NUEVOS DICTÁMENES DEL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS
EN MATERIA DE TRANSFERENCIAS INTERNACIONALES DE DATOS

El Comité Europeo de Protección de Datos (EDPB en inglés), organismo de la Unión Europea del que forma parte la Agencia Española de Protección de Datos, ha adoptado dos dictámenes sobre los proyectos de decisión de adecuación de la Comisión Europea relativos a Reino Unido en materia de transferencias
internacionales de datos.

Lo fundamental a tener en cuenta al respecto es que, los dictámenes, uno en relación con el Reglamento General de Protección de Datos (RGPD) y otro acerca de la Directiva sobre protección de datos en el ámbito penal, abordan la propuesta de prórroga de seis años de las dos decisiones de adecuación actualmente vigentes, que expirarán en diciembre de 2025.

Llegados a este punto, conviene recordar que, el pasado 22 de julio de 2025, la Comisión Europea inició el proceso para la adopción de su proyecto de decisión de ejecución sobre la protección adecuada de los datos personales por parte de Reino Unido de conformidad con el artículo 45.2 del RGPD. Este proyecto de decisión prorroga la validez de determinadas partes de la anterior decisión de adecuación de
28 de junio de 2021 hasta diciembre de 2031.

Pues bien, la evaluación del Comité Europeo de Protección de Datos (CEPD) sobre la adecuación del nivel de protección ofrecido por Reino Unido se realizó sobre la base del examen del propio proyecto de decisión, así como sobre la base de un análisis de la documentación facilitada por la Comisión Europea.

Respecto del Acuerdo entre Reino Unido y Estados Unidos, ha recalcado la necesidad de mejorar el nivel de garantías que ofrece el Acuerdo Marco UE-EE. UU., cuyas garantías de privacidad y protección de datos se incorporan al Acuerdo sobre la Ley de la Nube entre el Reino Unido y los Estados Unidos.

En este orden de cuestiones, el CEPD señala que es importante aclarar “la evaluación de la Comisión sobre el Acuerdo entre el Reino Unido y los Estados Unidos sobre la Ley Cloud y cualquier posible impacto en el nivel de protección e invita a la Comisión a seguir incluyendo el Acuerdo entre el Reino Unido y los Estados Unidos sobre la Ley Cloud en sus futuras evaluaciones como se ha señalado recientemente en la Declaración 05/2024, en la que el CEPD considera que el cifrado es esencial para garantizar la seguridad y la confidencialidad de los datos personales y las comunicaciones electrónicas. Las notificaciones de
capacidad técnica en virtud de la IPA de 2016, que obligan a las empresas a proporcionar la capacidad de eliminar el cifrado a petición del Gobierno, crean vulnerabilidades sistémicas y suponen una amenaza directa para la integridad y la confidencialidad de las comunicaciones electrónicas. Estos acontecimientos merecen atención en la decisión de adecuación, en particular a la luz del artículo 45, apartado 2, letra a), del RGPD, que exige una evaluación no solo del marco jurídico sobre el papel, sino también de su aplicación, y deben ser objeto de seguimiento.”

El CEPD ha comprobado también que la Ley de modificación de los poderes de investigación de 2024 introdujo un régimen específico para “la conservación y el examen de conjuntos de datos personales masivos respecto de los cuales las personas a las que se refieren los datos personales no podrían tener ninguna expectativa razonable de privacidad, o solo una expectativa baja”.

Asimismo, considera necesario que se aclaren más los cambios pertinentes, en particular en lo que respecta a los conceptos de “autorizaciones individuales” así como “autorizaciones por categorías”.

Y, por último, el CEPD ha expresado su preocupación respecto a que la Comisión revise la aplicación del término “expectativas razonables de privacidad bajas o nulas” en la práctica y no sólo de una manera teórica.

Seguiremos informando de este tipo de actuaciones a nivel europeo que indudablemente, traerán consigo diversas consecuencias no sólo a nivel jurídico sino también a nivel profesional.