Acuerdo de Transferencia Internacional de Datos España
Datos clave
ACUERDO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
Acuerdo de Transferencia Internacional de Datos
Regulado por el Reglamento (UE) 2016/679 (RGPD), artículo 46, y la Ley Orgánica 3/2018 (LOPDGDD)
Cláusulas Contractuales Tipo — Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021
1. PARTES
EXPORTADOR DE DATOS:
Denominación social: [Exporter Name]
NIF/CIF: [Exporter NIF]
Domicilio registral: [Exporter Address]
Representante legal: [Exporter Representative]
Contacto del DPD: [Exporter DPO]
Función: [Exporter Role]
IMPORTADOR DE DATOS — PAÍS TERCERO:
Denominación social: [Importer Name]
País: [Importer Country]
Domicilio: [Importer Address]
Representante legal: [Importer Representative]
Función: [Importer Role]
2. MECANISMO DE TRANSFERENCIA
Este Acuerdo de Transferencia Internacional de Datos se establece conforme al artículo 46 del Reglamento (UE) 2016/679 (RGPD) empleando el siguiente mecanismo de transferencia: [SCC Module], adoptado por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 (Cláusulas Contractuales Tipo).
Las partes confirman que las Cláusulas Contractuales Tipo (SCC) aplicables a esta transferencia se incorporan íntegramente a este acuerdo como anexo obligatorio y no pueden modificarse. La ley aplicable a este acuerdo es la ley española (Ley Orgánica 3/2018 — LOPDGDD).
3. DESCRIPCIÓN DE LOS DATOS PERSONALES TRANSFERIDOS
Categorías de datos personales: [Data Categories]
Categorías de interesados: [Data Subject Categories]
Finalidades de la transferencia: [Transfer Purpose]
Base jurídica del tratamiento original: [Legal Basis]
Plazo de conservación en el país tercero: [Retention Period]
4. EVALUACIÓN DE IMPACTO DE LA TRANSFERENCIA (TRANSFER IMPACT ASSESSMENT)
De conformidad con la sentencia Schrems II del TJUE (Asunto C-311/18, de 16 de julio de 2020) y las Recomendaciones 01/2020 del CEPD, el exportador de datos ha realizado una Evaluación de Impacto de la Transferencia (TIA) que valora el marco jurídico de [Importer Country], incluidas las leyes de vigilancia aplicables, el control de supervisión independiente y los recursos judiciales disponibles para los interesados de la UE.
La documentación de la TIA es conservada por [Exporter Name] y está disponible para la Agencia Española de Protección de Datos (AEPD) previa solicitud. Se han implementado medidas técnicas y organizativas complementarias para subsanar cualquier deficiencia de protección identificada en la TIA.
5. MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS
Medidas técnicas (Anexo II de las SCC de 2021): [Technical Measures]
Medidas organizativas: [Organisational Measures]
6. DERECHOS DE LOS INTERESADOS
El importador de datos asistirá al exportador de datos en la atención de las solicitudes de ejercicio de derechos de los interesados conforme a los artículos 15 a 22 RGPD — acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición — dentro de los plazos establecidos por el artículo 12.3 RGPD (1 mes, ampliable a 3 meses). Los interesados también podrán presentar reclamaciones ante la Agencia Española de Protección de Datos (AEPD) en aepd.es conforme al artículo 77 RGPD.
7. NOTIFICACIÓN DE VIOLACIONES DE LA SEGURIDAD DE LOS DATOS PERSONALES
El importador de datos notificará a [Exporter Name] sin dilación indebida — y en un plazo máximo de 72 horas desde que tenga conocimiento — cualquier violación de la seguridad de los datos personales que afecte a los datos transferidos, proporcionando información suficiente para que el exportador de datos evalúe el riesgo y notifique, en su caso, a la AEPD conforme al artículo 33 RGPD y a los interesados afectados conforme al artículo 34 RGPD.
8. SUPRESIÓN Y DEVOLUCIÓN DE DATOS
Al término o vencimiento de este acuerdo o de la relación de servicios subyacente, el importador de datos, a elección del exportador de datos, suprimirá de forma segura o devolverá todos los datos personales transferidos en virtud de este acuerdo en un plazo de 30 días naturales, salvo que la legislación española o de la UE exija su conservación continuada. La supresión segura deberá documentarse y certificarse al exportador de datos.
9. LEY APLICABLE Y CUMPLIMIENTO ANTE LA AEPD
Este acuerdo se rige por la legislación española — el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). La Agencia Española de Protección de Datos (AEPD), creada conforme al artículo 44 LOPDGDD como autoridad de control competente en España conforme al artículo 51 RGPD, tiene competencia para hacer cumplir este acuerdo. Las infracciones del artículo 46 RGPD (transferencias internacionales) están sujetas a multas de hasta 20.000.000 € o el 4% de la facturación anual global total, conforme al artículo 83.5.c RGPD. El exportador de datos mantiene un Registro de Actividades de Tratamiento (artículo 30 RGPD) que documenta todas las transferencias internacionales realizadas en virtud de este acuerdo.
FIRMAS
Firmado en [Agreement City], el [Agreement Date].
EXPORTADOR DE DATOS:
Representado por: [Exporter Representative]
Firma: _________________________ Fecha: _________________________
IMPORTADOR DE DATOS:
Representado por: [Importer Representative]
Firma: _________________________ Fecha: _________________________
Exportador de datos / Representante legal
________________
Signature
Importador de datos / Representante legal
________________
Signature
Qué es Acuerdo de Transferencia Internacional de Datos España
El Acuerdo de Transferencia Internacional de Datos es, en España, el contrato escrito regulado por Reglamento (UE) 2016/679 (RGPD), art. 46, que fija por escrito los derechos y obligaciones recíprocos de las partes y resulta exigible ante los tribunales civiles.
La transferencia internacional de datos personales está prohibida por defecto conforme al Artículo 44 del RGPD, salvo que concurra alguna de las bases de legitimación previstas en los artículos 45 a 49 RGPD. La Comisión Europea ha reconocido como países con nivel adecuado de protección a Estados Unidos (en el marco del EU-US Data Privacy Framework aprobado en julio de 2023), Japón, Suiza, Israel, Canadá (para entidades sujetas a la PIPEDA), Reino Unido y otros territorios listados en el Registro de Decisiones de Adecuación de la Comisión. Para las transferencias a países sin decisión de adecuación — incluyendo India, China, Brasil, México, Argentina, Australia, Singapur y la mayoría de países africanos — el exportador de datos debe establecer garantías adecuadas conforme al Artículo 46 RGPD.
Las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea, actualizadas mediante la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021, son el mecanismo de transferencia más utilizado en la práctica española. Las CCT de 2021 contemplan cuatro módulos: responsable-a-responsable (Módulo 1), responsable-a-encargado (Módulo 2), encargado-a-encargado (Módulo 3) y encargado-a-responsable (Módulo 4). Las CCT deben complementarse con una Evaluación de Impacto de la Transferencia (Transfer Impact Assessment — TIA) conforme a las directrices 05/2021 del Comité Europeo de Protección de Datos (CEPD) y las directrices de la Agencia Española de Protección de Datos (AEPD) de 2022, que exige evaluar si el ordenamiento jurídico del país de destino permite al importador cumplir con las CCT.
Las normas corporativas vinculantes (Binding Corporate Rules — BCR) son el segundo mecanismo habitual para grupos multinacionales con filiales fuera del EEE. Las BCR requieren aprobación por la autoridad de control principal (en España, la AEPD actúa como autoridad líder cuando el establecimiento principal del grupo está en España) mediante el procedimiento de cooperación del Artículo 60 RGPD. La aprobación de BCR puede tardar uno a tres años y requiere un nivel elevado de madurez en el programa de privacidad corporativa. Para transferencias ocasionales y no repetitivas, el Artículo 49.1 RGPD contempla derogaciones específicas como el consentimiento explícito del interesado o la necesidad del contrato solicitado por el interesado.
El Comité Europeo de Protección de Datos (CEPD) ha publicado directrices específicas sobre transferencias internacionales — en particular las Directrices 05/2021 sobre la Evaluación de Impacto de la Transferencia (TIA) y las Recomendaciones 01/2020 sobre medidas suplementarias para transferencias a países sin adecuación — que determinan cómo las empresas españolas deben evaluar el riesgo de acceso gubernamental a los datos transferidos. La AEPD ha publicado su propia guía sobre transferencias internacionales en 2022, desarrollando los criterios del CEPD con ejemplos prácticos para el mercado español. El incumplimiento del Artículo 44 RGPD puede resultar en multas de hasta 20 millones de euros o el 4% de la facturación global conforme al Artículo 83.5 RGPD, además de responsabilidad civil frente a los interesados cuyos datos hayan sido transferidos ilegalmente conforme al Artículo 82 RGPD.
Cuándo necesitas Acuerdo de Transferencia Internacional de Datos España
El Acuerdo de Transferencia Internacional de Datos España es necesario siempre que una empresa española (responsable del tratamiento) o un encargado del tratamiento establecido en España transfiera datos personales de residentes de la UE a un destinatario en un país fuera del EEE que no se beneficie de una decisión de adecuación de la Comisión Europea conforme al Artículo 45 RGPD.
El acuerdo es necesario cuando una empresa española contrata servicios de computación en la nube (cloud computing), software como servicio (SaaS) o infraestructura tecnológica (IaaS) con un proveedor establecido en Estados Unidos, India, Israel o cualquier otro tercer país — por ejemplo, servicios de Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Salesforce, HubSpot o cualquier otro proveedor tecnológico que procese datos de clientes, empleados o usuarios españoles en servidores fuera del EEE. Aunque Estados Unidos cuenta con el EU-US Data Privacy Framework desde 2023, las empresas no certificadas en dicho marco siguen requiriendo CCT.
El documento es necesario cuando una empresa española externaliza funciones de recursos humanos, contabilidad, atención al cliente o marketing digital a un proveedor de servicios establecido fuera del EEE, transfiriéndole datos personales de empleados, candidatos, clientes o contactos comerciales. El proveedor externo actúa como encargado del tratamiento conforme al Artículo 28 RGPD y la relación debe formalizarse mediante un Acuerdo de Tratamiento de Datos (DPA) complementado con CCT del Módulo 2.
El acuerdo es necesario cuando un grupo empresarial multinacional transfiere datos de empleados o clientes entre filiales intragrupo situadas dentro y fuera del EEE — por ejemplo, desde la sede española hacia la matriz estadounidense o hacia filiales en Asia o Latinoamérica. El mecanismo habitual son las CCT intragrupo o las BCR aprobadas por la AEPD u otra autoridad de control europea líder.
El instrumento es necesario cuando una empresa española desarrolla una aplicación móvil o plataforma digital que transfiere datos de usuarios a servicios de analítica, publicidad programática, redes sociales o inteligencia artificial (IA) gestionados por terceros fuera del EEE. La AEPD ha publicado guías específicas sobre transferencias en el contexto de Google Analytics, Meta Pixel y herramientas similares que deben tenerse en cuenta al configurar el mecanismo de transferencia adecuado. El incumplimiento del Artículo 46 RGPD puede derivar en sanciones de hasta 20 millones de euros o el 4% de la facturación global anual conforme al Artículo 83.5 RGPD, impuestas por la AEPD tras el procedimiento sancionador previsto en la LOPDGDD.
El acuerdo de transferencia de datos es también necesario cuando una empresa española participa en investigaciones clínicas o estudios epidemiológicos que implican la transferencia de datos de salud a instituciones de investigación fuera del EEE. Los datos de salud son datos sensibles sujetos a protección reforzada conforme al Artículo 9 RGPD, y su transferencia internacional requiere no solo las CCT o BCR estándar sino también las salvaguardas adicionales específicas para datos de categoría especial exigidas por el Artículo 9.2 RGPD y las directrices de la AEPD sobre tratamiento de datos de salud en el ámbito de la investigación biomédica (Ley 14/2007 de Investigación Biomédica).
Qué incluir en tu Acuerdo de Transferencia Internacional de Datos España
Un Acuerdo de Transferencia Internacional de Datos España válido conforme al Artículo 46 RGPD, las Cláusulas Contractuales Tipo de 2021 (Decisión 2021/914/UE) y las directrices de la AEPD debe contener los siguientes elementos esenciales.
Identificación del exportador e importador de datos: Denominación social completa, NIF/CIF o equivalente extranjero, domicilio registrado, sector de actividad y papel en el tratamiento (responsable o encargado) del exportador de datos (empresa española) y del importador de datos (destinatario en tercer país). Para grupos multinacionales, deben identificarse todas las entidades del grupo que actúan como importadores.
Base de legitimación de la transferencia: Identificación del mecanismo de transferencia utilizado — Cláusulas Contractuales Tipo (módulo aplicable conforme a la Decisión 2021/914/UE), Normas Corporativas Vinculantes aprobadas por la AEPD, decisión de adecuación aplicable, o derogación específica del Artículo 49.1 RGPD. Referencia expresa al número de decisión de adecuación de la Comisión Europea si el país de destino está en la lista de países adecuados.
Descripción de los datos transferidos: Categorías de datos personales transferidos (datos de identificación, datos de contacto, datos de salud, datos financieros, datos de localización, datos de comportamiento digital), colectivos de interesados afectados (empleados, clientes, usuarios, candidatos), volumen aproximado de registros y frecuencia de la transferencia (continua, periódica, ocasional).
Finalidad del tratamiento por el importador: Descripción detallada de las operaciones de tratamiento que realizará el importador — prestación de servicios cloud, análisis de datos, atención al cliente, gestión de nóminas, marketing — y prohibición expresa de usos secundarios no autorizados conforme al principio de limitación de la finalidad del Artículo 5.1.b RGPD.
Medidas técnicas y organizativas de seguridad: Las medidas de seguridad implementadas conforme al Artículo 32 RGPD — cifrado en tránsito y en reposo (TLS 1.2+, AES-256), seudonimización, control de acceso con autenticación multifactor, gestión de incidentes y notificación de brechas de seguridad en el plazo de 72 horas a la AEPD conforme al Artículo 33 RGPD. Las medidas deben reflejar el resultado de la Evaluación de Impacto de la Transferencia (TIA).
Derechos de los interesados: Mecanismos para que los interesados (empleados, clientes, usuarios) ejerciten sus derechos de acceso, rectificación, supresión, portabilidad y oposición conforme a los artículos 15 a 21 RGPD frente al importador de datos situado en el tercer país. Identificación del punto de contacto del importador para solicitudes de ejercicio de derechos.
Subencargados: Lista de subencargados del importador autorizados a tratar los datos transferidos, con identificación de su país de establecimiento. Obligación del importador de obtener autorización previa del exportador para nuevos subencargados y de fluir las mismas obligaciones de protección de datos al subencargado conforme al Artículo 28.4 RGPD.
Evaluación de Impacto de la Transferencia (TIA): Documentación de la evaluación del marco legal del país de destino — legislación de vigilancia, poderes de las autoridades públicas para acceder a los datos transferidos — y de las medidas suplementarias adoptadas para garantizar un nivel de protección esencialmente equivalente al del RGPD conforme a las directrices 05/2021 del CEPD. La TIA es un requisito para transferencias a países como Estados Unidos (para entidades no certificadas en el DPF), India, China y Rusia.
Duración, revisión y terminación: Período de vigencia del acuerdo, obligación de revisión periódica (al menos anual) de la TIA y de los mecanismos de transferencia, y procedimiento de terminación y destrucción o devolución de los datos al exportador.
Forms-legal.com proporciona esta plantilla del Acuerdo de Transferencia Internacional de Datos España como referencia práctica. Las transferencias internacionales de datos son un ámbito técnico-jurídico complejo — se recomienda la asistencia de un Delegado de Protección de Datos (DPD) certificado y de un abogado especializado en privacidad para asegurar el cumplimiento del RGPD y de la LOPDGDD ante la AEPD. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.
Citar esta página
CC BY 4.0 · libre de citarReferencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:
Forms Legal. (2026). Acuerdo de Transferencia Internacional de Datos España (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana
"Acuerdo de Transferencia Internacional de Datos España (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana.
Forms Legal. "Acuerdo de Transferencia Internacional de Datos España (España)." Forms Legal, 2026. https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana.
@misc{formslegal-acuerdo-transferencia-internacional-datos-espana,
author = {{Forms Legal}},
title = {Acuerdo de Transferencia Internacional de Datos España (España)},
year = {2026},
howpublished = {\url{https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana}},
note = {Free legal document template}
}{{cite web |title=Acuerdo de Transferencia Internacional de Datos España (España) |website=Forms Legal |publisher=Forms Legal |date=2026 |url=https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana}}TY - ELEC T1 - Acuerdo de Transferencia Internacional de Datos España (España) T2 - Forms Legal PB - Forms Legal PY - 2026 UR - https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana ER -
Preguntas Frecuentes
Conforme al Capítulo V del Reglamento (UE) 2016/679 (RGPD), los datos personales solo pueden transferirse desde España a un tercer país fuera del EEE a través de uno de los siguientes mecanismos: (1) Decisión de adecuación (artículo 45 RGPD) — la Comisión Europea ha reconocido formalmente a determinados países como Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Corea del Sur, Suiza, el Reino Unido (post-Brexit), Uruguay y Estados Unidos para empresas certificadas en el Marco de Privacidad de Datos UE-EE.UU. (desde julio de 2023). (2) Cláusulas Contractuales Tipo (CCT) adoptadas por Decisión 2021/914/UE de 4 de junio de 2021, con cuatro módulos que cubren todas las combinaciones de responsable y encargado. (3) Normas Corporativas Vinculantes (NCV) para transferencias intragrupo, aprobadas por la autoridad de control competente. (4) Códigos de Conducta o Mecanismos de Certificación aprobados al amparo del artículo 46.2(e) y (f). (5) Derogaciones específicas del artículo 49 RGPD para transferencias ocasionales — consentimiento explícito, ejecución de contrato, intereses vitales o reclamaciones legales — solo para transferencias no repetitivas cuando no sea factible ningún otro mecanismo. La AEPD supervisa estos requisitos e investiga las reclamaciones de los interesados conforme al artículo 57 RGPD.
La Evaluación de Impacto de la Transferencia (EIT) es un análisis documentado que el exportador de datos español debe realizar antes de implementar transferencias internacionales basadas en CCT, conforme a la sentencia Schrems II del TJUE (Asunto C-311/18, de 16 de julio de 2020) y las Recomendaciones 01/2020 del CEPD. La EIT evalúa si las leyes y prácticas del país de destino ofrecen un nivel de protección de datos esencialmente equivalente al garantizado en la UE, prestando especial atención a: (1) la existencia de leyes de vigilancia gubernamental que permitan a las autoridades públicas acceder masivamente a datos personales o sin garantías adecuadas (por ejemplo, la Sección 702 FISA o la EO 12333 de EE.UU.); (2) la disponibilidad de supervisión independiente y recursos judiciales efectivos para los interesados europeos en el país de destino; y (3) si el importador de datos puede cumplir las CCT en la práctica dado el entorno jurídico local. La EIT debe estar documentada y disponible para la AEPD cuando esta lo solicite. Cuando la EIT revele que las leyes del país de destino crean riesgos incompatibles con las garantías esenciales, el exportador debe implementar medidas técnicas suplementarias — típicamente cifrado extremo a extremo sin acceso de claves por el importador, seudonimización previa a la transferencia o minimización de datos. Si ninguna medida suplementaria eficaz puede colmar la diferencia, la transferencia debe suspenderse.
Las Cláusulas Contractuales Tipo (CCT) de 2021 fueron adoptadas por la Comisión Europea mediante la Decisión 2021/914/UE de 4 de junio de 2021, sustituyendo a las CCT de 2001 (responsable a responsable) y de 2010 (responsable a encargado). Las CCT de 2021 introdujeron una estructura modular que cubre todos los escenarios de transferencia: Módulo 1 (responsable a responsable); Módulo 2 (responsable a encargado); Módulo 3 (encargado a responsable); y Módulo 4 (encargado a encargado). Los exportadores de datos españoles deben utilizar las CCT de 2021 — las antiguas dejaron de ser válidas a partir del 27 de diciembre de 2022. Las CCT de 2021 incluyen disposiciones obligatorias que no pueden modificarse: las obligaciones de protección de datos del importador, las cláusulas de derechos de los interesados y el mecanismo de adhesión que permite a partes adicionales unirse al acuerdo CCT. Las disposiciones opcionales y variables — elección del derecho aplicable (debe ser el de un Estado miembro de la UE; el derecho español es válido), mecanismo de resolución de controversias y medidas técnicas de seguridad (Anexo II) — pueden personalizarse. El incumplimiento de los requisitos CCT en España constituye una infracción grave del RGPD conforme al artículo 83.5(c), sujeta a multas de hasta 20 millones de euros o el 4% del volumen de negocio anual total a nivel mundial.
La Agencia Española de Protección de Datos (AEPD), constituida por el artículo 44 de la Ley Orgánica 3/2018 (LOPDGDD) como autoridad de control competente en España conforme al artículo 51 del RGPD, dispone de amplias competencias sancionadoras en materia de transferencias internacionales. Conforme al artículo 83.5(c) RGPD, las infracciones del Capítulo V (transferencias internacionales) constituyen la categoría más grave, sujeta a multas de hasta 20 millones de euros o el 4% del volumen de negocio anual total a nivel mundial. La AEPD también puede imponer: prohibiciones temporales o permanentes de transferencias internacionales (art. 58.2(j) RGPD); órdenes de suspensión o rectificación de operaciones de tratamiento; órdenes de notificación de brechas a los interesados; y advertencias y apercibimientos públicos. La AEPD participa en el mecanismo de coherencia del CEPD y coopera con otras autoridades de control de la UE mediante el mecanismo de ventanilla única para infracciones transfronterizas (artículo 56 RGPD). Las actuaciones de investigación de oficio y las iniciadas por reclamación de interesados permiten a la AEPD solicitar documentación — incluidas EIT y acuerdos CCT — a los exportadores de datos españoles en cualquier momento.
El marco principal de protección de datos de España para las transferencias internacionales es el RGPD como derecho de la UE de aplicación directa — el Capítulo V del RGPD se aplica de forma uniforme en todos los Estados miembros. No obstante, la Ley Orgánica 3/2018 (LOPDGDD) complementa el RGPD con disposiciones específicas españolas: el artículo 44 LOPDGDD confirma a la AEPD como autoridad competente; los artículos 51-67 LOPDGDD establecen la estructura organizativa de la AEPD y las reglas procedimentales para las sanciones del artículo 83 RGPD, incluido el procedimiento para la resolución sancionadora y el recurso ante la Audiencia Nacional. Las leyes sectoriales españolas también imponen obligaciones adicionales: la Ley 34/2002 de servicios de la sociedad de la información (LSSI) aplicada a servicios digitales internacionales; la Ley 9/2014 General de Telecomunicaciones; y las disposiciones sobre datos sanitarios de la Ley 41/2002 de autonomía del paciente y la Ley 14/2007 de Investigación Biomédica, que imponen estrictas limitaciones a las transferencias internacionales de datos de salud (categoría especial del artículo 9 RGPD).
Cuando una empresa española recibe una solicitud de una autoridad gubernamental extranjera sobre datos personales de ciudadanos de la UE — o cuando su importador de datos en el extranjero recibe dicha solicitud — la empresa debe seguir el procedimiento establecido en la Cláusula 15 de las CCT de 2021 y las orientaciones del CEPD. Los pasos inmediatos son: (1) evaluar si la solicitud es jurídicamente vinculante conforme al derecho del país extranjero — no todas las solicitudes gubernamentales son órdenes obligatorias y muchas son peticiones voluntarias de información que pueden rechazarse; (2) verificar si la solicitud cumple las garantías esenciales del artículo 8 de la Carta de los Derechos Fundamentales de la UE — proporcionalidad, necesidad, supervisión independiente y tutela judicial; (3) si la solicitud parece jurídicamente vinculante y no puede rechazarse, notificar inmediatamente al exportador de datos en España y a la AEPD antes de divulgar ningún dato — la Cláusula 15.1(b) de las CCT de 2021 exige al importador impugnar la solicitud a través de los recursos legales disponibles antes de la divulgación; (4) proporcionar únicamente los datos mínimos necesarios para cumplir la obligación legal válida, documentando todos los pasos seguidos. El marco Schrems II establece que el acceso gubernamental masivo o indiscriminado a datos personales sin garantías proporcionadas vulnera los requisitos de transferencia del RGPD — los exportadores de datos españoles pueden necesitar suspender la transferencia si el importador no puede resistir las órdenes gubernamentales jurídicamente vinculantes que infrinjan las CCT.
Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo
¿Encontró un error? AvísenosDocumentos Relacionados
También puede encontrar útiles estos documentos:
Acuerdo de Teletrabajo Transfronterizo España
Acuerdo de Teletrabajo Transfronterizo para España — regulado por el artículo 6 de la Ley 10/2021, que aborda las implicaciones en materia laboral, de Seguridad Social y fiscal cuando un trabajador residente en España presta servicios a distancia para un empleador situado en otro país.
Acuerdo de Suministro España
Acuerdo de Suministro para España — regulado por el artículo 1445 del Código Civil y los usos mercantiles, que establece la obligación continuada del suministrador de entregar bienes o servicios de forma periódica al comprador en las condiciones y precios acordados.
Acuerdo de Confidencialidad España — Ley 1/2019 de Secretos Empresariales
Acuerdo de Confidencialidad (NDA) para España conforme al artículo 1255 del Código Civil, la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 1/2019 de Secretos Empresariales, que protege la información empresarial confidencial, los secretos comerciales y los datos exclusivos en relaciones comerciales.