Glosario · Transferencia de datos UE-EE. UU. Cláusulas contractuales tipo (SCCs)
Plantillas contractuales aprobadas por la UE que establecen una base jurídica para las transferencias de datos personales desde la UE a países sin decisión de adecuación.
## Qué son realmente las SCC
Las cláusulas contractuales tipo (SCC) son plantillas contractuales preaprobadas publicadas por la Comisión Europea que establecen una base jurídica para transferir datos personales desde la UE a países no comunitarios sin decisión de adecuación. Las SCC son uno de varios mecanismos (junto con decisiones de adecuación, BCR y excepciones) que el artículo 46 del RGPD permite para las transferencias internacionales.
Las SCC actuales se adoptaron en junio de 2021 y sustituyen a versiones anteriores de 2010 y 2004. La actualización de 2021 se diseñó específicamente para abordar las preocupaciones de Schrems II incorporando los requisitos de evaluación de impacto de transferencia y aclarando las obligaciones de ambas partes.
## Cómo funcionan las SCC
Las SCC son plantillas que las organizaciones que transfieren datos firman con sus encargados o responsables en países no comunitarios. Las SCC firmadas se convierten en obligaciones contractuales legalmente vinculantes que:
1. Exigen al importador (receptor no comunitario) aplicar protección de datos equivalente a la UE
2. Otorgan a los interesados derechos exigibles frente al importador
3. Crean obligaciones de evaluar y abordar las diferencias jurídicas en el país de destino
4. Establecen responsabilidad y recursos por violaciones
## Los cuatro módulos SCC
Las SCC de 2021 incluyen cuatro módulos para distintos escenarios:
### Módulo 1: responsable a responsable
Cuando tanto el exportador UE como el importador no comunitario son responsables del tratamiento, por ejemplo, una empresa europea que comparte datos de clientes con un socio estadounidense que los trata para sus propios fines.
### Módulo 2: responsable a encargado
Cuando el exportador UE es responsable y el importador no comunitario es encargado: el escenario más común. Se usa cuando una empresa europea utiliza un proveedor SaaS estadounidense como encargado (almacenamiento cloud, analítica, CRM, etc.).
### Módulo 3: encargado a encargado
Cuando tanto el exportador UE como el importador no comunitario son encargados, por ejemplo, cuando un proveedor cloud europeo usa un subencargado en EE. UU.
### Módulo 4: encargado a responsable
Cuando el exportador UE es encargado y el importador no comunitario es responsable: menos común; se usa cuando un encargado europeo devuelve datos a un responsable no comunitario.
Para la mayoría de empresas europeas, el módulo 2 es el más relevante: se usa siempre que contraten proveedores SaaS estadounidenses como encargados.
## Qué exigen las SCC
Las SCC firmadas imponen obligaciones sustanciales a ambas partes:
### Para el exportador (lado UE)
- Realizar una evaluación de impacto de transferencia antes de la transferencia
- Documentar medidas suplementarias donde el marco jurídico sea inadecuado
- Asegurar que el receptor cumple las obligaciones contractuales
- Notificar a los interesados sobre la transferencia en los avisos de privacidad
- Mantener registros del tratamiento, incluidos los detalles de la transferencia
### Para el importador (lado no comunitario)
- Aplicar los principios de protección de datos equivalentes a la UE
- Respetar los derechos de los interesados como si fuera responsable UE
- Notificar al exportador cualquier solicitud de acceso gubernamental (cuando sea legalmente posible)
- Impugnar las solicitudes de vigilancia ilegales cuando sea posible
- Proporcionar información completa sobre el marco jurídico local
- Someterse a la aplicación por las autoridades de protección de datos de la UE
### Para ambas partes
- Documentar todas las transferencias y medidas suplementarias
- Cooperar con las autoridades de protección de datos
- Mantener responsabilidad por violaciones, incluida compensación financiera
## Por qué las SCC no son suficientes por sí solas
La sentencia Schrems II aclaró que las SCC por sí solas no bastan cuando los marcos jurídicos del país de destino caen por debajo del estándar "esencialmente equivalente" del RGPD. El tribunal dictaminó:
1. Las SCC siguen siendo válidas como instrumentos jurídicos
2. Pero los exportadores deben verificar que las salvaguardias contractuales puedan compensar las diferencias jurídicas
3. Esta verificación es la [evaluación de impacto de transferencia](/es/glossary/transfer-impact-assessment/) (TIA)
4. Si la TIA muestra que las salvaguardias contractuales son insuficientes, se requieren medidas suplementarias
5. Si ninguna combinación de medidas logra protección adecuada, la transferencia no debe proceder
Para las transferencias a EE. UU. en concreto, esto significa SCC + TIA + medidas suplementarias adecuadas (típicamente cifrado con claves controladas en la UE, controles de acceso robustos, mecanismos de transparencia), no SCC solas.
## Las SCC y el Data Privacy Framework
El EU-US Data Privacy Framework (DPF), adoptado en 2023, simplificó algunas transferencias a EE. UU. Para transferencias a empresas estadounidenses certificadas bajo el DPF, la decisión de adecuación proporciona la base jurídica sin requerir SCC.
Sin embargo, las SCC siguen siendo importantes:
- Para receptores estadounidenses no certificados bajo el DPF
- Como respaldo si se invalida el DPF (escenario Schrems III)
- Para transferencias a países no estadounidenses sin decisión de adecuación
- Para escenarios específicos no cubiertos por el DPF
La mayoría de empresas europeas mantienen SCC en vigor para transferencias a EE. UU. incluso cuando hay cobertura DPF, proporcionando redundancia legal.
## Problemas comunes de implementación de SCC
Varios patrones producen una implementación inadecuada de SCC:
### 1. Plantillas genéricas sin personalización
Las SCC son plantillas pero requieren personalización (anexo con detalles específicos de la transferencia, medidas técnicas y organizativas, etc.). La ejecución genérica sin personalización no cumple los requisitos.
### 2. TIA ausentes
Firmar SCC sin realizar TIA es la laguna de cumplimiento más común. Schrems II hizo obligatorias las TIA, pero muchas organizaciones no han implementado el flujo de trabajo.
### 3. Medidas suplementarias inadecuadas
Identificar medidas suplementarias sin implementarlas realmente. La documentación debe reflejar el despliegue real.
### 4. Sin revisión periódica
Las SCC necesitan revisión periódica cuando cambia la ley del país de destino. La EO 14086 de 2022 cambió el marco estadounidense: las transferencias basadas en SCC deberían haberse revisado.
### 5. Documentación de la cadena de subencargados
Cuando los importadores usan subencargados, esas relaciones necesitan documentación. Las SCC requieren cascada a los subencargados, pero la ejecución suele ser irregular.
## SCC vs otros mecanismos de transferencia
Para las empresas europeas que eligen entre mecanismos:
| Mecanismo | Mejor para | Complejidad operativa |
|---|---|---|
| **Decisión de adecuación** | Transferencias a países adecuados (Reino Unido, Suiza, etc.) | Mínima |
| **DPF (cuando aplique)** | Transferencias a empresas estadounidenses certificadas | Baja |
| **SCC + TIA** | Transferencias a países sin adecuación | Media |
| **BCR** | Transferencias intragrupo en multinacional | Alta configuración, baja en marcha |
| **Excepciones** | Situaciones específicas estrechas | Aplicabilidad limitada |
Para la mayoría de empresas europeas con proveedores estadounidenses, SCC (potencialmente además del DPF) más TIA es el patrón práctico.
## Qué traen 2026-2027
Varios factores afectan a la práctica SCC:
### Posible Schrems III
Si se invalida el DPF, SCC + TIA vuelve a ser el mecanismo principal de transferencia a EE. UU. El volumen de transferencias basadas en SCC aumentaría sustancialmente.
### Posibles SCC actualizadas
La Comisión puede publicar SCC actualizadas que reflejen las lecciones de la implementación actual. Calendario incierto pero posible 2026-2027.
### Enfoques sectoriales
Algunos sectores están desarrollando enfoques estandarizados para la implementación de SCC, reduciendo el sobrecoste por transferencia.
### Maduración de herramientas
Las herramientas legaltech (Palqee, Keepabl, otras) soportan cada vez más el flujo de trabajo de gestión de SCC.
## Implicaciones prácticas
Para las empresas europeas que gestionan transferencias en 2026:
1. **Mantén SCC para todas las transferencias sin adecuación**, incluso las cubiertas por DPF, como redundancia legal
2. **Personaliza los anexos SCC**: las plantillas genéricas no son adecuadas
3. **Realiza y documenta TIA** junto con la firma de SCC
4. **Implementa medidas suplementarias realmente**: no solo las identifiques sobre el papel
5. **Revisión periódica de las SCC**: anual como mínimo, más si cambian las leyes de destino
6. **Mapea la cascada a subencargados**: verifica la cadena de obligaciones equivalentes a SCC
Para la mayoría de empresas europeas, la respuesta operativa sigue siendo: cuando sea posible, elige [tratamiento en residencia UE](/es/compliance/eu-data-residency/) para evitar los requisitos SCC por completo. Cuando los proveedores estadounidenses u otros no comunitarios sean necesarios, mantén una implementación SCC rigurosa como práctica continua.
¿Te resultó útil?
¡Gracias por tu opinión!