RGPD transferencias internacionales datos clínica · Schrems II 2026

1. Marco normativo · Art. 44-49 RGPD + LOPDGDD + Schrems II

La transferencia internacional datos personales clínica privada España 2026 fuera EEE está sometida marco normativo específico riguroso + opcional NO opcional cumplimiento + opcional sanciones incumplimiento significativas. (1) Reglamento UE 2016/679 RGPD · Capítulo V Art. 44-49 transferencias internacionales + opcional Art. 44 principio general transferencias + opcional Art. 45 transferencias adequacy decision + opcional Art. 46 garantías adecuadas SCCs + opcional Art. 47 normas corporativas vinculantes BCRs + opcional Art. 49 excepciones específicas + opcional Art. 9 datos categoría especial salud reforzados. (2) Ley Orgánica 3/2018 LOPDGDD · transferencias internacionales sector sanitario + opcional opcional obligaciones específicas centros sanitarios datos paciente. (3) Sentencia TJUE C-311/18 Schrems II 2020 · invalidación Privacy Shield EU-US + opcional opcional obligación evaluación caso concreto SCCs efectividad + opcional opcional opcional opcional TIA obligatorio + opcional opcional opcional opcional opcional opcional medidas complementarias técnicas opcional. (4) Decisión Comisión Europea 2021/914 SCCs · cláusulas contractuales tipo actualizadas + opcional módulos específicos según roles + opcional obligación uso versión vigente. (5) Decisión Comisión Europea 2023/1795 EU-US Data Privacy Framework · adequacy decision EU-US 2023 limitada empresas certificadas DPF + opcional opcional verificación certificación específica. (6) Directrices Comité Europeo Protección Datos CEPD · Directriz 04/2021 medidas suplementarias + opcional Directriz 02/2018 derogaciones Art. 49 + opcional opcional opcional opcional Directrices interpretativas vigentes actualizadas. (7) AEPD · resoluciones específicas transferencias internacionales + opcional opcional sanciones documentadas + opcional opcional jurisprudencia interpretativa evoluciona. (8) Ley 41/2002 autonomía paciente · datos categoría especial salud + opcional opcional reforzados requisitos transferencias + opcional opcional opcional confidencialidad profesional sanitaria. (9) Códigos deontológicos profesionales sanitarios · secreto profesional aplicable transferencias datos paciente + opcional opcional opcional opcional NO renuncia secreto profesional transferencias terceros países. Aplicación operativa clínica · cualquier clínica privada España utiliza vendor extranjero (típico Meta WhatsApp + opcional Stripe + opcional Google + opcional Microsoft + opcional Apple + opcional otros SaaS) requiere · evaluación formal documentada transferencias internacionales + opcional opcional verificación adequacy decision aplicable + opcional opcional SCCs vigentes vendor + opcional opcional opcional TIA documentado + opcional opcional opcional opcional medidas complementarias técnicas opcional + opcional opcional opcional opcional opcional asesoramiento legal especializado.

2. Concepto transferencia internacional · qué cuenta como transferencia

El concepto transferencia internacional datos RGPD es amplio + opcional NO limitado envío explícito archivos + opcional opcional cualquier acceso datos desde fuera EEE constituye transferencia + opcional opcional opcional NO opcional + opcional opcional opcional opcional definición operativa clínica fundamental. (1) Definición transferencia · cualquier comunicación datos personales responsable encargado destinatario fuera EEE + opcional opcional opcional incluyendo acceso remoto datos almacenados EU desde terceros países + opcional opcional opcional opcional storage cloud proveedor extranjero infraestructura EU pero soporte US opcional. (2) Países considerados terceros · cualquier país NO EEE + opcional opcional opcional EEE = 27 EU + Noruega + Islandia + Liechtenstein + opcional opcional opcional opcional UK considerado tercero país post-Brexit con adequacy decision específica. (3) Adequacy decisions Art. 45 vigentes típicas · Andorra + opcional Argentina + opcional Canadá comercial + opcional Islas Feroe + opcional Guernsey + opcional Israel + opcional Isla Man + opcional Japón + opcional Jersey + opcional Nueva Zelanda + opcional República Corea + opcional Suiza + opcional Reino Unido + opcional Uruguay + opcional Estados Unidos parcial DPF certificadas. (4) Casos específicos ambiguos · vendor europeo con soporte técnico extranjero · transferencia + opcional opcional opcional vendor EU con infraestructura datacenter EU pero administración US · evaluación caso + opcional opcional opcional opcional opcional opcional vendor europeo encrypted-at-rest pero claves US · puede considerarse transferencia. (5) Transferencias clínica privada típicas · Meta WhatsApp Cloud API · datacenter EU pero Meta US opcional acceso + opcional opcional opcional Stripe · datacenter EU pero Stripe Inc US opcional acceso administrativo + opcional opcional opcional Google Workspace · datacenter EU pero Google US estructura + opcional opcional opcional Microsoft 365 · datacenter EU pero Microsoft US estructura + opcional opcional opcional Apple iCloud opcional + opcional opcional opcional otros SaaS específicos. (6) Casos NO transferencia · vendor 100% EU sin soporte extranjero + opcional opcional opcional infraestructura datacenter EU exclusivamente + opcional opcional opcional acceso administrativo solo EU. (7) Anonimización vs pseudonimización · anonimización completa NO considera transferencia datos personales típicamente + opcional opcional opcional pseudonimización datos personales se considera + opcional opcional opcional opcional opcional opcional verificación caso concreto. Aplicación clínica · evaluación cada vendor específicamente · localización datacenter + opcional opcional opcional acceso administrativo geográfico + opcional opcional opcional soporte técnico geográfico + opcional opcional opcional opcional jurisdicción legal vendor + opcional opcional opcional opcional opcional opcional acceso autoridades terceras opcional.

3. Adequacy decisions · Art. 45 RGPD países nivel adecuado

Las adequacy decisions Art. 45 RGPD son decisiones Comisión Europea determinan país tercero ofrece nivel protección datos adecuado equivalente EEE + opcional opcional opcional transferencias permitidas sin garantías adicionales + opcional opcional opcional opcional opcional excepción países listados específicamente. (1) Países adequacy decision vigente 2026 · Andorra (2010) + opcional Argentina (2003) + opcional Canadá actividades comerciales (2002) + opcional Islas Feroe (2010) + opcional Guernsey (2003) + opcional Israel (2011) + opcional Isla Man (2004) + opcional Japón (2019) + opcional Jersey (2008) + opcional Nueva Zelanda (2012) + opcional República Corea (2021) + opcional Suiza (2000) + opcional Reino Unido (2021) + opcional Uruguay (2012) + opcional Estados Unidos parcial DPF (2023). (2) Estados Unidos DPF EU-US Data Privacy Framework 2023 · adequacy decision parcial limitada empresas certificadas DPF + opcional opcional opcional opcional verificación certificación específica empresa + opcional opcional opcional opcional opcional listado público DPF consultable + opcional opcional opcional opcional opcional empresas NO certificadas DPF requieren SCCs adicionales. (3) Reino Unido adequacy decision · transferencia EU-UK sin garantías adicionales hasta junio 2025 + opcional opcional opcional opcional opcional renovación pendiente evaluación + opcional opcional opcional opcional opcional opcional seguimiento estado adequacy actual. (4) Verificación adequacy aplicable · listado Comisión Europea consultable + opcional opcional opcional vendor específico verificación + opcional opcional opcional opcional opcional ámbito aplicación adequacy específico opcional. (5) Cambios adequacy decisions · adequacy decision revocable + opcional opcional opcional Schrems I 2015 invalidó Safe Harbor EU-US + opcional opcional opcional Schrems II 2020 invalidó Privacy Shield EU-US + opcional opcional opcional seguimiento jurisprudencia TJUE + opcional opcional opcional opcional posible invalidación futura. (6) Aplicación clínica privada · si vendor empresa certificada DPF EU-US + opcional opcional opcional transferencia permitida adequacy decision DPF + opcional opcional opcional opcional NO opcional garantías adicionales requeridas + opcional opcional opcional opcional documentación certificación vendor obligatoria + opcional opcional opcional opcional opcional verificación periódica certificación vigente. (7) Limitaciones adequacy decisions · adequacy puede aplicarse sectores específicos + opcional opcional opcional opcional adequacy Canadá solo actividades comerciales privadas + opcional opcional opcional opcional verificación ámbito específico decisión + opcional opcional opcional opcional opcional posible necesidad SCCs si ámbito específico NO incluido. Aplicación práctica clínica · verificación periódica vendor extranjeros · país vendor adequacy aplicable + opcional opcional opcional ámbito decisión aplicable + opcional opcional opcional opcional certificación específica vigente + opcional opcional opcional opcional opcional documentación vendor accesible AEPD requerimiento.

4. SCCs Standard Contractual Clauses · Art. 46 RGPD

Las SCCs Standard Contractual Clauses son garantía contractual estándar Comisión Europea aprobada para transferencias internacionales países NO adequacy decision + opcional opcional opcional NO opcional + opcional opcional opcional opcional formalización contractual obligatoria + opcional opcional opcional opcional opcional combinación módulos según roles partes. (1) Decisión Comisión Europea 2021/914 vigente · SCCs actualizadas junio 2021 + opcional opcional opcional obligación uso versión vigente + opcional opcional opcional opcional opcional módulos específicos · controller-controller + opcional controller-processor + opcional processor-processor + opcional processor-controller. (2) Módulo controller-controller · clínica responsable transferencia vendor responsable independiente · típico relaciones específicas + opcional opcional opcional opcional opcional NO típico clínica-vendor SaaS habitual. (3) Módulo controller-processor · clínica responsable vendor encargado tratamiento · típico Meta WhatsApp + opcional Stripe + opcional Google + opcional Microsoft + opcional otros SaaS habitual + opcional opcional opcional módulo más común clínica privada. (4) Módulo processor-processor · vendor encargado clínica subcontrata subprocesador · típico cadena suministro técnica + opcional opcional opcional verificación SCCs sub-encargado. (5) Cláusulas vinculantes · 28 cláusulas SCCs obligatorias + opcional opcional opcional cláusulas adicionales aceptables NO contradictorias + opcional opcional opcional opcional opcional obligaciones partes específicas + opcional opcional opcional opcional opcional opcional derechos interesados terceros beneficiarios. (6) Aplicación vendor típico clínica · Meta WhatsApp publica SCCs estándar en plataforma + opcional opcional opcional aceptación implícita términos + opcional opcional opcional Stripe SCCs estándar + opcional opcional opcional Google Workspace SCCs estándar + opcional opcional opcional Microsoft SCCs estándar + opcional opcional opcional firma electrónica acuerdo vendor típicamente. (7) Documentación SCCs clínica · clínica DEBE mantener documentación SCCs aceptadas + opcional opcional opcional fecha aceptación + opcional opcional opcional opcional opcional versión específica SCCs + opcional opcional opcional opcional opcional opcional módulos aceptados + opcional opcional opcional opcional opcional opcional opcional opcional accesible inspección AEPD inmediata. (8) Renovación SCCs · SCCs anteriores 2010/87 + 2004/915 derogadas + opcional opcional opcional opcional opcional plazo migración SCCs vigentes 2021/914 vencido + opcional opcional opcional opcional opcional opcional verificación SCCs vigentes implementadas obligatoria. Aplicación clínica · cualquier vendor extranjero NO adequacy decision requiere · verificación SCCs vigentes aceptadas + opcional opcional opcional opcional documentación accesible + opcional opcional opcional opcional opcional combinación módulos correcta + opcional opcional opcional opcional opcional opcional revisión periódica + opcional opcional opcional opcional opcional opcional opcional asesoramiento legal especializado opcional.

5. TIA Transfer Impact Assessment · Schrems II obligatorio

El TIA Transfer Impact Assessment es evaluación caso concreto efectividad SCCs país destino + opcional obligatorio post-Schrems II 2020 + opcional opcional opcional NO opcional + opcional opcional opcional opcional documentación específica decisión transferencia. (1) Obligación Schrems II · TJUE 2020 estableció obligación responsable evaluar SCCs efectividad caso concreto + opcional opcional opcional opcional consideración legislación tercero país + opcional opcional opcional opcional opcional acceso autoridades públicas datos + opcional opcional opcional opcional opcional opcional NO opcional + opcional opcional opcional opcional opcional opcional medidas suplementarias técnicas si SCCs insuficientes. (2) Contenido TIA mínimo · identificación transferencia específica + opcional opcional opcional vendor receptor + opcional opcional opcional opcional categorías datos transferidos + opcional opcional opcional opcional opcional opcional categorías interesados + opcional opcional opcional opcional opcional opcional opcional duración transferencia + opcional opcional opcional opcional opcional opcional opcional opcional finalidad transferencia. (3) Análisis legislación tercero país · acceso autoridades públicas datos vigente + opcional opcional opcional opcional FISA 702 US + opcional opcional opcional opcional Executive Order 12333 US + opcional opcional opcional opcional Cloud Act US + opcional opcional opcional opcional opcional opcional otros poderes investigación nacionales + opcional opcional opcional opcional opcional remedios efectivos interesados disponibles + opcional opcional opcional opcional opcional opcional jurisprudencia accesible. (4) Evaluación medidas suplementarias necesarias · técnicas · cifrado end-to-end clínica controla claves + opcional opcional opcional pseudonimización datos antes transferencia + opcional opcional opcional opcional opcional cifrado at-rest end-to-end + opcional opcional opcional opcional opcional separación datos identificables datos clínicos + opcional opcional opcional opcional opcional opcional anonimización agregada opcional. (5) Medidas contractuales adicionales · cláusulas reforzadas transparencia + opcional opcional opcional opcional opcional notificación requerimientos autoridades + opcional opcional opcional opcional opcional opcional auditorías independientes + opcional opcional opcional opcional opcional opcional opcional impugnación judicial vendor. (6) Medidas organizativas vendor · políticas internas restricción acceso datos + opcional opcional opcional opcional opcional opcional formación staff vendor + opcional opcional opcional opcional opcional opcional opcional auditorías independientes periódicas. (7) Decisión final TIA · transferencia permitida con medidas suplementarias suficientes + opcional opcional opcional opcional transferencia permitida sin medidas adicionales + opcional opcional opcional opcional opcional transferencia NO permitida si medidas insuficientes + opcional opcional opcional opcional opcional opcional alternativa búsqueda vendor EU + opcional opcional opcional opcional opcional opcional opcional documentación decisión fundamentada. (8) Conservación TIA documentación · 5 años mínimo + opcional opcional opcional opcional accesibilidad inspección AEPD inmediata + opcional opcional opcional opcional opcional revisión periódica cambios circunstancias. Aplicación clínica · cualquier transferencia vendor US (Meta + opcional Stripe + opcional Google + opcional Microsoft + opcional otros) requiere TIA documentado caso concreto + opcional opcional opcional opcional opcional documentación accesible auditoría AEPD + opcional opcional opcional opcional opcional opcional asesoramiento legal especializado obligatorio recomendado.

6. Pseudonimización datos · medida suplementaria técnica clave

La pseudonimización datos es medida técnica suplementaria clave reducir riesgo transferencias internacionales + opcional opcional opcional Art. 4.5 RGPD definida + opcional opcional opcional opcional opcional aplicable vendor extranjero típicamente + opcional opcional opcional opcional opcional opcional NO sustituye SCCs + opcional opcional opcional opcional opcional opcional opcional medida complementaria reforzar protección. (1) Definición Art. 4.5 RGPD · tratamiento datos personales tal forma datos NO pueden atribuirse interesado específico sin información adicional + opcional opcional opcional opcional opcional información adicional conservada separadamente + opcional opcional opcional opcional opcional opcional opcional medidas técnicas garantizan NO atribución. (2) Técnicas pseudonimización típicas · tokenization · sustitución identificadores tokens aleatorios + opcional opcional opcional hashing irreversible identificadores + opcional opcional opcional opcional opcional cifrado identificadores clave separada + opcional opcional opcional opcional opcional opcional generalización datos + opcional opcional opcional opcional opcional opcional opcional opcional fragmentación datos múltiples vendors. (3) Aplicación clínica WhatsApp · opcional pseudonimización número teléfono paciente antes envío Meta + opcional opcional opcional opcional ID interno clínica sustituye número + opcional opcional opcional opcional opcional mapping pseudónimo-real conservado clínica EU + opcional opcional opcional opcional opcional opcional Meta NO acceso identificación real + opcional opcional opcional opcional opcional opcional opcional limitación técnica significativa funcionalidad WhatsApp. (4) Aplicación clínica Stripe · pseudonimización opcional limitada + opcional opcional opcional opcional opcional opcional Stripe necesita datos pago identificables fraude detection + opcional opcional opcional opcional opcional opcional opcional opcional limitación práctica pseudonimización significativa. (5) Aplicación clínica analytics · pseudonimización ID paciente analytics agregados + opcional opcional opcional opcional opcional opcional métricas operativas + opcional opcional opcional opcional opcional opcional opcional NO datos clínicos identificables. (6) Limitaciones pseudonimización · datos pseudonimizados siguen datos personales RGPD + opcional opcional opcional opcional NO equivalente anonimización completa + opcional opcional opcional opcional opcional información adicional reidentificación conservada riesgo + opcional opcional opcional opcional opcional opcional medida complementaria NO sustituye base licitud + opcional opcional opcional opcional opcional opcional opcional NO sustituye SCCs vigentes. (7) Documentación pseudonimización · protocolo técnico documentado + opcional opcional opcional opcional opcional información adicional conservación separada + opcional opcional opcional opcional opcional acceso restringido información adicional + opcional opcional opcional opcional opcional opcional periodicidad rotación pseudónimos + opcional opcional opcional opcional opcional opcional opcional accesibilidad inspección AEPD. Aplicación práctica clínica · evaluación viabilidad pseudonimización vendor específico + opcional opcional opcional opcional opcional opcional impacto funcional sistema + opcional opcional opcional opcional opcional opcional coste implementación + opcional opcional opcional opcional opcional opcional opcional beneficio reducción riesgo + opcional opcional opcional opcional opcional opcional opcional opcional documentación decisión técnica.

7. Excepciones Art. 49 RGPD · derogaciones casos específicos

Las derogaciones Art. 49 RGPD permiten transferencias específicas SIN adequacy decision SIN SCCs + opcional opcional opcional opcional casos específicos limitados + opcional opcional opcional opcional opcional NO aplicable transferencias sistemáticas habituales + opcional opcional opcional opcional opcional opcional excepción NO regla general. (1) Consentimiento explícito Art. 49.1.a · interesado consentimiento explícito informado transferencia específica + opcional opcional opcional opcional opcional NO consent genérico vago + opcional opcional opcional opcional opcional opcional información específica riesgos terceros país + opcional opcional opcional opcional opcional opcional opcional NO opcional vendor sistemático + opcional opcional opcional opcional opcional opcional opcional aplicable casos puntuales específicos. (2) Necesidad ejecución contrato Art. 49.1.b · transferencia necesaria ejecución contrato interesado responsable + opcional opcional opcional opcional opcional o aplicación medidas precontractuales solicitadas + opcional opcional opcional opcional opcional opcional NO aplicable transferencias accesorias contrato. (3) Necesidad ejecución contrato tercero Art. 49.1.c · transferencia necesaria celebración ejecución contrato interés interesado celebrado responsable persona física jurídica + opcional opcional opcional opcional opcional aplicación limitada clínica privada típica. (4) Razones importantes interés público Art. 49.1.d · transferencia necesaria razones importantes interés público + opcional opcional opcional opcional opcional reconocido derecho UE/Estado miembro + opcional opcional opcional opcional opcional opcional aplicación específica limitada. (5) Formulación ejercicio defensa reclamaciones Art. 49.1.e · transferencia necesaria formulación ejercicio defensa reclamaciones judiciales + opcional opcional opcional opcional opcional aplicación casos específicos. (6) Intereses vitales Art. 49.1.f · transferencia necesaria proteger intereses vitales interesado otra persona física + opcional opcional opcional opcional opcional incapacidad consentimiento + opcional opcional opcional opcional opcional opcional aplicación urgencia médica específica opcional clínica. (7) Registros públicos Art. 49.1.g · transferencia desde registro público consulta + opcional opcional opcional opcional opcional limitaciones específicas + opcional opcional opcional opcional opcional opcional aplicación restringida. (8) Intereses legítimos imperiosos Art. 49.1 párrafo 2 · transferencia ocasional necesaria intereses legítimos imperiosos responsable + opcional opcional opcional opcional opcional NO superados intereses derechos interesado + opcional opcional opcional opcional opcional opcional opcional aplicación residual última opción + opcional opcional opcional opcional opcional opcional opcional opcional comunicación AEPD obligatoria + opcional opcional opcional opcional opcional opcional opcional opcional documentación específica. (9) Limitaciones excepciones · NO opcional transferencias sistemáticas habituales + opcional opcional opcional opcional opcional aplicación caso específico aislado + opcional opcional opcional opcional opcional documentación específica fundamentación obligatoria + opcional opcional opcional opcional opcional opcional revisión periódica vigencia excepción. Aplicación clínica · excepciones Art. 49 aplicación limitada típica clínica privada + opcional opcional opcional opcional opcional vendor extranjero sistemático típicamente requiere adequacy + opcional opcional opcional opcional opcional o SCCs + opcional opcional opcional opcional opcional opcional excepción consentimiento aplicable solo casos muy específicos + opcional opcional opcional opcional opcional opcional evaluación caso concreto + opcional opcional opcional opcional opcional opcional opcional asesoramiento legal especializado obligatorio.

8. Datos categoría especial salud · transferencias reforzadas

Los datos categoría especial salud Art. 9 RGPD requieren protección reforzada transferencias internacionales + opcional opcional opcional opcional aplicación Art. 44-49 + opcional opcional opcional opcional opcional consideraciones adicionales específicas + opcional opcional opcional opcional opcional opcional medidas técnicas mayor estricto + opcional opcional opcional opcional opcional opcional opcional sanciones específicas reforzadas. (1) Definición Art. 9 · datos relativos salud + opcional opcional opcional información estado salud física mental + opcional opcional opcional opcional opcional servicios atención sanitaria recibidos + opcional opcional opcional opcional opcional opcional información genética + opcional opcional opcional opcional opcional opcional datos biométricos identificación + opcional opcional opcional opcional opcional opcional opcional vida sexual orientación. (2) Bases licitud Art. 9.2 transferencias · consentimiento explícito interesado Art. 9.2.a + opcional opcional opcional opcional opcional cumplimiento obligaciones derechos derecho laboral Art. 9.2.b + opcional opcional opcional opcional opcional opcional intereses vitales Art. 9.2.c + opcional opcional opcional opcional opcional opcional opcional ejercicio reclamaciones Art. 9.2.f + opcional opcional opcional opcional opcional opcional opcional medicina preventiva Art. 9.2.h + opcional opcional opcional opcional opcional opcional opcional opcional salud pública Art. 9.2.i. (3) Consentimiento explícito Art. 9.2.a transferencias · información específica reforzada interesado + opcional opcional opcional opcional opcional vendor receptor identificado + opcional opcional opcional opcional opcional opcional finalidad transferencia específica + opcional opcional opcional opcional opcional opcional opcional opcional consecuencias riesgo terceros países + opcional opcional opcional opcional opcional opcional opcional consent revocable cualquier momento. (4) Medicina preventiva Art. 9.2.h · base licitud típica clínica + opcional opcional opcional opcional opcional contrato profesional sanitario sujeto secreto profesional + opcional opcional opcional opcional opcional opcional derecho UE Estado miembro habilita + opcional opcional opcional opcional opcional opcional opcional aplicación específica vendor sanitario opcional. (5) Medidas técnicas reforzadas datos salud · cifrado end-to-end obligatorio + opcional opcional opcional opcional opcional pseudonimización datos identificables + opcional opcional opcional opcional opcional opcional separación datos clínicos datos identificación + opcional opcional opcional opcional opcional opcional opcional medidas mayor estricto vs datos no salud. (6) TIA reforzado datos salud · análisis específico riesgo terceros países + opcional opcional opcional opcional opcional impacto privacidad datos salud + opcional opcional opcional opcional opcional opcional medidas suplementarias reforzadas + opcional opcional opcional opcional opcional opcional opcional opcional documentación específica. (7) Vendor sanitario específico · vendor procesa datos salud reforzados + opcional opcional opcional opcional opcional opcional verificación adecuación específica + opcional opcional opcional opcional opcional opcional opcional certificaciones sanitarias opcional + opcional opcional opcional opcional opcional opcional opcional opcional ISO 27001 + opcional opcional opcional opcional opcional opcional opcional opcional ISO 27799 sanitaria + opcional opcional opcional opcional opcional opcional opcional opcional HITRUST. (8) Sanciones AEPD datos salud transferencias · sanciones reforzadas Art. 83.5 RGPD + opcional opcional opcional opcional opcional opcional 20.000.000 € o 4% facturación anual global rango máximo + opcional opcional opcional opcional opcional opcional opcional aplicación efectiva clínicas privadas 50.000-1.500.000 € rango habitual + opcional opcional opcional opcional opcional opcional opcional opcional reputacional daño irreparable.

9. Sanciones AEPD documentadas · rangos transferencias internacionales

Las sanciones AEPD transferencias internacionales irregulares clínica privada España 2026 son significativas + opcional opcional opcional opcional rangos documentados resoluciones públicas + opcional opcional opcional opcional opcional reputacional daño asociado + opcional opcional opcional opcional opcional opcional procedimiento administrativo extenso. (1) Infracciones leves Art. 83.4 RGPD · 10.000.000 € o 2% facturación máximo + opcional opcional opcional aplicación efectiva clínicas pequeñas 10.000-100.000 € rango habitual + opcional opcional opcional opcional opcional ausencia documentación TIA + opcional opcional opcional opcional opcional opcional SCCs vigentes ausentes formalización. (2) Infracciones graves Art. 83.5 RGPD · 20.000.000 € o 4% facturación máximo + opcional opcional opcional aplicación efectiva clínicas pequeñas 50.000-500.000 € rango habitual + opcional opcional opcional opcional opcional transferencias internacionales irregulares sistemáticas + opcional opcional opcional opcional opcional opcional datos categoría especial salud + opcional opcional opcional opcional opcional opcional opcional ausencia base licitud. (3) Casos sancionadores documentados AEPD · resoluciones públicas sanciones empresas españolas transferencias internacionales irregulares + opcional opcional opcional opcional opcional sanciones Meta WhatsApp + opcional opcional opcional opcional opcional opcional sanciones Google + opcional opcional opcional opcional opcional opcional opcional sanciones específicas vendor extranjero + opcional opcional opcional opcional opcional opcional opcional empresas españolas responsables verificación. (4) Factores agravantes · intencionalidad negligencia grave + opcional opcional opcional opcional opcional duración infracción + opcional opcional opcional opcional opcional opcional categorías datos afectados + opcional opcional opcional opcional opcional opcional opcional número interesados afectados + opcional opcional opcional opcional opcional opcional opcional opcional grado daño causado + opcional opcional opcional opcional opcional opcional opcional opcional opcional grado cooperación AEPD. (5) Factores atenuantes · cooperación activa AEPD + opcional opcional opcional opcional opcional medidas correctoras adoptadas + opcional opcional opcional opcional opcional opcional autoinforme infracción + opcional opcional opcional opcional opcional opcional opcional cumplimiento previo RGPD acreditado + opcional opcional opcional opcional opcional opcional opcional negociación reducción aplicable. (6) Procedimiento sancionador · inspección AEPD inicial + opcional opcional opcional opcional procedimiento sancionador formal abierto + opcional opcional opcional opcional opcional alegaciones interesado obligatorias + opcional opcional opcional opcional opcional opcional resolución sanción + opcional opcional opcional opcional opcional opcional opcional recurso reposición opcional + opcional opcional opcional opcional opcional opcional opcional opcional recurso contencioso administrativo. (7) Defensa procedimiento · asesoramiento legal especializado RGPD obligatorio + opcional opcional opcional opcional opcional opcional alegaciones técnicas fundadas + opcional opcional opcional opcional opcional opcional opcional acreditación cumplimiento parcial + opcional opcional opcional opcional opcional opcional opcional opcional medidas correctoras adoptadas + opcional opcional opcional opcional opcional opcional opcional opcional opcional opcional reducción sanción colaboración + opcional opcional opcional opcional opcional opcional opcional opcional opcional opcional negociación cuantía. (8) Aplicación clínica privada · ausencia TIA documentado vendor extranjero típica infracción detectable inspección AEPD + opcional opcional opcional opcional opcional opcional sanción específica documentada + opcional opcional opcional opcional opcional opcional opcional procedimiento administrativo extenso típicamente 18-36 meses duración + opcional opcional opcional opcional opcional opcional opcional opcional reputacional daño AEPD publicación sanción + opcional opcional opcional opcional opcional opcional opcional opcional opcional pérdida pacientes confianza significativa.

10. Cuándo aplica clínica privada típica · evaluación práctica

La aplicación práctica transferencias internacionales clínica privada España 2026 depende vendor específico utilizado + opcional opcional opcional opcional opcional volumen datos transferidos + opcional opcional opcional opcional opcional opcional categorías datos + opcional opcional opcional opcional opcional opcional opcional jurisdicción vendor. (1) Vendor extranjero típico clínica · Meta WhatsApp Cloud API (US) + opcional opcional opcional Stripe (US) + opcional opcional opcional opcional Google Workspace (US) + opcional opcional opcional opcional opcional Microsoft 365 (US) + opcional opcional opcional opcional opcional opcional Apple iCloud (US) + opcional opcional opcional opcional opcional opcional opcional Calendly (US) + opcional opcional opcional opcional opcional opcional opcional opcional otros SaaS específicos. (2) Meta WhatsApp evaluación · DPF certificación Meta verificable + opcional opcional opcional opcional opcional adequacy decision EU-US DPF aplicable + opcional opcional opcional opcional opcional opcional SCCs complementarias publicadas Meta + opcional opcional opcional opcional opcional opcional opcional TIA específico recomendado + opcional opcional opcional opcional opcional opcional opcional opcional pseudonimización número teléfono opcional limitación funcional. (3) Stripe evaluación · DPF certificación Stripe verificable + opcional opcional opcional opcional opcional adequacy decision EU-US DPF aplicable + opcional opcional opcional opcional opcional opcional SCCs complementarias publicadas Stripe + opcional opcional opcional opcional opcional opcional opcional TIA específico recomendado + opcional opcional opcional opcional opcional opcional opcional opcional limitación pseudonimización funcional fraude detection. (4) Google Workspace evaluación · DPF certificación Google verificable + opcional opcional opcional opcional opcional adequacy decision EU-US DPF aplicable + opcional opcional opcional opcional opcional opcional opciones datacenter EU disponibles + opcional opcional opcional opcional opcional opcional opcional configuración región específica + opcional opcional opcional opcional opcional opcional opcional opcional TIA específico recomendado. (5) Microsoft 365 evaluación · similar Google · DPF + EU datacenter + opcional opcional opcional opcional opcional configuración EU Data Boundary disponible + opcional opcional opcional opcional opcional opcional opcional TIA específico recomendado. (6) Casos específicos clínica · clínica pequeña 1-3 profesionales · vendor extranjero típico habitual + opcional opcional opcional opcional opcional evaluación TIA obligatoria + opcional opcional opcional opcional opcional opcional documentación accesible AEPD + opcional opcional opcional opcional opcional opcional opcional NO opcional ausencia evaluación. (7) Clínica mediana 5-15 profesionales · ampliación vendor opcional · multi-vendor SaaS habitual + opcional opcional opcional opcional opcional opcional cada vendor evaluación separada + opcional opcional opcional opcional opcional opcional opcional consolidación inventory transferencias + opcional opcional opcional opcional opcional opcional opcional revisión periódica obligatoria. (8) Clínica grande >15 profesionales · vendor empresarial frecuente + opcional opcional opcional opcional opcional opcional DPO obligatorio típicamente Art. 37 RGPD + opcional opcional opcional opcional opcional opcional opcional inventory transferencias internacionales detallado + opcional opcional opcional opcional opcional opcional opcional opcional auditoría externa RGPD recomendada + opcional opcional opcional opcional opcional opcional opcional opcional opcional asesoramiento legal especializado continuo. Inventory transferencias clínica · listado completo vendor extranjero utilizado + opcional opcional opcional categorías datos transferidos cada vendor + opcional opcional opcional opcional volumen transferencia + opcional opcional opcional opcional opcional adequacy aplicable + opcional opcional opcional opcional opcional opcional SCCs vigentes + opcional opcional opcional opcional opcional opcional opcional TIA documentado + opcional opcional opcional opcional opcional opcional opcional opcional medidas suplementarias adoptadas + opcional opcional opcional opcional opcional opcional opcional opcional opcional revisión semestral obligatoria.

11. Tabla evaluación vendor + transferencias + medidas requeridas

12. Checklist evaluación vendor extranjero clínica

• Inventory completo vendor extranjero · listado actualizado + opcional categorías datos
• Identificación país jurisdicción vendor · datacenter + opcional acceso administrativo
• Verificación adequacy decision aplicable · listado Comisión Europea consultado
• Si DPF EU-US · verificación certificación específica vendor lista pública
• Si NO adequacy · SCCs vigentes 2021/914 verificadas + opcional módulos correctos
• Documentación SCCs aceptadas accesible · fecha + opcional versión + opcional módulos
• TIA Transfer Impact Assessment documentado caso concreto · obligatorio Schrems II
• Análisis legislación tercero país acceso autoridades · documentado fundamentado
• Medidas suplementarias técnicas evaluadas · cifrado + opcional pseudonimización
• Datos categoría especial salud Art. 9 · medidas reforzadas verificadas aplicables
• Información Art. 13-14 pacientes incluye transferencias internacionales destinos
• Registro actividades tratamiento Art. 30 detalla transferencias internacionales
• Revisión periódica anual mínima vendor extranjero · cambios circunstancias
• Asesoramiento legal especializado RGPD transferencias accesible · contacto activo
• Plan contingencia vendor alternativo EU disponible · evaluación viabilidad

Recursos relacionados · RGPD WhatsApp clínicas · DPO obligatorio RGPD · consentimiento explícito vs tácito · compliance roadmap.