Bruselas, 20 de octubre - Durante su último pleno, el CEPD adoptó dos dictámenes sobre los proyectos de decisión de la Comisión Europea relativos a la prórroga de la validez de las decisiones de adecuación del Reino Unido en virtud del Reglamento general de protección de datos (RGPD) y la Directiva sobre protección de datos en el ámbito penal (Directiva sobre protección de datos en el ámbito penal) hasta diciembre de 2031*.
Los dictámenes del CEPD, solicitados por la Comisión de conformidad con el artículo 70, apartado 1, letra s), del RGPD y el artículo 51, apartado 1, letra g), de la Directiva sobre protección de datos en el ámbito penal, abordan la propuesta de prórroga de seis años de las dos decisiones de adecuación del Reino Unido, que expirarán en diciembre de 2025.
La ampliación de la validez de las decisiones de adecuación del Reino Unido permitirá a las organizaciones y autoridades competentes con sede en Europa seguir transfiriendo datos a organizaciones y autoridades con sede en el Reino Unido sin aplicar garantías adicionales.**
«ElCEPD acoge con satisfacción la continua armonización entre el marco de protección de datos del Reino Unido y de Europa, a pesar de los recientes cambios en el marco jurídico del Reino Unido.
Pido a la Comisión Europea que aborde los puntos destacados por la Junta y que garantice un seguimiento eficaz una vez que se adopten las decisiones. Esto aumentará la solidez de la adecuación del Reino Unido y garantizará una mayor seguridad jurídica para las organizaciones y las autoridades competentes que transfieran datos personales de Europa al Reino Unido».
Presidente del CEPD, Anu Talus
Acerca de la opinión del RGPD
Según el Comité, la mayoría de los cambios introducidos en el marco de protección de datos del Reino Unido tienen por objeto aclarar y facilitar el cumplimiento de la legislación.
Podrían aclararse más algunos aspectos del proyecto de decisión.
El CEPD invita a la Comisión Europea a seguir analizando y supervisando los cambios en la Ley de Revocación y Reforma del Derecho de la Unión de 2023, también conocida como Ley REUL, en particular la supresión del principio de primacía del Derecho de la Unión y la supresión de la aplicación directa de los principios del Derecho de la Unión.
El CEPD señala que se han otorgado al secretario de Estado nuevas competencias para introducir cambios en el nuevo marco de protección de datos, a través de reglamentos secundarios que requieren menos control parlamentario. Este es el caso de las transferencias internacionales, la toma de decisiones automatizada y la gobernanza de la Oficina del Comisionado de Información (ICO). El CEPD invita a la Comisión a abordar los posibles riesgos de divergencia destacando, en la decisión final de adecuación, los ámbitos que tienen la intención de supervisar cuidadosamente.
El CEPD también anima a la Comisión a seguir elaborando su evaluación y supervisando las normas sobre las transferencias del Reino Unido a terceros países. La nueva prueba de adecuación, introducida por la Ley de Datos (Uso y Acceso) de 2025, exige que el nivel de protección del tercer país no sea materialmente inferior al proporcionado a los interesados por el marco del Reino Unido, pero esta prueba no se refiere al riesgo de acceso gubernamental, la existencia de reparación para las personas y la necesidad de una autoridad de control independiente.
La Comisión también debe seguir evaluando y supervisando el supuesto uso por parte del Gobierno del Reino Unido de las notificaciones de capacidad técnica («NTP») que exigen a las empresas que eludan el cifrado, ya que esto crearía vulnerabilidades sistémicas y supondría un riesgo para la integridad y la confidencialidad de las comunicaciones electrónicas.
Por último, el CEPD pide a la Comisión que siga evaluando y supervisando los cambios en la estructura del ICO y el ejercicio de sus facultades correctoras. En este contexto, el CEPD toma nota positivamente de la política de transparencia de la OIC y de la disponibilidad de los datos estadísticos y analíticos de sus actividades de ejecución.
Las nuevas decisiones de adecuación se añadirán a las decisiones de 2021, que seguirán aplicándose a los ámbitos no cubiertos en los proyectos de decisión de 2025. El CEPD se basa en sus dictámenes de 2021 (14/2021 y 15/2021). En particular, la estrecha armonización entre el marco del RGPD y el marco jurídico del Reino Unido sobre disposiciones clave, destacada en 2021, sigue siendo válida en la actualidad (incluidas, por ejemplo, la transparencia, los derechos de los interesados y las categorías especiales de datos).
Acerca de la opinión del LED
El CEPD acoge con satisfacción la armonización continua entre el marco de protección de datos en Europa y el Reino Unido, y anima a la Comisión a complementar su evaluación de los aspectos relacionados con las exenciones de seguridad nacional. Tales exenciones pueden renunciar a la mayoría de los principios de protección de datos y algunas normas internacionales de transferencia para las autoridades policiales, y también limitan las competencias de ejecución e inspección de la ICO.
El CEPD invita a la Comisión a que analice las normas del Reino Unido sobre las transferencias de datos personales a terceros países, en particular la nueva prueba de adecuación, de la misma manera que en el dictamen del RGPD.
La Junta también señala el enfoque más permisivo para la toma de decisiones automatizada y los nuevos poderes conferidos al Secretario de Estado en este asunto. Recuerda la importancia de una revisión humana significativa e insta a la Comisión a que aclare y supervise las posibles exenciones del derecho de las personas a obtener intervención humana.
Por último, el CEPD reconoce que el sistema de supervisión de las fuerzas y cuerpos de seguridad penales, así como los mecanismos de recurso, permanecen prácticamente sin cambios, y reitera la necesidad de que la Comisión supervise de cerca la aplicación de las facultades correctoras y las vías de recurso para las personas en el marco de protección de datos del Reino Unido.
Nota a los editores:
* El 22 de julio de 2025, la Comisión Europea publicó dos proyectos de modificación de las decisiones de ejecución sobre la protección adecuada de los datos personales por parte del Reino Unido de conformidad con el artículo 45, apartado 3, del RGPD y el artículo 36, apartado 3, de la Directiva sobre protección de datos en el ámbito penal. Estos proyectos de decisión tienen por objeto prorrogar la validez de las anteriores decisiones de adecuación adoptadas el 28 de junio de 2021.
En mayo de 2025, la Comisión adoptó una decisión para prorrogar la validez de la decisión de adecuación del Reino Unido por seis meses más, de junio a diciembre de 2025. El CEPD adoptó un dictamen sobre esta prórroga en mayo de 2025.
** Una decisión de adecuación es un mecanismo clave en la legislación de protección de datos de la UE que permite a la Comisión Europea determinar si un tercer país o una organización internacional ofrece un nivel adecuado de protección de datos. La Comisión Europea está facultada para determinar, sobre la base del artículo 45 del Reglamento (UE) 2016/679, si un país no perteneciente a la UE ofrece un nivel adecuado de protección de datos.
La adopción de una decisión de adecuación implica: 1) una propuesta de la Comisión Europea; 2) un dictamen del Comité Europeo de Protección de Datos; 3) una aprobación de los representantes de los países de la UE; 4) la adopción de la decisión por la Comisión Europea.
El comunicado de prensa publicado aquí ha sido traducido automáticamente del inglés. El CEPD no garantiza la exactitud de la traducción. Por favor, consulte el texto oficial en su versión en inglés si hay alguna duda.