Transferencias de Datos del GDPR en 2026: Navegando el Marco Post-Schrems II
Análisis a nivel profesional de los mecanismos de transferencia internacional de datos del GDPR en 2026: el estado jurídico actual del Marco de Privacidad de Datos UE-EE.UU. bajo presión política, las Cláusulas Contractuales Tipo, las Normas Corporativas Vinculantes, las decisiones de adecuación para países distintos de EE.UU., las Evaluaciones de Impacto de Transferencia y la planificación de contingencia para DPO, CLO, CTO y asesores jurídicos de privacidad.
Morvantine Editorial — Legal
19 January 2026
Introducción: La Inestabilidad Permanente de los Flujos de Datos Transatlánticos
La anulación del Privacy Shield por el Tribunal de Justicia de la Unión Europea en Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (C-311/18, Schrems II, 16 de julio de 2020) puso al descubierto una incompatibilidad estructural entre la legislación estadounidense de vigilancia —principalmente la Orden Ejecutiva 12333 y el artículo 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA)— y los requisitos del GDPR relativos a la protección equivalente de datos en terceros países. El Marco de Privacidad de Datos UE-EE.UU. (DPF), adoptado mediante Decisión de la Comisión C(2023) 4745 el 10 de julio de 2023, fue presentado como la solución definitiva. Tres años después, se enfrenta a una serie de presiones jurídicas, políticas e institucionales que todo profesional de la protección de datos debería tratar como un riesgo activo y no como un problema resuelto.
Este artículo analiza el espectro completo de mecanismos de transferencia de datos disponibles en virtud del artículo 44 del GDPR y la decisión de adecuación del DPF UE-EE.UU., evalúa su solidez jurídica relativa y proporciona marcos prácticos para las organizaciones que necesitan mantener la continuidad operativa con independencia del destino del DPF.
El Marco de Privacidad de Datos UE-EE.UU.: Estado Jurídico en 2026
La Arquitectura del DPF
La Decisión de la Comisión C(2023) 4745 declaró que los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos a organizaciones certificadas en el marco del DPF. La infraestructura jurídica central del DPF comprende:
- EO 14086 (Enhancing Safeguards for United States Signals Intelligence Activities, 7 de octubre de 2022), que estableció requisitos de proporcionalidad para la recogida de inteligencia de señales y el mecanismo de recurso
- El Tribunal de Revisión de Protección de Datos (DPRC), creado en virtud de la EO 14086 como órgano independiente para recibir y resolver las reclamaciones individuales de ciudadanos de la UE sobre el acceso de los servicios de inteligencia estadounidenses a sus datos
- Los Principios del DPF (sustancialmente similares a los anteriores principios del Privacy Shield), administrados por el Departamento de Comercio de EE.UU., con potestad ejecutora de la FTC
Desafíos Jurídicos Actuales
A fecha del primer trimestre de 2026, el DPF se enfrenta a tres importantes amenazas jurídicas.
Primer desafío: La Quadrature du Net (asunto TJUE C-078/25). Interpuesto en enero de 2025 ante el TJUE, este recurso sostiene que la EO 14086 no restringe adecuadamente la recogida masiva en virtud del artículo 702 de la FISA, y que el DPRC —un tribunal que no es del artículo III y opera bajo autoridad ejecutiva— no cumple los requisitos establecidos por el TJUE en Schrems II para la «tutela judicial efectiva». El TJUE emitió una solicitud de tramitación acelerada en marzo de 2025; la opinión del Abogado General se espera para el tercer trimestre de 2026, con una sentencia definitiva posiblemente a finales de 2026 o principios de 2027. Las opiniones de los Abogados Generales del TJUE en materia de privacidad han sido históricamente seguidas en la sentencia definitiva (la opinión del AG en el propio asunto Schrems II anticipó la anulación).
Segundo desafío: Evolución política en EE.UU. La postura de la segunda Administración Trump respecto a la reautorización del artículo 702 de la FISA y la reforma de la inteligencia de señales ha suscitado dudas sobre la continuidad operativa de los compromisos del DPF por parte de EE.UU. El DPRC ha tramitado menos de 50 asuntos en sus primeros 18 meses —notablemente inferior a lo que las autoridades europeas de protección de datos anticipaban en función del volumen de datos de ciudadanos de la UE tratados por empresas estadounidenses—, lo que ha generado preocupaciones académicas y de la sociedad civil sobre su eficacia práctica.
Tercer desafío: Revisión del Comité Europeo de Protección de Datos (EDPB). En virtud del considerando 186 de la decisión de adecuación del DPF, la Comisión se comprometió a revisar la decisión en el plazo de tres años desde su adopción (es decir, antes de julio de 2026). El dictamen del EDPB en virtud del artículo 70 sobre la primera revisión anual (octubre de 2024) señaló preocupaciones persistentes sobre la transparencia del DPRC, el alcance del artículo 702 y la ausencia de limitaciones a la recogida masiva equivalentes a los estándares de proporcionalidad de la UE.
Conclusión práctica: El DPF debe utilizarse como mecanismo de transferencia principal cuando esté disponible, pero ninguna organización que no pueda tolerar operativamente una repentina anulación de la adecuación debería depender exclusivamente del DPF sin un mecanismo de reserva activo.
Cláusulas Contractuales Tipo: El Recurso Indispensable
Marco Jurídico
Las Cláusulas Contractuales Tipo (CCT) son el instrumento por excelencia para las transferencias internacionales de datos del GDPR. La Decisión de Ejecución de la Comisión 2021/914 (4 de junio de 2021) sustituyó las CCT anteriores por un marco modular que abarca cuatro configuraciones de transferencia:
- Módulo 1: Transferencias de responsable a responsable
- Módulo 2: Transferencias de responsable a encargado
- Módulo 3: Transferencias de encargado a encargado
- Módulo 4: Transferencias de encargado a responsable
Las nuevas CCT incorporaron directamente los requisitos del asunto Schrems II: la cláusula 14 exige una evaluación de la legislación del tercer país, y la cláusula 15 impone obligaciones de notificación y transparencia cuando se reciben solicitudes de acceso gubernamental a los datos.
La Obligación de Realizar una Evaluación de Impacto de Transferencia
El asunto Schrems II declaró que el uso de las CCT no garantiza automáticamente una protección adecuada: el exportador debe realizar una Evaluación de Impacto de Transferencia (TIA) específica para verificar que las CCT pueden ser efectivas en el país de destino. Las Recomendaciones 01/2020 del EDPB sobre transferencias (adoptadas en noviembre de 2020, actualizadas en junio de 2021) proporcionan el marco:
Paso 1: Mapear las transferencias: identificar qué datos personales se transfieren, a qué país, con qué finalidad y bajo qué mecanismo de transferencia.
Paso 2: Verificar el instrumento de transferencia: confirmar el módulo de CCT aplicable y que ha sido implementado correctamente.
Paso 3: Evaluar el marco jurídico del tercer país: analizar si la legislación del país de destino en materia de acceso gubernamental a los datos es compatible con las garantías de las CCT. Factores clave: si las potestades de acceso son proporcionadas, si existe tutela judicial o cuasijudicial efectiva, si se autoriza la recogida masiva.
Paso 4: Identificar y adoptar medidas suplementarias: si la TIA pone de manifiesto que las CCT por sí solas no pueden garantizar una protección adecuada, deben adoptarse medidas técnicas (cifrado, seudonimización), contractuales (garantías adicionales del importador) u organizativas.
Paso 5: Adoptar las medidas procedimentales formales: ejecutar las CCT, mantener la documentación de la TIA, notificar a las autoridades de control cuando sea necesario.
CCT y Transferencias a EE.UU. en 2026
Las orientaciones del EDPB posteriores al asunto Schrems II señalaron que las CCT por sí solas resultaban insuficientes para las transferencias a EE.UU. que implicasen categorías de datos susceptibles de atraer el interés de los servicios de inteligencia (metadatos de telecomunicaciones, contenidos de comunicaciones en la nube). El requisito de notificación del artículo 15 de las CCT revisadas —que obliga al importador estadounidense a notificar al exportador de la UE las solicitudes de acceso gubernamental— crea una obligación práctica de cumplimiento que la mayoría de los proveedores de nube estadounidenses han abordado mediante cláusulas de notificación aprobadas por las autoridades de protección de datos.
Para las transferencias a EE.UU. no cubiertas por el DPF (porque el destinatario estadounidense no está certificado en el DPF, o la categoría de datos queda fuera de su ámbito de aplicación), las CCT del Módulo 2 con una TIA adecuada y medidas técnicas suplementarias apropiadas (cifrado con claves gestionadas en la UE, seudonimización en origen) constituyen el recurso jurídicamente más sólido.
Normas Corporativas Vinculantes: El Estándar Óptimo y Sus Costes
Qué Aportan las NCV
Las Normas Corporativas Vinculantes (artículos 46(2)(b) y 47 del GDPR) son mecanismos de transferencia intragrupo aprobados que permiten las transferencias de datos personales entre entidades del grupo en distintas jurisdicciones. Aprobadas por la autoridad de control principal en el marco del mecanismo de coherencia del artículo 60, las NCV vinculan a todas las entidades del grupo como beneficiarios terceros y otorgan a los interesados derechos exigibles frente al responsable del tratamiento que las ha suscrito.
Las NCV constituyen el mecanismo de transferencia del GDPR más sólido para los grupos multinacionales porque:
- No son específicas de ninguna jurisdicción: una vez aprobadas, cubren las transferencias a todas las entidades del grupo a nivel mundial (no solo a EE.UU.)
- Sobreviven a las anulaciones de decisiones de adecuación: las NCV representan el compromiso propio del grupo con una protección adecuada, no la dependencia del marco jurídico de un tercer país
- Ofrecen una mayor ejecutabilidad por terceros que las CCT
Plazos y Costes de Aprobación de las NCV
La aprobación de las NCV es un proceso lento y que consume muchos recursos:
- Identificación de la autoridad de control principal: 1-3 meses para determinar la autoridad de supervisión competente
- Presentación de la solicitud: 3-6 meses para preparar la documentación de las NCV (NCV de responsable o NCV de encargado) conforme a las plantillas WP256 (NCV para responsables) y WP257 (NCV para encargados) del EDPB
- Revisión por la autoridad de control y procedimiento del artículo 60: 12-24 meses desde la presentación hasta la aprobación
- Coste: entre 500.000 y 2 millones de euros en honorarios jurídicos externos y recursos internos de cumplimiento para grandes grupos multinacionales
A enero de 2026, el registro de NCV del EDPB recoge 148 NCV de responsable aprobadas y 79 NCV de encargado aprobadas, con predominio de grandes empresas tecnológicas, entidades financieras y grupos industriales. Las NCV no resultan prácticas para empresas de tamaño medio ni para aquellas que anticipan operaciones significativas de fusiones y adquisiciones (cada adquisición de una entidad sin NCV requiere un procedimiento de modificación de las NCV existentes).
Decisiones de Adecuación más allá de EE.UU.: El Mapa Mundial de Transferencias
La Comisión Europea ha adoptado decisiones de adecuación para 15 países/territorios en virtud del artículo 45 del GDPR, lo que abre vías de transferencia sin necesidad de CCT. Estas decisiones varían significativamente en alcance y durabilidad jurídica:
| País/Territorio | Decisión de adecuación | Ámbito | Estado jurídico (marzo de 2026) | Riesgos principales |
|---|---|---|---|---|
| Reino Unido | C(2021) 4800 (junio de 2021) | General (art. 45 GDPR) | Válida; bajo revisión de caducidad en junio de 2025 — prorrogada hasta junio de 2027 pendiente de reevaluación | Divergencia de la legislación de vigilancia post-Brexit; posible impugnación ante el TJUE |
| Suiza | C(2000) 3503 | General (marco de la Directiva 95/46/CE) | Pre-GDPR; la Comisión inició la evaluación de actualización en 2022; sigue en vigor | Vigencia pre-GDPR; incertidumbre jurídica sobre los estándares de la era GDPR |
| Japón | C(2019) 61 | General (art. 45 GDPR) | Válida; bajo revisión cuatrienal | Se requieren normas complementarias; necesario análisis de divergencias APPI-GDPR |
| Corea del Sur | C(2021) 6065 | General (art. 45 GDPR) | Válida | Las modificaciones del PIPA pueden requerir reevaluación |
| Canadá (PIPEDA) | 2002/2/EC | Solo organizaciones comerciales | Pre-GDPR; revisión de la Comisión iniciada en 2023; reforma de la CPPA pendiente | La sustitución de la PIPEDA (CPPA) puede afectar a la cobertura de adecuación |
| Israel | C(2011) 332 | General | Pre-GDPR; en proceso de reevaluación | Vigencia pre-GDPR; cuestiones sobre la legislación israelí de vigilancia |
| Nueva Zelanda | C(2013) 2896 | General | En revisión tras modificaciones de la Ley de Privacidad de 2020 | Generalmente sólida |
| Argentina | C(2003) 1731 | General | Pre-GDPR; en proceso de revisión de modernización | Vigencia pre-GDPR |
| EE.UU. (solo DPF) | C(2023) 4745 | Solo organizaciones certificadas en el DPF | Véase más arriba — litigios pendientes | Impugnación ante el TJUE; efectividad del DPRC |
Para las organizaciones que diseñan su arquitectura de transferencias, la combinación de Japón (adecuación) + Reino Unido (adecuación) + CCT de la UE para destinos sin adecuación proporciona la cobertura más amplia con la menor carga de cumplimiento diario.
Evaluaciones de Impacto de Transferencia: Metodología y Documentación
Las Expectativas Regulatorias
La actividad ejecutora de las autoridades de control desde el asunto Schrems II ha convertido la documentación de la TIA en un objetivo habitual de auditoría. La Comisión Irlandesa de Protección de Datos (DPC), en sus acciones ejecutoras contra Meta (diciembre de 2022, multa de 390 millones de euros; y la decisión de transferencia en el asunto Meta Platforms Ireland, mayo de 2023, multa de 1.200 millones de euros, la mayor del GDPR hasta la fecha) examinó específicamente la adecuación de la TIA de Meta para las transferencias a EE.UU. La DPC concluyó que la dependencia de Meta en las CCT sin medidas suplementarias adecuadas, unida a una documentación deficiente de la TIA, justificaba la multa y la orden de suspensión.
La CNIL francesa, el DSK alemán y la AP holandesa han publicado cada uno orientaciones sobre la TIA que, si bien son coherentes con las Recomendaciones 01/2020 del EDPB, subrayan factores específicos de cada jurisdicción: la actuación ejecutora francesa se ha centrado en las transferencias a proveedores de nube; la alemana en los encargados del tratamiento de datos de recursos humanos; la holandesa en los flujos transfronterizos de datos sanitarios.
Estándares Mínimos de Documentación de la TIA
Un documento TIA debe contener, como mínimo:
- Extracto del mapa de transferencias: categorías de datos, interesados, finalidad, base jurídica del tratamiento, país de destino, identidad del destinatario
- Mecanismo de transferencia: módulo de CCT aplicable, NCV o decisión de adecuación (con cita de la Decisión de la Comisión)
- Análisis jurídico del tercer país: evaluación del marco legislativo sobre vigilancia, proporcionalidad y control judicial, con referencia a las recomendaciones específicas de país del EDPB cuando estén disponibles
- Medidas suplementarias implementadas: técnicas (con descripción), contractuales (con referencia a las cláusulas de las CCT) y organizativas
- Conclusión: si las medidas garantizan una protección efectiva equivalente a los estándares del GDPR
- Fecha de revisión: las TIA deben revisarse anualmente y ante cualquier cambio material en el mecanismo de transferencia o en el marco jurídico del país de destino
- Aprobación: aprobación del DPO y del responsable jurídico, con informe al consejo de administración para las transferencias de alto riesgo
Planificación de Contingencia: Qué Ocurre si el DPF Vuelve a Caer
El Manual de Schrems I/II
Las organizaciones que mantuvieron la continuidad operativa tras Schrems I (2015) y Schrems II (2020) comparten una característica común: habían ejecutado CCT con todos sus encargados estadounidenses antes de la anulación y mantenían TIAs actualizadas. Las que dependían exclusivamente del Privacy Shield y no habían ejecutado CCT de reserva se enfrentaron a una interrupción operativa inmediata: transferencias técnicamente ilegales durante el período entre la anulación y la implementación de las CCT.
La sentencia del TJUE en el asunto Schrems II se dictó el 16 de julio de 2020, sin período de transición. Las autoridades de supervisión anunciaron que no aplicarían de inmediato las normas dado el tiempo necesario para su implementación, pero las transferencias en curso sin mecanismo válido siguieron siendo técnicamente ilegales. Un escenario similar tras una anulación del DPF produciría probablemente la misma postura regulatoria: tolerancia supervisora durante un breve período de transición, seguida de actuaciones ejecutoras contra las organizaciones que no estuvieran preparadas.
Marco de Contingencia
Acciones inmediatas (en los 90 días siguientes a una sentencia de anulación del DPF):
-
Ejecutar CCT del Módulo 2 con todas las relaciones con encargados estadounidenses que dependan exclusivamente de la certificación en el DPF. Las CCT pueden ejecutarse ahora como capa de protección adicional junto al DPF: la doble capa es jurídicamente admisible y recomendable.
-
Actualizar las TIAs para las transferencias a EE.UU. a fin de reflejar el panorama posterior a la anulación: el mecanismo del DPRC quedaría inoperativo, la EO 14086 ya no sería el marco operativo de recurso, y el análisis de medidas suplementarias deberá asumir la ausencia de las salvaguardias del DPF.
-
Implementar medidas técnicas suplementarias para las categorías de transferencias de mayor riesgo (datos de categorías especiales en virtud del artículo 9; datos de menores; datos sujetos a una elevada atención de las autoridades de protección de datos): cifrado con claves gestionadas en la UE, de modo que incluso si la legislación estadounidense impone el acceso, los datos permanezcan ininteligibles.
-
Evaluar las oportunidades de minimización de datos: para las transferencias que no sean operativamente esenciales, suspender la transferencia o seudonimizar antes de ella. El volumen de transferencia determina el perfil de riesgo.
-
Notificar al consejo de administración: la exposición en virtud del artículo 83(4) del GDPR (hasta 10 millones de euros o el 2% del volumen de negocio global por infracciones procedimentales) y del artículo 83(5) (hasta 20 millones de euros o el 4% por infracciones sustantivas, incluidas las transferencias ilegales) requiere concienciación a nivel de consejo sobre la postura de contingencia.
Reestructuración a medio plazo (6-18 meses):
-
Evaluar la residencia de datos en la UE: para las categorías de datos con el perfil de riesgo más elevado, analizar si la infraestructura en la nube con sede en la UE (AWS EU, Azure EU, Google Cloud EU) con compromisos contractuales de residencia de datos elimina por completo la transferencia. Una transferencia no se produce si los datos nunca abandonan el EEE.
-
Evaluar la solicitud de NCV: para los grupos con flujos de datos transatlánticos continuos entre múltiples entidades del grupo, el plazo de aprobación de las NCV (18-24 meses) debe iniciarse ahora y no tras la anulación.
Análisis Comparativo de los Mecanismos de Transferencia
| Mecanismo | Base jurídica (GDPR) | Cobertura | Solidez jurídica | Carga operativa | Más adecuado para |
|---|---|---|---|---|---|
| Decisión de adecuación (DPF) | Art. 45 | Solo organizaciones estadounidenses certificadas en el DPF | Media — impugnación ante el TJUE pendiente | Baja (no se requieren CCT) | Proveedores de SaaS en la nube con certificación DPF |
| Decisión de adecuación (RU, Japón, etc.) | Art. 45 | Transferencias generales a países con adecuación | Alta (RU bajo revisión) | Muy baja | Transferencias a RU, Japón, Corea del Sur |
| CCT (Módulo 2) | Art. 46(2)(c) | Cualquier tercer país; todas las categorías de datos | Alta cuando se implementa correctamente con TIA | Media (TIA + medidas suplementarias) | Relaciones con encargados en EE.UU.; transferencias sin DPF |
| NCV | Arts. 46(2)(b), 47 | Solo transferencias intragrupo | Muy alta — aprobadas por autoridad de control | Muy alta (18-24 meses, más de 500.000 €) | Grandes grupos multinacionales con transferencias intragrupo frecuentes |
| Excepciones (art. 49) | Art. 49 | Caso por caso; no repetitivas | Baja — limitadas a circunstancias excepcionales | Alta (justificación caso por caso) | Transferencias puntuales (datos de litigios, emergencias médicas) |
| Consentimiento explícito art. 49 | Art. 49(1)(a) | Cualquier transferencia con consentimiento informado | Baja — el consentimiento puede retirarse | Alta (mecanismo de consentimiento conforme al GDPR) | Datos de consumidores en los que la elección del interesado es genuina |
Consideraciones Prácticas para el DPO, el CLO y el Asesor Jurídico de Privacidad
-
No dependa exclusivamente del DPF para las transferencias a EE.UU. operativamente críticas. Ejecute ahora CCT del Módulo 2 con todos los encargados estadounidenses, en paralelo con la dependencia del DPF. El coste del doble mecanismo es administrativo; el coste de una suspensión imprevista tras una anulación del TJUE es operativo. La multa de 1.200 millones de euros impuesta a Meta por transferencias ilegales es el parámetro de referencia para lo que los reguladores consideran una sanción proporcionada contra un encargado principal que no implementó mecanismos de reserva adecuados.
-
Trate su TIA como un documento vivo, no como una evaluación puntual. La actividad ejecutora regulatoria ha constatado sistemáticamente que las organizaciones realizaban TIAs al inicio del contrato pero omitían actualizarlas cuando cambiaba la legislación de vigilancia o el propio mecanismo de transferencia. Las Recomendaciones 01/2020 del EDPB exigen expresamente revisiones periódicas. Las revisiones anuales de la TIA, activadas por cambios materiales en la legislación del país de destino o en las categorías de datos transferidos, son el estándar mínimo. Incorpore la cadencia de revisión a su calendario de cumplimiento del GDPR.
-
Mapee su cartera de proveedores de nube y SaaS en EE.UU. frente al estado de certificación en el DPF. La lista de certificación del DPF (disponible en dataprivacyframework.gov) es la referencia operativa. Las organizaciones descubren habitualmente que subencargados clave utilizados por los principales proveedores de SaaS no están certificados en el DPF. El estado de certificación de los subencargados debe verificarse a través de la lista de subencargados del encargado principal y confirmarse en el registro de certificaciones. La ausencia de cobertura de los subencargados es un hallazgo de auditoría frecuente.
-
Para las categorías de datos de mayor riesgo, el cifrado con claves controladas en la UE es la medida suplementaria más fiable. Las medidas técnicas suplementarias que impiden el acceso inteligible incluso ante una orden gubernamental en virtud del artículo 702 de la FISA —concretamente, el cifrado de extremo a extremo con claves de descifrado custodiadas en la UE y no accesibles al encargado estadounidense— han sido respaldadas por el EDPB y las autoridades nacionales de protección de datos como medidas eficaces para colmar la brecha de adecuación. Esta arquitectura está disponible en los principales proveedores de nube (Google CMEK, AWS KMS con gestión de claves en la UE, Claves Gestionadas por el Cliente de Azure) y debe evaluarse frente a la carga operativa para las categorías de datos de alta sensibilidad.
-
Inicie ahora la preparación de las NCV si su grupo cuenta con más de tres entidades fuera del EEE. La aprobación de las NCV requiere entre 18 y 24 meses desde la presentación. Una organización que inicie hoy la preparación dispondrá de un mecanismo aprobado antes de la esperada sentencia del TJUE sobre La Quadrature du Net (finales de 2026 / principios de 2027). Una organización que espere a una anulación se enfrentará a un período de 2 años sin mecanismo aprobado, durante el cual todas las transferencias intragrupo dependerán de las CCT y las TIAs bajo un mayor nivel de escrutinio.
Actividad Ejecutora de las Autoridades de Control: El Panorama del Riesgo Regulatorio
Decisiones de Ejecución Fundamentales en Materia de Transferencias de Datos
El panorama de la ejecución en materia de transferencias internacionales de datos ha sido definido por una serie de decisiones que establecen tanto la voluntad ejecutora de los reguladores como la exposición práctica a sanciones.
Meta Platforms Ireland — DPC irlandesa, mayo de 2023 (1.200 millones de euros). La decisión de la Comisión Irlandesa de Protección de Datos contra Meta Platforms Ireland Limited impuso la mayor multa del GDPR hasta la fecha —1.200 millones de euros— por las transferencias de datos de usuarios de Facebook en la UE a EE.UU. bajo CCT sin medidas suplementarias adecuadas. La DPC concluyó que la TIA de Meta era deficiente al no tener en cuenta la exposición a la vigilancia masiva en virtud del artículo 702 de la FISA aplicable a los datos transferidos, y que las CCT por sí solas no garantizaban una protección adecuada. La DPC también ordenó la suspensión de futuras transferencias y la supresión de los datos transferidos ilegalmente. La decisión, adoptada en virtud del procedimiento de resolución de conflictos vinculante del artículo 65 del GDPR (tras la revisión por el EDPB del proyecto de decisión original de la DPC), fue recurrida ante el Tribunal Superior irlandés y el procedimiento continúa en el primer trimestre de 2026.
WhatsApp Ireland — DPC irlandesa, septiembre de 2021 (225 millones de euros). También relativa al servicio WhatsApp de Meta, esta decisión se centró principalmente en las obligaciones de transparencia pero incluyó conclusiones sobre las transferencias transfronterizas a la empresa matriz estadounidense de WhatsApp.
TikTok — Garante italiano, diversas resoluciones 2021-2024. La autoridad italiana de protección de datos (Garante per la protezione dei dati personali) impuso múltiples multas a las operaciones de TikTok en la UE por las transferencias de datos de usuarios de la UE a China, donde el PIPL (Ley de Protección de la Información Personal de China, en vigor desde noviembre de 2021) proporciona un marco jurídico que el EDPB y las autoridades nacionales de protección de datos han evaluado como no equivalente a los estándares del GDPR. China no cuenta con una decisión de adecuación de la UE. Las CCT de TikTok para las transferencias a China, y la adecuación de su TIA frente a los riesgos de acceso gubernamental específicos de China (en particular, en virtud del artículo 7 de la Ley Nacional de Inteligencia china, que obliga a las organizaciones a «apoyar, asistir y cooperar con los trabajos de inteligencia nacional»), han sido objeto de un escrutinio continuado.
SRB v Advocate General (TJUE, diciembre de 2023, C-337/21). La sentencia del TJUE confirmó que las restricciones de transferencia del capítulo V del GDPR se aplican a las instituciones de la UE (transferencias dentro del EEE no cubiertas por el artículo 3 del GDPR) y aclaró la interacción entre los instrumentos de transferencia del artículo 46 y el tratamiento por parte de autoridades públicas. Si bien no versa directamente sobre las transferencias a EE.UU., la sentencia confirmó el enfoque expansivo del TJUE respecto al concepto de «transferencia» del capítulo V, relevante para las organizaciones que evalúan si sus arquitecturas de tratamiento constituyen una «transferencia» que activa las obligaciones del capítulo V.
Tendencias de Investigación de las Autoridades de Protección de Datos en 2025-2026
Diversas autoridades nacionales de protección de datos han anunciado o están llevando a cabo investigaciones activas sobre prácticas de transferencia en 2025-2026:
-
DSK alemana (Conferencia de las Autoridades Independientes de Supervisión de la Protección de Datos): investigación conjunta sobre el uso de herramientas de análisis en la nube de EE.UU. por parte de empresas alemanas (Google Analytics, Adobe Analytics, Salesforce) para los datos de visitantes de sitios web. Los documentos de orientación del DSK han declarado que las direcciones IP son datos personales y que la transmisión de datos de visitantes de la UE a servidores estadounidenses mediante scripts de análisis constituye una transferencia que requiere un mecanismo válido del capítulo V.
-
CNIL francesa: investigación en curso sobre los banners de consentimiento de cookies y las transferencias de datos desencadenadas por scripts de seguimiento de terceros: la intersección del cumplimiento de la Directiva sobre privacidad electrónica y el capítulo V del GDPR es un foco de ejecución activo.
-
AP holandesa: investigación sobre las transferencias transfronterizas en el sector sanitario tras un incidente de 2024 que implicó la transferencia de datos de pacientes holandeses a un proveedor estadounidense de inteligencia artificial médica bajo CCT, donde la TIA no evaluó el impacto de que la HIPAA no cubriera el tratamiento específico en cuestión.
La pauta es clara: las autoridades de protección de datos están trascendiendo la fase de sancionar únicamente a las grandes plataformas y dirigen su actividad ejecutora hacia empresas medianas en sectores regulados (sanidad, servicios financieros, recursos humanos) que han recurrido a CCT estándar sin realizar TIAs específicas.
Conclusión
La sentencia del TJUE en el asunto Schrems II estableció un principio jurídico que el DPF no ha resuelto: la legislación de derechos fundamentales de la UE exige que los datos personales de la UE exportados a EE.UU. gocen de una protección «esencialmente equivalente» a los estándares del GDPR, incluida la tutela judicial efectiva frente a la vigilancia gubernamental. Si el DPRC satisface ese estándar lo determinará el TJUE, no la evaluación de adecuación de la Comisión. La estrategia jurídica prudente consiste en tratar el DPF como un mecanismo de conveniencia durante el período en que siga siendo válido, manteniendo al mismo tiempo una sólida infraestructura de CCT y TIA como base permanente.
Las organizaciones que estarán mejor posicionadas —en materia de cumplimiento normativo, continuidad operativa y gestión del riesgo litigioso— serán aquellas que hayan implementado CCT en el conjunto de sus relaciones con encargados, mantenido documentación actualizada de las TIAs, aplicado medidas técnicas suplementarias para los datos sensibles e iniciado la preparación de las NCV para las transferencias intragrupo. No se trata de una elección de carga de cumplimiento, sino de una decisión de gestión de riesgos con una exposición a la baja directamente calculable.
Aviso legal: Este artículo se ofrece únicamente con fines informativos generales y no constituye asesoramiento jurídico. Las leyes y reglamentos descritos son complejos, están sujetos a cambios y varían en función de los hechos y circunstancias específicos. Las posiciones de ejecución del GDPR, las sentencias del TJUE y las decisiones de adecuación de la Comisión referenciadas en el presente artículo están sujetas a desarrollos jurídicos en curso. Nada de lo contenido en este artículo debe considerarse como sustituto del asesoramiento de abogados cualificados especializados en protección de datos de la UE y cumplimiento de las transferencias transfronterizas de datos. Morvantine y sus colaboradores no asumen ninguna responsabilidad por las acciones adoptadas sobre la base de la información aquí contenida.
Need expert advice on this topic?
Our team at Morvantine specializes in exactly these issues. Get in touch for a consultation.
Get in Touch