Quan tries una plataforma al núvol o una API de videoconferència, la pregunta sempre sorgeix: el RGPD obliga a emmagatzemar les dades dins de la Unió Europea?
Si estàs comparant proveïdors per a aplicacions SaaS, sanitàries, educatives o del sector públic, aquest article t'ofereix claredat. Desglossem la normativa en un llenguatge senzill, expliquem conceptes com la residència de dades i la jurisdicció, i t'ajudem a prendre una decisió que redueixi el risc legal sense complicar la teva infraestructura.
A Catalunya, aquest tema és especialment rellevant. L'Autoritat Catalana de Protecció de Dades (APDCAT) ha publicat recentment un decàleg de principis bàsics per a la contractació de plataformes educatives digitals i ha sancionat centres educatius per incompliments amb plataformes com Google Workspace. Comprendre com funciona la protecció de dades és essencial per a qualsevol organització catalana.
Taula de continguts
La resposta curta: no, el RGPD no obliga que les dades estiguin físicament dins de la UE. Però sí que regula fortament qualsevol transferència de dades personals a països fora de l'Espai Econòmic Europeu (EEE).
Aquesta diferència és important i fàcil de malinterpretar. No estàs obligat legalment a utilitzar servidors exclusivament europeus, però en el moment que emmagatzemes o processes dades personals fora de l'EEE (o permetis l'accés des de fora), s'aplica el Capítol V del RGPD (articles 44-50).
Els instruments clau del Capítol V són:
Article 44 — Principi general de transferències. Qualsevol transferència de dades personals a un tercer país només pot tenir lloc si es compleixen les condicions del Capítol.
Article 45 — Decisions d'adequació. Les transferències es permeten cap a països que la Comissió Europea considera que ofereixen un nivell «adequat» de protecció.
Article 46 — Garanties addicionals. Si no hi ha decisió d'adequació, les transferències poden fer-se amb Clàusules Contractuals Tipus (CCT) o Normes Corporatives Vinculants (NCV).
Article 49 — Excepcions. Inclou el consentiment de l'usuari o la necessitat per executar un contracte, però és per a casos excepcionals, no per a operacions habituals.
Perquè fins i tot si les dades estan físicament a la UE, si el proveïdor del servei té seu en un tercer país (com els Estats Units), el RGPD tracta aquesta situació com una transferència restringida.
Aquesta posició es va consolidar amb la sentència Schrems II (TJUE, Cas C-311/18, 2020), que va invalidar el marc EU-US Privacy Shield. El tribunal va dictaminar que les lleis de vigilància dels EUA (com FISA Section 702 i l'Executive Order 12333) no ofereixen als ciutadans de la UE mecanismes de reparació adequats.
Com a resultat, les CCT per si soles no són suficients. Cal fer una Avaluació d'Impacte de la Transferència (AIT), aplicar mesures tècniques complementàries (com el xifratge) i revisar periòdicament les transferències. Això crea una càrrega legal contínua, especialment per a pimes, institucions públiques i projectes finançats amb fons europeus.
La manera més senzilla d'evitar aquesta càrrega legal és mantenir les dades dins de l'EEE o transferir-les només a països amb decisió d'adequació de la Comissió Europea.
A data de 2025, els països amb decisions d'adequació completes inclouen: Andorra, Argentina, Canadà (organitzacions comercials), Illes Fèroe, Guernsey, Israel, Illa de Man, Japó, Jersey, Nova Zelanda, República de Corea, Suïssa, Regne Unit i Uruguai.
Els Estats Units no estan en aquesta llista. El nou marc EU-US Data Privacy Framework (DPF) existeix, però la seva viabilitat a llarg termini és incerta per les impugnacions legals previstes.
Si tries un proveïdor que allotja totes les dades dins de la UE, que és propietat d'una entitat europea i opera sota jurisdicció de la UE, i que no depèn de subprocessadors de tercers països, aleshores el Capítol V del RGPD no s'aplica. No hi ha «transferència» segons la llei i, per tant, no calen CCT, AIT, mesures complementàries ni risc d'invalidació per lleis de vigilància estrangeres.
| Escenari | Risc legal | Càrrega de compliment |
|---|---|---|
| Proveïdor UE, propietat UE | Baix | Mínima |
| Servidors UE, propietat EUA | Alt | CCT + AIT + extres |
| Servidors EUA, propietat EUA | Molt alt | Extensa |
| Transferències a països «adequats» | Mitjà | Documentació requerida |
| Excepcions Article 49 | Alt | Només per a ús excepcional |
Aquests tres termes sovint es confonen però tenen significats diferents per a la teva estratègia de compliment.
Residència de dades: on s'emmagatzemen físicament les dades. Afecta l'exposició legal i les normes locals de privadesa.
Jurisdicció: quin país té l'autoritat legal per accedir a les dades. Determina si les dades estan subjectes a la llei de la UE o a règims de vigilància estrangers.
Sobirania de dades: el principi que les dades es regeixen per les lleis del país on s'emmagatzemen. Clau per al sector públic, la sanitat i les operacions alineades amb el RGPD.
Un exemple pràctic: si el teu proveïdor té la seu als EUA però els servidors a Alemanya, les dades no surten físicament de la UE (residència a Alemanya). Però legalment, el proveïdor està subjecte a la jurisdicció dels EUA, incloent-hi la CLOUD Act, que pot obligar a revelar dades a les autoritats nord-americanes. Per al RGPD, això significa que les dades estan en risc d'accés estranger i s'aplica el Capítol V.
Per això es diu que no és només on són els servidors, sinó qui els controla.
L'article 44 del RGPD i la sentència Schrems II deixen clar que enviar dades personals fora de la UE comporta riscos elevats.
Accés per agències de vigilància estrangeres. Proveïdors amb seu als EUA poden ser obligats legalment a entregar dades d'usuaris, fins i tot si estan emmagatzemades a Europa.
Documentació complexa. Necessites CCT, avaluacions de riscos i proves de mesures tècniques per a cada transferència. Això requereix coneixement jurídic especialitzat i crea una càrrega administrativa recurrent.
Incertesa legal. El Privacy Shield va ser invalidat; marcs similars com el DPF s'enfronten a impugnacions legals constants. Dependre d'aquests mecanismes posa el teu compliment en risc.
Restriccions en la contractació pública. Licitacions del sector públic i projectes finançats per la UE sovint exigeixen allotjament i jurisdicció exclusivament a la UE.
Pèrdua de confiança. Per a sectors sensibles, emmagatzemar dades sota control estranger pot danyar la reputació i la confiança dels usuaris.
Catalunya té la seva pròpia autoritat de protecció de dades: l'Autoritat Catalana de Protecció de Dades (APDCAT), amb competència sobre el sector públic de Catalunya i un paper actiu en la regulació de la privadesa digital.
El 2026, l'APDCAT, conjuntament amb l'AEPD, l'Autoritat Basca i el Consell d'Andalusia, ha publicat un decàleg de principis bàsics per a la contractació de plataformes educatives digitals. El document estableix 10 punts clau que els centres educatius han de complir, incloent-hi garanties en transferències internacionals, avaluació d'impacte, contracte d'encarregat del tractament i protecció de dades des del disseny.
Això és directament rellevant per a escoles i universitats catalanes que utilitzen plataformes de videoconferència per a aules virtuals. Triar un proveïdor amb allotjament a la UE i sense transferències a tercers països simplifica enormement el compliment d'aquest decàleg.
L'APDCAT va sancionar una escola pública de Barcelona per cinc infraccions del RGPD relacionades amb l'ús de Google Workspace for Education: manca de transparència, absència d'anàlisi de riscos, manca d'avaluació d'impacte, contracte d'encarregat invàlid i falta de participació del delegat de protecció de dades. La resolució posa de manifest que les condicions contractuals de les grans plataformes nord-americanes són difícilment assumibles per centres educatius individuals.
L'APDCAT ha desenvolupat la primera metodologia europea per avaluar l'impacte de la intel·ligència artificial en els drets fonamentals (AIDF), validada amb casos reals en educació, salut, gestió de personal i benestar social. Amb l'entrada en vigor del Reglament d'Intel·ligència Artificial (RIA), les organitzacions que utilitzen IA hauran de realitzar avaluacions similars.
Digital Samba ha dissenyat la seva plataforma des de zero per complir les expectatives d'equips europeus, especialment els que treballen amb dades sensibles o regulades.
Allotjament 100% a la UE. Totes les dades de vídeo, emmagatzematge i API es gestionen exclusivament en centres de dades europeus (Països Baixos, Alemanya, França, Polònia) propietat d'entitats de la UE.
Jurisdicció exclusivament europea. Digital Samba és una empresa amb seu a Barcelona, registrada a Espanya. Les dades no estan subjectes a lleis d'accés estrangeres com la CLOUD Act o FISA.
Sense transferències a tercers països. La infraestructura i les operacions no depenen de subprocessadors ni proveïdors de núvol de fora de la UE.
Xifratge d'extrem a extrem. Les sessions de videoconferència es xifren al dispositiu de l'usuari amb AES-256-GCM. Ni tan sols Digital Samba pot accedir al contingut de les sessions E2EE.
Compliment sense complexitat. Triar Digital Samba significa: sense CCT, sense AIT, sense revisió legal addicional. Ideal per a educació, sanitat i sector públic.
Sol·licita una demostració i comprova com de senzill pot ser el compliment del RGPD.