Skip to main content

Acuerdo de Transferencia Internacional de Datos España

Datos clave

EspañaEspañaEspañol (ES)GratisPDF & WordActualizado 6 jun 2026
Base legalEspañaNotarización: No requeridaTestigos: 0Partes: 2
Transferencia Internacional de Datos
International Data Transfer Agreement Spain (Transferencia Internacional de Datos)

ACUERDO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

Acuerdo de Transferencia Internacional de Datos

Regulado por el Reglamento (UE) 2016/679 (RGPD), artículo 46, y la Ley Orgánica 3/2018 (LOPDGDD)

Cláusulas Contractuales Tipo — Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021

1. PARTES

EXPORTADOR DE DATOS:

Denominación social: [Exporter Name]

Domicilio registral: [Exporter Address]

Representante legal: [Exporter Representative]

Contacto del DPD: [Exporter DPO]

Función: [Exporter Role]

IMPORTADOR DE DATOS — PAÍS TERCERO:

Denominación social: [Importer Name]

Representante legal: [Importer Representative]

Función: [Importer Role]

2. MECANISMO DE TRANSFERENCIA

Este Acuerdo de Transferencia Internacional de Datos se establece conforme al artículo 46 del Reglamento (UE) 2016/679 (RGPD) empleando el siguiente mecanismo de transferencia: [SCC Module], adoptado por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 (Cláusulas Contractuales Tipo).

Las partes confirman que las Cláusulas Contractuales Tipo (SCC) aplicables a esta transferencia se incorporan íntegramente a este acuerdo como anexo obligatorio y no pueden modificarse. La ley aplicable a este acuerdo es la ley española (Ley Orgánica 3/2018 — LOPDGDD).

3. DESCRIPCIÓN DE LOS DATOS PERSONALES TRANSFERIDOS

Categorías de datos personales: [Data Categories]

Categorías de interesados: [Data Subject Categories]

Finalidades de la transferencia: [Transfer Purpose]

Base jurídica del tratamiento original: [Legal Basis]

Plazo de conservación en el país tercero: [Retention Period]

4. EVALUACIÓN DE IMPACTO DE LA TRANSFERENCIA (TRANSFER IMPACT ASSESSMENT)

De conformidad con la sentencia Schrems II del TJUE (Asunto C-311/18, de 16 de julio de 2020) y las Recomendaciones 01/2020 del CEPD, el exportador de datos ha realizado una Evaluación de Impacto de la Transferencia (TIA) que valora el marco jurídico de [Importer Country], incluidas las leyes de vigilancia aplicables, el control de supervisión independiente y los recursos judiciales disponibles para los interesados de la UE.

La documentación de la TIA es conservada por [Exporter Name] y está disponible para la Agencia Española de Protección de Datos (AEPD) previa solicitud. Se han implementado medidas técnicas y organizativas complementarias para subsanar cualquier deficiencia de protección identificada en la TIA.

5. MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS

Medidas técnicas (Anexo II de las SCC de 2021): [Technical Measures]

Medidas organizativas: [Organisational Measures]

6. DERECHOS DE LOS INTERESADOS

El importador de datos asistirá al exportador de datos en la atención de las solicitudes de ejercicio de derechos de los interesados conforme a los artículos 15 a 22 RGPD — acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición — dentro de los plazos establecidos por el artículo 12.3 RGPD (1 mes, ampliable a 3 meses). Los interesados también podrán presentar reclamaciones ante la Agencia Española de Protección de Datos (AEPD) en aepd.es conforme al artículo 77 RGPD.

7. NOTIFICACIÓN DE VIOLACIONES DE LA SEGURIDAD DE LOS DATOS PERSONALES

El importador de datos notificará a [Exporter Name] sin dilación indebida — y en un plazo máximo de 72 horas desde que tenga conocimiento — cualquier violación de la seguridad de los datos personales que afecte a los datos transferidos, proporcionando información suficiente para que el exportador de datos evalúe el riesgo y notifique, en su caso, a la AEPD conforme al artículo 33 RGPD y a los interesados afectados conforme al artículo 34 RGPD.

8. SUPRESIÓN Y DEVOLUCIÓN DE DATOS

Al término o vencimiento de este acuerdo o de la relación de servicios subyacente, el importador de datos, a elección del exportador de datos, suprimirá de forma segura o devolverá todos los datos personales transferidos en virtud de este acuerdo en un plazo de 30 días naturales, salvo que la legislación española o de la UE exija su conservación continuada. La supresión segura deberá documentarse y certificarse al exportador de datos.

9. LEY APLICABLE Y CUMPLIMIENTO ANTE LA AEPD

Este acuerdo se rige por la legislación española — el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). La Agencia Española de Protección de Datos (AEPD), creada conforme al artículo 44 LOPDGDD como autoridad de control competente en España conforme al artículo 51 RGPD, tiene competencia para hacer cumplir este acuerdo. Las infracciones del artículo 46 RGPD (transferencias internacionales) están sujetas a multas de hasta 20.000.000 € o el 4% de la facturación anual global total, conforme al artículo 83.5.c RGPD. El exportador de datos mantiene un Registro de Actividades de Tratamiento (artículo 30 RGPD) que documenta todas las transferencias internacionales realizadas en virtud de este acuerdo.

FIRMAS

EXPORTADOR DE DATOS:

Representado por: [Exporter Representative]

Firma: _________________________ Fecha: _________________________

IMPORTADOR DE DATOS:

Representado por: [Importer Representative]

Firma: _________________________ Fecha: _________________________

Exportador de datos / Representante legal

________________

Signature

Importador de datos / Representante legal

________________

Signature

Mantenido por Vladislav Sergienko, Fundador·Plantilla modificada por última vez: ·Informar de un error

Qué es Acuerdo de Transferencia Internacional de Datos España

El Acuerdo de Transferencia Internacional de Datos es, en España, el contrato escrito regulado por Reglamento (UE) 2016/679 (RGPD), art. 46, que fija por escrito los derechos y obligaciones recíprocos de las partes y resulta exigible ante los tribunales civiles.

La transferencia internacional de datos personales está prohibida por defecto conforme al Artículo 44 del RGPD, salvo que concurra alguna de las bases de legitimación previstas en los artículos 45 a 49 RGPD. La Comisión Europea ha reconocido como países con nivel adecuado de protección a Estados Unidos (en el marco del EU-US Data Privacy Framework aprobado en julio de 2023), Japón, Suiza, Israel, Canadá (para entidades sujetas a la PIPEDA), Reino Unido y otros territorios listados en el Registro de Decisiones de Adecuación de la Comisión. Para las transferencias a países sin decisión de adecuación — incluyendo India, China, Brasil, México, Argentina, Australia, Singapur y la mayoría de países africanos — el exportador de datos debe establecer garantías adecuadas conforme al Artículo 46 RGPD.

Las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea, actualizadas mediante la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021, son el mecanismo de transferencia más utilizado en la práctica española. Las CCT de 2021 contemplan cuatro módulos: responsable-a-responsable (Módulo 1), responsable-a-encargado (Módulo 2), encargado-a-encargado (Módulo 3) y encargado-a-responsable (Módulo 4). Las CCT deben complementarse con una Evaluación de Impacto de la Transferencia (Transfer Impact Assessment — TIA) conforme a las directrices 05/2021 del Comité Europeo de Protección de Datos (CEPD) y las directrices de la Agencia Española de Protección de Datos (AEPD) de 2022, que exige evaluar si el ordenamiento jurídico del país de destino permite al importador cumplir con las CCT.

Las normas corporativas vinculantes (Binding Corporate Rules — BCR) son el segundo mecanismo habitual para grupos multinacionales con filiales fuera del EEE. Las BCR requieren aprobación por la autoridad de control principal (en España, la AEPD actúa como autoridad líder cuando el establecimiento principal del grupo está en España) mediante el procedimiento de cooperación del Artículo 60 RGPD. La aprobación de BCR puede tardar uno a tres años y requiere un nivel elevado de madurez en el programa de privacidad corporativa. Para transferencias ocasionales y no repetitivas, el Artículo 49.1 RGPD contempla derogaciones específicas como el consentimiento explícito del interesado o la necesidad del contrato solicitado por el interesado.

El Comité Europeo de Protección de Datos (CEPD) ha publicado directrices específicas sobre transferencias internacionales — en particular las Directrices 05/2021 sobre la Evaluación de Impacto de la Transferencia (TIA) y las Recomendaciones 01/2020 sobre medidas suplementarias para transferencias a países sin adecuación — que determinan cómo las empresas españolas deben evaluar el riesgo de acceso gubernamental a los datos transferidos. La AEPD ha publicado su propia guía sobre transferencias internacionales en 2022, desarrollando los criterios del CEPD con ejemplos prácticos para el mercado español. El incumplimiento del Artículo 44 RGPD puede resultar en multas de hasta 20 millones de euros o el 4% de la facturación global conforme al Artículo 83.5 RGPD, además de responsabilidad civil frente a los interesados cuyos datos hayan sido transferidos ilegalmente conforme al Artículo 82 RGPD.

Cuándo necesitas Acuerdo de Transferencia Internacional de Datos España

El Acuerdo de Transferencia Internacional de Datos España es necesario siempre que una empresa española (responsable del tratamiento) o un encargado del tratamiento establecido en España transfiera datos personales de residentes de la UE a un destinatario en un país fuera del EEE que no se beneficie de una decisión de adecuación de la Comisión Europea conforme al Artículo 45 RGPD.

El acuerdo es necesario cuando una empresa española contrata servicios de computación en la nube (cloud computing), software como servicio (SaaS) o infraestructura tecnológica (IaaS) con un proveedor establecido en Estados Unidos, India, Israel o cualquier otro tercer país — por ejemplo, servicios de Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Salesforce, HubSpot o cualquier otro proveedor tecnológico que procese datos de clientes, empleados o usuarios españoles en servidores fuera del EEE. Aunque Estados Unidos cuenta con el EU-US Data Privacy Framework desde 2023, las empresas no certificadas en dicho marco siguen requiriendo CCT.

El documento es necesario cuando una empresa española externaliza funciones de recursos humanos, contabilidad, atención al cliente o marketing digital a un proveedor de servicios establecido fuera del EEE, transfiriéndole datos personales de empleados, candidatos, clientes o contactos comerciales. El proveedor externo actúa como encargado del tratamiento conforme al Artículo 28 RGPD y la relación debe formalizarse mediante un Acuerdo de Tratamiento de Datos (DPA) complementado con CCT del Módulo 2.

El acuerdo es necesario cuando un grupo empresarial multinacional transfiere datos de empleados o clientes entre filiales intragrupo situadas dentro y fuera del EEE — por ejemplo, desde la sede española hacia la matriz estadounidense o hacia filiales en Asia o Latinoamérica. El mecanismo habitual son las CCT intragrupo o las BCR aprobadas por la AEPD u otra autoridad de control europea líder.

El instrumento es necesario cuando una empresa española desarrolla una aplicación móvil o plataforma digital que transfiere datos de usuarios a servicios de analítica, publicidad programática, redes sociales o inteligencia artificial (IA) gestionados por terceros fuera del EEE. La AEPD ha publicado guías específicas sobre transferencias en el contexto de Google Analytics, Meta Pixel y herramientas similares que deben tenerse en cuenta al configurar el mecanismo de transferencia adecuado. El incumplimiento del Artículo 46 RGPD puede derivar en sanciones de hasta 20 millones de euros o el 4% de la facturación global anual conforme al Artículo 83.5 RGPD, impuestas por la AEPD tras el procedimiento sancionador previsto en la LOPDGDD.

El acuerdo de transferencia de datos es también necesario cuando una empresa española participa en investigaciones clínicas o estudios epidemiológicos que implican la transferencia de datos de salud a instituciones de investigación fuera del EEE. Los datos de salud son datos sensibles sujetos a protección reforzada conforme al Artículo 9 RGPD, y su transferencia internacional requiere no solo las CCT o BCR estándar sino también las salvaguardas adicionales específicas para datos de categoría especial exigidas por el Artículo 9.2 RGPD y las directrices de la AEPD sobre tratamiento de datos de salud en el ámbito de la investigación biomédica (Ley 14/2007 de Investigación Biomédica).

Qué incluir en tu Acuerdo de Transferencia Internacional de Datos España

Un Acuerdo de Transferencia Internacional de Datos España válido conforme al Artículo 46 RGPD, las Cláusulas Contractuales Tipo de 2021 (Decisión 2021/914/UE) y las directrices de la AEPD debe contener los siguientes elementos esenciales.

Identificación del exportador e importador de datos: Denominación social completa, NIF/CIF o equivalente extranjero, domicilio registrado, sector de actividad y papel en el tratamiento (responsable o encargado) del exportador de datos (empresa española) y del importador de datos (destinatario en tercer país). Para grupos multinacionales, deben identificarse todas las entidades del grupo que actúan como importadores.

Base de legitimación de la transferencia: Identificación del mecanismo de transferencia utilizado — Cláusulas Contractuales Tipo (módulo aplicable conforme a la Decisión 2021/914/UE), Normas Corporativas Vinculantes aprobadas por la AEPD, decisión de adecuación aplicable, o derogación específica del Artículo 49.1 RGPD. Referencia expresa al número de decisión de adecuación de la Comisión Europea si el país de destino está en la lista de países adecuados.

Descripción de los datos transferidos: Categorías de datos personales transferidos (datos de identificación, datos de contacto, datos de salud, datos financieros, datos de localización, datos de comportamiento digital), colectivos de interesados afectados (empleados, clientes, usuarios, candidatos), volumen aproximado de registros y frecuencia de la transferencia (continua, periódica, ocasional).

Finalidad del tratamiento por el importador: Descripción detallada de las operaciones de tratamiento que realizará el importador — prestación de servicios cloud, análisis de datos, atención al cliente, gestión de nóminas, marketing — y prohibición expresa de usos secundarios no autorizados conforme al principio de limitación de la finalidad del Artículo 5.1.b RGPD.

Medidas técnicas y organizativas de seguridad: Las medidas de seguridad implementadas conforme al Artículo 32 RGPD — cifrado en tránsito y en reposo (TLS 1.2+, AES-256), seudonimización, control de acceso con autenticación multifactor, gestión de incidentes y notificación de brechas de seguridad en el plazo de 72 horas a la AEPD conforme al Artículo 33 RGPD. Las medidas deben reflejar el resultado de la Evaluación de Impacto de la Transferencia (TIA).

Derechos de los interesados: Mecanismos para que los interesados (empleados, clientes, usuarios) ejerciten sus derechos de acceso, rectificación, supresión, portabilidad y oposición conforme a los artículos 15 a 21 RGPD frente al importador de datos situado en el tercer país. Identificación del punto de contacto del importador para solicitudes de ejercicio de derechos.

Subencargados: Lista de subencargados del importador autorizados a tratar los datos transferidos, con identificación de su país de establecimiento. Obligación del importador de obtener autorización previa del exportador para nuevos subencargados y de fluir las mismas obligaciones de protección de datos al subencargado conforme al Artículo 28.4 RGPD.

Evaluación de Impacto de la Transferencia (TIA): Documentación de la evaluación del marco legal del país de destino — legislación de vigilancia, poderes de las autoridades públicas para acceder a los datos transferidos — y de las medidas suplementarias adoptadas para garantizar un nivel de protección esencialmente equivalente al del RGPD conforme a las directrices 05/2021 del CEPD. La TIA es un requisito para transferencias a países como Estados Unidos (para entidades no certificadas en el DPF), India, China y Rusia.

Duración, revisión y terminación: Período de vigencia del acuerdo, obligación de revisión periódica (al menos anual) de la TIA y de los mecanismos de transferencia, y procedimiento de terminación y destrucción o devolución de los datos al exportador.

Forms-legal.com proporciona esta plantilla del Acuerdo de Transferencia Internacional de Datos España como referencia práctica. Las transferencias internacionales de datos son un ámbito técnico-jurídico complejo — se recomienda la asistencia de un Delegado de Protección de Datos (DPD) certificado y de un abogado especializado en privacidad para asegurar el cumplimiento del RGPD y de la LOPDGDD ante la AEPD. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.

Citar esta página

CC BY 4.0 · libre de citar

Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:

APA
Forms Legal. (2026). Acuerdo de Transferencia Internacional de Datos España (España) [Legal document template]. Forms Legal. https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana
MLA
"Acuerdo de Transferencia Internacional de Datos España (España)." Forms Legal, 2026, https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana.
Chicago
Forms Legal. "Acuerdo de Transferencia Internacional de Datos España (España)." Forms Legal, 2026. https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana.
BibTeX
@misc{formslegal-acuerdo-transferencia-internacional-datos-espana,
  author       = {{Forms Legal}},
  title        = {Acuerdo de Transferencia Internacional de Datos España (España)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana}},
  note         = {Free legal document template}
}
Wikipedia
{{cite web |title=Acuerdo de Transferencia Internacional de Datos España (España) |website=Forms Legal |publisher=Forms Legal |date=2026 |url=https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana}}
RIS
TY  - ELEC
T1  - Acuerdo de Transferencia Internacional de Datos España (España)
T2  - Forms Legal
PB  - Forms Legal
PY  - 2026
UR  - https://forms-legal.com/es/espana/business/policies/acuerdo-transferencia-internacional-datos-espana
ER  - 
Forms LegalActualizado 2026-06-06.bib.ris

Preguntas Frecuentes

Plantilla con referencias legales — Plantilla modificada por última vez en junio de 2026

Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo

¿Encontró un error? Avísenos