La Superintendencia de Protección de Datos Personales (SPDP) ha expedido la “Normativa General para la Aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento en las Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales”, mediante la Resolución No. SPDP-SPD-2025-0024-R, suscrita el 25 de julio de 2025.
Esta normativa tiene como objetivo aclarar y armonizar la aplicación de las disposiciones que regulan las transferencias de datos personales, tanto dentro del país, como hacia el extranjero.
Se establece expresamente que, en cualquier transferencia o comunicación internacional de datos personales, deben observarse conjuntamente las siguientes disposiciones:
i. Del Capítulo V y el Capítulo IX de la LOPDP
El Capítulo V de la LOPDP (arts. 33 a 36) contiene las reglas generales aplicables a toda transferencia o acceso a datos personales. Establece, entre otros aspectos, que la transferencia debe estar justificada en una base de legitimidad y contar con el consentimiento informado del titular (art. 33), salvo excepciones expresas (art. 36); que el acceso de encargados o terceros debe estar regulado por contrato con condiciones claras (arts. 34 y 35); y que los datos deben ser destruidos o devueltos una vez cumplido el objeto contractual. Estas disposiciones son aplicables también a transferencias internacionales, al contener los principios sustantivos comunes para todo tratamiento de datos.
Por su lado, el Capítulo IX de la LOPDP (arts. 55 a 61) regula específicamente las transferencias o comunicaciones internacionales, estableciendo diferentes vías según el nivel de protección del país receptor. Se permite la transferencia a países reconocidos por la SPDP como adecuados (art. 56); o, en su defecto, mediante garantías adecuadas (art. 57), como contratos u otros instrumentos jurídicos. También se prevén normas corporativas vinculantes (art. 58), autorización previa en casos no contemplados (art. 59), y situaciones excepcionales que permiten la transferencia por razones legales, contractuales o de interés público (art. 60). La SPDP mantiene la facultad de revisión y retiro del estatus de adecuación (art. 61).
ii. Del Capítulo V y el Capítulo XII de su Reglamento General.
El Capítulo XII del Reglamento General de la LOPDP (arts. 71 a 78) desarrolla en detalle los aspectos operativos del régimen internacional. Define los criterios para declarar el nivel adecuado de protección (arts. 71 a 73), los mecanismos jurídicos válidos para ofrecer garantías adecuadas (art. 74), los requisitos para aprobar normas corporativas vinculantes (arts. 75 y 76), y las condiciones para autorizaciones especiales en supuestos no contemplados (art. 77). Además, exige que toda transferencia internacional sea registrada ante el Registro Nacional de Protección de Datos (art. 78), con información detallada del país receptor, los datos transferidos y el mecanismo legal utilizado.
En conjunto, las disposiciones descritas se complementan: mientras el Capítulo V impone las bases y principios comunes de toda transferencia, los capítulos IX y XII regulan las condiciones y procedimientos específicos que deben observarse cuando la transferencia traspasa fronteras. La resolución de la SPDP, al exigir su aplicación articulada, evita interpretaciones fragmentadas y asegura un estándar robusto de protección.
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL Abogados.
