Cláusulas Contractuales Tipo (SCC) Explicadas (2026)
Las Cláusulas Contractuales Tipo (SCC) son cláusulas contractuales preaprobadas, adoptadas por la Comisión Europea, que las organizaciones utilizan para transferir datos personales desde el Espacio Económico Europeo (EEE) a países sin una decisión de adecuación de la UE. Son el mecanismo jurídico más utilizado para las transferencias internacionales de datos en virtud del RGPD, empleado por decenas de miles de organizaciones en todo el mundo.
Información verificada por última vez el 19 de mayo de 2026. Este artículo aún no ha sido revisado por un abogado con licencia.
Las SCC actuales, adoptadas el 4 de junio de 2021, reemplazaron a versiones anteriores que eran previas al RGPD y que no abordaban las preocupaciones planteadas por el TJUE en su sentencia Schrems II. Las cláusulas de 2021 introdujeron un sistema modular flexible, requisitos de medidas complementarias integrados y disposiciones que abordan directamente el acceso gubernamental a los datos.
Esta guía cubre los cuatro módulos de las SCC, cuándo utilizar cada uno, cómo realizar una Evaluación de Impacto de la Transferencia, las nuevas SCC pendientes para los importadores sujetos al RGPD, cómo se comparan las SCC con las decisiones de adecuación y las Normas Corporativas Vinculantes, las herramientas de transferencia separadas del Reino Unido, los avances recientes en materia de aplicación y los errores comunes de implementación.
Alcance jurisdiccional: este artículo aborda las Cláusulas Contractuales Tipo conforme al Reglamento (UE) 2016/679 (RGPD) y al RGPD del Reino Unido, incluida la Ley de Uso y Acceso de Datos de 2025 del Reino Unido. Cubre los cuatro módulos de las SCC (Decisión de Ejecución de 2021), las directrices del CEPD sobre medidas complementarias, y el IDTA y el Anexo del Reino Unido. Para la lista de países con decisiones de adecuación de la UE, consulte nuestra guía sobre las decisiones de adecuación de la UE. Para el Marco de Privacidad de Datos UE-EE. UU. específicamente, consulte nuestra guía sobre el DPF.
Respuesta Rápida: ¿Qué son las SCC y Cuándo se Necesitan?
Las Cláusulas Contractuales Tipo son cláusulas contractuales preaprobadas conforme al artículo 46(2)(c) del RGPD que crean obligaciones vinculantes de protección de datos entre un exportador de datos con sede en el EEE y un importador de datos fuera del EEE. Las organizaciones necesitan SCC siempre que transfieran datos personales desde el EEE a un país que carezca de una decisión de adecuación de la UE y no se aplique ningún otro mecanismo de transferencia del artículo 46. Los escenarios comunes incluyen empresas de la UE que utilizan proveedores de servicios en la nube con sede en Estados Unidos, India u otros países no adecuados, responsables de la UE que contratan encargados en Asia-Pacífico o América Latina, y encargados con sede en la UE que enrutan datos a subencargados fuera del EEE. La obligación de utilizar SCC (u otro mecanismo de transferencia alternativo) es estricta: transferir datos personales a un país no adecuado sin una base jurídica válida conforme al Capítulo V del RGPD constituye una posible infracción sujeta a multas de hasta 20 millones de euros o el 4% de la facturación anual global.
Por Qué se Reemplazaron las Antiguas SCC
La Comisión Europea adoptó originalmente dos conjuntos de Cláusulas Contractuales Tipo para las transferencias de datos. El conjunto de 2001 (actualizado en 2004) cubría las transferencias de responsable a responsable. El conjunto de 2010 cubría las transferencias de responsable a encargado. Ambos se adoptaron conforme a la Directiva de Protección de Datos de 1995 (95/46/CE) y siguieron en uso después de que el RGPD entrara en vigor en mayo de 2018.
Varios problemas hicieron necesario su reemplazo. Las antiguas SCC se redactaron conforme a la Directiva, no al RGPD, y no reflejaban los requisitos ampliados del Reglamento en materia de responsabilidad proactiva, notificación de vulneraciones de datos y protección de datos desde el diseño. Asumían solo dos partes (un exportador de datos de la UE y un importador de datos fuera de la UE) y no contemplaban los escenarios de transferencia de encargado a encargado o de encargado a responsable, que son comunes en la computación en la nube y en las relaciones de proveedores de servicios de múltiples niveles.
La sentencia del TJUE en el asunto Data Protection Commissioner contra Facebook Ireland Limited y Maximillian Schrems, asunto C-311/18, ECLI:EU:C:2020:559 (16 de julio de 2020) (comúnmente llamado Schrems II) añadió urgencia. Si bien el Tribunal confirmó la validez de las SCC como mecanismo de transferencia en principio, exigió que los exportadores de datos verificaran que el marco legal del país de destino no socavara las protecciones que ofrecen las SCC. Si las leyes del país importador (como las leyes de vigilancia de Estados Unidos) entran en conflicto con las obligaciones de las SCC, el exportador debe implementar "medidas complementarias" para cerrar la brecha, o detener la transferencia.
El Comité Europeo de Protección de Datos (CEPD) emitió las Recomendaciones 01/2020 (finalizadas en junio de 2021) detallando qué medidas complementarias deberían considerar las organizaciones. Las nuevas SCC incorporan varios de estos requisitos directamente en el texto contractual.
Los Cuatro Módulos de las SCC
Las SCC de 2021 utilizan un enfoque modular. En lugar de conjuntos de cláusulas separados para diferentes escenarios, un único marco contiene cuatro módulos que las partes seleccionan según sus roles y la dirección del flujo de datos.
Módulo 1: Responsable a Responsable (R2R)
El Módulo 1 se aplica cuando un responsable del tratamiento con sede en la UE transfiere datos personales a un responsable fuera del EEE. Ambas partes determinan de manera independiente las finalidades y los medios del tratamiento.
Los escenarios comunes incluyen a una empresa europea que comparte datos de clientes con una empresa matriz estadounidense para sus propios fines comerciales, o dos empresas en un acuerdo de comercialización conjunta donde cada una controla los datos de manera independiente.
Las obligaciones clave del Módulo 1 incluyen proporcionar a los titulares de datos una copia de las SCC a solicitud, aplicar los requisitos de limitación de la finalidad del exportador de datos, y permitir que los titulares de datos hagan valer las cláusulas como beneficiarios terceros.
Módulo 2: Responsable a Encargado (R2E)
El Módulo 2 cubre el escenario de transferencia más común: un responsable de la UE que contrata a un encargado (como un proveedor de servicios en la nube, un procesador de nóminas o un servicio de análisis) ubicado fuera del EEE. Este módulo se alinea con los requisitos del artículo 28 del RGPD para los contratos de encargado.
El importador de datos (encargado) debe tratar los datos únicamente conforme a las instrucciones documentadas del exportador. Debe implementar medidas de seguridad técnicas y organizativas adecuadas, asistir al responsable con las solicitudes de derechos de los titulares de datos, eliminar o devolver todos los datos al finalizar la relación de servicio, y notificar al responsable sin dilación indebida ante cualquier vulneración de datos personales.
La subcontratación solo está permitida con la autorización previa, específica o general por escrito, del responsable. El encargado debe imponer las mismas obligaciones de protección de datos a cualquier subencargado mediante un contrato.
Módulo 3: Encargado a Encargado (E2E)
El Módulo 3 aborda las situaciones en las que un encargado con sede en la UE contrata a un subencargado fuera del EEE. Este escenario es sumamente común en las cadenas de infraestructura en la nube. Por ejemplo, una empresa de la UE utiliza un proveedor de nube alemán (encargado), que a su vez utiliza a un proveedor de infraestructura con sede en Estados Unidos (subencargado).
El flujo de datos va de un encargado a otro, pero el responsable final sigue siendo la entidad de la UE que contrató originalmente al primer encargado. El Módulo 3 exige que el subencargado trate los datos únicamente conforme a las instrucciones del responsable original, comunicadas a través del primer encargado.
Módulo 4: Encargado a Responsable (E2R)
El Módulo 4 cubre el flujo inverso: cuando un encargado con sede en la UE devuelve o transfiere datos a su responsable ubicado fuera del EEE. Este escenario surge, por ejemplo, cuando un proveedor europeo de servicios de tratamiento de datos transfiere resultados de vuelta a su cliente no perteneciente al EEE, que es el responsable del tratamiento.
Este módulo se utiliza con menos frecuencia que los demás, pero cubre una brecha genuina. Bajo las antiguas SCC, no existían cláusulas estándar para esta dirección de transferencia, lo que obligaba a las organizaciones a recurrir a bases jurídicas alternativas o a acuerdos contractuales ad hoc.
Cómo Utilizar las SCC Modulares
Las organizaciones que implementan SCC deberían seguir un proceso estructurado para garantizar el cumplimiento.
Paso 1: Determinar los Módulos Aplicables
Mapee todas las transferencias internacionales de datos e identifique los roles de cada parte. Seleccione el módulo o módulos apropiados para cada transferencia. Un único acuerdo de SCC puede incorporar varios módulos si las partes tienen roles diferentes para distintas actividades de tratamiento.
Paso 2: Completar los Anexos
Las SCC incluyen varios anexos que deben completarse con datos específicos de la transferencia:
- Anexo I: describe a las partes, la transferencia de datos (categorías de titulares de datos, tipos de datos personales, frecuencia de la transferencia, finalidad) e identifica la autoridad supervisora competente
- Anexo II: enumera las medidas de seguridad técnicas y organizativas que implementa el importador de datos
- Anexo III: enumera los subencargados autorizados (para los Módulos 2 y 3, si el responsable otorga una autorización general)
Paso 3: Realizar la Evaluación de Impacto de la Transferencia
Complete la TIA antes de comenzar las transferencias. Documente la evaluación y consérvela como parte de sus registros de responsabilidad proactiva conforme al artículo 5(2) del RGPD.
Paso 4: Implementar Medidas Complementarias
Con base en los hallazgos de la TIA, adopte y documente las medidas complementarias necesarias. Integre las medidas técnicas en su arquitectura de tratamiento de datos.
Paso 5: Ejecutar e Integrar
Las SCC pueden incorporarse a un contrato comercial más amplio o ejecutarse como un acuerdo independiente. Los terceros pueden adherirse a las SCC en cualquier momento con el acuerdo de todas las partes existentes; esta característica se denomina "cláusula de adhesión" y fue una novedad de la versión de 2021.
Paso 6: Monitorear y Reevaluar
La obligación de garantizar una protección adecuada es continua. Las organizaciones deben reevaluar sus TIA cuando cambien las circunstancias, como una nueva legislación en el país de destino, cambios en los acuerdos de subcontratación del importador de datos, o la aparición de nuevos programas de vigilancia gubernamental.
Evaluaciones de Impacto de la Transferencia y Medidas Complementarias
Las SCC de 2021 exigen que las partes realicen una Evaluación de Impacto de la Transferencia (TIA) antes de basarse en las cláusulas para las transferencias de datos. Este requisito está incorporado directamente en la Cláusula 14 de las SCC.
Qué Implica una TIA
Una TIA evalúa si las leyes y prácticas del país de destino ofrecen un nivel de protección "esencialmente equivalente" al garantizado por el derecho de la UE. La evaluación debe considerar:
- Las circunstancias específicas de la transferencia, incluida la naturaleza de los datos, la finalidad, la duración de la cadena de tratamiento y las categorías de destinatarios
- Las leyes del país de destino relevantes para la transferencia, en particular aquellas que regulan el acceso gubernamental a los datos personales con fines de vigilancia o aplicación de la ley
- Cualquier salvaguarda contractual, técnica u organizativa pertinente que complemente las SCC
Las Recomendaciones 01/2020 del CEPD delinean un proceso de seis pasos para realizar las TIA:
- Mapear sus transferencias de datos
- Identificar el mecanismo de transferencia (en este caso, las SCC)
- Evaluar si el marco legal del país de destino afecta la eficacia del mecanismo de transferencia
- Identificar y adoptar medidas complementarias si es necesario
- Realizar los pasos procesales que exijan las medidas complementarias
- Reevaluar en intervalos apropiados
Medidas Complementarias
Cuando una TIA identifica riesgos, las organizaciones deben implementar medidas complementarias para restablecer el nivel de protección a un estándar de "equivalencia esencial". Estas se dividen en tres categorías:
Las medidas técnicas incluyen el cifrado de extremo a extremo (donde solo el exportador de datos posee la clave de descifrado), la seudonimización (donde la tabla de correspondencia permanece en el EEE) y el tratamiento dividido o de múltiples partes que impide que el importador acceda a los datos en claro.
Las medidas contractuales implican reforzar las obligaciones más allá del estándar base de las SCC. Los ejemplos incluyen exigir al importador de datos que impugne las solicitudes de acceso gubernamental por todas las vías legales disponibles, que notifique al exportador de cualquier solicitud legalmente vinculante de divulgación de datos (en la medida permitida por la ley) y que proporcione informes de transparencia periódicos.
Las medidas organizativas incluyen políticas internas de gobernanza de datos, la minimización de los datos transferidos a lo estrictamente necesario, la adopción de controles de acceso estrictos por parte del importador y la realización de auditorías periódicas.
El CEPD ha enfatizado que las medidas contractuales y organizativas por sí solas no pueden compensar las deficiencias del marco legal del país de destino si el gobierno puede exigir el acceso a los datos en claro. Las medidas técnicas que impiden el acceso a datos legibles son la salvaguarda más eficaz en las jurisdicciones de alto riesgo.
Atención: las medidas de aplicación demuestran que las SCC ejecutadas sin TIA rigurosas generan un riesgo de cumplimiento sustancial. La APD irlandesa impuso una multa de 1200 millones de euros a Meta en mayo de 2023, tras la Decisión Vinculante 1/2023 del CEPD, por transferir datos de usuarios de Facebook a Estados Unidos mediante SCC sin medidas complementarias suficientes para compensar la protección inadecuada que ofrece el derecho estadounidense. La APD neerlandesa impuso una multa de 290 millones de euros a Uber en 2024 por transferir datos de conductores a Estados Unidos sin un mecanismo de transferencia válido. Las autoridades supervisoras tratan las TIA inadecuadas y la ausencia de medidas complementarias como infracciones sustantivas, no como deficiencias procesales.
Las Pendientes SCC para Importadores Sujetos al RGPD
Las SCC de 2021 tienen una limitación significativa: se aplican únicamente a las transferencias en las que el tratamiento del importador de datos NO está sujeto al RGPD. Por sus propios términos, las cláusulas rigen las transferencias de un exportador de datos de la UE/EEE a un importador de datos "cuyo tratamiento de los datos no está sujeto [al RGPD]".
Esto genera una brecha. Una empresa con sede en Canadá, Japón o Brasil puede tener actividades de tratamiento que entren dentro del ámbito territorial del RGPD conforme al artículo 3(2) porque dirige bienes o servicios a residentes de la UE o monitorea su comportamiento. Cuando una entidad de la UE transfiere datos personales a dicha empresa, sigue siendo necesario un mecanismo de transferencia conforme al Capítulo V del RGPD. La transferencia transfronteriza genera riesgos incluso cuando el importador está directamente vinculado por el RGPD en sus actividades de tratamiento. Sin embargo, las SCC de 2021 son estructuralmente inadecuadas para este escenario, ya que duplicarían parcialmente y a la vez se apartarían de las obligaciones que el importador ya tiene en virtud del RGPD directamente.
El CEPD instó a la Comisión Europea a desarrollar nuevas SCC que cubrieran exactamente este escenario. La Comisión reconoció la brecha y anunció el desarrollo de un nuevo conjunto de SCC. Se planificó una consulta pública para el cuarto trimestre de 2024, con un proyecto para adopción previsto para el segundo trimestre de 2025.
Hasta mayo de 2026, la página oficial de publicaciones de SCC de la Comisión no incluye una decisión de ejecución formalmente adoptada para estas SCC del artículo 3(2). Las organizaciones que enfrentan este escenario cuentan actualmente con opciones limitadas: las Normas Corporativas Vinculantes (dentro de grupos corporativos), las cláusulas contractuales ad hoc aprobadas por una autoridad supervisora conforme al artículo 46(3)(a), o basarse en las excepciones del artículo 49 cuando resulten aplicables. La multa de la APD neerlandesa contra Uber puso de relieve el riesgo real de aplicación al proceder con transferencias a importadores sujetos al RGPD sin un mecanismo reconocido.
Las organizaciones deberían monitorear la página de SCC de la Comisión para conocer la adopción formal de estas cláusulas.
Comparación entre SCC, Decisiones de Adecuación y Normas Corporativas Vinculantes
El Capítulo V del RGPD ofrece varios mecanismos para las transferencias internacionales lícitas de datos. Los tres más utilizados son las decisiones de adecuación (artículo 45), las Cláusulas Contractuales Tipo (artículo 46(2)(c)) y las Normas Corporativas Vinculantes (artículo 47).
| Mecanismo | Base Jurídica | Quién Puede Usarlo | Características Clave |
|---|---|---|---|
| Decisión de Adecuación | Art. 45 del RGPD | Cualquier organización que transfiera a un país adecuado | No se necesitan pasos adicionales. La Comisión determina que el país ofrece una protección esencialmente equivalente. Ejemplos: Reino Unido (válido hasta 2031), Canadá (PIPEDA), Japón, Suiza. Consulte la lista completa. |
| Cláusulas Contractuales Tipo | Art. 46(2)(c) del RGPD | Cualquier organización; el mecanismo más utilizado | Exige completar las SCC, rellenar los anexos, realizar una TIA e implementar medidas complementarias cuando sea necesario. Funciona para cualquier país. |
| Normas Corporativas Vinculantes | Art. 47 del RGPD | Grupos corporativos multinacionales (solo transferencias intragrupo) | Exige la aprobación de una APD. Alta carga inicial (típicamente de 1 a 3 años para obtener la aprobación). Una vez aprobadas, cubren todas las transferencias intragrupo dentro del alcance aprobado sin necesidad de SCC caso por caso. |
Para la mayoría de las organizaciones, las SCC son el mecanismo predeterminado para las transferencias a países no adecuados. Las decisiones de adecuación son más sencillas donde están disponibles, pero se limitan por la geografía. Las BCR son poderosas para las grandes multinacionales con un volumen sustancial de transferencias intragrupo, pero resultan poco prácticas para las organizaciones pequeñas o las transferencias externas.
Relación entre las SCC y el Marco de Privacidad de Datos UE-EE. UU.
Las SCC y el Marco de Privacidad de Datos UE-EE. UU. (DPF) cumplen el mismo propósito fundamental (permitir transferencias lícitas de datos desde la UE), pero operan a través de mecanismos jurídicos distintos.
El DPF ofrece una vía de transferencia basada en la adecuación para los datos enviados a organizaciones estadounidenses certificadas. Cuando una empresa estadounidense mantiene una certificación activa del DPF, las organizaciones de la UE pueden transferirle datos sin necesidad de SCC, tal como lo harían con una empresa de un país adecuado. Consulte nuestra guía completa sobre las decisiones de adecuación de la UE para conocer la lista completa de países.
Las SCC ofrecen una vía de transferencia contractual que funciona para cualquier país, sin importar su estado de adecuación. Son el mecanismo principal para las transferencias a países sin decisión de adecuación, incluida la mayor parte de Asia, África, América Latina y Oriente Medio.
Muchas organizaciones utilizan ambos mecanismos simultáneamente. Una empresa podría basarse en el DPF para las transferencias a sus proveedores de servicios certificados en Estados Unidos, mientras utiliza SCC para las transferencias a encargados en India, Filipinas o Brasil. Algunas organizaciones mantienen SCC con socios estadounidenses certificados por el DPF como respaldo, dado el historial de marcos transatlánticos invalidados.
Estado Jurídico del DPF a Mayo de 2026
El DPF ha enfrentado impugnaciones judiciales. El 3 de septiembre de 2025, el Tribunal General de la UE desestimó una acción de anulación presentada por el eurodiputado francés Philippe Latombe, confirmando la validez del DPF con base en los hechos existentes al momento de la determinación de adecuación de la Comisión en 2023. El tribunal rechazó los argumentos de Latombe según los cuales el Tribunal de Revisión de Protección de Datos de Estados Unidos carece de independencia y la vigilancia masiva carece de una revisión judicial posterior suficiente. Latombe presentó una apelación ante el TJUE el 31 de octubre de 2025; dicha apelación se encuentra actualmente pendiente.
Una cuestión aparte concierne a las acciones ejecutivas de la administración estadounidense. El caso Trump v. Slaughter estaba programado para recibir una resolución entre junio y julio de 2026, con posibles implicaciones para el marco de privacidad estadounidense que sustenta al DPF.
Las organizaciones que dependan únicamente del DPF para las transferencias a Estados Unidos deberían monitorear estos procedimientos. El enfoque de SCC más medidas complementarias ofrece un respaldo que seguiría siendo válido incluso si el DPF fuera invalidado, tal como ocurrió con el Privacy Shield en 2020.
Mecanismos de Transferencia Internacional del Reino Unido
Tras el Brexit, el Reino Unido estableció su propio marco para las transferencias internacionales de datos conforme al RGPD del Reino Unido y a la Ley de Protección de Datos de 2018. Las SCC de la UE no pueden utilizarse para las transferencias regidas por el derecho del Reino Unido.
El Acuerdo de Transferencia Internacional de Datos (IDTA)
La Oficina del Comisionado de Información del Reino Unido (ICO) aprobó el Acuerdo de Transferencia Internacional de Datos (IDTA) en marzo de 2022. El IDTA es un contrato independiente, similar en su función a las SCC de la UE, pero redactado para alinearse con el derecho del Reino Unido. Utiliza un único documento con un formato de tabla detallado, en lugar de un enfoque modular.
El Anexo del Reino Unido
Como alternativa al IDTA, las organizaciones pueden utilizar el Anexo del Reino Unido a las SCC de la UE. Este anexo se adjunta a un conjunto de SCC de la UE y las adapta para efectos del derecho del Reino Unido. Este enfoque es popular entre las organizaciones que ya cuentan con SCC de la UE, ya que evita la necesidad de un contrato separado.
Evaluaciones de Riesgo de Transferencia
La ICO exige que las organizaciones realicen una Evaluación de Riesgo de Transferencia (TRA) antes de basarse en el IDTA o en el Anexo del Reino Unido. La TRA es ampliamente similar a la TIA de la UE, pero sigue las directrices específicas de la ICO. La ICO ha publicado una herramienta detallada de TRA para ayudar a las organizaciones a completar la evaluación.
La Ley de Uso y Acceso de Datos de 2025 y las Directrices Actualizadas de la ICO
La Ley de Uso y Acceso de Datos (DUAA) del Reino Unido recibió la sanción real el 19 de junio de 2025. El Anexo 7 de la DUAA modificó el estándar para las transferencias internacionales. La protección exigida ahora se describe como "no materialmente inferior" al estándar del RGPD del Reino Unido y de la DPA 2018, denominado la "prueba de protección de datos". Esto reemplazó al estándar anterior de "no socavado".
La ICO publicó directrices actualizadas sobre transferencias internacionales el 15 de enero de 2026, reestructurando sus guías existentes e incorporando el nuevo lenguaje de la DUAA. La ICO ha indicado que planea actualizar el IDTA y el Anexo durante 2026 para reflejar las enmiendas de la DUAA. Las organizaciones deberían continuar utilizando las versiones actuales del IDTA y el Anexo hasta que se publiquen dichas actualizaciones.
Puente de Datos Reino Unido-EE. UU.
Para las transferencias específicamente hacia Estados Unidos, el Reino Unido estableció el Puente de Datos Reino Unido-EE. UU. en octubre de 2023, ofreciendo una vía basada en la adecuación paralela al DPF UE-EE. UU. Las decisiones de adecuación del Reino Unido para las transferencias del EEE al Reino Unido fueron renovadas por la Comisión Europea el 19 de diciembre de 2025, válidas hasta el 27 de diciembre de 2031.
Nota para las transferencias del EEE al Reino Unido: las organizaciones de la UE que transfieren datos personales a destinatarios en el Reino Unido no necesitan SCC para dichas transferencias. La decisión de adecuación de la Comisión Europea para el Reino Unido cubre las transferencias del EEE al Reino Unido. Se necesitan SCC para la dirección inversa (transferencias del Reino Unido a la UE) y para las transferencias del Reino Unido a países no adecuados conforme al derecho del Reino Unido.
Errores Comunes con las SCC
Las organizaciones suelen enfrentar dificultades prácticas al implementar las SCC. Comprender estos desafíos ayuda a evitar brechas de cumplimiento.
Cadenas de Tratamiento de Múltiples Capas
El tratamiento de datos moderno a menudo involucra múltiples capas de encargados y subencargados en varios países. Un único acuerdo de SCC puede necesitar incorporar varios módulos, y pueden necesitarse SCC separadas en distintos puntos de la cadena. Mapear estas relaciones con precisión antes de seleccionar los módulos es fundamental.
Mantener las TIA Actualizadas
El panorama legal en los países de destino cambia. La nueva legislación de vigilancia, las resoluciones judiciales o las prácticas gubernamentales pueden alterar el perfil de riesgo de una transferencia. Las organizaciones deben contar con un proceso para monitorear los avances legales relevantes y actualizar sus TIA en consecuencia. Las Directrices 02/2024 del CEPD de junio de 2025 sobre el artículo 48 del RGPD agregaron orientación sobre cómo deben responder las organizaciones cuando las autoridades gubernamentales de terceros países exigen acceso a los datos en poder del importador, un factor de riesgo relevante para las TIA que ahora debe evaluarse explícitamente.
Gestión de Subencargados
Los Módulos 2 y 3 exigen gestionar cuidadosamente las relaciones con los subencargados. Cuando se utiliza una autorización general (en lugar de una autorización específica para cada subencargado), el encargado debe informar al responsable sobre cualquier cambio previsto en los subencargados, otorgando al responsable la oportunidad de oponerse.
Preocupaciones sobre la Exigibilidad
Las SCC son de naturaleza contractual. Si un importador de datos en un país con un Estado de derecho débil incumple las cláusulas, la aplicación puede resultar difícil en la práctica. Las organizaciones deberían tener en cuenta el sistema legal del importador y la exigibilidad práctica de las obligaciones contractuales en su TIA.
Transferencias a Importadores Sujetos al RGPD
Las organizaciones que necesitan transferir datos personales a importadores ya directamente sujetos al RGPD conforme al artículo 3(2) enfrentan una brecha estructural en el marco actual de SCC. Las SCC de 2021 no están diseñadas para este escenario. Hasta que la Comisión adopte formalmente nuevas cláusulas para esta situación, las organizaciones deberían considerar las BCR (dentro de grupos corporativos), las cláusulas ad hoc aprobadas por una autoridad supervisora conforme al artículo 46(3)(a), o basarse de manera documentada en las excepciones del artículo 49 cuando resulten aplicables. Este no es un riesgo menor: la multa de la APD neerlandesa contra Uber involucró precisamente este tipo de transferencia sin un mecanismo reconocido.
Avances Recientes (2024 a 2026)
Se han producido varios avances significativos desde que las SCC de 2021 entraron en plena vigencia.
Aplicación contra Meta (mayo de 2023): la APD irlandesa impuso una multa de 1200 millones de euros a Meta tras la Decisión Vinculante 1/2023 del CEPD. El CEPD determinó que las transferencias de Meta basadas en SCC de datos de usuarios de Facebook a Estados Unidos carecían de medidas complementarias suficientes para compensar la protección inadecuada que ofrece el derecho de vigilancia estadounidense. Se ordenó a Meta que llevara sus transferencias al cumplimiento.
Aplicación contra Uber (2024): la APD neerlandesa impuso una multa de 290 millones de euros a Uber por transferir datos personales de conductores a Estados Unidos sin un mecanismo de transferencia válido durante un período en el que no existía un mecanismo reconocido.
Impugnación judicial del DPF (2025): el Tribunal General de la UE desestimó la impugnación de Latombe contra el DPF el 3 de septiembre de 2025. Latombe presentó una apelación ante el TJUE el 31 de octubre de 2025. La apelación se encuentra pendiente. El caso Trump v. Slaughter, con posibles implicaciones para el marco de privacidad estadounidense que sustenta al DPF, estaba programado para recibir una resolución hacia mediados de 2026.
Directrices del CEPD sobre el artículo 48 (junio de 2025): el CEPD adoptó las Directrices finales 02/2024 sobre el artículo 48 del RGPD el 5 de junio de 2025. Estas aclaran que las organizaciones que reciben solicitudes de autoridades gubernamentales de terceros países para transferir datos personales de la UE deben evaluar cada solicitud individualmente y no pueden tratar dichas solicitudes como una obligación de cumplimiento rutinaria.
Ley de Uso y Acceso de Datos de 2025 del Reino Unido: con sanción real el 19 de junio de 2025, cambió el estándar de transferencia del Reino Unido a la "prueba de protección de datos" (no materialmente inferior al RGPD del Reino Unido). La ICO publicó directrices actualizadas sobre transferencias internacionales el 15 de enero de 2026. Se esperan actualizaciones del IDTA y del Anexo durante 2026.
Renovación de la adecuación del Reino Unido (diciembre de 2025): la Comisión Europea renovó sus decisiones de adecuación para el Reino Unido el 19 de diciembre de 2025, válidas hasta el 27 de diciembre de 2031.
SCC del Artículo 3(2) (pendientes): las nuevas SCC planificadas por la Comisión para los importadores sujetos al RGPD no se habían adoptado formalmente hasta mayo de 2026. Las organizaciones que enfrenten este escenario deberían monitorear la página de SCC de la Comisión para conocer las novedades.
Esta es información jurídica de carácter general y no constituye asesoramiento legal. Las organizaciones que implementen SCC u otros mecanismos de transferencia transfronteriza deben consultar a un abogado con licencia en su jurisdicción para recibir asesoramiento específico para su situación. Este artículo refleja los estatutos y las orientaciones verificados al 19 de mayo de 2026.
Preguntas frecuentes
¿Qué son las Cláusulas Contractuales Tipo (SCC)?
Las Cláusulas Contractuales Tipo son cláusulas contractuales preaprobadas, adoptadas por la Comisión Europea conforme al artículo 46(2)(c) del RGPD. Crean obligaciones vinculantes de protección de datos entre un exportador de datos en el EEE y un importador de datos fuera del EEE. La versión actual, adoptada en junio de 2021 (Decisión de Ejecución 2021/914), reemplazó a las cláusulas anteriores de 2001/2004 y de 2010. Las SCC son el mecanismo jurídico más utilizado para las transferencias internacionales de datos desde la UE.
¿Cuáles son los cuatro módulos de las SCC y cuándo se usa cada uno?
El Módulo 1 (Responsable a Responsable) se aplica cuando un responsable de la UE transfiere datos a un responsable fuera del EEE. El Módulo 2 (Responsable a Encargado) cubre a los responsables de la UE que contratan encargados fuera del EEE, como proveedores de nube. El Módulo 3 (Encargado a Encargado) se aplica cuando un encargado con sede en la UE contrata a un subencargado fuera del EEE. El Módulo 4 (Encargado a Responsable) cubre a los encargados de la UE que devuelven datos a responsables fuera del EEE. Un único acuerdo de SCC puede incorporar varios módulos para partes con roles diferentes en distintas actividades de tratamiento.
¿Qué es una Evaluación de Impacto de la Transferencia (TIA)?
Una Evaluación de Impacto de la Transferencia evalúa si las leyes y prácticas del país de destino ofrecen una protección esencialmente equivalente a los estándares de la UE. La Cláusula 14 de las SCC de 2021 exige que las partes completen una TIA antes de transferir datos. La evaluación examina las leyes de vigilancia del país de destino, los marcos de acceso gubernamental y los recursos legales disponibles. Si la TIA identifica riesgos, las organizaciones deben implementar medidas complementarias (técnicas, contractuales u organizativas) para cerrar la brecha de protección.
¿Siguen siendo válidas las antiguas SCC?
No. La Comisión Europea estableció un plazo obligatorio de transición hasta el 27 de diciembre de 2022, para que todas las organizaciones reemplazaran las antiguas SCC (las cláusulas de responsable a responsable de 2001/2004 y las cláusulas de responsable a encargado de 2010) por la versión de 2021. Cualquier transferencia de datos que aún dependa de las antiguas SCC después de esa fecha carece de una base jurídica válida conforme al RGPD.
¿Pueden las SCC utilizarse para transferencias a Estados Unidos?
Sí. Las SCC siguen siendo un mecanismo válido para las transferencias a Estados Unidos, independientemente de si el destinatario está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. (DPF). Para las transferencias a organizaciones certificadas por el DPF, las SCC pueden servir como respaldo. Para las transferencias a organizaciones estadounidenses no certificadas, las SCC son típicamente el mecanismo de transferencia principal. Una Evaluación de Impacto de la Transferencia debe evaluar las leyes de vigilancia estadounidenses, en particular la Sección 702 de FISA y la Orden Ejecutiva 12333, y deben implementarse las medidas complementarias apropiadas.
¿Cuál es el equivalente del Reino Unido a las SCC de la UE?
El Reino Unido tiene dos opciones: el Acuerdo de Transferencia Internacional de Datos (IDTA), un contrato independiente aprobado por la ICO en marzo de 2022, y el Anexo del Reino Unido a las SCC de la UE, que adapta las SCC existentes de la UE para el derecho del Reino Unido. Las SCC de la UE por sí solas no pueden utilizarse para las transferencias regidas por el RGPD del Reino Unido. Las organizaciones también deben completar una Evaluación de Riesgo de Transferencia conforme a las directrices de la ICO. La Ley de Uso y Acceso de Datos de 2025 del Reino Unido (sanción real el 19 de junio de 2025) modificó el estándar de transferencia del Reino Unido; la ICO publicó directrices actualizadas el 15 de enero de 2026 y planea actualizar el IDTA y el Anexo durante 2026.
¿Qué medidas complementarias pueden implementar las organizaciones junto con las SCC?
Las medidas complementarias se dividen en tres categorías. Las medidas técnicas incluyen el cifrado de extremo a extremo (donde solo el exportador posee la clave de descifrado), la seudonimización y el tratamiento dividido. Las medidas contractuales exigen a los importadores impugnar las solicitudes de acceso gubernamental y proporcionar informes de transparencia. Las medidas organizativas incluyen controles de acceso, minimización de datos y auditorías periódicas. El CEPD ha enfatizado que las medidas técnicas que impiden el acceso a datos legibles son la salvaguarda más eficaz en las jurisdicciones de alto riesgo. Las medidas contractuales y organizativas por sí solas no pueden compensar un marco legal del país de destino que permita el acceso gubernamental obligatorio a los datos.
¿Con qué frecuencia deben actualizarse las Evaluaciones de Impacto de la Transferencia?
Las SCC exigen un cumplimiento continuo, no una evaluación única. Las organizaciones deben reevaluar sus TIA cuando las circunstancias cambien de manera material, como una nueva legislación de vigilancia en el país de destino, cambios en los acuerdos de subcontratación, nuevas prácticas gubernamentales o resoluciones judiciales relevantes. El CEPD recomienda establecer un proceso de monitoreo regular de los avances legales en todos los países de destino. Las Directrices 02/2024 del CEPD de 2025 sobre el artículo 48 del RGPD agregaron un factor de riesgo adicional a evaluar: las obligaciones legales del importador cuando las autoridades gubernamentales de terceros países exigen acceso a los datos personales.
¿Qué son las nuevas SCC para los importadores sujetos al RGPD, y cuándo estarán disponibles?
La Comisión Europea está desarrollando un nuevo conjunto de SCC específicamente para las transferencias a responsables y encargados fuera del EEE cuyo tratamiento ya está directamente sujeto al RGPD conforme al artículo 3(2), por ejemplo, porque dirigen su actividad a residentes de la UE. Las SCC de 2021 no son adecuadas para este escenario, ya que asumen que el importador no está sujeto al RGPD. La Comisión planificó una consulta pública para el cuarto trimestre de 2024 y un proyecto para adopción en el segundo trimestre de 2025. Hasta mayo de 2026, no se había publicado una decisión de ejecución formal en el Diario Oficial. Las organizaciones deberían monitorear la página de SCC de la Comisión para conocer el anuncio de adopción formal.
¿Cómo se comparan las SCC con las Normas Corporativas Vinculantes (BCR)?
Las SCC son cláusulas contractuales utilizadas para relaciones de transferencia individuales; pueden ser utilizadas por cualquier organización y no requieren aprobación previa de una autoridad supervisora. Las Normas Corporativas Vinculantes son políticas intragrupo aprobadas por una autoridad supervisora principal conforme al artículo 47 del RGPD. Las BCR cubren todas las transferencias intragrupo dentro del alcance aprobado sin necesidad de acuerdos de SCC caso por caso, lo que las hace eficientes para las grandes multinacionales, pero obtener la aprobación normalmente lleva de uno a tres años y recursos legales sustanciales. Las BCR no pueden utilizarse para las transferencias a terceros externos; las SCC siguen siendo necesarias para esos casos. Ambos mecanismos son complementarios.
¿Necesito SCC para transferir datos desde el EEE al Reino Unido?
No. La decisión de adecuación de la Comisión Europea para el Reino Unido cubre las transferencias del EEE al Reino Unido, lo que significa que no se necesita ninguna SCC ni otro mecanismo del artículo 46 para dichas transferencias. La decisión de adecuación se renovó el 19 de diciembre de 2025 y es válida hasta el 27 de diciembre de 2031. Sin embargo, las organizaciones con sede en el Reino Unido que transfieren datos fuera del Reino Unido a países no adecuados aún necesitan el IDTA o el Anexo del Reino Unido (los equivalentes del Reino Unido a las SCC de la UE) para dichas transferencias salientes.
Fuentes y referencias
- Las actuales SCC de la UE fueron adoptadas mediante la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.(eur-lex.europa.eu).gov
- El TJUE resolvió en el asunto Data Protection Commissioner contra Facebook Ireland Limited y Maximillian Schrems, asunto C-311/18, ECLI:EU:C:2020:559, 16 de julio de 2020 (Schrems II), confirmando las SCC como mecanismo de transferencia válido en principio, pero exigiendo a los exportadores verificar si el marco legal del país importador(eur-lex.europa.eu).gov
- Las Recomendaciones 01/2020 del CEPD sobre medidas complementarias (finalizadas en junio de 2021) delinean un proceso de seis pasos para las TIA.(edpb.europa.eu).gov
- La multa de 1200 millones de euros a Meta/Facebook fue impuesta por la APD irlandesa tras la Decisión Vinculante 1/2023 del CEPD (13 de abril de 2023). La APD determinó que las transferencias de Meta de datos de usuarios de Facebook a Estados Unidos mediante SCC carecían de medidas complementarias suficientes para compensar las leyes de vigilancia estadounidenses.(edpb.europa.eu).gov
- La APD neerlandesa (Autoriteit Persoonsgegevens) impuso una multa de 290 millones de euros a Uber por transferencias de datos personales de conductores a Estados Unidos sin un mecanismo de transferencia válido. Esta es la tercera multa que la APD neerlandesa impone a Uber.(edpb.europa.eu).gov
- El Tribunal General de la UE desestimó la impugnación de anulación de Latombe contra el Marco de Privacidad de Datos UE-EE. UU. el 3 de septiembre de 2025. Latombe presentó una apelación ante el TJUE el 31 de octubre de 2025. La apelación se encuentra pendiente.(noyb.eu)
- La Ley de Uso y Acceso de Datos del Reino Unido recibió la sanción real el 19 de junio de 2025. El Anexo 7 de la Ley modificó el estándar para las transferencias internacionales, de 'no socavado' a 'no materialmente inferior' a la protección del RGPD del Reino Unido (la 'prueba de protección de datos'). La ICO publicó directrices actualizadas sobre transferencias internacionales(ico.org.uk).gov
- La ICO planea actualizar el IDTA y el Anexo durante el transcurso de 2026 para reflejar las enmiendas de la DUAA. Las organizaciones deberían continuar utilizando las versiones actuales del IDTA y el Anexo hasta entonces.(ico.org.uk).gov
- La Comisión Europea está en proceso de desarrollar nuevas SCC para las transferencias a responsables y encargados fuera del EEE cuyo tratamiento está directamente sujeto al RGPD conforme al artículo 3(2). Se planificó una consulta pública para el cuarto trimestre de 2024, con un proyecto previsto para el segundo trimestre de 2025. Hasta mayo de 2026, la de la Comisión(commission.europa.eu).gov
- El CEPD adoptó la versión final de las Directrices 02/2024 sobre el artículo 48 del RGPD (transferencias de datos a autoridades de terceros países) el 5 de junio de 2025. Las directrices aclaran que las sentencias o decisiones de autoridades de terceros países no pueden reconocerse ni ejecutarse automáticamente en la UE, y que las organizaciones deben evaluar cada(edpb.europa.eu).gov
- Las SCC de 2021 existentes se limitan a las transferencias en las que el tratamiento del importador de datos NO está sujeto al RGPD. Son inadecuadas para el escenario en el que tanto el exportador como el importador están sujetos al RGPD, porque las cláusulas duplicarían parcialmente y a la vez se apartarían de las obligaciones que ya(commission.europa.eu).gov
- El CEPD instó a la Comisión Europea a preparar nuevas SCC que cubrieran el escenario en el que tanto el exportador como el importador de datos están sujetos al RGPD, enfatizando que dichas SCC no deberían replicar las obligaciones del RGPD, sino centrarse en elementos específicamente relacionados con los riesgos del importador(edpb.europa.eu).gov
- ICO del Reino Unido - Evaluaciones de Riesgo de Transferencia(ico.org.uk).gov
- Ley de Protección de Datos de 2018 del Reino Unido(legislation.gov.uk).gov
- Comisión Europea - SCC para Transferencias Internacionales(commission.europa.eu).gov
- CEPD: Decisión Vinculante 1/2023 sobre Meta Platforms Ireland (transferencias de Facebook a Estados Unidos)(edpb.europa.eu)