El Comité Europeo de Protección de Datos (en adelante, “CEPD”) ha publicado la versión final de sus Directrices sobre las transferencias de datos personales a destinatarios establecidos en terceros países u organizaciones internacionales, con fecha 18 de junio de 2025.
Este documento aclara los criterios que deben cumplirse para que una comunicación de datos personales se considere una “transferencia internacional” en el sentido del Reglamento General de Protección de Datos (en adelante “RGPD”), y las obligaciones que conlleva para los responsables y encargados del tratamiento. Las Directrices son especialmente relevantes para responsables y encargados del tratamiento que operan en contextos transnacionales, y que necesitan identificar correctamente si deben aplicar las garantías del Capítulo V del RGPD al enviar datos fuera del Espacio Económico Europeo (en adelante, “EEE”).
En particular, el CEPD destaca los siguientes puntos:
Tres condiciones para que exista una “transferencia internacional”:
Las Directrices precisan que una operación de tratamiento solo se considera una transferencia internacional si concurren tres requisitos:
- El exportador de los datos (ya sea responsable o encargado) está establecido en la Unión Europea o está sujeto al RGPD conforme al artículo 3;
- Los datos son comunicados a un destinatario distinto (otro responsable, encargado o tercero);
- El destinatario se encuentra en un país tercero o no está sujeto al RGPD en relación con el tratamiento concreto.
Este criterio se aplica también cuando el acceso a los datos se produce de forma remota desde fuera del EEE.
No toda comunicación de datos al exterior es una “transferencia”:
No se considera transferencia internacional el acceso remoto por parte de empleados ubicados fuera del EEE que actúan bajo la autoridad del responsable o encargado. Tampoco lo es cuando el destinatario, aun estando fuera del EEE, está sujeto al RGPD respecto al tratamiento específico (por ejemplo, por prestar servicios a ciudadanos de la UE, conforme al artículo 3.2).
Aplicación del Capítulo V del RGPD:
Cuando sí se configura una transferencia internacional, deben aplicarse los mecanismos establecidos en el Capítulo V del RGPD, como:
- Decisiones de adecuación
- Garantías adecuadas (como cláusulas contractuales tipo o normas corporativas vinculantes),
- Excepciones limitadas, como el consentimiento explícito del interesado o la necesidad de la transferencia para la ejecución de un contrato.
Importancia de analizar el tratamiento específico:
Uno de los aspectos más importantes del documento es la interpretación conjunta del artículo 3, relativo al campo de aplicación territorial y el Capítulo V. El CEPD aclara que el hecho de que un destinatario esté sometido al RGPD no implica automáticamente que no se trate de una transferencia. Es necesario verificar si el tratamiento específico se encuentra efectivamente cubierto por dicha sujeción.
Estas Directrices, con valor interpretativo, pretenden aportar seguridad jurídica y coherencia a nivel europeo, especialmente en operaciones que implican la exportación de datos personales fuera del EEE. Además refuerzan el principio fundamental del RGPD de que los datos personales deben disfrutar del mismo nivel de protección independientemente de dónde sean tratados.
