Transferencias internacionales de datos: qué debe revisar tu empresa si usas AWS, Google Workspace o Microsoft 365

por | Abr 22, 2026 | Blog especializado en Protección de Datos

Auditoría de cumplimiento RGPD 2026: Un analista técnico en un centro de datos revisa diagramas de red en su laptop y pantallas, analizando los flujos de transferencias internacionales de datos bajo el Marco de Privacidad con AWS, Google y Microsoft

Tu empresa usa Gmail, Teams o almacenamiento en la nube de Amazon. Parece algo rutinario. Pero cada vez que esos sistemas procesan datos de tus clientes o empleados en servidores fuera de la Unión Europea, estás realizando una transferencia internacional de datos sujeta al RGPD.

El problema no es usar estas herramientas. El problema es usarlas sin haber documentado y verificado que la transferencia es legal. La AEPD ya ha sancionado a empresas por exactamente esto, y la mayoría de las afectadas no sabían que incumplían.

En este artículo te explicamos qué exige el RGPD para este tipo de transferencias, qué situación tienen actualmente los tres proveedores cloud más usados en España y qué pasos concretos debe dar tu empresa.

¿Qué es una transferencia internacional de datos según el RGPD?

El RGPD (arts. 44-49) considera transferencia internacional cualquier envío, acceso o almacenamiento de datos personales fuera del Espacio Económico Europeo (EEE: UE + Noruega, Islandia y Liechtenstein).

Esto incluye situaciones que no parecen obvias:

  • Tu equipo accede desde España a un servidor de Gmail ubicado en EE. UU.
  • Subes documentos con datos de empleados a Microsoft OneDrive y el proveedor los replica en centros de datos americanos.
  • Usas AWS para alojar tu CRM y el servidor por defecto está en Irlanda, pero los backups van a EE. UU.

Que el proveedor sea una empresa conocida no te exime de la obligación. La responsabilidad de verificar que la transferencia es lícita es tuya como responsable del tratamiento.

El marco jurídico actual: del Privacy Shield al Marco UE-EE. UU.

Hasta 2020, las transferencias a EE. UU. se amparaban en el Privacy Shield. En julio de ese año, el Tribunal de Justicia de la UE lo anuló (sentencia Schrems II) al considerar que la legislación estadounidense no ofrecía garantías equivalentes al RGPD.

Desde entonces, el mecanismo principal para transferencias a EE. UU. son las Cláusulas Contractuales Tipo (CCT), aprobadas en su versión actual por la Comisión Europea en 2021.

En julio de 2023 entró en vigor el Marco de Privacidad de Datos UE-EE. UU (DPF), que permite transferencias a empresas estadounidenses certificadas sin necesidad de CCT adicionales. Pero hay una condición: el proveedor debe aparecer en la lista oficial de certificados del Departamento de Comercio de EE. UU.

Concepto Detalle
Normativa aplicable RGPD arts. 44-49 + Decisión UE 2021/914 (CCT) + Decisión UE 2023/1795 (DPF)
¿A quién afecta? Toda empresa que usa servicios cloud con servidores fuera del EEE
Plazo Inmediato, el RGPD está en vigor desde mayo 2018
Sanción máxima 20.000.000 € o 4% de la facturación global anual (art. 83.5 RGPD)
Mecanismos válidos Certificación DPF, CCT firmadas con el proveedor, o BCR
Acción requerida Verificar certificación DPF y/o revisar que el DPA del proveedor incluye CCT

AWS, Google Workspace y Microsoft 365: ¿cumple tu proveedor?

Los tres principales proveedores cloud tienen certificación DPF y ofrecen Cláusulas Contractuales Tipo en sus acuerdos de tratamiento de datos (DPA). Pero que el proveedor esté certificado no significa que tu empresa esté automáticamente en cumplimiento.

Herramienta Servidores por defecto Certificación DPF CCT en su DPA Lo que debes verificar
Google Workspace EE. UU. (Región EEE disponible) Que hayas aceptado el DPA actualizado en tu consola de administración.
Microsoft 365 EE. UU. (Región EEE disponible) Que el DPA esté firmado y la región de datos configurada en Europa si aplica
AWS Variable según región configurada Que uses regiones EEE siempre que sea posible y que el DPA esté activo en tu cuenta

El error más frecuente en pymes: contratar el servicio sin activar ni revisar el DPA del proveedor. Sin ese documento firmado, no tienes base legal documentada para la transferencia, aunque el proveedor esté certificado.

¿Qué debe hacer tu empresa ahora mismo?

Si tu empresa usa cualquiera de estas herramientas con datos de clientes, empleados o proveedores, estos son los pasos obligatorios:

  1. Identificar todos los proveedores cloud que tratan datos personales en nombre de tu empresa (no solo los tres mencionados; incluye tu CRM, ERP, plataforma de email marketing, etc.).
  2. Verificar la certificación DPF de los proveedores estadounidenses en dataprivacyframework.gov.
  3. Revisar y aceptar el DPA (acuerdo de encargado del tratamiento) de cada proveedor. En Google, Microsoft y AWS se activa desde el panel de administración.
  4. Actualizar el Registro de Actividades de Tratamiento para reflejar la base legal de cada transferencia internacional (DPF o CCT).
  5. Evaluar si es necesaria una EIPD (Evaluación de Impacto) cuando se traten datos sensibles o de gran volumen.

Si tienes dudas sobre si tu empresa está al día en este punto, una consultoría de protección de datos puede revisar tu situación y documentar correctamente cada transferencia.

¿Qué pasa si no cumples?

No cumplir con los requisitos de transferencia internacional no es una infracción menor. El RGPD la clasifica como infracción grave:

  1. Sanción de hasta 20 millones de euros o el 4% de la facturación global anual.
  2. La AEPD puede iniciar una investigación de oficio si recibe una denuncia de un empleado o cliente.
  3. Si sufres una brecha de seguridad que afecte a datos transferidos a EE. UU. sin base legal documentada, la sanción se agrava.
  4. No sirve como defensa alegar que «el proveedor es conocido y seguro», la ley exige que tú, como responsable, hayas documentado la base legal de la transferencia.

Como explicamos en nuestro artículo sobre errores comunes en protección de datos en empresas, la mayoría de sanciones a pymes no vienen de negligencias graves, sino de omisiones documentales que se habrían resuelto con una revisión inicial.

Conclusiones

Usar AWS, Google Workspace o Microsoft 365 es perfectamente legal bajo el RGPD, siempre que hayas verificado la certificación DPF de tu proveedor, aceptado su DPA y documentado la transferencia en tu registro de tratamientos. Son pasos concretos que se resuelven en pocas horas, pero que la mayoría de empresas no ha dado.

Si no lo has revisado todavía, no es una cuestión de «si viene una inspección». La obligación existe desde que empezaste a usar esas herramientas. La pregunta es si tienes documentación que lo acredite.

Para empresas que manejan datos especialmente sensibles como datos de salud, datos de empleados a gran escala, datos financieros — es recomendable también realizar una evaluación de impacto en protección de datos antes de formalizar estas transferencias.

En Acorán revisamos tus transferencias internacionales de datos y te ayudamos a documentarlas correctamente. Solicita tu consulta gratuita.

Preguntas frecuentes

¿Me afecta esto si solo uso Google Workspace para el correo interno?

Sí. Si en ese correo interno se mencionan datos de empleados, clientes o proveedores — nombres, cargos, contratos — estás tratando datos personales en una plataforma con servidores fuera del EEE. La obligación aplica.

¿Qué pasa si ya llevo años usando estas herramientas sin haberlo revisado?

El incumplimiento no desaparece por el tiempo transcurrido. Lo que sí puedes hacer es regularizar tu situación ahora: revisar el DPA, actualizarlo si es necesario y registrarlo. Eso reduce significativamente el riesgo en caso de inspección.

¿El DPF es definitivo o puede volver a anularse como el Privacy Shield?

El DPF está siendo recurrido judicialmente por Max Schrems. Una nueva sentencia desfavorable podría dejarlo sin efecto. Por eso, además del DPF, muchos asesores recomiendan tener también las CCT firmadas con el proveedor como respaldo.

¿Tengo que hacer algo diferente si elijo la región de datos europea en Google o Microsoft?

Configurar la región EEE reduce el volumen de transferencias internacionales, pero no las elimina completamente: los metadatos, los accesos de soporte técnico y algunos servicios auxiliares pueden seguir implicando transferencias a EE. UU. El DPA sigue siendo necesario en cualquier caso.

Otros artículos de interés

Protección de datos en la era del teletrabajo: Cómo mantener tu información segura

Empresa de Protección de Datos en Madrid | Acorán
Resumen de privacidad

Desde este panel podrá configurar las cookies que el sitio web puede instalar en su navegador, excepto las cookies técnicas o funcionales que son necesarias para la navegación y la utilización de las diferentes opciones o servicios que se ofrecen.

Las cookies seleccionadas indican que el usuario autoriza la instalación en su navegador y el tratamiento de datos bajo las condiciones reflejadas en la Política de cookies.

El usuario puede marcar o desmarcar el selector según se desee aceptar o rechazar la instalación de cookies.