Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > €100 millones dicen que tus SCC no bastan para la soberanía de datos

€100 millones dicen que tus SCC no bastan para la soberanía de datos

by Marc ten Eikelder updated mayo 25, 2026 Cumplimiento de GDPR
Reading Time: 9 minutes

Aspectos clave

  1. Los contratos no salvaron al responsable del tratamiento. La Autoridad Holandesa de Protección de Datos multó a una plataforma de taxis con 100 millones de euros por transferir datos personales de la UE a Rusia, aunque la empresa había firmado las Cláusulas Contractuales Tipo de la UE. Las SCC ya no son una defensa suficiente.
  2. Los reguladores buscan arquitectura, no garantías en papel. La decisión se basa en una prueba sencilla: ¿puede el responsable realmente impedir el acceso no autorizado por parte del tercer país? Las salvaguardas en papel no superan esa prueba. La custodia de las claves de cifrado, la aplicación de la residencia y los controles de acceso sí lo hacen.
  3. El patrón se está extendiendo. La DPC de Irlanda abrió una investigación paralela sobre Shein por transferencias de datos a China. Dos jurisdicciones, dos destinos de alto riesgo, una tesis regulatoria: demuestra el control o paga la multa.
  4. La mayoría de las organizaciones no puede demostrar soberanía en el procesamiento. El almacenamiento soberano está resuelto. El procesamiento soberano no. Solo el 36% de las organizaciones tiene visibilidad sobre cómo los terceros gestionan los datos en sistemas de IA, y las cargas de trabajo de IA complican cualquier supuesto de control transfronterizo.
  5. El CFO ahora es parte interesada en la soberanía de los datos. Las sanciones máximas del GDPR del 4% de la facturación global, sumadas al daño reputacional y al coste de reestructurar transferencias, llevan la soberanía fuera del área de cumplimiento y la colocan en el registro de riesgos ejecutivos.

La AP holandesa marcó un límite. Las SCC no te salvarán.

En abril de 2026, la Autoridad Holandesa de Protección de Datos —la AP— impuso una multa de 100 millones de euros por GDPR a MLU B.V., la operadora neerlandesa de la app de taxis Yango y filial de la tecnológica rusa Yandex, por transferencias ilegales de datos personales de usuarios finlandeses y noruegos a Rusia. La decisión está fechada el 1 de abril de 2026; la AP anunció públicamente la sanción el 8 de mayo de 2026, junto con las autoridades de protección de datos de Finlandia y Noruega, que co-investigaron el caso desde 2023. La empresa había firmado las Cláusulas Contractuales Tipo de la UE. La AP concluyó que las cláusulas eran insuficientes ante los riesgos de vigilancia y acceso gubernamental en Rusia. Las transferencias eran ilegales igualmente.

Esa conclusión lo resume todo. Las SCC no presuponen adecuación. Son solo un punto de partida. El responsable debe demostrar que, en la práctica, el régimen legal del tercer país permite proteger los datos a un nivel «esencialmente equivalente» al de la UE. Cuando esa demostración falla —y la postura de vigilancia de Rusia lo hacía imposible— el mecanismo contractual se derrumba.

Esto es la lógica Schrems II llevada a la práctica. El Tribunal de Justicia de la Unión Europea indicó en 2020 que las SCC requieren medidas complementarias cuando la ley del tercer país presenta riesgos sistémicos de acceso. Durante seis años, la industria trató ese fallo como algo teórico. La AP holandesa lo acaba de convertir en una factura de 100 millones de euros.

La lección va más allá de las plataformas de taxis y Rusia. Toda multinacional que utilice desarrolladores offshore, equipos de soporte, proveedores de analítica o regiones cloud en jurisdicciones con regímenes de acceso estatal fuerte está bajo el mismo microscopio legal. El examen no es si el contrato está firmado. El examen es si la arquitectura hace que el contrato sea ejecutable.

Lo que hace especialmente difícil de ignorar la decisión sobre MLU es el razonamiento de la AP. La autoridad no argumentó que las SCC sean malas. La AP argumentó que las SCC, por sí solas, no pueden limitar los poderes de acceso de un gobierno extranjero. Es una cuestión estructural, no de documentación. Ninguna refinación de cláusulas soluciona un problema estructural. El único remedio es asegurar que, en la práctica, los datos sean inalcanzables, ya sea mediante cifrado con claves controladas en la UE, aplicación de residencia o controles arquitectónicos que funcionen independientemente de la buena voluntad contractual.

Qué significa realmente «medidas complementarias» en la práctica

La decisión de la AP subraya una frase que los reguladores europeos llevan años usando y que la mayoría de los responsables ha infravalorado sistemáticamente: «medidas complementarias». El artículo 46 del GDPR permite transferencias basadas en salvaguardas adecuadas, pero solo si esas salvaguardas funcionan realmente. Cuando las SCC son el mecanismo, las medidas complementarias son las que las hacen efectivas.

En la práctica, eso implica tres categorías de control.

  • Controles técnicos. Cifrado con claves mantenidas fuera del tercer país. Pseudonimización donde la desencriptación no pueda realizarse en la jurisdicción de destino. Registros de acceso que demuestren qué entidades —incluidas las gubernamentales— intentaron acceder a los datos. La postura técnica debe dificultar el acceso no autorizado a nivel arquitectónico, no solo prohibirlo contractualmente.
  • Controles organizativos. Transfer Impact Assessments documentados que evalúen el régimen legal de cada país de destino. Due diligence de proveedores que examine las leyes de vigilancia, no solo informes SOC 2. Manuales de respuesta a incidentes para solicitudes de acceso a datos por parte de gobiernos.
  • Controles contractuales más allá de las SCC. Indemnización, derechos de auditoría, plazos de notificación de brechas más estrictos que los mínimos del GDPR y cláusulas que exijan al encargado impugnar solicitudes de acceso ilegales. No sustituyen a los controles técnicos y organizativos, los complementan.

La AP holandesa consideró insuficientes las medidas complementarias de MLU ante el riesgo sistémico de vigilancia. La multa es el precio de tratar las «salvaguardas adecuadas» como una casilla a marcar.

Por qué la soberanía en el almacenamiento no es soberanía en el procesamiento

La mayoría de las grandes organizaciones ha resuelto la soberanía en el almacenamiento. Los datos residen en centros de datos de la UE. Las copias de seguridad permanecen en la región. Los sitios de recuperación ante desastres están documentados. La siguiente ola regulatoria plantea una pregunta más difícil: ¿dónde se procesan realmente los datos y la soberanía de los datos llega hasta ahí?

Los datos del Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 muestran claramente la distancia. El 29% de las organizaciones señala las transferencias transfronterizas a través de proveedores de IA como una de las principales exposiciones de privacidad. El 30% cita la gestión de IA de terceros como una de las principales preocupaciones de seguridad. Pero solo el 36% tiene visibilidad sobre cómo los socios gestionan los datos en sistemas de IA. El resto confía en contratos, exactamente lo que la AP holandesa acaba de sancionar.

El Informe de Pronóstico 2026 describe esto como un cambio de «¿dónde se almacenan los datos?» a «¿dónde se procesan, quién puede acceder y puedes demostrarlo?». Los controles de almacenamiento responden a la primera pregunta. No responden a las otras dos.

Esto se vuelve crítico con cargas de trabajo de IA. Un prompt enviado a un proveedor de IA en la nube puede procesarse en una jurisdicción diferente a la del almacenamiento. El modelo puede alojarse en un tercer país y ajustarse en un cuarto. El resultado puede cruzar varias fronteras antes de regresar. Los controles tradicionales de soberanía —que asumen que los datos tienen una ubicación fija— no contemplan esto.

La decisión de la AP holandesa aplica a todo esto. La prueba legal no es «¿los datos residían en la UE?». La prueba es «¿podría un actor de un tercer país obligar el acceso?». Para la mayoría de las implementaciones de IA, la respuesta honesta es «no lo sabemos».

Esa respuesta honesta tiene consecuencias. Cuando el regulador pregunta dónde se procesó un prompt, dónde se alojó el modelo y qué ley rige una solicitud de acceso, el responsable debe aportar pruebas, no una declaración de intenciones. Los contratos establecen la intención. La arquitectura aporta la evidencia. La decisión sobre MLU es el puente entre ambos: sanciona la intención sin evidencia.

El caso Shein confirma el patrón

Tres días antes de que la AP holandesa anunciara públicamente la multa a Yango, la Comisión de Protección de Datos de Irlanda anunció una investigación a Infinite Styles Services Co. Ltd. (Shein Irlanda) por transferencias de datos de usuarios de la UE y el EEE a China. La DPC abrió la investigación bajo la Sección 110 de la Ley de Protección de Datos de 2018 el 30 de abril de 2026 y la hizo pública el 5 de mayo de 2026. La investigación examina la base legal, la transparencia y las salvaguardas para el procesamiento en el extranjero a través de la sede de EMEA de Shein en Dublín.

Dos acciones de cumplimiento en el mismo mes, dirigidas a dos destinos de alto riesgo distintos, ambas basadas en el mismo mecanismo legal: salvaguardas para transferencias transfronterizas. Ya no es un caso aislado. Es un patrón regulatorio.

China presenta el mismo desafío legal que Rusia. La PIPL contiene restricciones a las transferencias transfronterizas; las leyes chinas de seguridad nacional e inteligencia contienen disposiciones de acceso en sentido contrario. La combinación implica que una multinacional que traslada datos europeos a infraestructuras de procesamiento chinas enfrenta el mismo problema Schrems II que la AP holandesa acaba de resolver.

El caso Shein aún no ha concluido. Pero la DPC tiene autoridad para imponer sanciones sustanciales bajo el GDPR, hasta el 4% de la facturación global. Para una plataforma de consumo de alto volumen, ese cálculo no es teórico.

La implicación más amplia: cualquier organización con equipos de desarrollo, analítica o soporte en jurisdicciones con regímenes de acceso estatal fuerte —no solo Rusia y China, sino también la lista más amplia de países que la UE ha señalado en procedimientos de adecuación— debe esperar un escrutinio paralelo. Las DPA están coordinadas, la prueba legal está armonizada y el presupuesto para estos casos está creciendo.

Soberanía demostrable: el estándar europeo

Los reguladores europeos llevan años anunciando el nuevo estándar. El resumen ejecutivo de Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe lo describe como el paso de «creemos que cumplimos» a «podemos demostrar dónde residen los datos, cómo se gobierna el acceso y cómo se previene o documenta el movimiento transfronterizo».

El Europe Sovereignty Report identifica tres pilares operativos.

  • Controles. Aplicación de residencia, custodia de claves de cifrado y políticas de acceso que impidan el movimiento transfronterizo no autorizado a nivel arquitectónico. No a nivel de políticas. No a nivel contractual. A nivel de arquitectura: los datos no pueden salir del límite porque el sistema no lo permite, sin importar quién lo solicite.
  • Artefactos de evidencia. Registros de auditoría exportables, logs de residencia de datos e informes de cumplimiento que satisfacen a reguladores y clientes bajo demanda. No con cadencia trimestral. Bajo demanda.
  • Preparación de respuesta. Manuales probados para solicitudes de acceso a datos por parte de gobiernos, fallos de proveedores, Transfer Impact Assessments y escenarios de cumplimiento Schrems II. El ejercicio debe preceder al incidente.

El 44% de los encuestados europeos cita preocupaciones sobre las garantías de soberanía de los proveedores como barrera para adoptar soluciones cloud europeas, el porcentaje más alto de todas las regiones. El mercado lleva tiempo diciendo a los proveedores lo que necesita. Los reguladores ahora se lo han dicho con una sanción de 100 millones de euros para subrayarlo.

El enfoque Kiteworks: arquitectura, no aspiraciones

Kiteworks lleva la soberanía de los datos al nivel de la infraestructura, no solo al nivel de políticas. El intercambio seguro de datos permite opciones flexibles de implementación —on-premises, nube privada, híbrida y FedRAMP— para que las organizaciones puedan almacenar contenido confidencial en la jurisdicción de origen, ya sea la UE, Canadá, Oriente Medio o Estados Unidos.

La custodia de las claves de cifrado se mantiene en la jurisdicción. El geofencing se aplica mediante controles de IP configurables. El correo electrónico, el uso compartido de archivos, la transferencia de archivos gestionada, SFTP y los formularios de datos se consolidan en una única plataforma de confianza cero donde cada archivo se controla, rastrea y protege durante todo su ciclo de vida. La arquitectura aplica la residencia. La arquitectura es lo que la AP holandesa quiere ver.

La dimensión de auditoría es igual de importante. Los registros de auditoría centralizados e inmutables y los informes de cumplimiento automatizados —con plantillas preconfiguradas para GDPR, DORA, NIS 2, PIPEDA, PDPL y otros— proporcionan la evidencia exportable que el Europe Sovereignty Report identifica como el diferenciador operativo entre organizaciones que sufren incidentes y las que los previenen. Cuando una DPA solicita pruebas de dónde se procesaron los datos, la respuesta es una consulta a un registro inmutable, no una reconstrucción forense.

Para las organizaciones que están replanteando su postura sobre transferencias de datos tras la decisión de MLU, los hallazgos del Informe de Pronóstico 2026 de Kiteworks enmarcan la cuestión correctamente: el objetivo no son mejores contratos. El objetivo es un marco de gobernanza unificado que genere documentación lista para auditoría que reguladores, auditores y clientes empresariales exigen cada vez más.

Qué deben hacer ahora los CISOs y el asesor general

  1. Audita la geografía. Haz un inventario de cada sistema, proveedor y flujo de trabajo que mueva datos personales europeos a través de fronteras. Según los datos del Informe de Pronóstico 2026 de Kiteworks, solo el 36% de las organizaciones tiene visibilidad sobre la gestión de datos de los socios en sistemas de IA, un punto de partida que no sobrevivirá a la próxima investigación de la DPC. Comienza con los proveedores de IA, luego los equipos de desarrollo offshore y después los procesadores analíticos.
  2. Reevalúa las SCC como defensa. Según los hallazgos del Informe de Pronóstico 2026 de Kiteworks, las salvaguardas contractuales por sí solas son cada vez más insuficientes frente a regímenes de acceso estatal. Trata las SCC como una capa dentro de una postura de defensa en profundidad, no como la capa principal. Añade controles técnicos —cifrado, segregación de claves, aplicación de residencia— y documéntalos en Transfer Impact Assessments actualizados.
  3. Demuestra soberanía en el procesamiento, no solo en el almacenamiento. Los datos del Informe de Pronóstico 2026 de Kiteworks muestran que el 29% de las organizaciones reconoce las transferencias de IA transfronterizas como una exposición, pero el reconocimiento no es control. Construye una postura técnica que limite la ubicación del procesamiento, no solo la del almacenamiento. Para cargas de trabajo de IA, este es el reto más difícil y urgente.
  4. Instrumenta la trazabilidad de auditoría. Cuando una DPA pregunte cómo se produjo una transferencia, la respuesta debe provenir de un registro inviolable, no de una reconstrucción. Los hallazgos del Informe de Pronóstico 2026 de Kiteworks muestran que el 33% de las organizaciones carece de registros de auditoría con calidad de evidencia. El Europe Sovereignty Report describe los registros de auditoría exportables como el diferenciador operativo entre organizaciones que sufren incidentes de soberanía y las que los previenen.
  5. Ejecuta el playbook antes del incidente. Prueba la respuesta ante una solicitud de acceso a datos por parte de un gobierno. Prueba la respuesta ante el fallo de un proveedor en una jurisdicción de alto riesgo. La decisión de la AP holandesa muestra que el regulador medirá la respuesta según la preparación documentada, no según las buenas intenciones. Los ejercicios de simulación que incluyan a legal, seguridad, privacidad y al equipo ejecutivo son el seguro más barato ante una investigación regulatoria que pueda salir mal.

La multa a MLU costó 100 millones de euros. La arquitectura que lo habría evitado cuesta menos. El cálculo de la junta ha cambiado. Lo que antes era un gasto del área de privacidad ahora es una entrada en el registro de riesgos empresariales, compitiendo por atención con la ciberseguridad, los controles financieros y la resiliencia operativa. Las organizaciones que tratan la soberanía de los datos como arquitectura gastarán menos a largo plazo que las que la ven como un mero trámite. La AP holandesa acaba de hacer que esa decisión sea lo suficientemente costosa como para tomársela en serio.

Preguntas frecuentes

Sí. La decisión de la AP holandesa concluyó que las SCC por sí solas son insuficientes cuando existen riesgos sistémicos de acceso estatal en el país de destino. Los datos del Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 muestran que solo el 36% de las organizaciones tiene visibilidad sobre la gestión de datos de los socios. Añade cifrado con claves controladas en la UE, documenta un Transfer Impact Assessment y evalúa si el procesamiento puede ser reubicado.

Las firmas financieras enfrentan la mayor exposición combinada al GDPR y a normativas sectoriales. El Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 encontró que el 29% de las organizaciones señala las transferencias transfronterizas a través de proveedores de IA como una de las principales exposiciones de privacidad. El precedente de la AP holandesa sugiere que una postura basada solo en SCC no resistirá el escrutinio. Los controles arquitectónicos —aplicación de residencia, custodia de claves en la jurisdicción— se convierten en el estándar defendible.

Trata la selección de proveedores de IA como un ejercicio de Transfer Impact Assessment, no solo de compras. El Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 encontró que el 30% de las organizaciones cita la gestión de IA de terceros como una de las principales preocupaciones de seguridad. Documenta la jurisdicción de entrenamiento del modelo, la ubicación de inferencia y el flujo de datos. Las SCC por sí solas ya no son suficientes donde existen regímenes de acceso estatal.

Parcialmente. La nube soberana resuelve la soberanía en el almacenamiento. Los datos del Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 muestran que el 44% de los encuestados europeos sigue citando las garantías de soberanía del proveedor como barrera. La decisión de MLU apunta a la soberanía en el procesamiento, incluyendo quién puede acceder a los datos y bajo qué jurisdicción. La custodia de claves de cifrado y los registros de acceso son las respuestas arquitectónicas.

Las DPA esperan salvaguardas técnicas, organizativas y contractuales documentadas, además de manuales de respuesta probados. El Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 encontró que el 33% de las organizaciones carece de registros de auditoría con calidad de evidencia. Logs de residencia exportables, registros de acceso inmutables y preparación de respuesta documentada son los artefactos de evidencia que los reguladores ahora esperan bajo demanda, no con cadencia trimestral.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks