julio 07, 2026

El encargado del tratamiento en el extranjero no constituye una transferencia internacional de datos personales Oficio No. SPDP-IRD-2026-0300-O

Publicaciones internas

Protección de Datos Personales

Mediante el Oficio No. SPDP-IRD-2026-0300-O se consultó a la Superintendencia de Protección de Datos Personales (SPDP) si la contratación de un encargado del tratamiento ubicado en el extranjero constituye una transferencia internacional de datos personales, o si su naturaleza jurídica permanece inalterada con independencia de su ubicación geográfica.

 

La SPDP emitió su criterio partiendo de una premisa fundamental: el encargado del tratamiento actúa exclusivamente por cuenta y bajo las instrucciones del responsable, sin perseguir fines propios sobre los datos que trata. En virtud del artículo 34 de la LOPDP, el acceso a los datos por parte del encargado, en el marco de la prestación de un servicio al responsable, no se considera una transferencia de datos. Adicionalmente, la norma no condiciona la figura del encargado a su localización territorial, por lo que encontrarse en el extranjero no modifica su naturaleza jurídica.

 

A continuación, se detallan las conclusiones de la SPDP en materia de transferencia internacional de datos, que establecen nuevos precedentes en la materia:

 

  • La transferencia de datos, en sentido estricto, implica la comunicación a personas distintas del titular, del responsable y del encargado del tratamiento.
  • El encargado, al tratar datos por cuenta ajena y bajo instrucciones del responsable, mantiene su misma naturaleza jurídica, sin perjuicio de su ubicación geográfica.
  • El encargado puede encontrarse en el extranjero sin que el tratamiento que efectúa constituya, por sí mismo, una transferencia internacional de datos.

 

Este pronunciamiento se armoniza con la Norma General de Transferencias (Resolución No. SPDP-SPD-2026-0004-R), que regula el flujo nacional e internacional de datos personales, y del criterio de la SPDP se derivan las siguientes obligaciones prácticas:

 

  • Los responsables deben asegurarse de que el contrato con el encargado —sin perjuicio de su ubicación geográfica— establezca instrucciones claras, fines determinados y medidas de seguridad conforme a la LOPDP.
  • No se requiere activar mecanismos de transferencia internacional cuando el acceso y el tratamiento de los datos los realiza un encargado, se encuentre o no dentro del territorio nacional.
  • Si el encargado comunicara los datos a un tercero en el extranjero, dicha operación sí constituiría una transferencia o comunicación internacional de datos y deberá someterse a la normativa aplicable.

 

Con el fin de adecuar sus operaciones de tratamiento al criterio de la SPDP, responsables y encargados deberían considerar las siguientes acciones:

 

  1. Revisar los contratos entre responsables y encargados, verificando que contengan cláusulas que limiten el uso de los datos por parte del encargado a las instrucciones del responsable.
  2. Documentar la existencia de la relación de encargo, de modo que pueda acreditarse ante la autoridad de control.
  3. Diferenciar claramente entre el tratamiento por cuenta del responsable y la comunicación de datos a terceros.

 

Dadas las nuevas disposiciones y criterios de este pronunciamiento, es fundamental realizar una revisión exhaustiva de sus flujos de datos actuales. Si desea obtener más información sobre esta disposición o requiere asistencia para la estructuración de su plan de adecuación, no dude en contactarnos al siguiente correo  comunicacionpbp@pbplaw.com.

Consejo Editorial

Compartir artículo