Sub-encargados fuera de la UE: lo que la sentencia Schrems II sigue exigiendo

¿Usas AWS, Google o Microsoft? Entonces parte de tus datos pasa por EE. UU. Desde Schrems II eso ya no es algo que puedas dar por sentado. Aquí te explicamos qué funciona hoy.

Transferir datos de ciudadanos de la UE fuera del EEE solo está permitido con garantías explícitas. La sentencia Schrems II (2020) invalidó el antiguo Privacy Shield.

Las vías actuales

• EU-US Data Privacy Framework (2023): sustituto del Privacy Shield. Aplica a proveedores estadounidenses certificados bajo este marco.
• Cláusulas Contractuales Tipo (CCT): cláusulas estándar europeas entre una parte de la UE y una parte fuera de la UE. Con frecuencia se combinan con una Evaluación de Impacto de la Transferencia.
• Normas Corporativas Vinculantes (BCR): para grandes grupos empresariales; no es la opción habitual para las pymes.

Microsoft, Google, AWS: ¿cómo está la situación?

• Microsoft 365: EU Data Boundary garantiza que los datos de clientes de la UE permanezcan en la UE para la mayoría de los servicios. Microsoft cuenta con certificación DPF para los casos en que los datos llegan a EE. UU.
• Google Workspace: similar — los datos de la UE se quedan en la UE, con DPF para los componentes estadounidenses.
• AWS: configurable por región. Elige una región europea (Fráncfort, Ámsterdam, Irlanda). En los servicios gestionados, presta atención a dónde se encuentra el plano de control.
• Cloudflare: los datos pueden circular por el edge global. El nivel Business dispone de la opción «solo UE».

SaaS estadounidenses más pequeños (Slack, Notion, Intercom)

La mayoría ya cuentan con certificación DPF. Consulta su DPA o su página de confianza. Para datos realmente sensibles, considera una alternativa con sede en la UE.

Documentación

En tu registro de actividades de tratamiento: indica para cada tratamiento si los datos salen de la UE y bajo qué base legal.

Véase también: pilar GDPR, DPA's.