Data Protection • GDPR • • 05 de May de 2026

¿Transfiere datos de clientes fuera de la UE? Lo que las empresas españolas deben saber en 2026

Elena Vasquez-Moretti

05 de May de 2026

Transferring Customer Data Outside the EU? What Spanish Businesses Need to Know in 2026

Si su empresa utiliza un CRM con sede en EE. UU., envía datos de clientes a un proveedor en la India, o depende de software en la nube alojado fuera del Espacio Económico Europeo, es casi seguro que está realizando transferencias internacionales de datos bajo el RGPD — y puede que no tenga las salvaguardias legales necesarias para hacerlo lícitamente.

Esta es una de las áreas más comúnmente malinterpretadas del cumplimiento del RGPD, y también es una de las más activamente aplicadas. La autoridad de protección de datos de España, la AEPD, ya ha multado a empresas por transferencias de datos ilegales — incluyendo una multa de 10 millones de euros contra Google por este tipo de infracción.

Las reglas también han cambiado significativamente en 2025 y principios de 2026, con nuevas decisiones de adecuación para Brasil y el Reino Unido, la incertidumbre continua en torno al Marco de Privacidad de Datos UE-EE. UU., y nuevas directrices de los reguladores de la UE sobre cómo documentar correctamente sus transferencias.

Esta guía explica qué son las transferencias internacionales de datos bajo el RGPD, qué mecanismos legales pueden utilizar las empresas españolas, qué ha cambiado recientemente y qué debe hacer ahora mismo para seguir cumpliendo la normativa.

¿Qué se considera una transferencia internacional de datos según el RGPD?

Una transferencia internacional de datos se produce cuando los datos personales se trasladan de un responsable o encargado del tratamiento dentro del Espacio Económico Europeo (EEE) a un destinatario ubicado fuera de él.

El EEE abarca los 27 estados miembros de la UE más Islandia, Liechtenstein y Noruega. El envío de datos a cualquier otro país — incluidos Estados Unidos, el Reino Unido (que ahora tiene su propio estatus de adecuación separado), India, Brasil, Canadá o cualquier otro lugar — constituye una transferencia internacional que requiere una base legal en virtud del Capítulo V del RGPD.

La definición es más amplia de lo que la mayoría de las empresas esperan. Incluye:

Subir datos de clientes a una plataforma en la nube con sede en EE. UU. como Salesforce, HubSpot o Microsoft 365
Utilizar una herramienta de marketing alojada en servidores fuera de la UE
Compartir registros de clientes con un proveedor, socio de subcontratación o empresa matriz en el extranjero
Permitir el acceso remoto a datos personales de la UE por parte de personal o contratistas con sede fuera del EEE
Enviar correos electrónicos que contengan datos personales a destinatarios fuera del EEE

Incluso permitir el acceso a datos personales de la UE desde un tercer país puede constituir una transferencia. Si un agente de atención al cliente en Filipinas puede iniciar sesión en su base de datos de clientes, eso es una transferencia según el RGPD, independientemente de dónde se encuentren físicamente los servidores.

What Counts as an International Data Transfer Under GDPR?

⚠️ Importante: Utilizar un proveedor de la nube que almacena datos en centros de datos con sede en la UE no es automáticamente compatible. Si el proveedor es una empresa constituida en EE. UU. sujeta a leyes como la US CLOUD Act — que puede obligar a las empresas a entregar datos independientemente de dónde estén almacenados — aún debe tener un mecanismo de transferencia adecuado.

La prueba de los tres pasos antes de cualquier transferencia

Antes de enviar datos personales fuera del EEE, el RGPD le exige seguir un proceso de tres pasos en orden.

Paso 1 — Comprobar si existe una decisión de adecuación

La Comisión Europea evalúa periódicamente los países fuera del EEE y decide formalmente si su marco de protección de datos ofrece un nivel de protección esencialmente equivalente al del RGPD. Si el país al que va a transferir tiene una decisión de adecuación, la transferencia puede realizarse sin salvaguardias adicionales.

A partir de abril de 2026, los países con decisiones de adecuación totales o parciales incluyen: Andorra, Argentina, Canadá (solo organizaciones comerciales bajo PIPEDA), Islas Feroe, Guernsey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, Corea del Sur, Suiza, Uruguay, el Reino Unido y Estados Unidos (limitado a organizaciones certificadas bajo el Marco de Privacidad de Datos UE-EE. UU.).

Recientemente se han producido dos actualizaciones significativas. Brasil recibió una decisión formal de adecuación en enero de 2026 — la adición más reciente a la lista y un desarrollo significativo para las empresas españolas con operaciones en América Latina. La decisión de adecuación del Reino Unido, que expiraba en junio de 2025, fue renovada en diciembre de 2025 y ahora se extiende hasta diciembre de 2031.

Las decisiones de adecuación no son permanentes. Se revisan periódicamente y pueden ser revocadas si los estándares de protección de datos de un país se deterioran. Verifique siempre el estado actual del país de destino antes de basarse en la adecuación como base para su transferencia.

Paso 2 — Si no existe una decisión de adecuación, implementar salvaguardias adecuadas

Para los países que no están en la lista de adecuación — lo que incluye a la mayoría del mundo — el RGPD exige que se establezcan "garantías adecuadas" antes de que se pueda realizar cualquier transferencia. Estas garantías aseguran que los datos sigan recibiendo una protección equivalente a la del RGPD una vez que salgan del EEE.

Las opciones principales se cubren en la siguiente sección.

Paso 3 — Si no se dispone de ninguna salvaguardia, verificar si existen derogaciones específicas

El artículo 49 del RGPD contiene una lista limitada de circunstancias excepcionales bajo las cuales se puede permitir una transferencia incluso sin una decisión de adecuación o salvaguardias. Estas incluyen el consentimiento explícito del interesado, la necesidad para la ejecución de un contrato y razones importantes de interés público.

Estas derogaciones son limitadas y están destinadas a transferencias ocasionales y puntuales, no a operaciones comerciales rutinarias. La AEPD ha dejado claro que basarse en el artículo 49 como base regular para las transferencias de datos comerciales no cumple con la normativa.

Los mecanismos legales que más utilizan las empresas españolas

Cláusulas Contractuales Tipo (CCT)

Las Cláusulas Contractuales Tipo son el mecanismo de transferencia más utilizado a nivel mundial. Son términos contractuales modelo preaprobados emitidos por la Comisión Europea que crean obligaciones legalmente vinculantes en materia de protección de datos entre el exportador de datos de la UE y el importador de datos de fuera de la UE.

La versión actual de las CCT fue adoptada el 4 de junio de 2021. Sustituyeron a los tres conjuntos anteriores de CCT más antiguas e introdujeron una estructura modular con cuatro módulos que cubren diferentes escenarios de transferencia: de responsable a responsable, de responsable a encargado, de encargado a encargado y de encargado a responsable.

Las CCT se pueden implementar con relativa rapidez. A diferencia de las Normas Corporativas Vinculantes (ver más abajo), no requieren la aprobación previa de una autoridad de protección de datos. Sin embargo, la firma de las CCT ya no es suficiente por sí sola.

⚠️ Desde la sentencia Schrems II de 2020, las organizaciones que se basan en las CCT también deben realizar una Evaluación de Impacto de la Transferencia (EIT) — un análisis de riesgo documentado sobre si las leyes del país de destino socavan las protecciones que se supone que proporcionan las CCT. Sin una EIT, sus CCT no son legalmente válidas.

Evaluaciones de Impacto de la Transferencia (EIT)

Una Evaluación de Impacto de la Transferencia (EIT) es una evaluación estructurada de si el entorno legal y regulatorio del país de destino es compatible con los estándares del RGPD. Se centra particularmente en los poderes de vigilancia del gobierno, si las autoridades pueden acceder a los datos sin supervisión judicial y qué recursos legales están disponibles para los interesados de la UE en ese país.

La autoridad francesa de protección de datos CNIL publicó las directrices finalizadas de la EIT en enero de 2025, que proporcionan una metodología práctica paso a paso. Si bien estas son directrices francesas, siguen de cerca las recomendaciones del Comité Europeo de Protección de Datos y representan el marco práctico más claro disponible actualmente para las empresas de la UE.

Si su EIT revela que las leyes del país de destino socavan las protecciones de sus CCT, debe implementar medidas técnicas complementarias — como el cifrado de extremo a extremo — antes de continuar. Si ninguna medida complementaria puede cerrar adecuadamente la brecha, la transferencia no debe realizarse.

Standard Contractual Clauses and Transfer Impact Assessment process under GDPR

Normas Corporativas Vinculantes (NCV)

Las Normas Corporativas Vinculantes son políticas internas que permiten a los grupos corporativos multinacionales transferir datos personales entre entidades dentro del grupo, incluso a países sin decisiones de adecuación. Crean estándares a nivel de RGPD en todas las entidades del grupo a nivel global.

Las NCV deben ser aprobadas por una autoridad de protección de datos competente de la UE antes de su uso — un proceso que generalmente lleva de uno a dos años e implica importantes recursos legales. Por esta razón, las NCV son utilizadas principalmente por grandes corporaciones multinacionales en lugar de pymes.

Si su empresa es una filial o división de un grupo internacional más grande que ya tiene NCV aprobadas, es posible que pueda depender de ellas para las transferencias intragrupo. Consulte con el DPO o el equipo legal de su grupo.

El Marco de Privacidad de Datos UE-EE. UU. (DPF)

El Marco de Privacidad de Datos UE-EE. UU. fue adoptado por la Comisión Europea en julio de 2023 como sucesor del mecanismo invalidado Privacy Shield. Permite a las empresas estadounidenses que han autocertificado su cumplimiento con el DPF recibir datos personales de la UE sin necesidad de CCT o una EIT.

Si transfiere datos a un proveedor de servicios con sede en EE. UU., lo primero que debe verificar es si ese proveedor está certificado bajo el DPF. Puede verificar la certificación en el sitio web oficial del DPF (dataprivacyframework.gov). Muchos de los principales proveedores de servicios en la nube y tecnología están certificados.

Sin embargo, la estabilidad a largo plazo del DPF no está garantizada. Un recurso legal presentado ante el Tribunal de Justicia de la UE sigue pendiente en el momento de la publicación. Además, los acontecimientos políticos en EE. UU. — incluyendo el cese de miembros del organismo de supervisión en enero de 2025 — han planteado dudas sobre si el mecanismo de reparación del DPF sigue plenamente operativo. Los defensores de la privacidad, incluido el grupo noyb, han argumentado que el marco podría ser impugnado de nuevo.

El consejo práctico para las empresas españolas: utilice el DPF para las transferencias a EE. UU. cuando esté disponible, pero mantenga las CCT con sus principales proveedores estadounidenses como mecanismo de respaldo. De esa manera, si el DPF es invalidado, sus transferencias no se volverán ilegales de la noche a la mañana.

EU-US Data Privacy Framework decision process for GDPR data transfers

Lo que la AEPD ha dicho y hecho

La autoridad de protección de datos de España ha demostrado que aplicará activamente las normas sobre transferencias internacionales. La AEPD multó a Google con 10 millones de euros por transferencias ilícitas de datos personales — una de las señales más claras de que la autoridad trata esta área con la misma seriedad que trata las violaciones de consentimiento o los fallos de seguridad.

En términos más generales, la tendencia de aplicación de la AEPD es inconfundible. El total de multas en 2024 alcanzó un récord de 35,5 millones de euros — un aumento del 19% respecto al año anterior. La autoridad ha cambiado su enfoque de sanciones de gran volumen y bajo valor a casos dirigidos y de gran impacto con sanciones sustancialmente mayores. Las transferencias internacionales, los datos biométricos y el procesamiento relacionado con la IA son todas prioridades actuales de su aplicación.

AEPD enforcement risk for unlawful international data transfers in Spain

La AEPD sigue el Capítulo V del RGPD sin añadir restricciones significativas a nivel nacional más allá del marco estándar. Esto significa que las empresas españolas dependen de los mismos mecanismos de transferencia disponibles en toda la UE, pero deben implementarse, documentarse y revisarse correctamente de forma periódica.

📌 España lidera todos los estados miembros de la UE en el total de acciones de aplicación del RGPD, con 1.033 multas que suman más de 123 millones de euros desde la entrada en vigor del RGPD. Tratar las transferencias internacionales de datos como un área de cumplimiento de baja prioridad no es un riesgo que valga la pena correr.

Escenarios comunes en los que las empresas españolas se equivocan

Uso de software estadounidense sin verificar el DPF o implementar las CCT

Si su empresa utiliza herramientas estadounidenses como Google Workspace, Salesforce, HubSpot, Mailchimp o Zoom, es casi seguro que está transfiriendo datos personales a EE. UU. Muchos de estos proveedores están certificados por el DPF u ofrecen CCT como parte de sus acuerdos de procesamiento de datos. Pero debe confirmarlo activamente — y mantener un registro de ello.

Asumir que la residencia de datos resuelve el problema

Elegir un proveedor de la nube que almacene datos en Fráncfort o Dublín no significa necesariamente que se cumplan sus obligaciones de transferencia. Si el proveedor es una empresa constituida en EE. UU. sujeta a la US CLOUD Act, el riesgo de acceso gubernamental a los datos persiste independientemente de la ubicación del servidor. Aún necesita CCT u otro mecanismo de transferencia.

No revisar a los encargados del tratamiento de terceros

Si utiliza un encargado del tratamiento de datos — un tercero que procesa datos personales en su nombre — usted es responsable de asegurarse de que ese encargado tenga las salvaguardias de transferencia adecuadas, incluso para cualquier subencargado que utilice. Según el artículo 28 del RGPD, su Acuerdo de Tratamiento de Datos con ese proveedor debe abordar las transferencias internacionales. Simplemente firmar un DPA no es suficiente si no cubre las transferencias posteriores y los subencargados.

Confiar en CCT obsoletas

Las CCT de 2021 sustituyeron a todos los conjuntos anteriores. Si su empresa firmó CCT antes de diciembre de 2022 y nunca las actualizó, es posible que esté operando bajo cláusulas que ya no cumplen la normativa. Revise todos sus acuerdos de procesamiento de datos ahora.

Falta de documentación de la EIT

Muchas empresas utilizan las CCT pero no tienen una Evaluación de Impacto de la Transferencia documentada que las acompañe. Tras la sentencia Schrems II, una EIT no es opcional, es un requisito legal cuando se confía en las CCT. Sin documentación, no tiene pruebas de rendición de cuentas ni defensa en una investigación.

Una lista de comprobación práctica para el cumplimiento de las transferencias internacionales

Utilice esta lista de comprobación para evaluar y mejorar su situación actual.

Mapee todos los flujos de datos salientes. Identifique cada transferencia de datos personales fuera del EEE — incluidos los datos compartidos con proveedores de software, servicios en la nube, socios de subcontratación y entidades del grupo.
Verifique el estado de adecuación de cada país de destino. Verifique si el país tiene una decisión de adecuación actual antes de asumir que puede transferir libremente.
Verifique la certificación DPF para los destinatarios de EE. UU. Para los proveedores con sede en EE. UU., consulte dataprivacyframework.gov para confirmar su estado de certificación.
Implemente las CCT con proveedores de países no adecuados. Utilice las CCT de 2021 y seleccione el módulo correcto para su escenario de transferencia.
Realice y documente una EIT para cada transferencia basada en CCT. Evalúe el marco legal del país de destino y documente sus conclusiones. Si se necesitan medidas complementarias, impleméntelas y regístrelas.
Revise los Acuerdos de Procesamiento de Datos. Asegúrese de que cada ADP con un procesador de terceros cubra las transferencias internacionales y las obligaciones del subprocesador.
Mantenga sus registros de transferencia en su Registro de Actividades de Tratamiento (RoPA). Su RoPA debe registrar no solo qué datos procesa, sino también dónde van y en qué mecanismo de transferencia se basa.
Establezca un calendario de revisión. Las decisiones de adecuación pueden ser revocadas. El DPF puede ser impugnado. Los mecanismos de transferencia deben revisarse al menos anualmente o cuando se produzcan cambios significativos.

GDPR international data transfer compliance checklist for Spanish businesses

Cómo se conecta esto con el resto de su programa de cumplimiento del RGPD

Las transferencias internacionales de datos no existen de forma aislada. Se cruzan con varias otras áreas de cumplimiento del RGPD que se cubren con más profundidad en nuestro clúster de contenido:

Su Registro de Actividades de Procesamiento debe incluir detalles de todas las transferencias internacionales, incluidas las salvaguardias en las que se basa. Esto se conecta directamente con el principio de responsabilidad.
Si utiliza herramientas de IA que procesan datos personales y esas herramientas están alojadas fuera de la UE, tiene una obligación de transferencia del RGPD y, después del 2 de agosto de 2026, obligaciones según la Ley de IA de la UE. Consulte nuestra guía: RGPD e IA: lo que las empresas españolas que utilizan herramientas de IA deben hacer antes de agosto de 2026.
Si una violación de datos involucra datos personales que han sido transferidos fuera de la UE, su obligación de notificación de 72 horas a la AEPD sigue siendo aplicable. Consulte: Cómo gestionar una violación de datos del RGPD como empresa en España: la regla de las 72 horas explicada.
Comprender la LOPDGDD de España junto con el RGPD es esencial para tener una imagen completa de sus obligaciones. Consulte: RGPD vs. LOPDGDD de España: Entendiendo ambas leyes y por qué su empresa debe cumplir con ambas.

Adquiera el conocimiento para realizar transferencias internacionales correctamente

Entender las reglas para las transferencias internacionales de datos es una cosa. Elaborar la documentación, realizar las TIAs adecuadas, revisar sus acuerdos con proveedores y mantener todo actualizado a medida que el panorama regulatorio evoluciona es un programa de cumplimiento sostenido.

El curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas del Spanish Compliance Institute está diseñado para proporcionarle exactamente eso: un programa completo y estructurado, creado para el entorno regulatorio español y de la UE en el que opera su empresa.

A lo largo de cinco módulos, cubrirá desde los principios fundamentales del RGPD hasta temas avanzados como la evaluación de riesgos, la gestión de procesadores externos y las implicaciones para la protección de datos de las tecnologías emergentes. El curso incluye 18 plantillas descargables, entre ellas las herramientas que necesita para documentar sus transferencias internacionales, evaluar los riesgos de los países de destino y mantener acuerdos con proveedores que cumplan la normativa.

Ya sea usted un empresario que se adapta por primera vez a la normativa o un profesional del cumplimiento que elabora un programa formal, el curso proporciona la estructura y las herramientas prácticas para hacerlo correctamente.

Certificación Destacada

Formación en Gobernanza del RGPD y Protección de Datos

Formación práctica sobre controles de cumplimiento, DPIA y requisitos de la AEPD.

Explorar Cursos →

Sugerencias de imágenes y texto alternativo

Sección	Imagen sugerida	Texto alternativo
Principal / Superior	Globo terráqueo con bandera de la UE y líneas de flujo de datos	Transferencias internacionales de datos del RGPD desde España — normas para enviar datos de clientes fuera de la UE
Decisiones de Adecuación	Mapa mundial destacando los países con decisión de adecuación aprobada	Países con decisión de adecuación de la UE 2026 — donde las empresas españolas pueden transferir datos libremente
Sección de CCT	Documento de contrato firmado con estrellas de la UE	Cláusulas Contractuales Tipo para transferencias de datos conformes con el RGPD fuera de la UE
Evaluación de Impacto de la Transferencia	Lista de verificación o formulario de evaluación de riesgos en un escritorio	Proceso de Evaluación de Impacto de la Transferencia para las transferencias internacionales de datos del RGPD bajo Schrems II
Sección de EE. UU. / DPF	Banderas de la UE y EE. UU. con gráfico de transferencia de datos	Marco de Privacidad de Datos UE-EE. UU. para la transferencia de datos de clientes a los Estados Unidos bajo el RGPD
Sección de CTA	Visual de curso o aprendizaje de cumplimiento	Curso de Cumplimiento del RGPD de la UE y Protección de Datos para Empresas — Spanish Compliance Institute

Frequently Asked Questions

01 Does GDPR apply to data transfers from Spain to other EU countries? +

No. Transfers between countries within the EEA — all EU member states plus Iceland, Liechtenstein, and Norway — are not subject to the international transfer restrictions in GDPR Chapter V. The rules apply only when data crosses outside the EEA.

02 Can I transfer customer data to the UK after Brexit? +

Yes. The European Commission renewed its adequacy decision for the UK in December 2025, extending it until December 2031. This means personal data can flow freely from Spain (and the EU) to the UK without additional transfer mechanisms. However, this decision is subject to ongoing monitoring and could be revoked if UK data protection standards diverge significantly from EU standards.

03 Is it safe to use US cloud providers like Google, Microsoft, or Salesforce for EU customer data? +

Many major US cloud providers are certified under the EU–US Data Privacy Framework or offer SCCs as part of their standard data processing agreements. However, you must actively verify this — do not assume compliance. Check each provider’s DPF certification or confirm that their SCCs are the current 2021 version. Given ongoing uncertainty around the DPF, maintaining SCCs as a backup mechanism is advisable.

04 What is a Transfer Impact Assessment and do I really need one? +

A Transfer Impact Assessment is a documented analysis of whether the legal environment in the destination country provides adequate protection for EU personal data, particularly in relation to government surveillance. Since the Schrems II ruling in 2020, a TIA is legally required whenever you transfer data using Standard Contractual Clauses. Without one, your SCCs are not legally valid. The CNIL published practical TIA guidance in January 2025, which provides a clear methodology.

05 What happens if I transfer data to a country without an adequacy decision and no SCCs in place? +

That transfer is unlawful under GDPR. The AEPD can investigate, issue formal warnings, order the transfer to stop, and impose fines of up to €20 million or 4% of global annual turnover, whichever is higher, for the most serious violations. The AEPD has already fined a major company €10 million for exactly this type of violation.

06 Does Brazil’s new adequacy decision affect Spanish businesses? +

Yes, if you transfer personal data to Brazilian recipients. Brazil received a formal EU adequacy decision in January 2026, meaning data can now flow freely from Spain to Brazil without the need for SCCs or a TIA. This is particularly relevant for Spanish businesses with Latin American operations or Brazilian suppliers.

07 Can I use Article 49 derogations for routine transfers to countries without adequacy decisions? +

No. The derogations under GDPR Article 49 are intended for occasional, one-off transfers in specific exceptional circumstances — such as when a transfer is strictly necessary to perform a contract with an individual who requested it. Relying on Article 49 as a routine basis for commercial data transfers is not compliant and has been explicitly criticised by EU regulators.

08 What should I do if a sub-processor or supplier transfers data on my behalf to a non-adequate country? +

You are responsible for ensuring any third party processing data on your behalf maintains appropriate transfer safeguards. Your Data Processing Agreement must cover international transfers. Review your DPAs for all suppliers, and ask providers to confirm which transfer mechanism they rely on for any non-EEA processing.

This article is for informational purposes only and does not constitute legal advice. For guidance specific to your organisation’s circumstances, consult a qualified data protection professional or legal adviser.