El artículo 46 del RGPD y las transferencias de datos a terceros países: qué debes hacer realmente

Cualquier empresa que utilice servicios en la nube estadounidenses transfiere datos personales fuera del Espacio Económico Europeo. Eso convierte al artículo 46 del RGPD en una de las partes más relevantes del reglamento para las operaciones empresariales cotidianas. Desde 2023, las autoridades reguladoras han impuesto más de 2.000 millones de euros en multas específicamente por infracciones relacionadas con transferencias. Solo Meta pagó 1.200 millones de euros. No se trata de un riesgo teórico.

Qué dice realmente el artículo 46

El artículo 46 regula las transferencias de datos personales a países que no cuentan con una decisión de adecuación de la UE (es decir, cuando la Comisión Europea no ha declarado que el nivel de protección de datos de ese país es suficiente). Establece los instrumentos jurídicos que pueden utilizarse para que dichas transferencias sean lícitas:

Sin necesidad de autorización de la autoridad de control:

• Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea
• Normas Corporativas Vinculantes (BCRs) para transferencias dentro de un mismo grupo
• Códigos de conducta aprobados con compromisos vinculantes por parte del importador de datos
• Mecanismos de certificación aprobados con compromisos vinculantes

Con autorización de la autoridad de control:

• Cláusulas contractuales específicas negociadas entre las partes
• Acuerdos administrativos entre autoridades públicas

El requisito transversal a todos ellos: deben existir derechos efectivos para los interesados y recursos jurídicos eficaces en el país de destino.

Las sentencias Schrems: por qué las normas siguen cambiando

Dos litigios impulsados por el activista austriaco de la privacidad Max Schrems transformaron el funcionamiento práctico de estas transferencias.

Schrems I (octubre de 2015) invalidó el marco EU-EE.UU. de Puerto Seguro (Safe Harbor). El Tribunal de Justicia consideró que los programas de vigilancia de Estados Unidos (revelados por Snowden en 2013) hacían que el sistema de autocertificación del Safe Harbor no pudiera garantizar una protección equivalente a la del Derecho de la UE.

Schrems II (julio de 2020) invalidó su sustituto, el Escudo de Privacidad EU-EE.UU. (Privacy Shield). El Tribunal determinó que la recopilación de inteligencia estadounidense al amparo de la Sección 702 de la FISA y la Orden Ejecutiva 12333 seguía siendo desproporcionada con respecto a los estándares europeos. El mecanismo del Defensor del Pueblo creado por el Privacy Shield carecía de independencia y de autoridad vinculante.

El Tribunal no invalidó las Cláusulas Contractuales Tipo, pero añadió una condición esencial: antes de utilizarlas, el exportador de datos debe evaluar caso por caso si la legislación del país de destino permite al importador cumplir realmente con las cláusulas. Si no puede cumplirlas, son necesarias medidas suplementarias. Si ninguna medida suplementaria puede colmar la brecha, la transferencia debe cesar.

La situación actual: el Marco de Privacidad de Datos UE-EE.UU.

El tercer intento de establecer un mecanismo estable para las transferencias a Estados Unidos, el Marco de Privacidad de Datos UE-EE.UU. (DPF), recibió su decisión de adecuación el 10 de julio de 2023. En el lado estadounidense, se apoya en la Orden Ejecutiva 14086 (octubre de 2022), que introdujo límites de proporcionalidad en la inteligencia de señales y creó un Tribunal de Revisión de Protección de Datos (DPRC) como mecanismo de recurso para los ciudadanos europeos.

Más de 2.800 organizaciones cuentan con certificaciones DPF activas. La primera revisión periódica de la Comisión Europea (octubre de 2024) concluyó que las autoridades estadounidenses habían implementado las estructuras necesarias.

Sin embargo, el DPF se asienta sobre bases inestables:

El problema del PCLOB. El 27 de enero de 2025, tres miembros del Consejo de Supervisión de las Libertades Civiles y la Privacidad fueron cesados, dejando al organismo por debajo del quórum de tres miembros necesario para funcionar. El PCLOB supervisa si las agencias de inteligencia estadounidenses cumplen con los compromisos de privacidad del DPF. Un tribunal del distrito de Washington D.C. declaró los ceses ilegales en mayo de 2025 y ordenó la reincorporación, pero el gobierno recurrió. A fecha de abril de 2026, la función supervisora del organismo sigue mermada.

Recursos judiciales. El diputado francés Philippe Latombe, también miembro de la CNIL, presentó un recurso contra el DPF en septiembre de 2023. El Tribunal General lo desestimó en septiembre de 2025, pero Latombe apeló ante el TJUE en octubre de 2025. Ese recurso está pendiente de resolución. NOYB, la organización de Schrems, ha indicado su intención de presentar un recurso más amplio.

El riesgo de la orden ejecutiva. La base jurídica del DPF en Estados Unidos es una orden ejecutiva, no una ley. Cualquier presidente futuro puede revocarla unilateralmente, lo que socavaría de inmediato la decisión de adecuación.

Las Cláusulas Contractuales Tipo: el instrumento de transferencia por excelencia

La Comisión Europea adoptó las SCCs vigentes el 4 de junio de 2021. Todos los contratos deben utilizar esta versión (el plazo para migrar las SCCs anteriores venció el 27 de diciembre de 2022).

Las SCCs se presentan en cuatro módulos para las transferencias internacionales:

• Módulo 1: Responsable a Responsable
• Módulo 2: Responsable a Encargado
• Módulo 3: Encargado a Encargado
• Módulo 4: Encargado a Responsable

El texto de las cláusulas no puede modificarse. Se firman tal como están. Pero hay algo que muchas empresas pasan por alto: la Cláusula 14 de las SCCs exige realizar una Evaluación del Impacto de la Transferencia (TIA) antes de que esta comience. Las SCCs no son un documento que se firma y se archiva.

Las Evaluaciones del Impacto de la Transferencia: el paso que la mayoría de empresas omite

Una TIA es una evaluación documentada de si el marco jurídico del país de destino permite al importador de datos cumplir los compromisos contractuales asumidos en las SCCs. La CNIL publicó su guía práctica definitiva sobre las TIA el 31 de enero de 2025, estructurada en seis pasos.

Lo que debes evaluar:

1. La legislación sobre vigilancia y acceso gubernamental a los datos en el país de destino
2. Si dicha legislación anula las protecciones contempladas en tus SCCs
3. Qué medidas suplementarias (técnicas, organizativas, contractuales) pueden colmar la brecha
4. Si las medidas suplementarias funcionan realmente

Si la respuesta al paso 4 es "no", la transferencia no puede realizarse. Sin excepciones.

La mayoría de las empresas que firman SCCs con proveedores de nube estadounidenses nunca completan una TIA. Eso fue exactamente lo que llevó a Meta a una multa de 1.200 millones de euros. La Comisión de Protección de Datos de Irlanda (DPC) determinó que Meta se apoyaba en las SCCs para las transferencias a Estados Unidos pero no había implementado medidas suplementarias adecuadas, dadas las conclusiones de Schrems II sobre la legislación estadounidense en materia de vigilancia.

Medidas suplementarias: las recomendaciones del EDPB

Las Recomendaciones 01/2020 del EDPB (finalizadas el 18 de junio de 2021) establecen tres categorías:

Las medidas técnicas son las más eficaces. Cifra los datos con claves que estén exclusivamente en poder del exportador (o de una entidad en un país con adecuación), de modo que el importador no pueda descifrarlos ni siquiera bajo una orden gubernamental. Seudonimiza los datos cuando solo el exportador conserve las claves de reidentificación. Utiliza procesamiento dividido para que ninguna entidad acceda al conjunto completo de datos.

Las medidas organizativas incluyen políticas internas de gobernanza de las transferencias de datos, la minimización de las categorías y el volumen de datos transferidos, y la formación del personal.

Las medidas contractuales exigen que el importador sea transparente respecto a las solicitudes de acceso gubernamental, que impugne las solicitudes desproporcionadas y que notifique al exportador con prontitud.

El EDPB fue explícito: para algunos países, ninguna combinación de medidas suplementarias puede ser suficiente. Si esa es tu conclusión, la transferencia no puede llevarse a cabo.

El historial de sanciones

Las autoridades reguladoras no están de farol. Las multas por infracciones en materia de transferencias se encuentran entre las más elevadas jamás impuestas en virtud del RGPD:

Fecha	Empresa	Multa	Motivo
Mayo de 2023	Meta	1.200 millones EUR	Transferencias a EE.UU. mediante SCCs sin medidas suplementarias adecuadas
Julio de 2024	Uber	290 millones EUR	Datos de conductores de la UE (localización, identificadores, antecedentes penales y datos médicos) transferidos a EE.UU. durante 27 meses sin garantías
Mayo de 2025	TikTok	530 millones EUR	Datos de usuarios del EEE transferidos a China sin verificar la eficacia de las SCCs; además, datos almacenados en servidores chinos afirmando lo contrario

La multa a Meta se produjo tras una decisión vinculante del EDPB en abril de 2023. La multa a TikTok incluyó 485 millones de euros por la infracción del artículo 46(1) en sí misma, más 45 millones por una falta de transparencia al amparo del artículo 13.

El conflicto con la Ley CLOUD

La legislación estadounidense genera un conflicto directo con el RGPD. La Ley CLOUD (2018) obliga a las empresas con sede en Estados Unidos a entregar datos ante una solicitud válida del gobierno estadounidense, independientemente del lugar donde se almacenen físicamente. Tus datos pueden estar en un centro de datos en Fráncfort y una orden judicial estadounidense puede seguir obligando al operador de origen estadounidense a entregarlos.

El artículo 48 del RGPD establece que las transferencias basadas en órdenes judiciales de terceros países son ilícitas salvo que un acuerdo internacional las autorice. No existe tal acuerdo entre la UE y Estados Unidos para este propósito. Las empresas atrapadas entre estos dos regímenes se enfrentan a un conflicto jurídico sin solución limpia.

Esto cobra especial relevancia porque aproximadamente el 97% del mercado europeo de infraestructura en la nube está controlado por proveedores no europeos, principalmente AWS, Google Cloud y Microsoft Azure.

Qué deberían hacer ahora las empresas europeas

Si dependes del DPF: No lo trates como algo permanente. La decisión de adecuación podría ser invalidada por una futura sentencia del TJUE, la revocación de una orden ejecutiva o una revisión periódica negativa. Ten un plan de contingencia.

Si utilizas SCCs: Completa tu TIA. Documéntala. Implementa medidas suplementarias. La TIA no es opcional, está incorporada en la propia Cláusula 14 de las SCCs. La guía de la CNIL de enero de 2025 ofrece un marco práctico.

Considera alternativas europeas. Si puedes procesar datos personales íntegramente dentro del EEE usando proveedores con sede en Europa, el artículo 46 no es aplicable. No hay ninguna TIA que completar, ninguna medida suplementaria que implementar, ningún riesgo de que un Schrems III elimine tu base jurídica. El problema de las transferencias desaparece. Ese es el argumento estructural para elegir proveedores europeos de SaaS y cloud, más allá de cualquier plazo regulatorio concreto.

Mapea tus flujos de datos. El paso 1 del plan de seis pasos del EDPB es saber adónde van tus datos. Muchas empresas descubren durante este ejercicio que los datos personales llegan a terceros países a través de subencargados de los que no tenían constancia.

Reevalúa periódicamente. La situación jurídica cambia. La estabilidad del DPF depende de decisiones políticas en Estados Unidos. Nuevas sentencias del TJUE pueden modificar los requisitos de la noche a la mañana. Una TIA realizada en 2023 puede no reflejar la realidad en 2026.

El texto completo del artículo 46 del RGPD está disponible en gdpr-info.eu/art-46-gdpr. Las recomendaciones del EDPB sobre medidas suplementarias están en edpb.europa.eu. La guía de la CNIL sobre las TIA está en cnil.fr.