¿Qué dijo Schrems II y qué consecuencias prácticas tiene?
El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea dictó la sentencia C-311/18 (Schrems II) que invalidó el Privacy Shield, el mecanismo de adecuación que permitía transferir datos personales de la UE a EE.UU. desde 2016. La sentencia confirmó la validez de las Cláusulas Contractuales Tipo (CCT) como mecanismo de transferencia, pero añadió la obligación de evaluar caso por caso si la legislación del país de destino ofrece protección equivalente al RGPD (Transfer Impact Assessment, TIA). Para EE.UU., los programas de vigilancia bajo FISA 702 y la Executive Order 12333 fueron señalados como incompatibles con el nivel de protección esencialmente equivalente exigido por el artículo 45 del RGPD. La consecuencia práctica: cualquier transferencia de datos personales a un proveedor con vinculación estadounidense requiere garantías adicionales documentadas.
¿Dónde está el Data Privacy Framework en 2026?
El marco que restauró una vía de adecuación para los receptores estadounidenses certificados superó su primera prueba judicial y sigue bajo sospecha. El 3 de septiembre de 2025 el Tribunal General de la UE confirmó el Data Privacy Framework en el recurso del político francés Philippe Latombe, y el 31 de octubre de 2025 Latombe recurrió esa sentencia ante el Tribunal de Justicia de la UE, donde a mediados de 2026 no hay fecha de vista fijada. Un recurso separado y más amplio de noyb, el grupo detrás de Schrems I y Schrems II, está anunciado más que presentado, y Max Schrems ha argumentado en público que los cambios que la actual administración estadounidense introdujo en los órganos de supervisión independientes que sostienen el marco —incluida la destitución de miembros encargados del mecanismo de reparación— podrían llevar a la Comisión Europea a suspender el acuerdo por su cuenta antes de que ningún caso llegue al Tribunal. El marco se apoya en la Executive Order 14086, que limita la inteligencia de señales a doce objetivos enumerados, introduce un test de proporcionalidad y levanta una Data Protection Review Court con la Privacy and Civil Liberties Oversight Board revisándola; la fragilidad es que un mecanismo de supervisión creado y dotado por acción ejecutiva puede quedarse sin dotar de la misma manera. Nuestra postura trata el marco como un mecanismo secundario y redundante, nunca el primario, porque las Cláusulas Contractuales Tipo junto a una Transfer Impact Assessment vigente son la capa que sobrevive a una invalidación del marco, y el remitente que construyó sobre esa capa no corre la semana en que cae la siguiente sentencia.
Cómo encajamos en este marco: UE-UE sin transferencia transfronteriza.
OS Domains GmbH es una sociedad de derecho austriaco constituida en Viena. La infraestructura física, el personal, la entidad jurídica y las cuentas bancarias están en la Unión Europea. No tenemos matriz, filial ni operación funcional en Estados Unidos. Los datos personales que tratamos como encargado para nuestros clientes residentes en la UE no salen del Espacio Económico Europeo. En términos jurídicos: no hay transferencia internacional bajo el Capítulo V del RGPD, por lo que las garantías adicionales del artículo 46 no aplican. Esto simplifica radicalmente la documentación contractual de nuestros clientes: el TIA es trivial (no aplica), las CCT no son necesarias y el riesgo asociado a la inestabilidad jurídica del DPF queda eliminado.
Qué pasa con los clientes nuestros que no son UE.
Tenemos clientes con sede en EE.UU., Reino Unido, América Latina, Asia. Para estos clientes, la situación se invierte: somos nosotros los que estamos en la UE y ellos los que envían datos personales desde fuera de la UE. La transferencia es de fuera de la UE hacia la UE, no al revés. Esto no plantea problemas de Schrems II (que regula transferencias UE→fuera). Para clientes que necesitan transferir datos UE a la UE (caso habitual: empresas LATAM con clientes europeos), nuestra infraestructura europea es de hecho una solución a su problema de Schrems II, no un riesgo. Para clientes que procesan exclusivamente datos no-UE, las preocupaciones de Schrems II simplemente no aplican; pueden seguir usando nuestra infraestructura UE sin consideración regulatoria adicional.
Nuestra Transfer Impact Assessment para los subprocesadores con presencia en EE.UU.
Para nuestros subprocesadores con contacto estadounidense (Cloudflare para edge y DDoS, Stripe para pagos, PagerDuty para alertado interno), nuestra TIA evalúa: la aplicabilidad de la Sección 702 de FISA (¿encaja el procesador en la definición de "electronic communications service provider"; es el tipo de dato de interés para inteligencia exterior?), la aplicabilidad de la Executive Order 12333 (¿enruta el procesador por instalaciones sujetas a recolección upstream?) y la exposición al CLOUD Act (entidad con sede en EE.UU. sujeta a órdenes de producción extraterritoriales estadounidenses). Para cada uno identificamos medidas suplementarias: cifrado en tránsito (TLS 1.3) y en reposo (AES-256) para que una recolección masiva solo obtenga texto cifrado; seudonimización donde aplica; cadenas contractuales con NDA y compromisos de informe de transparencia. La conclusión de la TIA respalda el uso continuado de estos subprocesadores con las medidas suplementarias documentadas. Los clientes pueden revisar nuestras TIA bajo NDA en [email protected].
¿Eliminan la pregunta los rebrandings de nube soberana?
Cada hyperscaler estadounidense ofrece ahora algo que llama soberano. AWS llevó su European Sovereign Cloud a disponibilidad general en Brandeburgo el 15 de enero de 2026, con entidades jurídicas alemanas separadas, operaciones solo con residentes en la UE, una autoridad de certificación raíz independiente y un compromiso contractual de que el personal de fuera de la UE no tiene acceso técnico. Google opera un modelo de fideicomiso con T-Systems custodiando claves en Alemania y una entidad S3NS separada en Francia, y Microsoft mantiene su EU Data Boundary. Cada uno es un esfuerzo de ingeniería real, y cada uno comparte el mismo núcleo sin resolver: las entidades operadoras siguen siendo propiedad de una matriz estadounidense, así que la prueba del CLOUD Act de posesión, custodia o control sigue apuntando a la matriz con independencia de dónde residan los datos o quién maneje la consola. Una promesa contractual de una filial de propiedad estadounidense es una respuesta fuerte para muchos compradores y una respuesta incompleta para una contratación que exige un proveedor no sujeto a derecho de un tercer país con alcance extraterritorial. Nuestra respuesta es estructural antes que contractual. La sociedad está constituida en Austria sin matriz estadounidense en la cadena corporativa, el modo solo-UE deshabilita los puntos de presencia de Dallas y Panamá, y la configuración de subprocesadores excluye operaciones solo-estadounidenses donde existe una alternativa UE. Esa configuración saca el tercer país de la cadena en lugar de limitarse a reducir la exposición en la parte del email, que es una afirmación distinta y más fuerte ante una autoridad de control.
¿Qué va en tu DPIA cuando el email es el encargado?
Una evaluación de impacto en protección de datos para un proveedor de email se reduce a un conjunto corto y respondible de preguntas, y el resultado más limpio es aquel en el que la mayoría se resuelven en que no hay transferencia. Primero, localiza dónde reposan los datos y quién opera la infraestructura: con el modo solo-UE, el contenido del mensaje, los datos del destinatario y los logs se quedan en el Espacio Económico Europeo en los puntos de presencia que elegiste. Segundo, identifica quién es el dueño del operador, porque lo que sigue el CLOUD Act es la propiedad y no la geografía, y un encargado constituido en la UE sin matriz estadounidense cierra esa línea de preguntas. Tercero, nombra la base jurídica de cualquier flujo que sí salga del EEE: una decisión de adecuación donde aplique, o Cláusulas Contractuales Tipo respaldadas por una Transfer Impact Assessment vigente donde no. Cuarto, enumera las medidas suplementarias —TLS 1.3 en tránsito, AES-256 en reposo, seudonimización de los identificadores de destinatario donde el tratamiento lo permita— que cubren el hueco que la evaluación detecte. Quinto, registra la cadena de subprocesadores y la opción de residencia elegida. Cuando un cliente corre el modo solo-UE con subprocesadores UE, la parte del email no implica ninguna transferencia del Capítulo V que evaluar, que es la sección más corta y menos discutible que puede tener un DPIA. Entregamos un paquete de soporte de TIA y los anexos del DPA pertinentes bajo NDA, para que la evaluación se rellene con hechos documentados en lugar de con garantías del proveedor.
¿Cuándo no basta el enrutado solo-UE?
El enrutado solo-UE satisface la mayoría de los requisitos de residencia de datos, y algunas reglas nacionales van más allá y prohíben que los datos salgan de un Estado miembro concreto. Alemania aplica expectativas más estrictas a los datos federales y del sector público a través del marco del BSI, Francia añade los requisitos de ANSSI y la cualificación SecNumCloud sobre cargas sensibles, y reguladores sectoriales concretos suman sus propias restricciones. Para esos casos, las cuentas Enterprise pueden fijar todos los datos y el procesamiento a un único país de la UE elegido entre Austria, Alemania, Francia, Países Bajos, Irlanda, Bélgica, Italia o España, con el conjunto de subprocesadores estrechado en consecuencia. El canje honesto es la resiliencia. Un anclaje a un solo país limita el failover a los puntos de presencia dentro de ese país, así que el plan de recuperación se escribe contra esa restricción en lugar de dar a entender una redundancia transfronteriza que la regla prohíbe. Documentamos ese límite en el contrato y no después de un incidente, porque una autoridad que se entera de un techo de resiliencia durante una recuperación es una autoridad que se siente engañada. El requisito de soberanía va primero y la arquitectura lo sigue, que es el orden que espera ver un comprador del sector público o regulado y el orden que comprobarán sus propios auditores.
¿A qué leyes de vigilancia tiene que responder la evaluación?
La Transfer Impact Assessment es tan actual como las leyes que analiza, y esas leyes no paran de moverse. La Sección 702 de la Foreign Intelligence Surveillance Act, la disposición que el Tribunal encontró desproporcionada en Schrems II, fue reautorizada en 2024, que es justo el tipo de desarrollo fáctico posterior a 2023 que se espera que cite un futuro recurso contra el marco de adecuación. La Executive Order 12333 gobierna la recolección de inteligencia fuera del marco de la 702, incluida la recolección upstream a nivel de red, y el CLOUD Act permite a las autoridades estadounidenses compeler la producción de proveedores con sede en EE.UU. con independencia de dónde se almacenen los datos. Juntas, son la razón por la que la parte estadounidense de cualquier evaluación sale adversa para datos personales masivos y sin seudonimizar enrutados a través de un proveedor de propiedad estadounidense. Nuestras medidas suplementarias responden exactamente a esos estatutos: cifrado lo bastante fuerte como para que la recolección upstream solo obtenga texto cifrado, seudonimización que rompe el vínculo entre un identificador y una persona donde el tratamiento lo permite, y un valor por defecto que mantiene los datos dentro del EEE para que la pregunta ni siquiera surja. Refrescamos la evaluación cada año y ante cualquier cambio legal material, porque una evaluación que nombra un estatuto derogado o que se pierde una reautorización es peor que ninguna.
Tres marcos, tres invalidaciones: la tasa base con la que planificar.
El Data Privacy Framework es el tercer intento de un puente de adecuación UE-EE.UU. El Safe Harbor se mantuvo desde 2000 hasta que el Tribunal lo tumbó en 2015, el Privacy Shield rigió desde 2016 hasta 2020, y el marco actual está en vigor desde 2023. Dos de los tres duraron en torno a cinco años antes de que un recurso liderado por Schrems los terminara sobre la misma objeción de fondo: la ley de vigilancia estadounidense alcanzando datos personales de la UE sin límites proporcionados ni un mecanismo de reparación genuinamente independiente. Planificar como si el tercero fuera a ser la excepción es una apuesta contra un patrón claro. Nosotros planificamos para la tasa base, que es la razón por la que el mecanismo duradero bajo cada cuenta son las Cláusulas Contractuales Tipo más una evaluación vigente, con el marco tratado como una conveniencia que puede no sobrevivir al contrato en el que se apoya.