GDPR 15. Transferencias internacionales de datos


Josep Aragonés Salvat     09/09/2016

El Reglamento dedica todo el Capítulo V a las “Transferencias de datos personales a terceros países u organizaciones internacionales” y las define como el traspaso de datos personales a Responsables, Encargados o Destinatarios de terceros países u Organizaciones internacionales no establecidos en la UE.

Una Organización internacional queda definida en el artículo 4, apartado 26 como un organismo internacional y sus entes subordinados creado mediante un acuerdo entre dos o más países.

El GDPR dispone que solo se podrán realizar transferencias internacionales de datos si el Responsable o Encargado del tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:

  • Decisión de adecuación tomada por la Comisión de la UE.
  • Garantías adecuadas de protección de datos.


En cualquier caso, se deberá suscribir el correspondiente contrato con el receptor de datos, sea Destinatario de datos o Encargado del tratamiento, especificando en el mismo las garantías apropiadas de protección de datos en que se basa la transferencia.

Decisión de adecuación


Podrán realizarse transferencias internacionales sin requerir ninguna autorización específica cuando la Comisión de la UE haya tomado una decisión de adecuación en relación con el tercer país o un territorio o un sector especificado del mismo, o con una organización internacional.

Una decisión de adecuación es una resolución adoptada por la Comisión que garantiza que la transferencia internacional de datos posee un nivel de protección suficiente. La Comisión podrá derogar, modificar o suspender cualquier decisión de adecuación sin efecto retroactivo.

En la actualidad, los países que tienen una decisión de adecuación son: Andorra, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe, Israel, Japón, Jersey, Nueva Zelanda, Reino Unido, Suiza y Uruguay.

La Comisión de la UE también puede formalizar acuerdos de adecuación específicos y vinculantes entre la UE y otros terceros países que ofrezcan garantías adecuadas de protección de datos y del ejercicio de los derechos de los interesados. El Escudo de Privacidad (Privacy Shield) entre la UE y EEUU, aprobado por la Comisión el 12 de julio de 2016, es un ejemplo de decisión que posteriormente quedó invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020.

Se puede consultar la lista actualizada de países con una decisión de adecuación en: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales

Garantías adecuadas


En ausencia de una decisión de adecuación, solo se podrán realizar transferencias internacionales a terceros países que ofrezcan garantías adecuadas de protección de datos y que dispongan de recursos legales para ejercer los derechos de los interesados. Dichas garantías deberán ser demostradas mediante:


Garantías aprobadas por la Autoridad de control:

  • Acuerdos jurídicamente vinculantes y ejecutivos entre Autoridades u Organismos públicos.
  • Cláusulas contractuales tipo de protección de datos con el Responsable, Encargado o Destinatario de los terceros países u Organizaciones internacionales
  • Pertenencia a un grupo de empresas con normas corporativas vinculantes aprobadas por la Autoridad de control.
  • Adhesión a un código de conducta aprobado por la Autoridad de control.
  • Posesión de un certificado, sello o marca de protección de datos expedido por un Organismo de certificación acreditado.
  • Autorización específica de la Autoridad de control obtenida mediante la presentación de una solicitud para realizar la transferencia internacional (LOPD).


Por interés del interesado

  • El interesado dé explícitamente su consentimiento, tras haber sido informado fehacientemente de los riesgos debidos a la ausencia de garantías adecuadas de protección de datos.
  • Sea necesario para la ejecución de un contrato o precontrato entre el Responsable y el interesado.
  • Sea necesario para la ejecución de un contrato por interés del interesado, entre el Responsable y otra persona física o jurídica.
  • Sea necesario para proteger los intereses vitales del interesado u otras personas, cuando esté física o jurídicamente incapacitado para dar su consentimiento.

Algunos ejemplos de transferencias internacionales de datos por interés del interesado pueden ser los servicios en la nube (Internet), los seguros de viaje, los tratamientos médicos en países fuera de la UE, etc.


Por interés legítimo e imperioso del Responsable o Encargado del tratamiento

Las transferencias internacionales podrán ser lícitas por un interés legítimo e imperioso del Responsable o Encargado del tratamiento, siempre y cuando se cumplan todas las siguientes condiciones:

  • La transferencia no sea repetitiva y afecte un número limitado de interesados.
  • El interés legítimo del Responsable no quede anulado por los intereses o derechos y libertades del interesado.
  • Se realice una evaluación de impacto y se hayan puesto en práctica las garantías adecuadas de protección.



Por interés público

Las transferencias internacionales también podrán ser lícitas cuando se realizan por motivos importantes y legítimos de interés público, cuando:
Sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

Se realice desde un registro público legal que tenga por objeto facilitar información al público en general o a cualquier persona que pueda acreditar un interés legítimo y no implique la consulta de la totalidad de los datos personales o de las categorías de datos.

Obligaciones en transferencias internacionales de datos

  • Registro de las actividades del tratamiento (artículo 30, apartado 1.e)

El Responsable o Encargado del tratamiento tendrán la obligación de llevar y conservar actualizado un Registro de las actividades del tratamiento cuando:

  • Emplee a un mínimo de 250 personas
  • Pueda suponer un riesgo para los derechos y libertades del interesado y no tenga un carácter ocasional
  • Se traten categorías especiales de datos
  • Se traten datos relativos a condenas y delitos penales


El Registro de actividades deberá contener, entre otra información, la identificación de las transferencias internacionales de datos a terceros países o a organizaciones internacionales con documentación de las garantías adecuadas de protección que se hayan adoptado.

  • Información y comunicación a los interesados (artículo 13, apartado 1.f)

El Responsable del tratamiento deberá informar al interesado de la intención de realizar transferencias internacionales, detallando la existencia o ausencia de una decisión de adecuación con una referencia a las garantías adecuadas y a los medios para obtener copia de ellas o al momento en que se hayan facilitado las mismas.

  • Ejercicio de los derechos de los interesados (artículo 15, apartado 2)

Cuando exista una comunicación de datos a un Destinatario ubicado fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando al interesado de los Destinatarios o categorías de destinatarios internacionales.

Cuando exista un encargo del tratamiento a una organización ubicada fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando de las garantías adecuadas de protección de datos aplicadas.

Seguimiento del curso Experto en el GDPR


Tema anterior: 14. Tratamientos con alto riesgo: La evaluación de impacto Tema siguiente: 16. Elaboración de perfiles



Información relacionada