Decisiones de Adecuación de la UE: Lista Completa de Países y Actualizaciones 2026
En virtud del Artículo 45 del RGPD, la Comisión Europea emite una decisión de adecuación cuando determina que un país no perteneciente a la UE ofrece un nivel de protección de datos esencialmente equivalente a los estándares de la UE. Esa designación permite que los datos personales fluyan libremente desde la UE hacia ese país sin necesidad de garantías adicionales, como las Cláusulas Contractuales Tipo.
Una decisión de adecuación de la UE es una determinación formal de la Comisión Europea según la cual un país fuera del Espacio Económico Europeo (EEE) ofrece un nivel de protección de datos "esencialmente equivalente" al garantizado dentro de la UE. Cuando un país recibe una decisión de adecuación, los datos personales pueden fluir libremente desde la UE hacia ese país sin que las organizaciones deban implementar garantías adicionales, como las Cláusulas Contractuales Tipo (CCT) o las Normas Corporativas Vinculantes.
El marco de adecuación está establecido en el Artículo 45 del RGPD, que fija los criterios que la Comisión debe evaluar y el procedimiento de adopción, revisión y revocación. Las decisiones de adecuación se encuentran entre los instrumentos más trascendentales de la protección internacional de datos, ya que determinan si es posible un flujo de datos transfronterizo sin fricciones entre la UE y sus socios comerciales.
Esta guía explica cómo funciona la adecuación, enumera todos los países y organizaciones que actualmente cuentan con ese estatus, describe la revisión de 2024 de las once decisiones previas al RGPD, la renovación del Reino Unido de diciembre de 2025, la decisión de Brasil de 2026, el Marco de Privacidad de Datos UE-EE. UU. y su historial de litigios, y lo que la adecuación significa para su organización.
Cómo Funcionan las Decisiones de Adecuación Conforme al Artículo 45 del RGPD
El Artículo 45 del RGPD faculta a la Comisión Europea para determinar que un tercer país, un territorio, uno o varios sectores específicos dentro de un tercer país, o una organización internacional garantizan un nivel de protección adecuado. El estándar jurídico no exige una protección idéntica, sino una "equivalencia esencial" con el derecho de la UE.
Los Criterios de Evaluación
Al evaluar la adecuación de un país, la Comisión considera varios factores establecidos en el Artículo 45(2):
Estado de derecho y derechos humanos: el marco jurídico general del país, incluida la legislación sobre seguridad nacional, interés público, derecho penal y acceso gubernamental a los datos personales. La existencia de un poder judicial independiente tiene un peso considerable.
Autoridad de control independiente: si el país cuenta con una o varias autoridades de protección de datos independientes con facultades de ejecución adecuadas, incluida la capacidad de investigar, intervenir y sancionar infracciones. La autoridad también debe prestar asistencia y asesoramiento a los interesados que ejercen sus derechos.
Compromisos internacionales: la participación del país en instrumentos internacionales de protección de datos, como el Convenio 108 del Consejo de Europa y su Protocolo modernizado (Convenio 108+), acuerdos bilaterales o multilaterales, y otras obligaciones jurídicamente vinculantes.
Derechos de los interesados: si las personas cuentan con derechos efectivos y exigibles, incluidos el acceso, la rectificación, la supresión y la limitación del tratamiento, así como el derecho a un recurso administrativo y judicial efectivo.
Normas sobre transferencias ulteriores: si el país impone condiciones a las transferencias posteriores de datos hacia otros terceros países, evitando que la adecuación se convierta en una vía indirecta para el flujo de datos hacia jurisdicciones con protecciones más débiles.
El Proceso de Adopción
La evaluación de adecuación es un proceso extenso. La Comisión realiza su análisis, con frecuencia a lo largo de varios años. El Comité Europeo de Protección de Datos (CEPD) emite un dictamen sobre el proyecto de decisión. Los representantes de los Estados miembros en un comité de comitología votan para aprobar la decisión. El Parlamento Europeo y el Consejo pueden solicitar a la Comisión que mantenga, modifique o retire una decisión.
Desde la evaluación inicial hasta la adopción final, el proceso suele tardar de dos a cuatro años. Los países que han ratificado el Convenio 108+, han establecido autoridades de control genuinamente independientes con verdadera capacidad de ejecución, y han promulgado legislación integral alineada con el RGPD tienden a avanzar más rápido en el proceso.
Seguimiento y Revisión Periódica
El Artículo 45(3) exige que la Comisión realice un seguimiento continuo de la evolución en los países adecuados. El Artículo 45(4) exige que informe periódicamente al Parlamento Europeo y al Consejo sobre el funcionamiento de las decisiones. Si la Comisión determina que un país ya no ofrece una equivalencia esencial, puede modificar, suspender o derogar la decisión.
Países con Decisiones de Adecuación de la UE
A partir de 2026, la Comisión Europea ha emitido decisiones de adecuación para 17 países, territorios y organizaciones. La lista incluye tanto las decisiones previas al RGPD (adoptadas originalmente bajo la Directiva de Protección de Datos de 1995 y que permanecen vigentes en virtud del Artículo 45(9) del RGPD) como las decisiones adoptadas desde la entrada en vigor del RGPD en mayo de 2018.
Decisiones de Adecuación Previas al RGPD (Era de la Directiva)
Estas decisiones se adoptaron en virtud de la Directiva 95/46/CE antes de que el RGPD entrara en vigor el 25 de mayo de 2018. Permanecen vigentes mientras no sean derogadas o modificadas.
Andorra (adoptada en octubre de 2010): la Ley Cualificada de Protección de Datos Personales de Andorra de 2003 y su autoridad de control independiente (APDA) sustentaron la declaración de adecuación. La revisión de la Comisión de enero de 2024 confirmó que la adecuación sigue estando justificada.
Argentina (adoptada en junio de 2003): la Ley de Protección de los Datos Personales de Argentina (Ley 25.326) y la Agencia de Acceso a la Información Pública (AAIP) constituyen la base de la adecuación. Argentina sigue siendo el único país sudamericano con adecuación de la UE, además de Brasil.
Canadá (adoptada en diciembre de 2001, parcial): la adecuación de Canadá se limita a las organizaciones sujetas a la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) en sus actividades comerciales. El tratamiento del sector público, las organizaciones no sujetas a la PIPEDA y la legislación provincial no reconocida como sustancialmente similar a la PIPEDA quedan fuera del alcance.
Islas Feroe (adoptada en marzo de 2010): un territorio autónomo dentro del Reino de Dinamarca con su propia legislación de protección de datos.
Guernsey (adoptada en noviembre de 2003): dependencia de la Corona británica con legislación de protección de datos que se ha alineado con el RGPD del Reino Unido tras el Brexit.
Isla de Man (adoptada en abril de 2004): dependencia de la Corona británica con un régimen de protección de datos independiente bajo la Information Commissioner's Office (Isla de Man).
Israel (adoptada en enero de 2011): la Ley de Protección de la Privacidad de Israel de 1981 y la Autoridad de Protección de la Privacidad conformaron el marco. Israel ha estado trabajando en la modernización de su legislación de privacidad para acercarla a los estándares del RGPD.
Jersey (adoptada en mayo de 2008): dependencia de la Corona británica con su propia legislación de protección de datos y autoridad de control (ODPA).
Nueva Zelanda (adoptada en diciembre de 2012): la Ley de Privacidad de Nueva Zelanda y la Oficina del Comisionado de Privacidad constituyeron la base de la adecuación. Nueva Zelanda promulgó una Ley de Privacidad significativamente modernizada en noviembre de 2020.
Suiza (adoptada en julio de 2000): una de las primeras decisiones de adecuación. Suiza promulgó una Ley Federal de Protección de Datos revisada (revFADP), vigente desde el 1 de septiembre de 2023, que moderniza su marco normativo para alinearlo más estrechamente con el RGPD. La Comisión ha estado supervisando si la revFADP refuerza la posición de adecuación de Suiza.
Uruguay (adoptada en agosto de 2012): la Ley de Protección de Datos Personales de Uruguay (Ley 18.331) y la Unidad Reguladora y de Control de Datos Personales (URCDP) respaldaron la declaración de adecuación.
Decisiones de Adecuación Posteriores al RGPD
Japón (adoptada en enero de 2019): la primera decisión de adecuación adoptada en virtud del RGPD. La Ley de Protección de la Información Personal de Japón (APPI) fue complementada con garantías adicionales negociadas específicamente con la UE, incluidas normas más estrictas sobre datos sensibles, transferencias ulteriores y derechos individuales. La Comisión completó su primera revisión en abril de 2023, concluyendo que la adecuación seguía estando justificada dado el alineamiento continuo de la APPI con los principios del RGPD.
República de Corea (Corea del Sur) (adoptada en diciembre de 2021): la Ley de Protección de la Información Personal de Corea del Sur (PIPA), sustancialmente modificada en 2020, y la Comisión de Protección de la Información Personal (PIPC) respaldaron la declaración. Corea asumió compromisos adicionales relativos al acceso gubernamental a los datos con fines de aplicación de la ley y seguridad nacional.
Reino Unido (adoptada en junio de 2021, renovada en diciembre de 2025): la decisión de adecuación del Reino Unido se aborda en detalle en su propia sección más adelante.
Estados Unidos (DPF) (adoptada en julio de 2023): la decisión de adecuación se aplica únicamente a las organizaciones estadounidenses certificadas bajo el Marco de Privacidad de Datos UE-EE. UU. (DPF). No existe una declaración de adecuación general para Estados Unidos. Las transferencias a organizaciones estadounidenses no certificadas siguen requiriendo CCT u otras garantías.
Brasil (adoptada el 26 de enero de 2026): la decisión de adecuación más reciente y completa hasta la fecha, y el primer acuerdo de adecuación mutua. Véase la sección detallada más adelante.
Organización Europea de Patentes (adoptada el 15 de julio de 2025): la primera decisión de adecuación adoptada para una organización internacional. Esto permite un flujo de datos fluido entre las entidades de la UE y la OEP en apoyo de la transformación digital del proceso de concesión de patentes.
La Revisión de Enero de 2024 de las Once Decisiones Previas al RGPD
El 15 de enero de 2024, la Comisión Europea publicó su Informe sobre la primera revisión periódica del funcionamiento de las once decisiones de adecuación adoptadas en virtud de la Directiva 95/46/CE (documento SWD(2024) 3 final, que acompaña a la comunicación de la Comisión COM/2024/7). Las once decisiones revisadas correspondían a: Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, la Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay.
Conclusión: las Once Siguen Ofreciendo Adecuación
La conclusión general de la Comisión fue que los once países y territorios continúan ofreciendo un nivel adecuado de protección de datos y que, en esta etapa, ninguna de las decisiones necesita ser retirada o modificada.
Observaciones Específicas por País
La revisión no fue una simple ratificación automática. La Comisión identificó áreas específicas que justifican un seguimiento continuo:
Respecto de Argentina, la Comisión señaló la necesidad de que el país complete su proceso de reforma legislativa para modernizar su ley de protección de datos del año 2000 y acercarla a los estándares del RGPD, e instó al nombramiento de un nuevo titular de la autoridad de control AAIP.
Respecto de Israel, la Comisión observó una reforma legislativa en curso para actualizar la Ley de Protección de la Privacidad y señaló que el alcance y la profundidad de la reforma serían relevantes para una futura evaluación de adecuación.
Respecto de Canadá, la Comisión advirtió sobre el proceso de reforma de la PIPEDA en curso (Proyecto de Ley C-27) y señaló que la implementación de la reforma afectaría a futuras revisiones de adecuación.
Respecto de Nueva Zelanda, la Comisión señaló el impacto positivo de las reformas de la Ley de Privacidad de 2020 y elogió el buen funcionamiento de la autoridad de control independiente del país.
La Comisión confirmó que las decisiones de adecuación relativas a Guernsey, la Isla de Man, Jersey, las Islas Feroe, Andorra, Suiza y Uruguay siguen funcionando satisfactoriamente, aunque recomendó mantener un seguimiento estrecho de la evolución normativa en cada jurisdicción.
La Decisión de Adecuación del Reino Unido: Cláusula de Extinción, Prórroga y Renovación de Diciembre de 2025
La decisión de adecuación del Reino Unido tiene una historia más compleja que cualquier otra decisión de adecuación, debido a la cláusula de extinción única incorporada en el momento de su adopción original.
La Decisión Original de 2021 y la Cláusula de Extinción
La Comisión adoptó la decisión de adecuación del Reino Unido el 28 de junio de 2021, justo antes de que expirara el mecanismo puente previsto en el Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido. A diferencia de cualquier otra decisión de adecuación, la decisión relativa al Reino Unido incluía una cláusula de extinción a cuatro años que provocaba su vencimiento automático el 27 de junio de 2025, salvo que fuera renovada. La cláusula se incorporó porque la Comisión deseaba conservar la posibilidad de reevaluar el marco de protección de datos del Reino Unido a medida que este evolucionara de manera independiente respecto del derecho de la UE tras el Brexit.
La Prórroga Técnica de Junio de 2025
A medida que se aproximaba la fecha de vencimiento del 27 de junio de 2025, la Comisión aún no había completado su proceso formal de renovación. El 24 de junio de 2025, la Comisión adoptó una breve prórroga técnica de las decisiones de adecuación del Reino Unido basadas tanto en el RGPD como en la Directiva de Aplicación de la Ley (LED), preservando así el flujo de datos mientras se finalizaba la evaluación de renovación.
La Renovación del 19 de Diciembre de 2025
El 19 de diciembre de 2025, la Comisión renovó formalmente las decisiones de adecuación del Reino Unido tanto en virtud del RGPD como de la Directiva de Aplicación de la Ley (LED). Las decisiones renovadas tienen una vigencia de seis años y vencen el 27 de diciembre de 2031. La Comisión se comprometió a realizar una revisión intermedia transcurridos cuatro años, en estrecha colaboración con el CEPD.
La Comisión concluyó que el Reino Unido continúa ofreciendo una protección de datos esencialmente equivalente pese a varios cambios legislativos introducidos desde 2021. Entre ellos destaca la promulgación por parte del Reino Unido de la Data (Use and Access) Act 2025 (DUAA), que recibió la sanción real el 19 de junio de 2025. La DUAA sustituyó al proyecto de Data Protection and Digital Information Bill, que contenía divergencias más significativas respecto de los estándares del RGPD. La Comisión evaluó la DUAA y concluyó que el marco general del Reino Unido seguía siendo esencialmente equivalente.
Dictamen del CEPD y Condiciones de Seguimiento
El CEPD adoptó su dictamen sobre el proyecto de decisiones de adecuación del Reino Unido en octubre de 2025. Si bien acogió con satisfacción la renovación, el CEPD instó a la Comisión a garantizar un seguimiento efectivo de varias áreas, entre ellas la exención migratoria del Reino Unido respecto de las normas de protección de datos, el Puente de Datos Reino Unido-Estados Unidos y sus implicaciones para las transferencias ulteriores de datos de la UE hacia Estados Unidos, y el riesgo de divergencia futura a medida que el marco del Reino Unido continúe desarrollándose de manera independiente.
La renovación implica que, durante el período de seis años hasta diciembre de 2031, las organizaciones pueden transferir datos personales libremente entre la UE y el Reino Unido en virtud de las decisiones de adecuación. Las organizaciones que se basan en la adecuación del Reino Unido deben mantenerse atentas a las condiciones de seguimiento y conservar planes de contingencia basados en CCT por si la Comisión decidiera no renovarla nuevamente en 2031.
Brasil: la Decisión de Adecuación Más Reciente (Enero de 2026)
El 26 de enero de 2026, la Comisión Europea adoptó la Decisión de Ejecución (UE) 2026/179, reconociendo que el marco de la LGPD de Brasil ofrece una protección de datos adecuada conforme al Artículo 45 del RGPD. Ese mismo día, la autoridad nacional de protección de datos de Brasil (ANPD) adoptó la Resolución CD/ANPD n.º 32, mediante la cual reconoció recíprocamente que la UE ofrece una protección adecuada conforme a la Ley General de Protección de Datos de Brasil (LGPD).
Qué Distingue a la Decisión de Brasil
La decisión sobre Brasil se distingue de las decisiones de adecuación anteriores en varios aspectos:
Reconocimiento mutuo: ambas partes reconocieron simultáneamente la adecuación de la otra, creando un acuerdo genuinamente bilateral. La Resolución 32 de la ANPD de Brasil refleja la decisión de la UE, permitiendo el flujo libre de datos en ambas direcciones.
El alcance sectorial más amplio: a diferencia de Canadá (únicamente actividades comerciales) y de Estados Unidos (únicamente organizaciones certificadas bajo el DPF), la adecuación de Brasil abarca tanto las transferencias del sector público como del privado, lo que la convierte en el acuerdo de adecuación más completo adoptado en virtud del RGPD.
Excepción de seguridad: la decisión no se aplica a las transferencias realizadas exclusivamente con fines de defensa nacional, seguridad del Estado o investigación penal, en consonancia con las propias exenciones de la LGPD en esas áreas.
Calendario de revisión: la decisión está sujeta a una revisión formal cada cuatro años, con la Comisión trabajando en estrecha colaboración con la ANPD en un seguimiento continuo.
Contexto: el Marco de Protección de Datos de Brasil
Brasil promulgó su Lei Geral de Proteção de Dados (LGPD) en 2018, vigente desde septiembre de 2020. La LGPD refleja estrechamente la estructura y los principios del RGPD, abarcando la base jurídica del tratamiento, los derechos de los interesados, la notificación de brechas de datos y los requisitos aplicables a los encargados de protección de datos. La ANPD se estableció como autoridad de control independiente y emitió reglamentos de ejecución sobre mecanismos de transferencia internacional de datos y notificación de incidentes de seguridad que alinearon aún más el marco de Brasil con los estándares de la UE.
La UE publicó un proyecto de decisión de adecuación en septiembre de 2025, tras un proceso de evaluación iniciado varios años antes. La decisión final se adoptó el 26 de enero de 2026.
El Marco de Privacidad de Datos UE-EE. UU.
El Marco de Privacidad de Datos UE-EE. UU. (DPF) fue adoptado como decisión de adecuación el 10 de julio de 2023, tras intensas negociaciones entre la Comisión y la administración Biden. El DPF sustituyó al marco Privacy Shield, que el Tribunal de Justicia de la Unión Europea (TJUE) había invalidado en la sentencia Schrems II de julio de 2020.
Cómo Funciona el DPF
A diferencia de las decisiones de adecuación de alcance nacional, el DPF es un esquema de autocertificación. Las organizaciones estadounidenses certifican voluntariamente su cumplimiento de los Principios del DPF a través de la International Trade Administration (ITA) en dataprivacyframework.gov. Las organizaciones certificadas se comprometen a cumplir los Principios del DPF y a someterse a la ejecución de la FTC y del Departamento de Transporte. Las personas de la UE pueden buscar reparación a través de un Tribunal de Revisión de Protección de Datos (DPRC) establecido por la Orden Ejecutiva 14086 para reclamos relativos a las actividades de inteligencia de señales de Estados Unidos.
La Primera Revisión Anual de Octubre de 2024
El 9 de octubre de 2024, la Comisión publicó su Informe sobre la primera revisión periódica del DPF UE-EE. UU. (COM(2024) 451 final). La reunión de revisión tuvo lugar en Washington, D.C., del 18 al 19 de julio de 2024.
Principales conclusiones: la Comisión constató que el DPF funcionaba según lo previsto durante su primer año, con una fuerte participación de pymes (el 70 % de las empresas certificadas son pymes) y una representación significativa del sector de las TIC (el 47 % de las certificaciones). Las autoridades estadounidenses confirmaron que no se habían producido cambios relevantes en el marco jurídico de seguridad nacional o de aplicación de la ley durante el primer año del DPF.
Litigio: el Caso Latombe (Septiembre de 2025)
El DPF enfrentó su primer desafío judicial en el asunto T-553/23, Philippe Latombe contra la Comisión Europea, ante el Tribunal General de la Unión Europea. El 3 de septiembre de 2025, el Tribunal General desestimó el recurso, confirmando que Estados Unidos garantiza un nivel adecuado de protección para los datos personales transferidos bajo el DPF. El Tribunal determinó que las actividades de inteligencia de señales de Estados Unidos están sujetas a la supervisión judicial del DPRC, cuyas decisiones son definitivas y vinculantes, cumpliendo así el estándar de equivalencia esencial establecido en Schrems II.
La decisión podría ser apelada ante el TJUE. NOYB (None of Your Business), la organización de defensa de la privacidad fundada por Max Schrems, ha indicado que está siguiendo de cerca los acontecimientos y que podría presentar un desafío separado y más amplio.
Incertidumbre Política Continua
La estabilidad a largo plazo del DPF enfrenta riesgos políticos derivados de las acciones de la administración Trump en 2025. Las principales preocupaciones incluyen:
PCLOB: en enero de 2025, la administración Trump destituyó a los miembros demócratas de la Junta de Supervisión de la Privacidad y las Libertades Civiles, dejando a la Junta sin cuórum. La PCLOB desempeña un papel en la supervisión del marco de vigilancia estadounidense que sustenta las garantías del DPF.
Independencia de la FTC: una orden ejecutiva sobre la rendición de cuentas de las agencias, emitida en febrero de 2025, generó dudas sobre si la FTC conserva la independencia suficiente para hacer cumplir los compromisos del DPF frente a las organizaciones certificadas.
Varias autoridades europeas de protección de datos, entre ellas el Datatilsynet de Noruega, el DSK de Alemania y el Datatilsynet de Dinamarca, emitieron orientaciones recomendando a las organizaciones desarrollar planes de contingencia para mecanismos de transferencia alternativos. Las organizaciones que se basan en el DPF deben mantener acuerdos de CCT actualizados como respaldo.
Cómo se Revocan o Impugnan las Decisiones de Adecuación
La historia de los marcos de transferencia de datos entre la UE y Estados Unidos ilustra la fragilidad de los acuerdos basados en la adecuación y las consecuencias de su revocación.
Schrems I: Safe Harbor (2015)
En octubre de 2015, el TJUE invalidó el marco Safe Harbor (asunto C-362/14, Schrems contra el Comisionado de Protección de Datos) tras las revelaciones sobre programas estadounidenses de vigilancia masiva divulgadas por Edward Snowden. El Tribunal determinó que la decisión de adecuación Safe Harbor de la Comisión no ofrecía una protección esencialmente equivalente, ya que el derecho estadounidense permitía el acceso masivo a los datos personales sin una supervisión judicial adecuada.
Schrems II: Privacy Shield (2020)
En julio de 2020, el TJUE invalidó el marco Privacy Shield (asunto C-311/18, Comisionado de Protección de Datos contra Facebook Ireland) por los mismos motivos esenciales: el derecho de vigilancia estadounidense no otorgaba a los interesados derechos exigibles ni un recurso judicial efectivo equivalente a los estándares de la UE. El Tribunal también confirmó que las Cláusulas Contractuales Tipo siguen siendo válidas, pero que los exportadores de datos deben realizar Evaluaciones de Impacto de la Transferencia antes de basarse en ellas.
Consecuencias Prácticas de la Revocación
Cuando una decisión de adecuación es invalidada, la base jurídica para las transferencias desaparece de inmediato. Tras Schrems II:
- Más de 5300 empresas estadounidenses que se habían basado en Privacy Shield como único mecanismo de transferencia tuvieron que implementar garantías alternativas con muy poco margen de tiempo.
- Las organizaciones de la UE se vieron obligadas a renegociar contratos con cientos de proveedores de servicios.
- Las autoridades de protección de datos iniciaron acciones de ejecución contra las transferencias hacia Estados Unidos que carecían de una base jurídica válida.
No existe un período de transición garantizado cuando se revoca la adecuación. Las organizaciones deben considerar la adecuación como una capa más de su estrategia de transferencia, y no como la única, y mantener acuerdos de CCT vigentes siempre que las decisiones de adecuación afecten flujos de datos críticos.
Adecuación Parcial y Específica por Sector
El RGPD permite expresamente la adecuación para "uno o varios sectores específicos" dentro de un país. Dos decisiones vigentes ilustran cómo funciona la adecuación parcial en la práctica.
Canadá: Únicamente Actividades Comerciales
La adecuación de Canadá se aplica únicamente a las organizaciones sujetas a la PIPEDA en sus actividades comerciales. El tratamiento realizado por agencias gubernamentales, los datos tratados bajo legislación provincial no reconocida como sustancialmente similar a la PIPEDA, y el tratamiento no comercial quedan fuera del alcance de la decisión.
Los esfuerzos de reforma de la protección de datos en Canadá se han prolongado durante varios años. El Proyecto de Ley C-27 (la Consumer Privacy Protection Act) sustituiría a la PIPEDA por un marco modernizado en caso de ser promulgado.
Estados Unidos: Únicamente Organizaciones Certificadas bajo el DPF
La decisión de adecuación de Estados Unidos es la más limitada en cuanto a su alcance. Cubre únicamente a las organizaciones que se han autocertificado activamente bajo el DPF a través de la ITA. No existe una declaración de adecuación general para Estados Unidos como país. Las transferencias a organizaciones estadounidenses no certificadas deben basarse en CCT, Normas Corporativas Vinculantes u otro mecanismo previsto en el Artículo 46 del RGPD.
Evaluaciones de Adecuación Pendientes
Con la incorporación de Brasil en 2026, la lista de candidatos a corto plazo para la adecuación se ha reducido, pero varios países permanecen en diversas etapas de discusión o evaluación.
Taiwán: la Ley de Protección de Datos Personales de Taiwán y sus modificaciones previstas han despertado el interés de la UE, particularmente en el contexto del fortalecimiento de los vínculos económicos y tecnológicos entre la UE y Taiwán. Una declaración de adecuación para Taiwán sería políticamente sensible dadas las dinámicas a través del estrecho, pero su sólida base legislativa lo convierte en un candidato creíble.
Kenia: Kenia promulgó una Ley de Protección de Datos integral en 2019, estableció un Comisionado de Datos y ha trabajado en alinear su marco con los estándares internacionales. La adecuación de un país del África subsahariana sigue siendo una posibilidad a más largo plazo.
India: India promulgó la Digital Personal Data Protection Act 2023 (DPDPA), estableciendo un nuevo marco de supervisión (Data Protection Board). Las conversaciones entre India y la UE sobre adecuación son incipientes, y las exenciones relativas al acceso gubernamental y la seguridad nacional representan obstáculos significativos.
Los países que han ratificado el Convenio 108+, han establecido autoridades de control genuinamente independientes con presupuestos de ejecución adecuados y una trayectoria comprobada, y han promulgado legislación integral con principios comparables a los del RGPD se encuentran en mejor posición. El alcance de las exenciones de seguridad nacional ha sido históricamente el factor más difícil de satisfacer para los países con grandes agencias de inteligencia.
Qué Significa la Adecuación para las Empresas
Los Beneficios
Para las organizaciones que transfieren datos personales a países adecuados, el beneficio práctico es una simplificación considerable. No se requieren CCT, ni Evaluaciones de Impacto de la Transferencia, ni Normas Corporativas Vinculantes. El exportador solo necesita confirmar que el destino figura como adecuado en el momento de la transferencia.
Esto reduce los costos legales, acelera la incorporación de proveedores, elimina la necesidad de renegociar acuerdos de tratamiento de datos al incorporar proveedores en jurisdicciones adecuadas, y suprime la carga de cumplimiento que supone mantener bibliotecas de CCT.
Las Limitaciones
La adecuación no exime del cumplimiento de otros requisitos del RGPD. La organización exportadora debe seguir contando con una base jurídica para el tratamiento, cumplir con los principios de minimización de datos y limitación de la finalidad, y respetar los derechos de los interesados. La adecuación únicamente elimina la exigencia de una garantía de transferencia adicional conforme al Artículo 46.
La organización receptora en el país adecuado también debe cumplir con la legislación de protección de datos propia de ese país. Las decisiones de adecuación no convierten las obligaciones del RGPD de la UE en la ley del país de destino.
Gestión del Riesgo de Dependencia
Dado que dos marcos de adecuación estadounidenses han sido invalidados y que la decisión relativa al Reino Unido requirió una renovación con condiciones de seguimiento asociadas, las decisiones de adecuación deben considerarse útiles, pero no incondicionales. Las organizaciones deben:
- Mantener acuerdos de CCT en paralelo para cualquier flujo de datos hacia países donde la estabilidad de la adecuación sea incierta, en particular Estados Unidos bajo el DPF.
- Hacer seguimiento de las revisiones periódicas de la Comisión y de los dictámenes del CEPD en busca de señales de presión sobre la adecuación.
- Vigilar la evolución legislativa en los países adecuados que pudiera hacer que sus marcos normativos caigan por debajo del umbral de equivalencia esencial.
Esta es información jurídica general y no constituye asesoramiento legal. Las organizaciones que se basen en decisiones de adecuación para transferencias internacionales de datos deben consultar a un abogado para obtener asesoramiento específico sobre su situación.
Preguntas frecuentes
¿Qué es una decisión de adecuación de la UE?
Una decisión de adecuación de la UE es una determinación formal de la Comisión Europea, conforme al Artículo 45 del RGPD, de que un país no perteneciente a la UE ofrece una protección de datos esencialmente equivalente a los estándares de la UE. Cuando un país cuenta con estatus de adecuación, los datos personales pueden fluir libremente desde la UE hacia ese país sin que las organizaciones necesiten garantías adicionales, como las Cláusulas Contractuales Tipo o las Normas Corporativas Vinculantes. El estándar es la equivalencia esencial, no una protección idéntica.
¿Qué países cuentan con decisiones de adecuación de la UE en 2026?
A partir de 2026, 17 países, territorios y organizaciones cuentan con adecuación: Andorra, Argentina, Brasil (enero de 2026), Canadá (únicamente sector comercial), las Islas Feroe, Guernsey, la Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, la República de Corea, Suiza, el Reino Unido (renovada de diciembre de 2025 a diciembre de 2031), Estados Unidos (únicamente para organizaciones certificadas bajo el DPF), Uruguay y la Organización Europea de Patentes (julio de 2025). Varias de estas decisiones se adoptaron en virtud de la Directiva de 1995 y permanecen vigentes conforme al Artículo 45(9) del RGPD.
¿Se renovó la decisión de adecuación del Reino Unido?
Sí. La decisión de adecuación original del Reino Unido incluía una cláusula de extinción a cuatro años con vencimiento el 27 de junio de 2025. El 24 de junio de 2025, la Comisión adoptó una prórroga técnica para preservar el flujo de datos mientras se completaba la evaluación de renovación. El 19 de diciembre de 2025, la Comisión renovó formalmente las decisiones de adecuación del Reino Unido basadas tanto en el RGPD como en la LED por seis años adicionales, hasta el 27 de diciembre de 2031, tras evaluar la Data (Use and Access) Act 2025 del Reino Unido.
¿En qué consistió la revisión de enero de 2024 de las decisiones de adecuación?
El 15 de enero de 2024, la Comisión publicó su Informe sobre la primera revisión periódica de las once decisiones de adecuación adoptadas en virtud de la Directiva de Protección de Datos de 1995 (que abarcan Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, la Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay). La Comisión concluyó que las once siguen ofreciendo una protección adecuada. El informe incluyó recomendaciones específicas por país, en particular instando a Argentina a completar su reforma legislativa y a Canadá a avanzar en su reforma de la PIPEDA.
¿Qué es la decisión de adecuación de la UE relativa a Brasil?
El 26 de enero de 2026, la Comisión Europea adoptó la Decisión de Ejecución (UE) 2026/179, reconociendo que el marco de la LGPD de Brasil ofrece una protección de datos adecuada. Brasil adoptó simultáneamente la Resolución 32 de la ANPD, reconociendo recíprocamente la adecuación de la UE conforme a la LGPD. La decisión destaca por su amplio alcance (que abarca tanto el sector público como el privado) y su carácter mutuo. Las transferencias están sujetas a excepciones de defensa nacional y seguridad del Estado, en consonancia con la LGPD.
¿Qué es el Marco de Privacidad de Datos UE-EE. UU. y sigue siendo válido?
El Marco de Privacidad de Datos UE-EE. UU. (DPF), adoptado en julio de 2023, es una decisión de adecuación que cubre únicamente a las organizaciones estadounidenses que se autocertifican a través de la International Trade Administration. Superó su primer desafío judicial cuando el Tribunal General de la Unión Europea desestimó el asunto T-553/23 en septiembre de 2025. Sin embargo, la destitución de los miembros de la PCLOB por parte de la administración Trump y las dudas sobre la independencia de la FTC han generado incertidumbre sobre la estabilidad a largo plazo del DPF. Varias autoridades europeas de protección de datos han recomendado mantener acuerdos de CCT como respaldo.
¿Qué ocurre si se revoca una decisión de adecuación?
Cuando una decisión de adecuación es invalidada o revocada, la base jurídica para las transferencias de datos desaparece de inmediato. No existe un período de transición garantizado. Las organizaciones deben implementar mecanismos de transferencia alternativos, principalmente Cláusulas Contractuales Tipo, o suspender las transferencias. La invalidación de Privacy Shield en Schrems II en 2020 afectó a más de 5300 empresas estadounidenses certificadas que se habían basado en él como su único mecanismo de transferencia.
¿Cuál es la diferencia entre la adecuación y las Cláusulas Contractuales Tipo?
Las decisiones de adecuación permiten las transferencias de datos sin formalidades adicionales, ya que la Comisión ya ha evaluado el marco jurídico del país de destino. Las Cláusulas Contractuales Tipo (CCT) son garantías contractuales que las propias organizaciones deben implementar, junto con Evaluaciones de Impacto de la Transferencia, al transferir datos a países sin adecuación. La adecuación es más sencilla en la práctica, pero menos estable; las CCT ofrecen mayor control, pero requieren más infraestructura de cumplimiento. Obtenga más información en nuestra guía sobre las Cláusulas Contractuales Tipo.
¿Qué países podrían obtener próximamente decisiones de adecuación de la UE?
Taiwán, India y Kenia se mencionan como posibles candidatos futuros. La Digital Personal Data Protection Act de India de 2023 estableció una nueva base jurídica para optar a la candidatura, aunque las disposiciones sobre acceso gubernamental siguen siendo un obstáculo. El sólido alineamiento legislativo de Taiwán y sus vínculos económicos con la UE lo convierten en un candidato creíble a más largo plazo. Los países que han ratificado el Convenio 108+, han establecido autoridades de control independientes y han promulgado legislación integral alineada con el RGPD se encuentran en mejor posición.
Fuentes y referencias
- Artículo 45 del RGPD, Texto Completo del Reglamento(eur-lex.europa.eu).gov
- Comisión Europea, Panorama de las Decisiones de Adecuación(commission.europa.eu).gov
- Comunicado de Prensa de la CE, Revisión de las 11 Decisiones de Adecuación Existentes, Enero de 2024(ec.europa.eu).gov
- SWD(2024) 3 final, Informe sobre la Primera Revisión de las Once Decisiones de Adecuación(commission.europa.eu).gov
- Comunicado de Prensa de la CE, la Comisión Renueva las Decisiones de Adecuación del Reino Unido, Diciembre de 2025(ec.europa.eu).gov
- Dictamen 26/2025 del CEPD sobre las Decisiones de Adecuación del Reino Unido(edpb.europa.eu).gov
- Decisión de Ejecución (UE) 2026/179, Adecuación de Brasil(eur-lex.europa.eu).gov
- Comunicado de Prensa de la CE, Decisión de Adecuación Mutua UE-Brasil, Enero de 2026(ec.europa.eu).gov
- Decisión de Ejecución (UE) 2025/1382, Adecuación de la OEP(eur-lex.europa.eu).gov
- COM(2024) 451 final, Primera Revisión Periódica del DPF UE-EE. UU.(commission.europa.eu).gov
- Referenciales de Adecuación del CEPD(edpb.europa.eu).gov
- Convenio 108 del Consejo de Europa y su Protocolo(coe.int).gov
- Buscador de Participantes del Marco de Privacidad de Datos UE-EE. UU.(dataprivacyframework.gov).gov
- Decisión de Adecuación de Japón 2019/419(eur-lex.europa.eu).gov
- Decisión de Adecuación de Corea 2022/254(eur-lex.europa.eu).gov
- Decisión de Adecuación del Reino Unido 2021/1772(eur-lex.europa.eu).gov
- Decisión de Adecuación del DPF de EE. UU. 2023/1795(eur-lex.europa.eu).gov
- Primera Revisión de la Comisión de la Decisión de Adecuación de Japón, Abril de 2023(commission.europa.eu).gov