GOLIVE
Volver al blog
Developpement Offshore

Offshore y RGPD: ¿están realmente seguros sus datos con un equipo en Vietnam?

El RGPD no prohíbe el offshore. Pero sin cláusulas contractuales tipo, cifrado y cesión de PI, está jugando con fuego. Así se asegura un proveedor en Vietnam.

13 de junio de 2026 9 min de lecturaPor Vincent Roye
RGPD, transferencia de datos fuera de la UE, propiedad del código: cláusulas y medidas técnicas para externalizar con total conformidad con un equipo offshore en Vietnam.

Ha encontrado el equipo offshore ideal en Vietnam. Las tarifas son competitivas, los perfiles técnicos sólidos, el primer sprint va bien. Entonces su DPO hace la pregunta que enfría a todo el mundo: «¿Y el RGPD, qué hacemos con eso?»

Es la objeción B2B más frecuente que encuentro entre los CTO y responsables de ingeniería franceses. Es legítima. Pero en el 90 % de los casos, no es el RGPD lo que bloquea: es la falta de estructuración contractual y técnica. El reglamento europeo nunca ha prohibido la externalización fuera de la UE. Exige un marco. Voy a mostrarle exactamente cuál.

  • ⚖️ RGPD compatible: el reglamento autoriza el offshore si existe un marco contractual (SCC).
  • 🔒 Medidas técnicas: cifrado, accesos compartimentados y auditorías periódicas son obligatorios.
  • 📝 PI cedida al cliente: la cesión del código y el NDA deben figurar en el contrato.
  • 🇻🇳 Vietnam reforzado: el país ha endurecido su protección de la propiedad intelectual en 2026.

¿El RGPD prohíbe realmente el offshore?

La respuesta corta: no. El RGPD (Reglamento General de Protección de Datos, aplicable desde el 25 de mayo de 2018) no dice en ninguna parte «no puede externalizar fuera de Europa». Lo que dice es que el responsable del tratamiento sigue siendo responsable, incluso cuando un tercero trata los datos por su cuenta.

Según la CNIL, toda empresa europea que recurra a un subcontratista fuera de la UE debe asegurarse de que el nivel de protección de datos sea «esencialmente equivalente» al garantizado por el derecho europeo. El proveedor offshore no escapa a las normas: las aplica dentro del marco fijado por el contrato.

¿Por qué se confunde a menudo offshore con riesgo RGPD?

La confusión viene de un atajo mental. Muchos responsables B2B creen que toda transferencia de datos fuera de la UE está prohibida. Es falso. El RGPD prevé explícitamente mecanismos para encuadrar estas transferencias: decisiones de adecuación de la Comisión Europea, cláusulas contractuales tipo (SCC) o normas corporativas vinculantes (BCR).

Vietnam no se beneficia de una decisión de adecuación (a diferencia de Japón o Corea del Sur). Eso significa que hace falta un marco adicional, no que sea imposible. Según la guía publicada por advancia-teleservices.com, el proveedor está obligado a respetar las obligaciones del RGPD desde el momento en que el contrato incluye las garantías apropiadas.

El offshore mal encuadrado es arriesgado. El offshore estructurado es conforme.

¿Qué sanciones hay en caso de incumplimiento?

Las cifras son claras: hasta 20 millones de euros o el 4 % de la facturación mundial, según el importe más elevado. En 2025, la CNIL impuso 87 sanciones por un total de 55 millones de euros. El tema no es teórico: los controles se centran cada vez más en los subcontratistas extraeuropeos, incluido el desarrollo de software.

Transferencia de datos fuera de la UE: las garantías concretas

Cuando externaliza desarrollo en Vietnam, la pregunta no es «¿van a transitar datos?» sino «¿qué datos, con qué protecciones?». Un proyecto de desarrollo web o móvil puede funcionar perfectamente sin exponer datos personales a los equipos offshore.

¿Cómo encuadrar una transferencia de datos fuera de la UE?

El mecanismo estándar es el recurso a las cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea en junio de 2021. Estas cláusulas se integran directamente en el contrato de prestación. Definen las obligaciones del subcontratista (el proveedor offshore) y las del responsable del tratamiento (su empresa).

Según scalemycrew.com, la buena práctica consiste en proporcionar un entorno de desarrollo sin datos reales de usuarios, crear cuentas de prueba sin acceso a información sensible y restringir los accesos a los elementos estrictamente necesarios para la misión.

En concreto, estas son las medidas técnicas que hay que implementar:

  • Cifrado de los datos en tránsito (TLS 1.3) y en reposo (AES-256)
  • Accesos compartimentados por entorno (dev, staging, producción)
  • Registro de accesos con trazabilidad completa
  • Auditorías periódicas (trimestrales como mínimo) de las prácticas del proveedor
  • Seudonimización o anonimización de los conjuntos de datos de prueba
Medida de seguridad Offshore no estructurado Offshore estructurado (SCC + medidas) Tendencia
Cláusulas contractuales tipo Ausentes Integradas en el contrato ↑ obligatorio
Cifrado de datos Parcial o ausente TLS 1.3 + AES-256 ↑ estándar
Compartimentación de accesos Un solo entorno compartido Dev / staging / prod separados ↑ crítico
Auditoría del proveedor Nunca Trimestral como mínimo ↑ exigido CNIL
Datos de prueba Copia real de producción Anonimizados / sintéticos ↑ buena práctica

FUENTE: CNIL, Comisión Europea (SCC junio 2021) · ACT. 06/2026

Si su proveedor offshore no puede marcar cada una de estas casillas, el problema no es el país: es el proveedor. Para entender mejor cómo estructurar su desarrollo de software offshore en Vietnam, empiece por el marco contractual antes de hablar de técnica.

Propiedad intelectual y código fuente: ¿quién posee qué?

Es la segunda gran objeción. Usted paga 18 meses de desarrollo y, al final del contrato, ¿a quién pertenece el código? Sin cláusula explícita, la respuesta puede sorprenderle.

¿Quién posee el código en offshore?

En derecho francés, el principio es simple: salvo cesión expresa, el autor del código conserva sus derechos. Si su contrato no menciona la cesión de propiedad intelectual, el proveedor offshore sigue siendo jurídicamente propietario del código que ha producido para usted.

Vietnam ha reforzado su legislación sobre propiedad intelectual en 2026, alineando aún más su marco con los estándares internacionales (Convenio de Berna, acuerdos ADPIC de la OMC). Esto juega a favor de los clientes europeos: las cláusulas de cesión de PI insertadas en un contrato de derecho francés son reconocidas y oponibles.

¿Qué cláusulas contractuales son indispensables?

Estas son las cinco cláusulas que considero innegociables en cualquier contrato de desarrollo offshore:

  1. Cesión íntegra de la PI: todo el código fuente, la documentación técnica y los assets creados durante la misión se ceden al cliente, sin restricción de territorio ni de duración.

  2. NDA (acuerdo de confidencialidad) firmado por cada miembro del equipo, no solo por la empresa proveedora.

  3. Cláusula de seguridad de datos que describa las medidas técnicas (cifrado, accesos, registro) y las obligaciones de notificación en caso de incidente.

  4. Reglas de tratamiento conformes al RGPD (finalidad, duración de conservación, subcontratación ulterior prohibida sin acuerdo previo).

  5. Cláusula de reversibilidad que garantice la restitución completa del código, los datos y la documentación al final de la misión, con eliminación certificada por parte del proveedor.

Las ESN offshore estructuradas integran estas cláusulas en sus contratos estándar. Las que se niegan a discutirlas le envían una señal de alerta clara.

Lo que implemento en GoLive Software

Dirijo un equipo de desarrolladores senior en Vietnam desde hace varios años. La cuestión del RGPD y la PI no es un tema de FAQ para mí: es un compromiso contractual que asumo con cada cliente.

¿Cómo protege GoLive los datos de sus clientes?

En GoLive Software, el código y la propiedad intelectual se ceden al cliente desde la firma del contrato. Cada desarrollador del equipo firma un NDA individual. Los accesos están compartimentados por entorno: un dev que trabaja en el front-end no tiene acceso a la base de datos de producción.

Utilizo repositorios Git privados con autenticación de dos factores, gestores de secretos para las claves API, y los entornos de prueba funcionan con datos sintéticos. Ningún dato personal real transita por las máquinas del equipo vietnamita.

No es paranoia. Es el estándar mínimo para trabajar con clientes que manejan datos sensibles (SaaS B2B, fintech, healthtech). Y es precisamente este marco el que hace que el offshore en Vietnam sea más seguro que un freelance local sin contrato estructurado.

«El riesgo nunca es el país. Es la ausencia de un marco contractual y técnico.»

Vincent Roye, junio 2026

¿Cómo verificar la fiabilidad de un proveedor offshore?

Antes de firmar, haga estas cinco preguntas a su futuro proveedor:

  1. Muéstreme su modelo de NDA y sus cláusulas de cesión de PI.
  2. ¿Cómo compartimentan los accesos entre dev, staging y producción?
  3. ¿Qué certificaciones de seguridad tienen (ISO 27001, SOC 2)?
  4. ¿Cómo gestionan la eliminación de datos al finalizar el contrato?
  5. ¿Aceptan auditorías de seguridad periódicas realizadas por un tercero?

Un proveedor que responde con claridad a estos cinco puntos es un proveedor estructurado. Los que debe evitar en 2026 son los que eluden la pregunta o le remiten a un documento genérico.

El verdadero riesgo no es Vietnam

Después de ocho años dirigiendo equipos offshore, tengo una convicción firme: el país de implantación del proveedor es un falso problema. He visto agencias parisinas sin NDA, freelances europeos que suben secretos en texto plano a repositorios públicos de GitHub, y consultoras francesas incapaces de proporcionar un registro de tratamientos.

El mercado mundial de externalización IT debería alcanzar los 591 000 millones de dólares en 2025 según Statista, con una TCAC del 8,28 % hasta 2029. Este crecimiento hace que la cuestión del cumplimiento sea aún más urgente. Las empresas que estructuran su offshore hoy toman ventaja.

Mi modelo es simple: Vietnam + desarrolladores senior + IA + marco contractual sólido. El RGPD no frena esta ecuación. La valida, siempre que se juegue la carta de las SCC, el cifrado y la cesión de PI.

Si es CTO o responsable de ingeniería y el RGPD es su último freno para externalizar, haga las preguntas correctas al proveedor adecuado. La respuesta le sorprenderá: un offshore bien estructurado protege mejor sus datos que un proveedor local que nunca ha abierto el texto del reglamento.

Preguntas frecuentes

¿Es el offshore compatible con el RGPD?

Sí. El RGPD no prohíbe el tratamiento de datos fuera de la UE. Impone un marco: cláusulas contractuales tipo (SCC), medidas técnicas (cifrado, compartimentación de accesos) y documentación de los tratamientos. Un proveedor offshore estructurado puede ser plenamente conforme.

¿Cómo encuadrar una transferencia de datos fuera de la UE?

El mecanismo principal es la integración de cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea en el contrato de prestación. Estas cláusulas definen las obligaciones del subcontratista y los derechos del responsable del tratamiento. Deben completarse con medidas técnicas concretas: cifrado AES-256, accesos restringidos por entorno, registro de actividad y auditorías trimestrales.

¿Quién posee el código fuente en un contrato offshore?

Sin cláusula de cesión explícita, el proveedor sigue siendo propietario del código según el derecho francés. El contrato debe prever una cesión íntegra de la propiedad intelectual al cliente, sin restricción de duración ni de territorio. En GoLive Software, esta cesión se integra desde la firma del contrato.

¿Qué cláusulas contractuales son indispensables con un proveedor offshore?

Cinco cláusulas son innegociables: cesión íntegra de la PI, NDA individual para cada miembro del equipo, cláusula de seguridad de datos con medidas técnicas detalladas, reglas de tratamiento conformes al RGPD y cláusula de reversibilidad para la restitución del código al finalizar la misión.

¿Cómo verificar que un proveedor en Vietnam cumple con el RGPD?

Pida ver el modelo de NDA y las cláusulas de cesión de PI, verifique la compartimentación de accesos entre entornos, pregunte por las certificaciones (ISO 27001, SOC 2), exija un protocolo de eliminación de datos al finalizar el contrato y prevea auditorías de seguridad por parte de un tercero. Un proveedor que responde sin rodeos a estas preguntas es un proveedor fiable.

Vidéos YouTube

Articles & ressources

Vincent Roye
Vincent Roye
CEO y Fundador, GoLive Software

Ingeniero francés afincado en Vietnam desde 2014. Dirige un equipo de desarrolladores senior full-stack y acompaña a startups y pymes en la estructuración de su equipo técnico desde hace más de 11 años.

Otros artículos

Subcontratación en Vietnam, tiempo y materiales o precio fijo: el cálculo que nadie te enseña

¿Tiempo y materiales o precio fijo para tu proyecto offshore en Vietnam? He puesto las cifras reales lado a lado: coste mensual, margen de seguridad, riesgos ocultos. Aquí tienes el cálculo completo.

Leer →

Entregar un MVP en 2026: ¿cuántos días con un equipo offshore potenciado por IA?

Un MVP entregable en 20 a 40 días con un equipo offshore potenciado por IA es realista. Estas son las variables que marcan la diferencia entre un prototipo desechable y un producto de verdad.

Leer →

Software a medida: el precio real en 2026 (y por qué lo desarrollo en Vietnam)

Un software a medida cuesta entre 5 000 € y 250 000 € según la complejidad. Aquí van las cifras reales, los costes ocultos y por qué un equipo senior en Vietnam divide la factura por dos.

Leer →