EXPEDIENTE Nº IV /

Soberanía europea: cómo el hosting de tu web está vulnerando el RGPD

Transferencias internacionales de datos en webs corporativas: Google Fonts, embeds externos, hosting bajo jurisdicción americana y la CLOUD Act. Lo que el Landgericht München, el TJUE y la AEPD ya han resuelto.

Sunt mala quae libas, ipse venena bibas.

La Acusación

Tu web tiene un banner de cookies. Tienes una política de privacidad. Tienes un proveedor de hosting que, según su página de ventas, cumple con el RGPD. Crees que la cuestión de las transferencias internacionales de datos es un problema de las grandes plataformas, no de una web corporativa con cinco páginas y un formulario de contacto.

La jurisprudencia europea lleva tres años resolviendo exactamente eso. Y la respuesta no es la que esperabas.

Cada vez que un visitante carga tu web, su navegador no solo descarga tu contenido. Ejecuta una lista de peticiones a servidores externos que tu código genera de forma automática: la fuente tipográfica que tu tema llama desde un CDN de Google, el vídeo de YouTube incrustado en tu página de servicios, el mapa de Google embebido en la sección de contacto, el widget de redes sociales que alguien instaló porque "quedaba bien". Cada una de esas peticiones contiene, en su cabecera HTTP, la dirección IP del visitante. Y cada una de esas direcciones IP viaja a un servidor fuera del Espacio Económico Europeo antes de que el usuario haya pulsado ningún botón, leído ningún banner y prestado ningún consentimiento.

Eso no es un detalle técnico. Es una transferencia internacional de datos personales sin base jurídica válida. Y hay sentencias que lo dicen con esa misma precisión.

El Cuerpo del Delito

El precedente que lo cambió todo: LG München, 3 O 17493/20

El 20 de enero de 2022, el Landgericht München —Tribunal Regional de Munich— dictó sentencia en el asunto 3 O 17493/20. Un visitante había accedido a una web que cargaba Google Fonts desde los servidores de Google. Al hacerlo, su navegador envió la dirección IP a Google LLC, con sede en EE. UU. Sin consentimiento previo. Sin información. Sin base jurídica.

El tribunal concluyó que una dirección IP dinámica constituye un dato personal en el sentido del artículo 4.1 del RGPD, porque el titular del dominio puede, en abstracto, combinarla con otros datos para identificar al visitante. La transmisión de esa dirección IP a Google sin consentimiento del interesado vulneró el derecho a la autodeterminación informativa del demandante. El tribunal concedió 100 euros de indemnización en virtud del artículo 82.1 del RGPD, y ordenó a la web cesar en esa práctica.

La cuantía es simbólica. Lo que no es simbólico es el razonamiento. El tribunal dejó constancia expresa de que lo que Google hiciera o no con la IP recibida era irrelevante para la declaración de infracción: la transferencia no autorizada al servidor americano, por sí misma, constituía la vulneración. Y añadió que el mismo problema no existiría si la fuente se sirviera desde el propio servidor del titular, opción técnicamente disponible desde el primer día.

El razonamiento del LG München no se limita a Google Fonts. Se extiende, por idéntica lógica, a cualquier recurso externo que tu web cargue en el navegador del visitante: vídeos de YouTube, mapas de Google, widgets de redes sociales, librerías de scripts alojadas en CDNs americanos, píxeles de conversión, herramientas de chat en vivo. El mecanismo es el mismo en todos los casos. La IP viaja. Sin consentimiento previo, sin base jurídica, sin que el visitante haya tomado ninguna decisión.

El Tribunal General de la UE condena a la Comisión Europea

En enero de 2025, el Tribunal General de la Unión Europea dictó sentencia en el asunto T-354/22, Bindl contra Comisión. Un ciudadano alemán visitó el sitio web de la Conferencia sobre el Futuro de Europa, de gestión directa por la propia Comisión Europea. Esa web mostraba un botón "Conectarse con Facebook". Al cargar la página, el navegador transfirió automáticamente la dirección IP del visitante a Meta Platforms, con sede en EE. UU. En ese momento no existía ninguna decisión de adecuación de la Comisión que cubriera esa transferencia —el Privacy Shield había sido invalidado y el Data Privacy Framework aún no estaba en vigor—.

El Tribunal condenó a la Comisión al pago de daños. La institución que redacta el RGPD fue sancionada por no cumplirlo en su propia web por un botón de login que generó, de forma automatizada, una transferencia internacional de datos sin base jurídica en el momento exacto en que se produjo.

Si el estándar se aplica a la Comisión Europea, se aplica a cualquier titular de dominio que muestre un botón de red social, un mapa embebido o una fuente externa en su servidor.

El suelo que se mueve: Safe Harbour, Privacy Shield, Data Privacy Framework

La historia de las transferencias de datos entre la UE y EE. UU. es la historia de tres marcos jurídicos sucesivos, dos de ellos ya invalidados por el Tribunal de Justicia de la UE, y uno tercero que navega bajo una amenaza estructural que ninguna cláusula contractual puede neutralizar.

Safe Harbour fue invalidado por el TJUE en octubre de 2015 (Schrems I, C-362/14): no garantizaba protección equivalente a la europea frente al acceso de las agencias de inteligencia americanas.

Privacy Shield fue invalidado por el TJUE en julio de 2020 (Schrems II, C-311/18): los mismos problemas estructurales, más la constatación de que la Sección 702 de la FISA y la Executive Order 12333 permitían vigilancia masiva incompatible con el derecho europeo.

EU-US Data Privacy Framework entró en vigor el 10 de julio de 2023. Permite las transferencias a empresas americanas certificadas bajo el programa. Ya ha superado su primer desafío judicial ante el Tribunal General —que lo evaluó tal como estaba en su fecha de adopción—. Pero el Parlamento Europeo advirtió en mayo de 2023 que el marco no establece la equivalencia esencial requerida. Max Schrems, cuyas impugnaciones tumbaron los dos anteriores, tiene el recurso preparado. Y en la primavera de 2025, la administración americana cesó a tres de los cinco miembros del Privacy and Civil Liberties Oversight Board —el organismo americano que supervisa los compromisos de inteligencia en los que descansa el DPF—, dejándolo sin quórum. El mecanismo de control que hacía jurídicamente sostenible el marco quedó desactivado por un cambio de administración, no por ninguna decisión del TJUE.

Dicho sin rodeos: el marco en el que hoy se amparan las transferencias a Google, Meta y cualquier otro proveedor americano lleva incorporado el mismo punto de fragilidad política que destruyó a sus predecesores. No hay forma de saber si seguirá en pie el año que viene.

La CLOUD Act: cuando el datacenter europeo no es suficiente

Asumir que un servidor físicamente ubicado en Europa garantiza la soberanía del dato es un error de categoría. La CLOUD Act americana de 2018 —Clarifying Lawful Overseas Use of Data Act— otorga a las autoridades de EE. UU. la potestad de exigir a cualquier empresa sujeta a jurisdicción americana que entregue datos almacenados en sus servidores, independientemente del país donde estén ubicados físicamente.

Amazon, Google, Microsoft, Cloudflare: todas tienen sede en EE. UU. y todas están sujetas a la CLOUD Act. Si tu web está alojada en un datacenter europeo de cualquiera de estas empresas —o si usa sus CDNs, sus servicios de DNS, sus herramientas de seguridad—, las autoridades americanas pueden solicitar acceso a esos datos mediante una orden judicial americana, sin necesidad de notificar a ninguna autoridad europea y sin que el RGPD pueda, en la práctica, impedirlo.

La Sección 702 de la FISA, reautorizada en abril de 2024 con alcance ampliado hasta 2026, permite adicionalmente la vigilancia de comunicaciones de no estadounidenses. El informe de revisión del EDPB de noviembre de 2024 ya solicitó una reevaluación del DPF en tres años a la vista de estos elementos. Las evaluaciones de impacto de la transferencia realizadas con honestidad —las que exige la Recomendación 01/2020 del EDPB tras Schrems II— identifican el riesgo de la CLOUD Act como no mitigado sin medidas técnicas específicas: cifrado con claves controladas por el cliente y retenidas dentro del EEE.

Una empresa europea con sede exclusivamente europea, sin entidad matriz sujeta a legislación americana, sin subencargados americanos para el procesamiento de datos primarios, no está sujeta a la CLOUD Act. La elección del proveedor no es una decisión técnica de infraestructura. Es una decisión jurídica sobre quién tiene acceso potencial a los datos de tus visitantes.

El hosting compartido: la superficie de exposición que nadie menciona en el contrato

Más allá de la jurisdicción del proveedor, el hosting compartido introduce una segunda categoría de riesgo que los contratos de mantenimiento web estándar no contemplan: la cohabitación de múltiples clientes en el mismo entorno de servidor.

En un entorno multi-tenant, una vulnerabilidad en el sitio de otro cliente del mismo servidor puede convertirse en un vector de acceso a los datos del tuyo. Las técnicas de escalada de privilegios entre entornos compartidos están documentadas y activas. El titular del dominio no tiene visibilidad sobre quiénes son sus vecinos en el servidor ni qué medidas de seguridad aplican. Paga por un espacio en una infraestructura compartida cuya superficie de ataque está determinada por el cliente más descuidado del conjunto.

Cada petición HTTP que tu web genera en el navegador de tu visitante es una decisión jurídica. Si esa petición va a un servidor fuera del EEE, es una transferencia internacional de datos personales. La dirección IP viaja antes de que el usuario lea el banner. El consentimiento que ese banner intenta recoger llega demasiado tarde para la transferencia que ya se produjo.

La Sentencia

El problema de las transferencias internacionales no se resuelve añadiendo una cláusula a la política de privacidad. Ni sustituyendo el proveedor de hosting por otro con datacenter en Frankfurt pero sede en Virginia. Ni esperando a que la Comisión Europea y la administración americana alcancen un cuarto acuerdo que resuelva lo que los tres anteriores no resolvieron.

Se resuelve en el código.

Una web que no llama a ningún servidor externo no genera ninguna transferencia internacional. Sin Google Fonts, sin YouTube embebido, sin mapa de Google en la página de contacto, sin CDN americano sirviendo las librerías de JavaScript, sin píxel de conversión de ninguna plataforma americana: no hay petición HTTP que lleve una IP a ningún servidor fuera del EEE. La transferencia no se produce porque el código que la generaría no existe.

Las fuentes tipográficas se sirven desde el propio servidor, en el mismo dominio. Los recursos estáticos —imágenes, scripts, hojas de estilo— residen en infraestructura dentro del EEE, en un proveedor sin entidad matriz sujeta a legislación americana. No hay embed externo porque el código no lo necesita.

El resultado no es solo la ausencia de transferencias ilegales. Es la ausencia de algo que declarar en la política de privacidad sobre transferencias internacionales. Y la ausencia de algo que defender ante una inspección. Cuando el código no genera la transferencia, ningún cambio de administración, ninguna invalidación de ningún marco de adecuación y ninguna orden judicial americana puede afectar a los datos de tus visitantes. Porque no viajaron.

El Cuervo es el archivo de diagnóstico de PRIBECY_

⟵ VOLVER AL REGISTRO