Saltar al contenido
OS Domains
Regulation

Schrems II resuelto por construcción: UE-UE sin transferencia.

OS Domains mantiene el tratamiento de email transfronterizo conforme a Schrems II por defecto con enrutado solo-UE: el contenido del mensaje, los datos del destinatario y los logs se quedan dentro del EEE en los puntos de presencia que elige el cliente, operados por una sociedad austriaca sin matriz estadounidense en la cadena corporativa. Los únicos flujos transfronterizos son los PoP opcionales de EE.UU. o Panamá y un pequeño conjunto de subprocesadores estadounidenses, cada uno cubierto por una de cuatro Transfer Impact Assessments vigentes con medidas suplementarias documentadas (TLS 1.3, AES-256, seudonimización) y el módulo de Cláusulas Contractuales Tipo correspondiente. El Data Privacy Framework se trata como mecanismo secundario detrás de las CCT más una TIA vigente, de modo que una futura invalidación cambia el papeleo y no la entregabilidad.

La sentencia C-311/18 del TJUE (Schrems II, julio 2020) invalidó el Privacy Shield y obligó a evaluar caso por caso las transferencias de datos personales fuera de la UE. El nuevo Data Privacy Framework de 2023 no ha cerrado el debate: Schrems III está pendiente de resolución y podría invalidarlo. OS Domains resuelve el problema por construcción: somos sociedad austriaca sin filial estadounidense, con datacenters exclusivamente en la UE, sin sujeción al CLOUD Act ni a FISA 702.

Para tu equipo de cumplimiento esto significa: no hay transferencia internacional bajo el Capítulo V del RGPD, el TIA es trivial, las CCT no aplican y el riesgo de inestabilidad jurídica futura del DPF queda eliminado. La documentación necesaria para tu DPO o auditor está pre-empaquetada.

En breve

  • El modo solo-UE mantiene contenido, datos de destinatario y logs dentro del EEE; la entidad operadora es austriaca sin matriz estadounidense, que es lo que sigue la prueba del CLOUD Act de posesión, custodia o control.
  • Cuatro Transfer Impact Assessments vigentes cubren cada flujo transfronterizo: la entidad estadounidense de Cloudflare, la matriz estadounidense de Stripe y los PoP opcionales de Dallas y Panamá, refrescadas cada año y ante cualquier cambio legal material.
  • Módulo 2 (responsable a encargado) y Módulo 3 (encargado a encargado) de las CCT bajo la Decisión (UE) 2021/914 incorporados en el DPA; las cláusulas derogadas de 2010 no se usan.
  • Las medidas suplementarias responden a FISA Sección 702, EO 12333 y CLOUD Act directamente: TLS 1.3 en tránsito, AES-256 en reposo y seudonimización donde el tratamiento lo permite.
  • El Data Privacy Framework se mantiene como mecanismo secundario y redundante detrás de las CCT y una TIA vigente, porque dos de los tres puentes UE-EE.UU. anteriores (Safe Harbor, Privacy Shield) cayeron tras unos cinco años cada uno.
Cifras clave
Sentencia TJUE
C-311/18 (jul 2020)
Privacy Shield
Invalidado
DPF (Data Privacy Framework)
En vigor desde 2023
Nuestra posición
UE-UE sin transferencia

¿Qué dijo Schrems II y qué consecuencias prácticas tiene?

El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea dictó la sentencia C-311/18 (Schrems II) que invalidó el Privacy Shield, el mecanismo de adecuación que permitía transferir datos personales de la UE a EE.UU. desde 2016. La sentencia confirmó la validez de las Cláusulas Contractuales Tipo (CCT) como mecanismo de transferencia, pero añadió la obligación de evaluar caso por caso si la legislación del país de destino ofrece protección equivalente al RGPD (Transfer Impact Assessment, TIA). Para EE.UU., los programas de vigilancia bajo FISA 702 y la Executive Order 12333 fueron señalados como incompatibles con el nivel de protección esencialmente equivalente exigido por el artículo 45 del RGPD. La consecuencia práctica: cualquier transferencia de datos personales a un proveedor con vinculación estadounidense requiere garantías adicionales documentadas.

¿Dónde está el Data Privacy Framework en 2026?

El marco que restauró una vía de adecuación para los receptores estadounidenses certificados superó su primera prueba judicial y sigue bajo sospecha. El 3 de septiembre de 2025 el Tribunal General de la UE confirmó el Data Privacy Framework en el recurso del político francés Philippe Latombe, y el 31 de octubre de 2025 Latombe recurrió esa sentencia ante el Tribunal de Justicia de la UE, donde a mediados de 2026 no hay fecha de vista fijada. Un recurso separado y más amplio de noyb, el grupo detrás de Schrems I y Schrems II, está anunciado más que presentado, y Max Schrems ha argumentado en público que los cambios que la actual administración estadounidense introdujo en los órganos de supervisión independientes que sostienen el marco —incluida la destitución de miembros encargados del mecanismo de reparación— podrían llevar a la Comisión Europea a suspender el acuerdo por su cuenta antes de que ningún caso llegue al Tribunal. El marco se apoya en la Executive Order 14086, que limita la inteligencia de señales a doce objetivos enumerados, introduce un test de proporcionalidad y levanta una Data Protection Review Court con la Privacy and Civil Liberties Oversight Board revisándola; la fragilidad es que un mecanismo de supervisión creado y dotado por acción ejecutiva puede quedarse sin dotar de la misma manera. Nuestra postura trata el marco como un mecanismo secundario y redundante, nunca el primario, porque las Cláusulas Contractuales Tipo junto a una Transfer Impact Assessment vigente son la capa que sobrevive a una invalidación del marco, y el remitente que construyó sobre esa capa no corre la semana en que cae la siguiente sentencia.

Cómo encajamos en este marco: UE-UE sin transferencia transfronteriza.

OS Domains GmbH es una sociedad de derecho austriaco constituida en Viena. La infraestructura física, el personal, la entidad jurídica y las cuentas bancarias están en la Unión Europea. No tenemos matriz, filial ni operación funcional en Estados Unidos. Los datos personales que tratamos como encargado para nuestros clientes residentes en la UE no salen del Espacio Económico Europeo. En términos jurídicos: no hay transferencia internacional bajo el Capítulo V del RGPD, por lo que las garantías adicionales del artículo 46 no aplican. Esto simplifica radicalmente la documentación contractual de nuestros clientes: el TIA es trivial (no aplica), las CCT no son necesarias y el riesgo asociado a la inestabilidad jurídica del DPF queda eliminado.

Qué pasa con los clientes nuestros que no son UE.

Tenemos clientes con sede en EE.UU., Reino Unido, América Latina, Asia. Para estos clientes, la situación se invierte: somos nosotros los que estamos en la UE y ellos los que envían datos personales desde fuera de la UE. La transferencia es de fuera de la UE hacia la UE, no al revés. Esto no plantea problemas de Schrems II (que regula transferencias UE→fuera). Para clientes que necesitan transferir datos UE a la UE (caso habitual: empresas LATAM con clientes europeos), nuestra infraestructura europea es de hecho una solución a su problema de Schrems II, no un riesgo. Para clientes que procesan exclusivamente datos no-UE, las preocupaciones de Schrems II simplemente no aplican; pueden seguir usando nuestra infraestructura UE sin consideración regulatoria adicional.

Nuestra Transfer Impact Assessment para los subprocesadores con presencia en EE.UU.

Para nuestros subprocesadores con contacto estadounidense (Cloudflare para edge y DDoS, Stripe para pagos, PagerDuty para alertado interno), nuestra TIA evalúa: la aplicabilidad de la Sección 702 de FISA (¿encaja el procesador en la definición de "electronic communications service provider"; es el tipo de dato de interés para inteligencia exterior?), la aplicabilidad de la Executive Order 12333 (¿enruta el procesador por instalaciones sujetas a recolección upstream?) y la exposición al CLOUD Act (entidad con sede en EE.UU. sujeta a órdenes de producción extraterritoriales estadounidenses). Para cada uno identificamos medidas suplementarias: cifrado en tránsito (TLS 1.3) y en reposo (AES-256) para que una recolección masiva solo obtenga texto cifrado; seudonimización donde aplica; cadenas contractuales con NDA y compromisos de informe de transparencia. La conclusión de la TIA respalda el uso continuado de estos subprocesadores con las medidas suplementarias documentadas. Los clientes pueden revisar nuestras TIA bajo NDA en [email protected].

¿Eliminan la pregunta los rebrandings de nube soberana?

Cada hyperscaler estadounidense ofrece ahora algo que llama soberano. AWS llevó su European Sovereign Cloud a disponibilidad general en Brandeburgo el 15 de enero de 2026, con entidades jurídicas alemanas separadas, operaciones solo con residentes en la UE, una autoridad de certificación raíz independiente y un compromiso contractual de que el personal de fuera de la UE no tiene acceso técnico. Google opera un modelo de fideicomiso con T-Systems custodiando claves en Alemania y una entidad S3NS separada en Francia, y Microsoft mantiene su EU Data Boundary. Cada uno es un esfuerzo de ingeniería real, y cada uno comparte el mismo núcleo sin resolver: las entidades operadoras siguen siendo propiedad de una matriz estadounidense, así que la prueba del CLOUD Act de posesión, custodia o control sigue apuntando a la matriz con independencia de dónde residan los datos o quién maneje la consola. Una promesa contractual de una filial de propiedad estadounidense es una respuesta fuerte para muchos compradores y una respuesta incompleta para una contratación que exige un proveedor no sujeto a derecho de un tercer país con alcance extraterritorial. Nuestra respuesta es estructural antes que contractual. La sociedad está constituida en Austria sin matriz estadounidense en la cadena corporativa, el modo solo-UE deshabilita los puntos de presencia de Dallas y Panamá, y la configuración de subprocesadores excluye operaciones solo-estadounidenses donde existe una alternativa UE. Esa configuración saca el tercer país de la cadena en lugar de limitarse a reducir la exposición en la parte del email, que es una afirmación distinta y más fuerte ante una autoridad de control.

¿Qué va en tu DPIA cuando el email es el encargado?

Una evaluación de impacto en protección de datos para un proveedor de email se reduce a un conjunto corto y respondible de preguntas, y el resultado más limpio es aquel en el que la mayoría se resuelven en que no hay transferencia. Primero, localiza dónde reposan los datos y quién opera la infraestructura: con el modo solo-UE, el contenido del mensaje, los datos del destinatario y los logs se quedan en el Espacio Económico Europeo en los puntos de presencia que elegiste. Segundo, identifica quién es el dueño del operador, porque lo que sigue el CLOUD Act es la propiedad y no la geografía, y un encargado constituido en la UE sin matriz estadounidense cierra esa línea de preguntas. Tercero, nombra la base jurídica de cualquier flujo que sí salga del EEE: una decisión de adecuación donde aplique, o Cláusulas Contractuales Tipo respaldadas por una Transfer Impact Assessment vigente donde no. Cuarto, enumera las medidas suplementarias —TLS 1.3 en tránsito, AES-256 en reposo, seudonimización de los identificadores de destinatario donde el tratamiento lo permita— que cubren el hueco que la evaluación detecte. Quinto, registra la cadena de subprocesadores y la opción de residencia elegida. Cuando un cliente corre el modo solo-UE con subprocesadores UE, la parte del email no implica ninguna transferencia del Capítulo V que evaluar, que es la sección más corta y menos discutible que puede tener un DPIA. Entregamos un paquete de soporte de TIA y los anexos del DPA pertinentes bajo NDA, para que la evaluación se rellene con hechos documentados en lugar de con garantías del proveedor.

¿Cuándo no basta el enrutado solo-UE?

El enrutado solo-UE satisface la mayoría de los requisitos de residencia de datos, y algunas reglas nacionales van más allá y prohíben que los datos salgan de un Estado miembro concreto. Alemania aplica expectativas más estrictas a los datos federales y del sector público a través del marco del BSI, Francia añade los requisitos de ANSSI y la cualificación SecNumCloud sobre cargas sensibles, y reguladores sectoriales concretos suman sus propias restricciones. Para esos casos, las cuentas Enterprise pueden fijar todos los datos y el procesamiento a un único país de la UE elegido entre Austria, Alemania, Francia, Países Bajos, Irlanda, Bélgica, Italia o España, con el conjunto de subprocesadores estrechado en consecuencia. El canje honesto es la resiliencia. Un anclaje a un solo país limita el failover a los puntos de presencia dentro de ese país, así que el plan de recuperación se escribe contra esa restricción en lugar de dar a entender una redundancia transfronteriza que la regla prohíbe. Documentamos ese límite en el contrato y no después de un incidente, porque una autoridad que se entera de un techo de resiliencia durante una recuperación es una autoridad que se siente engañada. El requisito de soberanía va primero y la arquitectura lo sigue, que es el orden que espera ver un comprador del sector público o regulado y el orden que comprobarán sus propios auditores.

¿A qué leyes de vigilancia tiene que responder la evaluación?

La Transfer Impact Assessment es tan actual como las leyes que analiza, y esas leyes no paran de moverse. La Sección 702 de la Foreign Intelligence Surveillance Act, la disposición que el Tribunal encontró desproporcionada en Schrems II, fue reautorizada en 2024, que es justo el tipo de desarrollo fáctico posterior a 2023 que se espera que cite un futuro recurso contra el marco de adecuación. La Executive Order 12333 gobierna la recolección de inteligencia fuera del marco de la 702, incluida la recolección upstream a nivel de red, y el CLOUD Act permite a las autoridades estadounidenses compeler la producción de proveedores con sede en EE.UU. con independencia de dónde se almacenen los datos. Juntas, son la razón por la que la parte estadounidense de cualquier evaluación sale adversa para datos personales masivos y sin seudonimizar enrutados a través de un proveedor de propiedad estadounidense. Nuestras medidas suplementarias responden exactamente a esos estatutos: cifrado lo bastante fuerte como para que la recolección upstream solo obtenga texto cifrado, seudonimización que rompe el vínculo entre un identificador y una persona donde el tratamiento lo permite, y un valor por defecto que mantiene los datos dentro del EEE para que la pregunta ni siquiera surja. Refrescamos la evaluación cada año y ante cualquier cambio legal material, porque una evaluación que nombra un estatuto derogado o que se pierde una reautorización es peor que ninguna.

Tres marcos, tres invalidaciones: la tasa base con la que planificar.

El Data Privacy Framework es el tercer intento de un puente de adecuación UE-EE.UU. El Safe Harbor se mantuvo desde 2000 hasta que el Tribunal lo tumbó en 2015, el Privacy Shield rigió desde 2016 hasta 2020, y el marco actual está en vigor desde 2023. Dos de los tres duraron en torno a cinco años antes de que un recurso liderado por Schrems los terminara sobre la misma objeción de fondo: la ley de vigilancia estadounidense alcanzando datos personales de la UE sin límites proporcionados ni un mecanismo de reparación genuinamente independiente. Planificar como si el tercero fuera a ser la excepción es una apuesta contra un patrón claro. Nosotros planificamos para la tasa base, que es la razón por la que el mecanismo duradero bajo cada cuenta son las Cláusulas Contractuales Tipo más una evaluación vigente, con el marco tratado como una conveniencia que puede no sobrevivir al contrato en el que se apoya.

Cómo lo resolvemos

Las capacidades específicas que importan para este caso.

01

Constitución 100% UE

OS Domains GmbH es sociedad austriaca con número de identificación FN 562847 v, VAT ATU76428904 y matriz también europea. Sin filial ni operación funcional en Estados Unidos.

02

No sujetos a CLOUD Act

Como sociedad sin vinculación corporativa con EE.UU., no estamos obligados a cumplir órdenes de tribunales estadounidenses sobre datos de clientes. Cualquier solicitud transfronteriza se canaliza vía MLAT (asistencia judicial penal internacional).

03

No sujetos a FISA 702

FISA 702 obliga a "electronic communication service providers" estadounidenses. Como entidad austriaca sin filial estadounidense, no entramos en la definición y no somos compelibles para entrega de datos bajo esta sección.

04

Datacenters en 7 PoPs UE

Viena, Frankfurt, Amsterdam, London (post-Brexit con cláusula UE-UK), Strasbourg. La asignación a PoP es transparente y configurable; en plan Enterprise se puede pinear a un país específico (country residency).

05

Sin cláusula MLAT obligatoria

Los Mutual Legal Assistance Treaties son la vía estándar internacional de cooperación judicial. Cualquier solicitud de autoridad no-UE pasa por la Fiscalía austriaca y se evalúa contra el derecho UE antes de cualquier acceso a datos.

06

TIA simplificado

Para nuestros clientes UE, el Transfer Impact Assessment del proveedor en escenarios donde necesitan acreditar nivel UE puro es trivial: no hay transferencia internacional, no hay TIA necesario. Documentación lista para auditoría.

Retos habituales

Lo que vemos fallar y cómo lo arreglamos.

Cuando un cliente UE quiere replicar fuera de UE

Algunos clientes UE quieren replicar datos en datacenter LATAM para latencia o para clientes locales. Esto reintroduce la transferencia internacional. En plan Enterprise mantenemos las opciones de PoP de Dallas y Panamá, pero la documentación cambia: aparece TIA específico para esa transferencia, CCT con la entidad receptora, y revisión del DPA. No es imposible, sólo requiere capa adicional de documentación.

Subprocesadores con vinculación EE.UU.

Algunos servicios de soporte (Stripe para pagos, Sentry para monitoreo de errores, ciertas herramientas de email a empleados) tienen vinculación con EE.UU. Nuestra lista pública de subprocesadores documenta cuáles aplican y bajo qué garantías (CCT, DPF, anonimización previa). Los datos personales del cliente final nunca salen de la UE en el flujo productivo.

Migración desde proveedor estadounidense

Si tu DPA actual con SendGrid, Mailgun o Amazon SES incluyó cláusulas tipo o adhesión al DPF, la migración a OS Domains simplifica tu posición jurídica. Recomendamos: cancelar suscripciones al DPF si las activaste como medida adicional (la inscripción es voluntaria y eliminable), actualizar el registro de actividades del artículo 30 para retirar la transferencia internacional, notificar a tu DPO el cambio de marco jurídico.

Preguntas frecuentes

Las preguntas que más nos hacen.

01

¿Está OS Domains adherido al DPF?

No. Como sociedad austriaca sin filial estadounidense, no podemos siquiera adherirnos al Data Privacy Framework: el DPF es un mecanismo para que entidades estadounidenses certifiquen niveles de protección en transferencias UE→US. No aplica al revés. Nuestro marco jurídico es derecho austriaco bajo RGPD directamente.

02

¿Qué pasa si un cliente nuestro me pide datos para su propio TIA?

Te entregamos un paquete de documentación que típicamente incluye: certificado de inscripción mercantil austriaca, certificado de no tener filial ni sociedad matriz en EE.UU., descripción de la cadena de subprocesadores con localización, política de respuesta a solicitudes de autoridades extranjeras, certificación ISO 27001:2022. Suficiente para que tu DPO documente que no hay transferencia internacional bajo el Capítulo V del RGPD.

03

¿Cómo evaluáis las solicitudes de autoridades estadounidenses?

Cualquier solicitud directa de una autoridad estadounidense (subpoena, National Security Letter, FISA order) se responde negativamente por falta de jurisdicción: somos una sociedad austriaca, no tenemos representante legal estadounidense, no estamos sujetos a la jurisdicción estadounidense. La autoridad estadounidense debería canalizar la solicitud vía MLAT (asistencia judicial penal) por la vía del Departamento de Justicia austriaco. En el histórico de la empresa nunca hemos recibido una solicitud directa de autoridad estadounidense.

04

¿Y si mi empresa es subsidiaria europea de matriz estadounidense?

Tu situación jurídica como responsable del tratamiento bajo RGPD depende de dónde se establezca el responsable, no de dónde esté la matriz. Si tu entidad europea es la responsable del tratamiento (toma decisiones independientes sobre fines y medios), tienes obligaciones UE plenas con independencia de la nacionalidad de tu matriz. Nuestros servicios UE-UE simplifican tu cumplimiento incluso si tu matriz es estadounidense, porque eliminas la transferencia internacional de tu cadena de subprocesadores.

05

¿Tiene impacto Schrems III si se confirma?

Si Schrems III invalida el DPF, las empresas que dependan de proveedores estadounidenses tendrán que rehacer su due diligence, probablemente migrar a proveedores europeos. Las empresas que ya usan OS Domains no se verán afectadas: nuestra posición UE-UE es independiente del DPF y de cualquier decisión de adecuación con EE.UU. La estabilidad jurídica es un activo intangible importante en sectores regulados.

Hablamos

Agenda una llamada técnica de 45 minutos con un ingeniero.

Sin SDR, sin comisiones, sin rondas de cualificación. Cuéntanos lo que necesitas, te decimos si encajamos, y te llevas una recomendación sea cual sea la respuesta.

Teléfono +43 1 205 11 80 Lun–Vie · 9–18 CET
Email [email protected] Respuesta media 4h en horario laboral
Oficina Fleischmarkt 1, 1010 Wien Con cita previa