículo 49 no proporciona una base jurídica para transferencias sistemáticas, repetidas o rutinarias a gran escala. Una organización que se basa en el consentimiento del artículo 49 como su base para la transferencia continua de datos de RR. HH. de empleados a una empresa matriz de EE. UU. está aplicando indebidamente la disposición.
Las Directrices 2/2018 del CEPD sobre las excepciones del artículo 49 confirman que el requisito de "ocasional" significa que la transferencia debe ser genuinamente infrecuente y no sistemática. Una única transferencia que forma parte de una relación comercial continua, incluso si el evento de transferencia individual ocurre una vez al mes, puede tratarse como sistemática si la relación contempla transferencias repetidas.
Aplicación Normativa: Multas y Prohibiciones de Transferencia
Dirigir datos personales de la UE al extranjero sin una base válida del capítulo V se trata como una infracción del RGPD de nivel máximo. El artículo 83(5) enumera expresamente las infracciones del capítulo V entre las que están sujetas a la multa administrativa máxima: hasta 20 000 000 de euros o el 4% de la facturación anual mundial total del ejercicio financiero anterior, lo que sea mayor. Este es el mismo nivel de sanción que las infracciones de los principios fundamentales de tratamiento de los artículos 5 y 6 y las infracciones de los requisitos de consentimiento del artículo 7.
Las multas no son la única herramienta. Las autoridades de control tienen la facultad, conforme al artículo 58(2), de imponer prohibiciones de transferencia temporales o permanentes, la facultad de ordenar que una transferencia específica o categoría de transferencias cese. Una prohibición de transferencia puede paralizar las operaciones de forma más disruptiva que cualquier multa, particularmente para organizaciones que dependen de infraestructura de nube transfronteriza. La Comisión de Protección de Datos de Irlanda emitió una orden de prohibición de transferencia contra Meta Platforms en mayo de 2023 (en un procedimiento finalmente resuelto con una multa de 1200 millones de euros más la prohibición) por el motivo de que las transferencias de Meta basadas en CCT a Estados Unidos no cumplían con los requisitos de Schrems II.
Otras acciones sancionadoras notables relacionadas con transferencias internacionales incluyen las decisiones de 2022 de la CNIL (autoridad de protección de datos francesa) que determinaron que el uso de Google Analytics constituía una transferencia ilícita a EE. UU. (porque los registros de servidor de Google LLC permitían un posible acceso de la NSA a las direcciones IP), y el análisis paralelo de la DSB austriaca que llegó a la misma conclusión. Estas resoluciones se aplicaron a herramientas de analítica ampliamente utilizadas por sitios web europeos e impulsaron a Google a introducir funciones de anonimización de datos mejoradas.
La combinación de multas máximas y facultades de prohibición de transferencia significa que las EIT incompletas, las evaluaciones de CCT desactualizadas o las transferencias a organizaciones de EE. UU. no certificadas y no cubiertas por el DPF conllevan un riesgo operativo y legal genuino. Incorporar un ejercicio documentado de mapeo de transferencias en las revisiones anuales de cumplimiento del RGPD, y actualizar la EIT cada vez que cambie materialmente el derecho del país de destino, es el estándar mínimo recomendado por las autoridades de control.
Flujo de Decisión Práctico para Elegir un Mecanismo de Transferencia
Aplicar la jerarquía del capítulo V en la práctica sigue un árbol de decisión secuencial.
Paso 1: Identifique el destino. Confirme el país o territorio al que se transfieren los datos personales. Recuerde que el acceso remoto desde una ubicación ajena al EEE cuenta como una transferencia.
Paso 2: Compruebe si existe una decisión de adecuación. Consulte la lista de adecuación vigente de la Comisión. Si una decisión de adecuación cubre la transferencia (incluido el alcance, ¿es una decisión completa o específica de un sector?), no se requiere ningún mecanismo adicional. Consulte la página de Decisiones de Adecuación de la UE para la lista actual y los resúmenes de alcance.
Paso 3: Para EE. UU., compruebe la certificación del DPF. Si el destino es una organización de EE. UU., verifique si aparece en la lista de certificación del DPF vigente que mantiene el Departamento de Comercio. Si es así, la decisión de adecuación cubre la transferencia. Si no, proceda al paso 4.
Paso 4: Seleccione un mecanismo del artículo 46. Para las transferencias a terceros externos (no entidades del grupo), las CCT de 2021 son la herramienta estándar. Seleccione el módulo aplicable: Módulo 2 para el escenario típico de responsable a encargado (empresa del EEE que usa un proveedor de nube de EE. UU.), Módulo 1 para el intercambio de datos entre responsables, Módulo 3 para relaciones de encargado a subencargado, o Módulo 4 para un encargado ajeno al EEE que devuelve datos a su responsable en el EEE. Para las transferencias intragrupo dentro de una multinacional, las NCV ofrecen una estructura a largo plazo más limpia, aunque las CCT pueden usarse mientras la aprobación de las NCV está pendiente.
Paso 5: Complete una Evaluación de Impacto de la Transferencia. Antes de ejecutar las CCT, complete la hoja de ruta de seis pasos del CEPD: inventaríe la transferencia, confirme que el módulo de CCT es aplicable, evalúe la ley de vigilancia del país de destino, identifique las medidas complementarias necesarias (técnicas, contractuales, organizativas), documente la conclusión y programe la reevaluación. La evaluación debe documentarse por escrito y conservarse como evidencia de cumplimiento. Consulte la página de Cláusulas Contractuales Tipo para un marco detallado de EIT.
Paso 6: Revise un Contrato de Encargo de Tratamiento del RGPD si la transferencia implica a un encargado. Cuando se usan las CCT del Módulo 2, incorporan los requisitos del contrato de encargo del artículo 28. Si las partes tienen un contrato de encargo separado, las CCT del Módulo 2 y el contrato de encargo deben ser coherentes; en caso de conflicto, prevalecen las CCT.
Paso 7: Considere el artículo 49 solo como un último recurso genuino. Solo después de confirmar que las opciones de los niveles 1 y 2 genuinamente no están disponibles, y que la transferencia es verdaderamente ocasional y no repetitiva, debe considerarse una excepción del artículo 49. Documente la excepción específica en la que se basa y el fundamento fáctico de la conclusión de que se aplica.
Relación Entre el Capítulo V y Otras Obligaciones del RGPD
El capítulo V opera sobre el resto del RGPD, no en su lugar. Una transferencia internacional válidamente autorizada conforme al capítulo V debe seguir cumpliendo todos los demás requisitos del RGPD: la transferencia debe tener una base jurídica conforme al artículo 6 (consentimiento, contrato, interés legítimo, etc.); si se implican datos de categoría especial, también debe satisfacerse una condición del artículo 9; y el responsable debe haber proporcionado al interesado información sobre la transferencia conforme a los artículos 13 o 14, incluida la identidad del destinatario del tercer país y el mecanismo de transferencia utilizado.
La interacción entre el capítulo V y el artículo 28 (obligaciones del encargado) merece atención. Cuando una organización transfiere datos a un encargado ajeno al EEE, necesita tanto un contrato de encargo del artículo 28 como un mecanismo de transferencia del capítulo V. El Módulo 2 de las CCT de 2021 satisface ambos requisitos simultáneamente: incorpora el contenido obligatorio del artículo 28 dentro de sus cláusulas. Las organizaciones que usan las CCT del Módulo 2 no necesitan un contrato de encargo separado, aunque muchas añaden uno por claridad organizativa.
Para una explicación detallada de lo que debe contener un Contrato de Encargo de Tratamiento del RGPD y cómo estructurar uno, consulte nuestra página del Contrato de Encargo de Tratamiento del RGPD.
El marco jurídico más amplio de privacidad de datos de la UE, incluidas las funciones del CEPD, las autoridades de control nacionales y el mecanismo de ventanilla única, se cubre en el centro de Leyes de Privacidad de Datos de la UE.
Descargo de responsabilidad: Esta página proporciona información legal general, no asesoramiento legal. Los requisitos de cumplimiento del RGPD dependen de los hechos y son sensibles a la jurisdicción. Consulte a un asesor legal cualificado para obtener asesoramiento adaptado a los acuerdos de transferencia específicos, los países de destino y las actividades de tratamiento de su organización.
Preguntas frecuentes
¿Puedo transferir datos personales fuera de la UE conforme al RGPD?
Sí, pero solo si existe un mecanismo de transferencia válido del capítulo V antes de que los datos salgan del EEE. Los tres niveles son: (1) transferencia a un país con decisión de adecuación de la UE (no se necesita contrato); (2) uso de garantías adecuadas como Cláusulas Contractuales Tipo o Normas Corporativas Vinculantes, combinadas con una Evaluación de Impacto de la Transferencia; o (3) recurrir a una excepción restringida del artículo 49 para transferencias ocasionales y no repetitivas. Las transferencias continuas y sistemáticas deben usar el nivel 1 o el nivel 2; las excepciones del artículo 49 no están disponibles como mecanismo rutinario.
¿Qué son las Cláusulas Contractuales Tipo conforme al RGPD?
Las Cláusulas Contractuales Tipo son plantillas contractuales preaprobadas emitidas por la Comisión Europea conforme al artículo 46(2)(c) del RGPD que crean obligaciones vinculantes de protección de datos entre un exportador de datos del EEE y un importador ajeno al EEE. Las CCT modernizadas de 2021 (Decisión de Ejecución (UE) 2021/914 de la Comisión) tienen cuatro módulos que cubren todos los escenarios de transferencia: responsable a responsable, responsable a encargado, encargado a encargado, y encargado a responsable. También incluyen la cláusula 14, que exige a las partes completar una Evaluación de Impacto de la Transferencia que confirme que el derecho del país de destino no impedirá el cumplimiento. Las CCT antiguas se eliminaron gradualmente el 27 de diciembre de 2022.
¿Qué fue Schrems II y por qué importa?
Schrems II es la sentencia del TJUE en el asunto C-311/18 (Comisionado de Protección de Datos contra Facebook Ireland y Maximillian Schrems), dictada el 16 de julio de 2020. El Tribunal invalidó la decisión de adecuación del Privacy Shield UE-EE. UU., determinando que el derecho de vigilancia de EE. UU. no ofrecía a los interesados de la UE una protección esencialmente equivalente ni un recurso judicial efectivo. De forma más amplia, la sentencia confirmó que las CCT son válidas pero condicionales: antes de recurrir a las CCT, el exportador de datos debe verificar que las leyes del país de destino no impedirán el cumplimiento en la práctica. Si lo hacen, se requieren medidas complementarias, o la transferencia no puede proceder. Schrems II convirtió las Evaluaciones de Impacto de la Transferencia en un paso obligatorio para toda transferencia basada en CCT.
¿Es Estados Unidos adecuado conforme al RGPD?
Parcialmente. El 10 de julio de 2023, la Comisión Europea adoptó una decisión de adecuación para el Marco de Privacidad de Datos UE-EE. UU., que cubre las transferencias a organizaciones de EE. UU. autocertificadas conforme a los Principios del DPF y bajo la jurisdicción de la FTC o el Departamento de Transporte. Aproximadamente 2700 organizaciones de EE. UU. están certificadas a mediados de 2026. Las organizaciones de EE. UU. que no están certificadas por el DPF, y las que quedan fuera de la jurisdicción de la FTC/DoT, deben recurrir a las CCT u otro mecanismo del artículo 46. El DPF ha sido impugnado por organizaciones de libertades civiles y puede enfrentar un futuro escrutinio del TJUE; mantener acuerdos de respaldo de CCT es prudente.
¿Qué es una Evaluación de Impacto de la Transferencia y cuándo se requiere?
Una Evaluación de Impacto de la Transferencia es un análisis legal estructurado que los exportadores de datos deben completar antes de recurrir a las CCT, las NCV u otras garantías del artículo 46. Evalúa si el marco legal del país de destino, en particular sus leyes de vigilancia y de aplicación de la ley, impediría al importador cumplir con las obligaciones del mecanismo de transferencia en la práctica. El requisito de EIT fue establecido por el TJUE en Schrems II y puesto en práctica por el CEPD en las Recomendaciones 01/2020 v2.0. Las CCT de 2021 incorporan la EIT en la cláusula 14 como una obligación contractual. Las EIT deben documentarse, conservarse como evidencia de cumplimiento y actualizarse cada vez que ocurran avances legales relevantes en el país de destino.
¿Qué son las Normas Corporativas Vinculantes y en qué se diferencian de las CCT?
Las Normas Corporativas Vinculantes son políticas internas de protección de datos, adoptadas y jurídicamente vinculantes, que un grupo multinacional usa para regir las transferencias intragrupo de datos personales fuera del EEE. Deben ser aprobadas por una autoridad de control principal de la UE conforme al artículo 47 tras una revisión de coherencia del CEPD, que normalmente tarda entre 12 y 18 meses. Las NCV cubren únicamente las transferencias dentro del mismo grupo corporativo; se necesitan CCT para las transferencias a terceros no relacionados. Las NCV ofrecen una estructura de gobernanza más limpia para los flujos intragrupo continuos y evitan la necesidad de volver a ejecutar conjuntos de CCT cada vez que se añade una nueva entidad del grupo. Ambas requieren una Evaluación de Impacto de la Transferencia.
¿Puedo usar el consentimiento explícito como base rutinaria para las transferencias internacionales de datos?
No. Las autoridades de control del RGPD y el CEPD interpretan sistemáticamente las excepciones del artículo 49, incluido el consentimiento explícito, como excepciones restringidas para transferencias ocasionales y no repetitivas, no como alternativas a las garantías del artículo 46. Las transferencias rutinarias o sistemáticas requieren una decisión de adecuación del nivel 1 o una garantía adecuada del nivel 2. Incluso cuando se recurre válidamente al consentimiento para una transferencia específica, debe ser específico para la transferencia internacional y sus riesgos: no puede agruparse en condiciones generales de servicio, y los interesados deben poder retirarlo sin perjuicio.
¿Qué medidas complementarias pueden hacer lícita una transferencia con CCT tras Schrems II?
Las Recomendaciones 01/2020 v2.0 del CEPD identifican tres categorías. Las medidas técnicas incluyen el cifrado de extremo a extremo cuando el importador no posee la clave en texto plano, la seudonimización con la clave conservada en el EEE, y las arquitecturas de tratamiento dividido. Las medidas contractuales incluyen cláusulas de notificación obligatoria cuando se recibe acceso gubernamental, requisitos de impugnación y derechos de auditoría. Las medidas organizativas incluyen la minimización de datos en la exportación y las políticas internas de escalado. El CEPD subraya que las medidas técnicas deben ser genuinamente eficaces; el cifrado solo es válido si el propósito del tratamiento puede lograrse sin que el importador acceda al texto plano. Cuando ninguna combinación de medidas puede eliminar el vacío, la transferencia no debe proceder.
¿Cuál es la sanción máxima por una transferencia internacional de datos ilícita?
Las infracciones del capítulo V del RGPD se enmarcan en el artículo 83(5), el nivel de multa más alto: hasta 20 000 000 de euros o el 4% de la facturación anual mundial total del ejercicio financiero anterior, lo que sea mayor. Las autoridades de control también tienen la facultad, conforme al artículo 58(2), de imponer prohibiciones de transferencia temporales o permanentes, que pueden suspender por completo los flujos de datos transfronterizos y ser más disruptivas operativamente que cualquier sanción económica. La multa de 1200 millones de euros impuesta a Meta Platforms por la DPC de Irlanda en mayo de 2023, combinada con una prohibición de transferencia, ilustra el riesgo combinado de aplicación.
¿Se aplican las normas de transferencia del capítulo V tanto a los encargados como a los responsables?
Sí. El artículo 44 establece que las condiciones del capítulo V deben ser cumplidas tanto por el responsable como por el encargado del tratamiento, incluso para las transferencias posteriores. Un encargado establecido en el EEE que subcontrata a un subencargado ajeno al EEE debe garantizar que un mecanismo del capítulo V cubra la transferencia posterior. El Módulo 3 de las CCT de 2021 (encargado a encargado) está diseñado para este escenario y requiere autorización previa del responsable original antes de establecer el acuerdo de subencargo.
Fuentes y referencias
- Reglamento (UE) 2016/679 (RGPD), artículos 44 a 50 y considerandos 101 a 115(eur-lex.europa.eu)
- Decisión de Ejecución (UE) 2021/914 de la Comisión sobre Cláusulas Contractuales Tipo(eur-lex.europa.eu)
- Decisión de Ejecución (UE) 2023/1795 de la Comisión, decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU.(eur-lex.europa.eu)
- TJUE, asunto C-311/18 (Schrems II), Comisionado de Protección de Datos contra Facebook Ireland y Maximillian Schrems(curia.europa.eu)
- TJUE, asunto C-362/14 (Schrems I), Maximillian Schrems contra el Comisionado de Protección de Datos(curia.europa.eu)
- Recomendaciones 01/2020 v2.0 del CEPD sobre Medidas Complementarias a las Herramientas de Transferencia(edpb.europa.eu)
- Directrices 2/2018 del CEPD sobre las Excepciones del Artículo 49 conforme al Reglamento 2016/679(edpb.europa.eu)
- Recomendaciones 1/2022 del CEPD sobre la Solicitud de Aprobación y los Elementos y Principios de las Normas Corporativas Vinculantes de Responsable(edpb.europa.eu)
- Decisiones de Adecuación de la Comisión Europea, lista vigente(commission.europa.eu)
- Comisión Europea, Normas Corporativas Vinculantes(commission.europa.eu)
- Comisión Europea, Historia de las Transferencias de Datos UE-EE. UU. (Safe Harbor, Privacy Shield, DPF)(commission.europa.eu)