Transferencia de datos fuera de la UE: guía para escuelas internacionales

Toda escuela que use un SaaS con servidores en EE. UU. ya está transfiriendo datos personales fuera de la UE

Cuando un candidato rellena un formulario de contacto que alimenta su CRM alojado en Estados Unidos, esos datos viajan a servidores fuera del Espacio Económico Europeo (EEE). Cuando un alumno se conecta a una sesión de Zoom para una presentación de programa, su nombre y correo se procesan en infraestructura norteamericana. Estas son transferencias internacionales de datos — y el RGPD exige un mecanismo jurídico válido para cada una de ellas.

El 58 % de los candidatos a escuelas privadas no hablan el idioma nativo de la institución, lo que revela una realidad de captación internacional que genera flujos de datos transfronterizos continuos a través del CRM, el chatbot y las herramientas de marketing. (Fuente: detección automática de idioma de Skolbot en 8.500 conversaciones de chatbot, 2025-2026.) Para las escuelas con vocación internacional, las transferencias fuera de la UE no son una excepción — son la norma operativa.

Esta guía expone el marco jurídico del RGPD, las herramientas más utilizadas por las escuelas españolas y una hoja de ruta práctica de 90 días para alcanzar la conformidad. Para el contexto general, consulte nuestra guía completa del RGPD para datos estudiantiles.

Qué significa exactamente "transferencia internacional de datos" bajo el RGPD

La definición es más amplia de lo que muchos responsables de TI suponen. Una transferencia se produce cuando datos personales se transmiten, se ponen a disposición o se tratan de cualquier otra forma por un destinatario situado fuera del EEE. Esto incluye:

• Almacenamiento en la nube y SaaS — datos alojados en servidores de EE. UU. o fuera de la UE, aunque el acceso se realice desde una oficina española
• Asistencia técnica remota — un ingeniero del proveedor en India que accede a su base de datos para resolver una incidencia
• Plataformas de email marketing — listas de suscriptores almacenadas en servidores de EE. UU., Singapur o Australia
• Modelos de lenguaje de IA — si su chatbot envía el contenido de las conversaciones a un proveedor de IA con sede en EE. UU. para su procesamiento

La pregunta que formula la AEPD no es dónde se encuentra usted, sino adónde van los datos. Si su proveedor de CRM almacena copias de seguridad en una región AWS fuera de la UE, eso es una transferencia sujeta al Capítulo V del RGPD.

El marco jurídico aplicable en España

España aplica el RGPD directamente, complementado por la Ley Orgánica 3/2018 (LOPDGDD) y las directrices de la AEPD. Para las transferencias internacionales, el Capítulo V del RGPD (artículos 44 a 49) establece los mecanismos admisibles. El CEPD (Comité Europeo de Protección de Datos) publica orientaciones adicionales de aplicación en toda la UE, accesibles en su guía para PYMES sobre transferencias internacionales.

Los tres mecanismos que utilizan las escuelas

Decisiones de adecuación

La Comisión Europea publica una lista de países cuyo nivel de protección de datos se considera equivalente al del RGPD. Los flujos de datos hacia esos países no requieren garantía adicional. La lista actual incluye el Reino Unido, Suiza, Japón, Canadá y otros. Estados Unidos no figura en la lista general; cuenta con un marco específico (el Data Privacy Framework UE-EE. UU.) que cubre únicamente a las empresas certificadas ante el Departamento de Comercio estadounidense. Consulte la lista actualizada de la Comisión Europea antes de asumir que un país destino es adecuado.

Cláusulas Contractuales Tipo (CCT)

Las CCT son contratos tipo adoptados por la Comisión Europea que vinculan jurídicamente al exportador e importador de datos. Desde 2021, las CCT revisadas distinguen cuatro módulos según la relación entre las partes (responsable a responsable, responsable a encargado, encargado a encargado, encargado a responsable). La mayoría de las escuelas utilizan el módulo responsable a encargado cuando contratan un proveedor SaaS.

Las CCT no son suficientes por sí solas: deben complementarse con una evaluación del impacto de la transferencia (TIA, o Transfer Impact Assessment) que analice si las leyes del país destinatario pueden menoscabar las garantías contractuales.

Normas Corporativas Vinculantes (NCV)

Las NCV se aplican a transferencias dentro de un mismo grupo empresarial. Son relevantes para escuelas que forman parte de una red internacional (por ejemplo, una grupo educativo con campus en varios continentes), pero requieren aprobación de la autoridad de control y son poco comunes fuera de grandes corporaciones.

Herramientas habituales en escuelas y su situación ante el RGPD

La mayoría de las escuelas privadas españolas utilizan cuatro o cinco de las herramientas siguientes. La columna de mecanismo refleja la posición contractual estándar a principios de 2026; verifique siempre el DPA vigente del proveedor.

Configurar la residencia de datos en la UE no elimina la obligación de transferencia. Incluso con los ajustes de región europea activados, el personal de soporte técnico del proveedor en EE. UU. puede acceder puntualmente a sus datos. Las CCT deben estar en vigor independientemente de la configuración de región.

Para una auditoría completa de sus encargados del tratamiento, incluyendo los que tratan datos estudiantiles a escala, la metodología de nuestra checklist de auditoría RGPD para universidades cubre la revisión de subencargados en los puntos 16 a 18.

La evaluación del impacto de la transferencia: cuándo y cómo

El CEPD exige una evaluación del impacto de la transferencia (TIA) siempre que se recurra a las CCT o a las NCV. No es un trámite burocrático: es un análisis sustantivo de si el ordenamiento jurídico del país destinatario puede desvirtuar las protecciones contractuales.

Cuándo es obligatoria la TIA

• En cada nueva relación con un proveedor que implique una transferencia a un país sin decisión de adecuación
• Cuando un proveedor cambia las ubicaciones en las que procesa sus datos
• Cuando el marco jurídico del país destinatario experimenta cambios sustanciales (nueva legislación de vigilancia, por ejemplo)

Cómo estructurar una TIA para una escuela

Una TIA proporcionada para un SaaS estándar cubre cuatro ámbitos:

1. Sensibilidad de los datos — ¿se trata de datos de contacto de candidatos (sensibilidad baja) o de expedientes médicos de alumnos (sensibilidad alta)?
2. Marco jurídico del país destinatario — ¿dispone el país de leyes que puedan obligar al proveedor a revelar datos a las autoridades? La CLOUD Act y la Sección 702 de la FISA son los instrumentos norteamericanos más citados al respecto.
3. Garantías contractuales y técnicas — ¿ofrecen las CCT un recurso efectivo? ¿Están los datos cifrados en tránsito y en reposo? ¿Aplica el proveedor seudonimización?
4. Riesgo residual — una vez aplicadas todas las garantías, ¿es aceptable el riesgo residual para los interesados?

Los grandes proveedores como Google y Microsoft publican sus propias evaluaciones de impacto de la transferencia, que la escuela puede referenciar en su TIA en lugar de duplicar el análisis. Documente la fecha de la evaluación, el responsable, la conclusión y las medidas compensatorias adoptadas.

Consideraciones prácticas para datos de estudiantes internacionales

Los estudiantes internacionales presentan un perfil de conformidad particular. Sus datos se recopilan frecuentemente a través de chatbots multilingues y redes de agentes colaboradores, se procesan en herramientas de automatización de marketing y se comparten con servicios de gestión de visados — cada paso es una potencial transferencia transfronteriza.

El idioma de la información es clave. Si un candidato rellena un formulario en árabe o mandarín, el aviso de privacidad debe ser comprensible para él. Una política de privacidad redactada únicamente en castellano no satisface la obligación de transparencia del RGPD frente a interesados no hispanohablantes.

Agentes y universidades colaboradoras. Muchas escuelas privadas captan candidatos internacionales a través de agentes educativos con sede fuera de la UE. Cada agente que gestione datos de candidatos por cuenta de la escuela es un encargado del tratamiento. Se requiere un DPA y, si el agente está fuera del EEE, también las CCT correspondientes.

Programas de intercambio y Erasmus+. Los programas de movilidad estudiantil generan transferencias de datos académicos — calificaciones, transcriptos, datos de seguro — hacia instituciones socias en terceros países. Verifique la base jurídica de cada transferencia antes del inicio del programa.

Para una guía detallada sobre captación de estudiantes internacionales y los flujos de datos que genera, consulte nuestra guía para captar estudiantes internacionales.

Hoja de ruta de 90 días para escuelas

La siguiente hoja de ruta está diseñada para una escuela con un DPD activo pero sin documentación de transferencias internacionales existente. Parte de una configuración habitual: Google Workspace o Microsoft 365, un CRM y al menos una herramienta de automatización de marketing.

Días 1-30: inventario y análisis de brechas

• Elabore un listado de todos los sistemas que tratan datos personales: solicite a cada responsable de departamento que declare sus herramientas en un plazo de dos semanas.
• Para cada sistema, identifique: nombre del proveedor, país de sede del proveedor, ubicación de los servidores, existencia de un DPA firmado y existencia de CCT.
• Clasifique como brecha crítica toda transferencia a un país sin adecuación y sin documentación.

Días 31-60: subsanación — contratos primero

• Contacte con cada proveedor identificado como brecha y solicite su documentación CCT actualizada. La mayoría de los grandes proveedores estadounidenses disponen de un proceso de aceptación del DPA en autoservicio.
• Para los proveedores sin documentación estándar de transferencia, negocie las CCT directamente. Cuente con el asesoramiento jurídico del despacho de la escuela si es necesario.
• Realice una TIA para cada transferencia — comience por los encargados de mayor volumen (CRM, plataforma de email, chatbot).

Días 61-90: documentación, formación y seguimiento

• Actualice el registro de tratamientos (artículo 30) para incluir el mecanismo de transferencia de cada subencargado internacional.
• Informe a los equipos de admisiones y marketing: cualquier nueva herramienta debe pasar por el DPD antes de que comiencen los flujos de datos.
• Programe una revisión anual del listado de proveedores y de las TIA para detectar cambios en ubicaciones de servidores o en la legislación aplicable.
• Actualice el aviso de privacidad de la escuela para indicar las categorías de países a los que se transfieren datos y las garantías aplicadas.

Para la conformidad del consentimiento de cookies — una obligación relacionada que suele aflorar durante un inventario de datos — consulte nuestra guía sobre consentimiento de cookies y formularios RGPD para universidades.

Preguntas frecuentes

¿Es Google Workspace conforme para datos de alumnos?

Google Workspace para Educación es conforme cuando está correctamente configurado y cuando la documentación de transferencia adecuada está en vigor. Google ofrece las CCT (módulo responsable a encargado) que cubren las transferencias desde la UE a la infraestructura de Google en EE. UU., así como su compromiso EU Data Boundary. Las escuelas deben verificar que han aceptado el DPA de Google a través de la consola de administración y que las CCT correspondientes están incluidas. Configurar la región de datos en la UE reduce — pero no elimina — el volumen de datos procesados fuera del EEE.

¿Qué es una decisión de adecuación?

Una decisión de adecuación es una resolución formal de la Comisión Europea que determina que un tercer país ofrece un nivel de protección de datos esencialmente equivalente al del RGPD. Los flujos de datos hacia países adecuados — como el Reino Unido, Suiza o Japón — no requieren garantía adicional. Estados Unidos no figura en la lista general de adecuación; solo las empresas certificadas en el marco Data Privacy Framework UE-EE. UU. pueden beneficiarse de un mecanismo equivalente. Consulte la lista actualizada de la Comisión Europea para verificar el estado de cada país destinatario.

¿Qué son las cláusulas contractuales tipo (CCT)?

Las CCT son contratos estándar adoptados por la Comisión Europea que vinculan al exportador e importador de datos y les imponen obligaciones de protección equivalentes a las del RGPD. Existen cuatro módulos según la relación entre las partes; las escuelas utilizan habitualmente el módulo 2 (responsable a encargado) al contratar un proveedor SaaS. Las CCT vigentes datan de 2021 y están disponibles en el sitio web de la Comisión Europea. Su eficacia depende de que se complementen con una evaluación del impacto de la transferencia que analice el contexto jurídico del país destinatario. El CEPD publica orientaciones detalladas sobre cómo aplicarlas correctamente.

¿Qué sanciones prevé el RGPD para transferencias no conformes?

El RGPD prevé multas de hasta 20 millones de euros o el 4 % de la facturación anual mundial, la cifra que sea mayor, para las infracciones más graves. Las transferencias internacionales sin mecanismo jurídico válido entran en la categoría de infracción de nivel máximo. La AEPD puede además ordenar la suspensión de los flujos de datos hacia un proveedor específico — lo que resulta operativamente disruptivo si ese proveedor es el CRM o la plataforma de email principal de la escuela. Más allá de la sanción económica, una resolución publicada daña la reputación de la institución ante candidatos y familias.

Las obligaciones de una escuela internacional en materia de transferencias de datos no son un ejercicio puntual — son un proceso continuo vinculado a cada nueva herramienta que adopten los equipos de admisiones y marketing. La hoja de ruta de 90 días establece la base; el ciclo de revisión anual la mantiene vigente.

Para el marco completo de protección de datos de candidatos y estudiantes bajo el RGPD, consulte nuestra guía RGPD para datos estudiantiles.