Resumen
- La transferencia internacional de datos ocurre cuando los datos personales recopilados en tu sitio web se envían a servidores en otro país. El Artículo 30 del GDPR (ROPAs) y el Artículo 28 (obligaciones del procesador), junto con los requisitos de divulgación de la CCPA, exigen que los propietarios de sitios web documenten a dónde se envían los datos.
- Comienza por inventariar quién recopila datos (todos los recopiladores de datos de terceros en tu sitio). Asocia cada recopilador de datos con una base legal.
- Monitorea a dónde se envían realmente los datos. Observa los dominios externos, las regiones de alojamiento y los subprocesadores. Puedes obtener una vista rápida mediante inspección manual en las herramientas de desarrollo del navegador. O usa una herramienta automatizada como cside Privacy Watch para un monitoreo continuo.
- Esta información alimenta tu documentación de cumplimiento de privacidad a través de ROPAs, DPAs, divulgaciones de privacidad y auditorías de incidentes. Además, los cambios repentinos en los destinos de los datos (como hacia Rusia o China) son señales tempranas de una brecha de datos en el sitio web.
4 pasos para rastrear transferencias de datos transfronterizas e internacionales en tu sitio web
1. Inventaría quién transfiere datos en tu sitio
Para rastrear las transferencias internacionales de datos, es necesario entender dónde comienza realmente la recopilación de datos. Esto incluye tanto los elementos de primera parte que controlas directamente como los servicios de terceros integrados en tu sitio.
Recopilación de datos de primera parte (tu propio equipo):
Los componentes de primera parte, como formularios de contacto, integraciones de CRM y herramientas de analítica desarrolladas internamente, pueden desencadenar flujos de datos salientes. Es fácil pasar por alto puntos de recopilación en tu sitio o no tener claro quién es el responsable (marketing, soporte o desarrolladores).
Recopilación de datos de terceros (proveedores y herramientas):
Los scripts de terceros merecen especial atención. La mayoría de los equipos no saben cómo funcionan los scripts de terceros en segundo plano, y hay decenas de ellos en un sitio web típico según la investigación de Web Almanac. Herramientas como plataformas de analítica, píxeles publicitarios, widgets de chat, scripts de pruebas A/B o bibliotecas de desarrollo se cargan desde dominios externos y pueden enviar datos personales a través de fronteras sin autorización.
Esos scripts de terceros cargan scripts de cuarta parte, que pueden cargar scripts de quinta parte, y así sucesivamente. Puede que hayas aprobado el script de terceros, pero eres invisible a todos los subprocesadores que hay más abajo en la cadena de suministro.
Los 'inventarios de proveedores' que viven en herramientas generales de cumplimiento son un buen punto de partida. Pero no monitorean la ejecución de código en el navegador. Hemos hablado con empresas que se dieron cuenta de que todavía tenían código activo procesando datos en su sitio web de proveedores que habían sido dados de baja meses atrás.
Crear un inventario manual de toda la recopilación de datos de terceros en tu sitio web implica:
- Inspeccionar el código fuente de tu sitio en busca de fragmentos de código de terceros
- Inspeccionar los gestores de etiquetas (como Google Tag Manager) en busca de rastreadores de datos ocultos
- Repetir este proceso de forma continua a medida que se agregan, eliminan o actualizan nuevos scripts.
Las herramientas de seguridad web como cside automatizan este proceso con monitoreo continuo. Puedes comenzar con un escaneo gratuito de scripts de terceros en tu sitio web.
2. Entiende qué datos se transfieren en tu sitio
Una vez que conoces los puntos de recopilación de primera y tercera parte en tu sitio, el siguiente objetivo es entender qué datos recopilan y envían fuera del sitio.
- Hay entradas obvias como nombres, direcciones de correo electrónico y números de teléfono.
- Los scripts de terceros capturan silenciosamente identificadores como direcciones IP, cookies, IDs de sesión, detalles del dispositivo o metadatos de ubicación.
- Los datos sensibles se introducen a través de flujos KYC (licencias de conducir, pasaportes) y los chatbots de soporte reciben imágenes de datos de cuentas de los clientes.
Algunos puntos de datos individuales son respetuosos con la privacidad, pero al combinarlos pueden calificar como datos personales bajo el GDPR y pueden considerarse una "compartición" bajo la CCPA (incluso si la intención era simplemente medir el sitio).
Por eso, cada flujo de datos debe vincularse a su categoría de base legal para cada marco normativo con el que estés cumpliendo.
Mapear los tipos de datos a la justificación legal es la forma en que las organizaciones demuestran responsabilidad durante las auditorías para las divulgaciones de "compartición" de la CCPA y responden a las preguntas regulatorias sobre los derechos de los interesados.
Tu inventario debería tener columnas con algo como esto:
Con los datos sensibles debes extremar las precauciones. La información de salud, los datos de ubicación precisa, los identificadores biométricos o las opiniones políticas suelen requerir consentimiento explícito y salvaguardas más sólidas. Incluso la recopilación accidental puede generar obligaciones de cumplimiento, especialmente en sectores regulados como el sanitario.
3. Monitorea a dónde se envían los datos
Ahora necesitas visibilidad sobre a dónde van los datos una vez que salen del navegador del usuario. El código de primera y tercera parte enviará datos a dominios externos para su almacenamiento o procesamiento. Esos servidores externos pueden estar alojados en diferentes estados o países.
- Tu formulario de pago captura el correo electrónico de un cliente en California, pero los servidores de tu proveedor de correo electrónico están en Frankfurt.
- Un visitante en Londres carga tu página de inicio. Un script de analítica envía datos a servidores en EE. UU. o APAC. Acabas de desencadenar un flujo de datos internacional.
Estos destinos determinan si un flujo de datos se convierte en una transferencia transfronteriza con implicaciones regulatorias.
El Departamento de Justicia de EE. UU. restringe las grandes transferencias de datos personales sensibles a países de preocupación, que incluyen China, Rusia, Irán, Corea del Norte, Cuba y Venezuela.
Esto no es un ejercicio de revisión puntual. Los proveedores de terceros y los SDKs cambian su código con frecuencia o añaden nuevos subprocesadores. Una sola actualización puede redirigir los flujos de datos a un nuevo país sin previo aviso. Las obligaciones del Artículo 44 del GDPR y de la CCPA §1798.100 en materia de compartición y divulgación implican una responsabilidad continua de seguimiento del movimiento de datos.
Las comprobaciones manuales mediante las DevTools del navegador o herramientas de monitoreo de red como la pestaña "Network" de Chrome permiten ver al instante a dónde se enviaron las solicitudes. Sin embargo, esto se vuelve inmanejable debido a los cambios en scripts y dominios. Además, estas revisiones manuales solo muestran una instantánea rápida, lo que las hace insuficientes para la documentación de cumplimiento.
4. Documenta las transferencias transfronterizas para los requisitos regulatorios (GDPR y CCPA)
Cuando los reguladores preguntan cómo salen los datos personales de tu sitio web, esperan una respuesta documentada, no reconstruida a posteriori.
Bajo el GDPR, las transferencias transfronterizas están cubiertas explícitamente en los Artículos 44 al 50. Estos artículos obligan a las organizaciones a registrar a dónde se envían los datos, qué salvaguardas se aplican a esos datos y el mecanismo legal que respalda cada transferencia.
El Artículo 30 del GDPR (ROPAs) exige documentación sobre el movimiento de datos a terceros países u organizaciones internacionales.
El Artículo 28 del GDPR (obligaciones del procesador) requiere que los DPAs muestren:
- Qué subprocesadores se utilizan
- Dónde se procesan los datos
- Cómo se gestionan las transferencias posteriores
Los DPAs reflejan lo que un proveedor afirma que es cierto. Sin el monitoreo de scripts de terceros, es imposible verificar que dichos scripts se comporten realmente de esa manera en tu sitio. Si un proveedor de terceros se ve comprometido en un ataque a la cadena de suministro, los DPAs serán ignorados y se producirá una recopilación excesiva de datos sin que tu equipo lo note.
La CCPA se centra en la transparencia; las empresas deben mostrar**:**
- Qué terceros reciben datos personales
- Si esos datos se consideran una venta o una compartición
- Cómo se aplican los derechos del consumidor en esas divulgaciones
Cómo ayuda cside con el seguimiento de transferencias internacionales de datos

cside Privacy Watch monitorea cada script de terceros en tu sitio web en busca de riesgos de seguridad y violaciones de privacidad ocultas. Los ingenieros de seguridad web de cside se especializan en monitorear la ejecución de código en el navegador y desarrollaron Privacy Watch al darse cuenta de que el software de cumplimiento tradicional no detectaba los eventos de exfiltración de datos.
Como capa en el stack GRC empresarial, la plataforma de monitoreo de sitios web de cside te ayuda a:
- Rastrear todos los puntos de recopilación de datos en tu sitio web (desde código de primera parte y proveedores de terceros)
- Alertar cuando se cambian los destinos de los datos o cuando los proveedores recopilan nuevos datos
- Detectar código malicioso inyectado en tu sitio que roba datos de usuarios (web skimming)
- Identificar código de terceros mal configurado en tu sitio web que viola el cumplimiento de privacidad
- Comparar el código activo del sitio web con los inventarios de proveedores en tus herramientas GRC para garantizar que los proveedores dados de baja no tengan código todavía presente en tu sitio
Otras buenas prácticas para la transferencia internacional de datos
Revisa las políticas de tus proveedores
Comienza con la política de privacidad y el DPA del proveedor. Busca:
- Dónde se procesan los datos
- Qué subprocesadores están involucrados
- Qué salvaguardas tienen implementadas los procesadores
Asegúrate de verificar las políticas declaradas con lo que muestra el monitoreo técnico. Los scripts de terceros pueden comportarse de manera diferente a lo que indican los DPAs si hay configuraciones incorrectas o inyecciones de código malicioso. Puedes ver ejemplos de seguimiento de DPAs en nuestro blog cómo hacer que tu sitio web cumpla con el GDPR
Cifra los datos en tránsito y en almacenamiento
El cifrado es una salvaguarda importante cuando los datos personales se mueven a través de fronteras y entre herramientas como CRMs, almacenes de datos y APIs. Reduce la exposición si los datos son interceptados o accedidos por partes no autorizadas.
Un punto a tener en cuenta: el cifrado generalmente entra en acción después de que los datos enviados por un usuario (como un formulario) entran en el perímetro de la seguridad de tu red/API. Los datos pueden ser robados antes de entrar en este perímetro a través del web skimming.
Qué leyes exigen la documentación de transferencias internacionales de datos:
| Marco normativo de privacidad | Requisito / Artículo | Qué exige |
|---|---|---|
| GDPR | Artículos 44 al 50 (Transferencias a terceros países) | Las transferencias fuera de la UE/EEE requieren salvaguardas aprobadas |
| GDPR | Artículo 30 (ROPAs) | Los responsables del tratamiento deben documentar los destinatarios en terceros países y las salvaguardas utilizadas |
| GDPR | Artículo 28 (DPAs) | Los DPAs deben definir los lugares de tratamiento y las transferencias posteriores a subprocesadores |
| CCPA / CPRA | §1798.100 (Transparencia) | Las empresas deben divulgar las categorías de información personal recopilada y compartida |
| Departamento de Justicia de EE. UU. | Programa de Seguridad de Datos | Restricciones a la transferencia internacional de datos a China, Rusia, Irán, Corea del Norte, Cuba y Venezuela |






