Soberanía de datos en automatización: lo que el RGPD obliga a plantearse antes de conectar tu empresa a herramientas en la nube

Antes de que el primer dato de un cliente, empleado o paciente cruce los servidores de una plataforma de automatización, hay una pregunta que pocas empresas medianas se hacen con la precisión necesaria: ¿Dónde se procesan esos datos, bajo qué jurisdicción y qué ocurre si esa jurisdicción no es la Unión Europea?

El Reglamento General de Protección de Datos establece condiciones específicas para las transferencias de datos personales a terceros países [1]. No es un requisito burocrático ni un detalle técnico. Es una obligación legal con consecuencias directas: la Agencia Española de Protección de Datos impuso multas superiores a 7 millones de euros en 2023 a empresas españolas por infracciones del RGPD, siendo las transferencias internacionales sin garantías adecuadas una de las categorías más sancionadas [10].

Este artículo no es un análisis jurídico. Es una guía práctica para que el COO o el director de operaciones de una empresa de entre 50 y 500 empleados sepa qué preguntas debe responder antes de firmar un contrato con cualquier plataforma de automatización en la nube, con qué herramientas puede tener más control y en qué casos el self-hosting deja de ser una opción técnica para convertirse en una obligación.

NOTA LEGAL
Aviso importante: este artículo no constituye asesoramiento legal. Las implicaciones específicas del RGPD para cada organización dependen de sus actividades de tratamiento concretas. Ante cualquier duda, consulte con un delegado de protección de datos o asesor jurídico especializado.

Lo que dice el RGPD sobre transferencias internacionales de datos

El RGPD no prohíbe enviar datos fuera de la Unión Europea. Establece condiciones. Los artículos 44 a 49 del Reglamento regulan cuándo y cómo pueden transferirse datos personales a países terceros [1]. Hay tres mecanismos principales que lo permiten: la decisión de adecuación de la Comisión Europea (el país destino tiene un nivel de protección equivalente al europeo), las cláusulas contractuales tipo (contratos estándar aprobados por la Comisión que el proveedor firma) y las normas corporativas vinculantes (aplicables principalmente a transferencias intragrupo en multinacionales).

Estados Unidos dispone de una decisión de adecuación desde julio de 2023 —el Marco de Privacidad UE-EE.UU. (Decisión de Ejecución 2023/1795)—, que reemplaza al Privacy Shield invalidado por el Tribunal de Justicia de la UE en 2020 [2]. Esto significa que transferir datos a empresas estadounidenses certificadas bajo este marco es, en principio, conforme al RGPD. El problema es que la solidez jurídica de este acuerdo sigue siendo cuestionada y que la certificación es voluntaria: no todas las plataformas SaaS estadounidenses están certificadas.

Para sectores regulados —sanidad (Ley 41/2002), servicios financieros (Directiva MiFID II), infraestructuras críticas (Directiva NIS2)—, las obligaciones van más allá del RGPD [11]. La Directiva NIS2, de aplicación desde octubre de 2024, añade requisitos de gestión de riesgos en la cadena de suministro tecnológico, lo que incluye a los proveedores de automatización con acceso a sistemas internos.

Mapa de residencia de datos por plataforma (verificado a marzo de 2026)

Las diferencias entre plataformas en este punto son sustanciales. Lo que sigue no es una opinión: son los datos publicados por cada proveedor en su documentación oficial y verificados a la fecha de publicación de este artículo.

Cuándo el self-hosting deja de ser una opción técnica y se convierte en obligación

Hay tres situaciones en las que el debate sobre qué plataforma cloud elegir deja de ser relevante, porque la respuesta correcta es no usar ninguna plataforma cloud para ese flujo concreto.

1. Datos de salud y registros de pacientes

La Ley 41/2002 de autonomía del paciente y el Reglamento (UE) 2016/679 establecen un régimen reforzado para los datos relativos a la salud (categoría especial de datos, artículo 9 RGPD). Cualquier automatización que procese datos de pacientes —historiales, resultados de pruebas, citas médicas, facturación vinculada a diagnóstico— debe realizarse con garantías de que esos datos no abandonan la infraestructura controlada por la organización sanitaria, o que el proveedor cuenta con certificaciones específicas (HIPAA en EE.UU., medidas equivalentes en la UE) y firma un contrato de encargado de tratamiento conforme al artículo 28 del RGPD.

Para clínicas, hospitales, aseguradoras médicas y cualquier empresa con acceso a datos de salud, n8n self-hosted o Xano en plan Custom con cumplimiento HIPAA son, de las opciones analizadas en este artículo, las únicas que pueden cumplir este requisito.

2. Secreto bancario y datos financieros

Las entidades financieras —y las empresas que prestan servicios a entidades financieras— están sujetas a la Directiva MiFID II, a la Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito, y en muchos casos a los requisitos de la Autoridad Bancaria Europea sobre subcontratación de servicios en la nube (EBA/GL/2019/02). Estos marcos no prohíben el cloud, pero exigen que la entidad mantenga control efectivo sobre los datos y pueda auditar al proveedor.

Las plataformas que ofrecen self-hosting o EU data residency verificable con SLA contractual son las que mejor encajan con estos requisitos.

3. Datos de menores de edad

El artículo 8 del RGPD y la Ley Orgánica 3/2018 (LOPDGDD) establecen condiciones específicas para el tratamiento de datos de menores. En España, el consentimiento de menores de 14 años requiere autorización de los padres o tutores.

Las organizaciones educativas, academias y cualquier empresa que atienda a menores deben evaluar con especial cuidado qué flujos de automatización involucran datos de alumnos, sus familias o sus rendimientos académicos, y garantizar que esos datos no se transmiten a plataformas fuera de la UE sin las garantías adecuadas.

Checklist de cumplimiento RGPD antes de implementar cualquier automatización

Lo que sigue es una lista de verificación práctica para que el equipo directivo pueda evaluar cualquier plataforma de automatización antes de contratarla. No sustituye a una auditoría jurídica, pero identifica los puntos críticos que deben estar resueltos antes de que el primer dato de producción cruce los servidores del proveedor [3].

El coste real de no preguntarlo antes

El argumento habitual para no abordar este análisis antes de contratar una plataforma es la urgencia: hay un proceso que resolver ahora, el proveedor tiene buena pinta y «ya veremos lo del RGPD». El problema es que el momento de descubrir que una automatización en producción incumple el RGPD es siempre el peor: cuando hay datos de miles de clientes procesándose en servidores que no deberían estar haciéndolo.

Según Deloitte, el 45% de los incidentes de ciberseguridad con impacto significativo en 2023 fue atribuido a un proveedor o tercero con acceso a los sistemas de la organización [12]. Las plataformas de automatización son, por definición, terceros con acceso a los datos que fluyen por los procesos de la empresa. Gartner estima que para 2025 el 75% de la población mundial estará cubierta por regulaciones de privacidad modernas [3]. La tendencia es hacia más regulación, no hacia menos.

El argumento económico también es claro. Migrar una automatización en producción —con todos los workflows, integraciones y datos históricos— de una plataforma a otra porque la primera no cumple los requisitos de residencia de datos tiene un coste real: tiempo de ingeniería, riesgo de pérdida de datos y un período de disrupción operativa. Hacer la pregunta antes de contratar tiene coste cero.

La decisión de qué plataforma de automatización usar no es solo técnica. Es jurídica y operativa al mismo tiempo. El equipo técnico puede evaluar las integraciones y el precio. Solo el responsable del tratamiento —que en la mayoría de las pymes medianas es el CEO o el COO— puede decidir qué nivel de riesgo regulatorio es aceptable para la organización.

Self-hosting como estrategia, no como opción de último recurso

Durante años, el self-hosting fue la opción de las organizaciones con recursos técnicos y presupuesto para servidores propios. La aparición de plataformas como n8n (automatización open-source), Supabase (base de datos PostgreSQL autoalojable) o Xano (backend no-code con opción on-premise) ha cambiado este cálculo: hoy es posible construir una arquitectura de automatización y datos completamente en la infraestructura propia de la empresa, con herramientas modernas y sin el coste de licencia que antes hacía inaccesible esta opción.

Para empresas en sectores regulados —sanidad, seguros, banca, educación con datos de menores, infraestructuras críticas bajo NIS2—, el self-hosting no es una opción técnica elegante. Es la respuesta más directa a una pregunta regulatoria: ¿dónde están mis datos? Si la respuesta es «en nuestros propios servidores», el análisis de cumplimiento se simplifica radicalmente.

Para el resto de empresas medianas —aquellas que no operan en sectores con requisitos especiales—, la elección entre cloud con EU data residency y self-hosting depende del volumen de datos, del perfil técnico del equipo y del apetito de riesgo regulatorio de la dirección. Lo que ya no es aceptable es tomar esa decisión sin haberla planteado.

Referencias

1. Reglamento(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de2016, relativo a la protección de las personas físicas en lo querespecta al tratamiento de datos personales y a la libre circulaciónde estos datos. DOUE L 119/1, 4.5.2016. Los artículos 44 a 49regulan las transferencias de datos personales a terceros países uorganizaciones internacionales.

2. AgenciaEspañola de Protección de Datos (AEPD). (2023). Guía sobretransferencias internacionales de datos. AEPD.https://www.aepd.es/guias/guia-transferencias-internacionales.pdf —La AEPD establece que las transferencias a países sin decisión deadecuación de la Comisión Europea requieren garantías adicionales(cláusulas contractuales tipo, normas corporativas vinculantes).EE.UU. dispone de Marco de Privacidad UE-EE.UU. desde julio 2023(Decisión de Ejecución UE 2023/1795), aunque su estabilidadjurídica es objeto de debate.

3. Gartner.(2024). Predicts 2025: Privacy, Data Security and Risk Management.Gartner Research. Gartner estima que para 2025 el 75% de la poblaciónmundial verá sus datos personales cubiertos por regulaciones deprivacidad modernas. En la UE, el RGPD ya afecta a todas lasorganizaciones que traten datos de residentes europeos,independientemente de su tamaño.

4. ONTSI/ Red.es. (2024). Tecnologías digitales en la empresa 2023.Observatorio Nacional de Tecnología y Sociedad.https://www.ontsi.es/es/publicaciones/tecnologias-digitales-en-la-empresa-2023— Solo el 13,9% de empresas españolas analiza big data; el 74,2%de las pymes tienen nivel básico de intensidad digital. El KitDigital (Real Decreto-ley 36/2020) ofrece subvenciones de hasta€29.000 por empresa para digitalización, incluyendo herramientasde gestión y automatización.

5. Make.(2026). Enterprise Plan. https://www.make.com/en/enterprise — Makeofrece EU data residency como opción en su plan Enterprise, conservidores ubicados en la Unión Europea. La sede legal de Make esPraga, República Checa (UE). El On-Prem Agent permite acceso a redeslocales sin exponer puertos al exterior.

6. n8n.(2026). Pricing & Self-hosting. https://n8n.io/pricing — n8nopera su cloud desde infraestructura europea (Berlín). La versiónCommunity (self-hosted) es gratuita bajo licencia fair-code y permiteinstalación en infraestructura propia sin ningún dato saliendo delos servidores de la organización. El plan Enterprise incluyeSSO/SAML, audit logs, RBAC y HA clustering.

7. Zapier.(2026). Plans & Pricing. https://zapier.com/pricing — Zapiertiene sede en San Francisco, California (EE.UU.) y no ofrece EU dataresidency en sus planes estándar. Las transferencias a Zapier desdela UE están cubiertas por el Marco de Privacidad UE-EE.UU. (Decisión2023/1795), cuya solidez jurídica a largo plazo sigue siendoevaluada por los tribunales europeos.

8. Xano.(2026). Security & Compliance. https://www.xano.com/security —Xano está certificado SOC 2 Type II, SOC 2 Type III e ISO 27001.HIPAA disponible como add-on ($500/mes). Self-hosting disponible enplan Custom (AWS, Azure, GCP u on-premise). SLA del 99,99% en planPro.

9. Supabase.(2025). Enterprise. https://supabase.com/enterprise — Supabaseofrece self-hosting completo (código abierto bajo licencia Apache2.0 para el core). En octubre 2025 alcanzó valoración de $5.000M(Series E, Accel + Peak XV). Clientes enterprise verificados: PwC,McDonald's, Johnson & Johnson, GitHub Next. Disponible en AWSMarketplace desde diciembre 2025.

10. AgenciaEspañola de Protección de Datos (AEPD). (2024). Procedimientossancionadores resueltos 2023–2024. AEPD.https://www.aepd.es/resoluciones — La AEPD impuso multas por valortotal superior a €7M en 2023 por infracciones del RGPD a empresasespañolas. Las infracciones más frecuentes incluyen transferenciasinternacionales sin garantías adecuadas y falta de base jurídicapara el tratamiento.

11. Directive(EU) 2022/2555 (NIS2), artículo 21. Medidas de gestión de riesgosde ciberseguridad para entidades esenciales e importantes. LaDirectiva NIS2, de aplicación desde octubre 2024 en los Estadosmiembro que la han transpuesto, añade obligaciones de seguridad paraorganizaciones en sectores críticos (energía, transporte, salud,infraestructuras digitales, administración pública) que incluyen lagestión de la cadena de suministro tecnológico.

12. Deloitte.(2023). 2023 Global Future of Cyber Survey. Deloitte Insights.https://www.deloitte.com/global/en/services/risk-advisory/research/future-of-cyber.html— El 91% de las organizaciones encuestadas sufrió al menos unincidente de ciberseguridad con impacto significativo en el últimoaño. El 45% atribuye el incidente a un proveedor o tercero conacceso a sus sistemas. Los servicios de automatización cloud son unvector de riesgo creciente cuando no se audita la cadena de datos.