Leyes de Privacidad de Datos de la UE: RGPD, Ley de IA y las Reformas Digitales 2025-2026

El Reglamento (UE) 2016/679, el RGPD, establece un estándar único de protección de datos en los 27 Estados miembros de la UE y vincula a cualquier organización en el mundo que trate datos personales de personas ubicadas en la UE. Las infracciones conllevan multas de hasta 20 millones de euros o el 4 % de la facturación anual mundial conforme al Artículo 83.
La Unión Europea ha construido el marco de protección de datos más completo del mundo. En su núcleo se encuentra el Reglamento General de Protección de Datos (RGPD), un conjunto único de normas que se aplica en todos los países de la UE. A su alrededor se superponen leyes sectoriales que cubren las comunicaciones electrónicas, la inteligencia artificial, los mercados de datos, las plataformas en línea y los guardianes de acceso algorítmicos.
Esta página es el centro de referencia del derecho de privacidad de datos de la UE. Explica cómo encaja el marco normativo en su conjunto, cubre los principales instrumentos jurídicos y su estado actual, y enlaza a guías detalladas para cada Estado miembro de la UE y cada subtema del RGPD.
Este artículo tiene fines meramente informativos y no constituye asesoramiento legal. Consulte a un abogado especializado en protección de datos o a un profesional de la privacidad cualificado para obtener orientación específica sobre su situación.
Respuesta Rápida
El RGPD es la ley de la UE que protege los datos personales. Se aplica a cualquier organización, en cualquier lugar del mundo, que trate datos personales de personas ubicadas en la UE. Las sanciones alcanzan hasta 20 millones de euros o el 4 % de la facturación anual mundial. Cada Estado miembro de la UE lo hace cumplir a través de su propia autoridad de protección de datos (APD), coordinada por el Comité Europeo de Protección de Datos (CEPD).
El RGPD no es la única ley de datos de la UE. La Directiva ePrivacy regula las cookies y las comunicaciones electrónicas. La Ley de IA de la UE regula los sistemas de inteligencia artificial. La Ley de Datos, la Ley de Gobernanza de Datos, la Ley de Servicios Digitales y la Ley de Mercados Digitales conforman en conjunto un marco normativo digital más amplio. El Reglamento Procedimental del RGPD de 2025 agiliza la ejecución transfronteriza, y la propuesta de Ómnibus Digital de 2025 está simplificando actualmente varios de estos instrumentos a la vez.
El RGPD: Ley Fundamental de Protección de Datos de la UE
El Reglamento General de Protección de Datos, el Reglamento (UE) 2016/679, fue adoptado el 14 de abril de 2016 y entró en vigor el 25 de mayo de 2018. Sustituyó a la Directiva de Protección de Datos de 1995 (Directiva 95/46/CE), que había generado un mosaico de leyes nacionales incoherentes entre sí.
Dado que el RGPD es un reglamento y no una directiva, es directamente aplicable en todos los Estados miembros sin requerir la transposición nacional de sus disposiciones fundamentales. Cuando el RGPD reserva un margen de discrecionalidad a los Estados miembros (sobre la edad de consentimiento para los datos de menores, condiciones adicionales para los datos de empleo, o exenciones específicas), las leyes nacionales de desarrollo colman esos vacíos.

Ámbito de Aplicación Territorial (Artículo 3)
El RGPD se aplica en tres situaciones. Primero, a cualquier organización con un establecimiento en la UE que trate datos personales en el contexto de ese establecimiento, independientemente de dónde se realice físicamente el tratamiento. Segundo, a cualquier organización fuera de la UE que ofrezca bienes o servicios a personas en la UE. Tercero, a cualquier organización fuera de la UE que supervise el comportamiento de personas en la UE.
Este amplio alcance extraterritorial significa que una empresa en Estados Unidos, India o Australia debe cumplir con el RGPD si se dirige a clientes de la UE o realiza seguimiento de su comportamiento en línea. Las Directrices 3/2018 del CEPD sobre el ámbito territorial interpretan el Artículo 3 en detalle.
Los Siete Principios (Artículo 5)
Toda actividad de tratamiento debe cumplir con siete principios: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva. El principio de responsabilidad proactiva exige que las organizaciones demuestren el cumplimiento, no que simplemente lo afirmen.
Seis Bases Jurídicas para el Tratamiento (Artículo 6)
El tratamiento es lícito únicamente si se basa en una de seis bases jurídicas: el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el interés público o el ejercicio de poderes públicos, o el interés legítimo. Las organizaciones deben identificar y documentar su base jurídica antes de que comience el tratamiento, y no pueden cambiarla retroactivamente.
El consentimiento debe ser libre, específico, informado e inequívoco. Debe ser tan fácil de retirar como de otorgar. Las casillas premarcadas y el consentimiento agrupado no satisfacen el estándar de consentimiento del RGPD.
Derechos de los Interesados (Artículos 15 a 22)
El RGPD otorga a las personas ocho derechos exigibles: acceso, rectificación, supresión (el "derecho al olvido"), limitación del tratamiento, portabilidad de los datos, oposición, y derechos relacionados con la toma de decisiones automatizadas, incluida la elaboración de perfiles. Las organizaciones deben responder dentro del plazo de un mes natural, prorrogable por dos meses adicionales en casos complejos.
Obligaciones del Responsable y del Encargado del Tratamiento
Los responsables del tratamiento determinan los fines y los medios del tratamiento. Los encargados del tratamiento actúan siguiendo las instrucciones de los responsables. Todo contrato entre responsable y encargado debe formalizarse por escrito. Los responsables deben designar a un Delegado de Protección de Datos (DPO) en las circunstancias previstas, realizar Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) antes de un tratamiento de alto riesgo, y mantener registros de las actividades de tratamiento.
Notificación de Brechas de Seguridad (Artículos 33 y 34)
Los responsables deben notificar a su autoridad de control dentro de las 72 horas siguientes a tener conocimiento de una violación de la seguridad de los datos personales. Si la violación supone un alto riesgo para las personas, el responsable también debe notificar a las personas afectadas sin dilación indebida.
Sanciones (Artículo 83)
La estructura sancionadora de dos niveles del RGPD prevé multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial (nivel inferior) y de hasta 20 millones de euros o el 4 % de la facturación anual mundial (nivel superior), la cifra que sea mayor en cada caso. Desde mayo de 2018, las autoridades de control de la UE han impuesto más de 6800 millones de euros en multas a lo largo de más de 2700 acciones de ejecución.
Para una cobertura detallada de cada tema, consulte las subpáginas del RGPD que se enumeran a continuación.
El RGPD en los 27 Estados Miembros
El RGPD es la misma ley en todos los países de la UE, pero la legislación nacional de desarrollo, las autoridades de control nacionales y las decisiones de los tribunales nacionales determinan cómo funciona en la práctica.

Las leyes nacionales de desarrollo abordan los temas en los que el RGPD reserva discrecionalidad a los Estados miembros. La Ley Federal de Protección de Datos de Alemania (BDSG) establece normas estrictas sobre la supervisión de los empleados y los comités de empresa. La loi Informatique et Libertés de Francia está en vigor desde 1978 y fue actualizada para armonizarse con el RGPD. La Data Protection Act 2018 de Irlanda fija en 16 años la edad mínima para el consentimiento de los menores. Cada Estado miembro cuenta con sus propias normas complementarias.
Las autoridades de control nacionales investigan reclamaciones, realizan auditorías e imponen multas. La Comisión de Protección de Datos de Irlanda (DPC) es la autoridad principal para la mayoría de las grandes empresas tecnológicas estadounidenses, ya que estas tienen su sede europea en Irlanda. La DPC de Irlanda ha impuesto aproximadamente 4000 millones de euros en multas del RGPD en total a través del mecanismo de ventanilla única, la mayor participación nacional por valor.
El mecanismo de ventanilla única permite a las organizaciones con establecimientos en varios Estados miembros tratar con una única autoridad de control principal para el tratamiento transfronterizo. Las autoridades interesadas en otros Estados miembros pueden plantear objeciones, y las controversias se elevan al CEPD para una decisión vinculante. El Reglamento Procedimental del RGPD (que se analiza más adelante) refuerza este mecanismo con plazos vinculantes a partir de abril de 2027.
La sección de guías de Estados miembros que aparece más adelante enlaza a la página de este sitio dedicada a la ley de desarrollo y la autoridad de control de cada país de la UE.
La Directiva ePrivacy y el Reglamento ePrivacy Retirado
La Directiva ePrivacy (Directiva 2002/58/CE) regula la privacidad en las comunicaciones electrónicas. Es el origen de las normas de la UE sobre el consentimiento de cookies. El Artículo 5(3) de la Directiva exige el consentimiento antes de almacenar o acceder a información en el dispositivo de un usuario, la norma que subyace a los banners de cookies presentes en prácticamente todos los sitios web europeos.
La Directiva ePrivacy es una directiva, no un reglamento, por lo que cada Estado miembro la ha transpuesto de manera diferente a su derecho nacional. Alemania, Francia, España y otros países han llegado a conclusiones distintas sobre qué constituye un consentimiento válido de cookies según sus respectivas transposiciones nacionales.
La propuesta de Reglamento ePrivacy se presentó en enero de 2017. Su objetivo era sustituir la Directiva ePrivacy por un reglamento directamente aplicable y armonizar más estrechamente con el RGPD las normas sobre cookies y privacidad de las comunicaciones. La propuesta quedó estancada en el Consejo durante años, sin lograr un acuerdo sobre la conservación de datos y el tratamiento basado en el interés legítimo.
El 11 de febrero de 2025, la Comisión Europea retiró formalmente la propuesta de Reglamento ePrivacy en su Programa de Trabajo de 2025. La Comisión citó la falta de acuerdo previsto entre los colegisladores y la obsolescencia a la luz de la legislación posterior. Por tanto, la Directiva ePrivacy vigente y sus transposiciones nacionales permanecen en vigor indefinidamente.
La propuesta de Ómnibus Digital de noviembre de 2025 retoma parte de este asunto pendiente al proponer trasladar las normas de consentimiento de cookies de la Directiva ePrivacy al RGPD y ampliar la lista de actividades de tratamiento que pueden realizarse sin consentimiento. Para una cobertura detallada de las normas vigentes, consulte nuestra explicación de la Directiva ePrivacy.
Ley de IA de la UE (Reglamento (UE) 2024/1689)
La Ley de IA de la UE es el primer marco regulatorio integral del mundo para la inteligencia artificial. Se publicó en el Diario Oficial de la UE el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024.
La Ley de IA adopta un enfoque basado en el riesgo, dividiendo los sistemas de IA en cuatro niveles: riesgo inaceptable (prohibido de manera absoluta), alto riesgo (obligaciones de cumplimiento estrictas), riesgo limitado (requisitos de transparencia) y riesgo mínimo (sin obligaciones obligatorias). Los sistemas de IA que tratan datos personales suelen estar sujetos simultáneamente tanto a la Ley de IA como al RGPD.

Calendario de Implementación Escalonada
La Ley de IA se aplica por fases:
- 2 de febrero de 2025: entraron en aplicación las prácticas de IA prohibidas y las obligaciones de alfabetización en materia de IA. A partir de esta fecha quedan prohibidos los sistemas que utilizan manipulación subliminal, la puntuación social por parte de autoridades públicas y la mayoría de la identificación biométrica en tiempo real en espacios públicos.
- 2 de agosto de 2025: entraron en aplicación las obligaciones para los proveedores de modelos de IA de uso general (IAUG). Los Estados miembros deben designar autoridades nacionales competentes y adoptar leyes nacionales de sanciones. La gobernanza a nivel de la UE (el Consejo de IA, el Grupo Científico y el Foro Consultivo) está operativa.
- 2 de diciembre de 2026: se aplican las obligaciones de transparencia y etiquetado de contenido generado por IA (fecha ampliada desde el 2 de agosto de 2026 por el acuerdo político del Ómnibus Digital de mayo de 2026). A partir de esta fecha también se aplica una nueva prohibición sobre los sistemas de IA que generan imágenes íntimas no consentidas.
- 2 de diciembre de 2027: plazo de cumplimiento para los sistemas de IA de alto riesgo independientes enumerados en el Anexo III (ampliado desde el 2 de agosto de 2026 por el acuerdo político del Ómnibus Digital).
- 2 de agosto de 2028: plazo de cumplimiento para la IA de alto riesgo integrada en productos regulados enumerados en el Anexo I.
Simplificación de la Ley de IA mediante el Ómnibus Digital (Mayo de 2026)
El 7 de mayo de 2026, el Parlamento Europeo y el Consejo alcanzaron un acuerdo político provisional en el marco del Ómnibus Digital para modificar la Ley de IA. Además de los cambios de calendario mencionados anteriormente, el acuerdo amplía a las pequeñas empresas de mediana capitalización las exenciones regulatorias disponibles para las pymes, restringe determinadas categorizaciones de alto riesgo, y refuerza las facultades de supervisión de la Oficina de IA. Se espera su adopción formal antes del 2 de agosto de 2026.
Reglamento Procedimental del RGPD (Reglamento (UE) 2025/2518)
Durante años, el mecanismo de ventanilla única del RGPD sufrió inconsistencias procesales: las autoridades de control aplicaban distintos estándares de admisibilidad, las investigaciones se prolongaban durante años sin plazos vinculantes, y los reclamantes en Estados miembros más pequeños tenían escasa visibilidad sobre sus casos transfronterizos.
El Reglamento Procedimental del RGPD, el Reglamento (UE) 2025/2518, se adoptó en 2025 para resolver estos problemas. Entró en vigor el 1 de enero de 2026 y se aplicará a partir del 2 de abril de 2027.
Las disposiciones clave incluyen:
- Estándares de admisibilidad unificados: se aplican los mismos criterios al decidir si una reclamación es admisible, independientemente del Estado miembro en el que se presente.
- Plazo de investigación vinculante de 15 meses: la autoridad de control principal debe completar su investigación en un plazo de 15 meses, con una posible prórroga de 12 meses en casos particularmente complejos.
- Mecanismo de resolución temprana: las autoridades de control principales pueden resolver reclamaciones antes de que comiencen los procedimientos formales de cooperación, reduciendo la carga administrativa y acelerando los resultados.
- Derechos procesales reforzados: tanto las partes investigadas como los reclamantes tienen derecho a acceder a las conclusiones preliminares y a formular observaciones al respecto antes de que se emita una decisión final.
La Propuesta de Ómnibus Digital de Noviembre de 2025
El 19 de noviembre de 2025, la Comisión Europea publicó el Ómnibus Digital como parte de un Paquete Digital, junto con la Estrategia de la Unión de Datos y las Carteras Empresariales Europeas. El Ómnibus Digital es una única propuesta legislativa que busca simplificar y modificar múltiples leyes digitales vigentes: el RGPD, la Ley de IA, la Directiva ePrivacy, la Ley de Datos, la Ley de Ciberseguridad y otras.
Las principales propuestas relacionadas con el RGPD incluyen:
- Simplificación del consentimiento de cookies: las normas de consentimiento de cookies se trasladarían de la Directiva ePrivacy al RGPD, con una lista ampliada de actividades exentas de consentimiento, y permitiendo preferencias de consentimiento con un solo clic válidas durante seis meses, o el consentimiento guardado a nivel de navegador o dispositivo.
- Listas armonizadas de EIPD: el CEPD elaboraría listas a nivel de toda la UE de las actividades de tratamiento que requieren o no una EIPD. Las listas aprobadas por la Comisión prevalecerían sobre las listas nacionales que entren en conflicto.
- Punto único de notificación de incidentes: un mecanismo unificado para notificar incidentes de ciberseguridad y violaciones de seguridad de datos personales conforme al RGPD, la Directiva NIS2 y otros instrumentos.
El Ómnibus Digital se encuentra en negociaciones de trílogo entre la Comisión, el Parlamento y el Consejo a mediados de 2026. En caso de adoptarse, las modificaciones al RGPD actualizarían formalmente el Reglamento (UE) 2016/679.
El CEPD y el Mecanismo de Coherencia
El Comité Europeo de Protección de Datos (CEPD) es el organismo independiente de la UE responsable de la aplicación coherente del RGPD en todos los Estados miembros. Está compuesto por los titulares de cada autoridad de control nacional y por el Supervisor Europeo de Protección de Datos (SEPD).
Sus principales funciones incluyen emitir directrices, recomendaciones y mejores prácticas; emitir decisiones vinculantes en controversias en el marco del mecanismo de ventanilla única; y llevar a cabo acciones de ejecución coordinadas en el marco del Marco de Ejecución Coordinada (CEF).
El SEPD supervisa a las propias instituciones de la UE en el tratamiento de datos personales, y asesora sobre la legislación de la UE que tiene una dimensión de protección de datos.
Mecanismo de coherencia: cuando una autoridad de control nacional adopta una medida que podría afectar a interesados en otros Estados miembros, debe someter un proyecto de decisión al CEPD. Si una autoridad interesada plantea una objeción pertinente y motivada que la autoridad principal decide no seguir, el CEPD emite una decisión vinculante. Este mecanismo dio lugar a la multa de 1200 millones de euros contra Meta en 2023, la mayor multa del RGPD hasta la fecha, cuando el CEPD anuló la multa inferior propuesta por la DPC irlandesa.
Ejecución coordinada de 2026: la acción CEF de 2026 del CEPD se centra en las obligaciones de transparencia e información del RGPD. Todas las autoridades de control nacionales están llevando a cabo investigaciones paralelas sobre el mismo tema. En 2025, la CEF se centró en el derecho de supresión.
El Marco Normativo Digital Más Amplio de la UE
El RGPD es el fundamento, pero el derecho de datos de la UE se extiende mucho más allá. Varios instrumentos complementarios abordan sectores específicos o tipos concretos de actividad de datos.
Ley de Gobernanza de Datos (DGA): Reglamento (UE) 2022/868, aplicable desde septiembre de 2023. La DGA establece marcos de confianza para el intercambio voluntario de datos entre empresas y entre los sectores público y privado. Crea intermediarios de datos reconocidos y autoriza a las organizaciones de altruismo de datos. Cuando implica datos personales, el RGPD se aplica de forma paralela.
Ley de Datos: Reglamento (UE) 2023/2854, aplicable desde el 12 de septiembre de 2025. La Ley de Datos otorga a los usuarios de productos conectados (dispositivos inteligentes, maquinaria industrial, vehículos) el derecho a acceder y compartir los datos generados por el uso de esos productos. Regula el intercambio de datos entre empresas y entre empresas y administraciones públicas. Cuando están implicados datos personales, el RGPD se aplica de manera concurrente.
Ley de Servicios Digitales (DSA): Reglamento (UE) 2022/2065. La DSA regula los intermediarios y plataformas en línea, con obligaciones sobre moderación de contenido, transparencia y acceso de investigadores a los datos. Las Plataformas en Línea de Muy Gran Tamaño (VLOP) y los Motores de Búsqueda en Línea de Muy Gran Tamaño (VLOSE) enfrentan obligaciones adicionales. El 2 de julio de 2025, la Comisión publicó un acto delegado que permite a investigadores cualificados acceder a los datos internos de las VLOP para estudiar riesgos sistémicos.
Ley de Mercados Digitales (DMA): Reglamento (UE) 2022/1925. La DMA se dirige a las plataformas "guardianas de acceso" (Google, Meta, Apple, Amazon, Microsoft, ByteDance) con obligaciones de interoperabilidad, portabilidad de datos y consentimiento. En abril de 2025, la Comisión emitió sus primeras decisiones de incumplimiento: Apple recibió una multa de 500 millones de euros por restricciones de direccionamiento en la App Store, y Meta recibió una multa de 200 millones de euros por no ofrecer a los usuarios un servicio menos intensivo en datos.
Directiva NIS2: Directiva (UE) 2022/2555. La NIS2 impone obligaciones de ciberseguridad y notificación de incidentes a los operadores de servicios esenciales y proveedores digitales. Las violaciones de datos que también son incidentes de ciberseguridad pueden activar simultáneamente los deberes de notificación del RGPD y de la NIS2, una complejidad que la propuesta de punto único de notificación del Ómnibus Digital pretende resolver.
Decisiones de Adecuación y Transferencias Internacionales
Las transferencias de datos personales desde la UE a terceros países se rigen por el Capítulo V del RGPD. Una decisión de adecuación de la Comisión Europea permite el flujo libre de datos hacia un destino sin garantías adicionales.
A mayo de 2026, las decisiones de adecuación cubren: Andorra, Argentina, Brasil (2026), Canadá (organizaciones comerciales), las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, la República de Corea, Suiza, el Reino Unido, Estados Unidos (para las organizaciones certificadas bajo el Marco de Privacidad de Datos UE-EE. UU.), Uruguay, y la Organización Europea de Patentes (2025).
Marco de Privacidad de Datos UE-EE. UU. (DPF): la Comisión adoptó la decisión de adecuación del DPF el 10 de julio de 2023, sustituyendo al invalidado Privacy Shield. El marco se basa en compromisos ejecutivos de Estados Unidos que limitan el acceso de las agencias de inteligencia, y en el Tribunal de Revisión de Protección de Datos (DPRC) como mecanismo de reparación. Más de 2800 organizaciones contaban con certificaciones DPF activas a principios de 2026. El Tribunal General de la UE desestimó un recurso el 3 de septiembre de 2025 (asunto T-553/23), pero sigue pendiente una apelación adicional ante el TJUE (asunto C-703/25 P, presentado el 31 de octubre de 2025).
Cuando no existe una decisión de adecuación, las transferencias pueden realizarse mediante Cláusulas Contractuales Tipo (CCT, actualizadas en junio de 2021), Normas Corporativas Vinculantes (BCR) o excepciones específicas. Las organizaciones que utilizan CCT también deben realizar una evaluación de impacto de la transferencia (TIA).
Subpáginas del RGPD en Este Sitio
Estas páginas cubren en profundidad cada uno de los principales temas del RGPD:
- ¿Qué Es el RGPD? Guía Completa de la Protección de Datos de la UE
- Requisitos de Consentimiento del RGPD: Qué Cuenta Como Consentimiento Válido
- Derechos de los Interesados del RGPD: Acceso, Supresión y Portabilidad
- Notificación de Brechas del RGPD: la Regla de las 72 Horas Explicada
- Multas y Sanciones del RGPD: Lista Completa y Guía
- Lista de Verificación de Cumplimiento del RGPD para Empresas
- RGPD para Pequeñas Empresas: Guía de Cumplimiento Simplificada
- Ley de Cookies de la UE (Directiva ePrivacy) Explicada
Guías de los Estados Miembros de la UE
Cada Estado miembro de la UE cuenta con su propia ley nacional de desarrollo y su propia autoridad de control independiente. Estas páginas explican cómo se aplica el RGPD en cada país, qué añade la ley nacional y cómo la autoridad de control local la hace cumplir:
- Leyes de Privacidad de Datos de Austria (DSG)
- Leyes de Privacidad de Datos de Bélgica
- Leyes de Privacidad de Datos de Bulgaria
- Leyes de Privacidad de Datos de Croacia
- Leyes de Privacidad de Datos de Chipre
- Leyes de Privacidad de Datos de la República Checa
- Leyes de Privacidad de Datos de Dinamarca
- Leyes de Privacidad de Datos de Estonia
- Leyes de Privacidad de Datos de Finlandia
- Leyes de Privacidad de Datos de Francia (CNIL)
- Leyes de Privacidad de Datos de Alemania (BDSG)
- Leyes de Privacidad de Datos de Grecia (HDPA)
- Leyes de Privacidad de Datos de Hungría (NAIH)
- Leyes de Privacidad de Datos de Irlanda (DPC)
- Leyes de Privacidad de Datos de Italia (Garante)
- Leyes de Privacidad de Datos de Letonia
- Leyes de Privacidad de Datos de Lituania (VDAI)
- Leyes de Privacidad de Datos de Luxemburgo (CNPD)
- Leyes de Privacidad de Datos de Malta
- Leyes de Privacidad de Datos de los Países Bajos (AP)
- Leyes de Privacidad de Datos de Polonia (UODO)
- Leyes de Privacidad de Datos de Portugal (CNPD)
- Leyes de Privacidad de Datos de Rumania (ANSPDCP)
- Leyes de Privacidad de Datos de Eslovaquia
- Leyes de Privacidad de Datos de Eslovenia
- Leyes de Privacidad de Datos de España (AEPD / LOPDGDD)
- Leyes de Privacidad de Datos de Suecia (IMY)
Miembros del EEE no pertenecientes a la UE que aplican el RGPD a través del Acuerdo EEE:
Guías en Profundidad
Preguntas frecuentes
¿Se aplica el RGPD a las empresas fuera de la Unión Europea?
Sí. El RGPD se aplica a cualquier organización en el mundo que ofrezca bienes o servicios a personas en la UE, o que supervise el comportamiento de personas ubicadas en la UE. Una empresa no necesita tener presencia física en Europa para quedar sujeta al RGPD. El Artículo 3 establece este amplio ámbito de aplicación territorial, y las Directrices 3/2018 del CEPD sobre el Ámbito Territorial aclaran cómo se aplica a las organizaciones no pertenecientes a la UE.
¿Cuál es la multa máxima conforme al RGPD?
La multa máxima es de 20 millones de euros o el 4 % de la facturación anual mundial total de la organización correspondiente al ejercicio financiero anterior, la cifra que sea mayor. Esta sanción del nivel superior se aplica a las infracciones de los principios fundamentales del tratamiento, los derechos de los interesados y las normas de transferencia internacional. La mayor multa individual hasta la fecha es de 1200 millones de euros, impuesta a Meta en 2023 por la Comisión de Protección de Datos de Irlanda por transferencias ilícitas de datos de usuarios de la UE hacia Estados Unidos.
¿Sigue en camino el Reglamento ePrivacy?
No. La Comisión Europea retiró formalmente la propuesta de Reglamento ePrivacy en febrero de 2025, como parte de su Programa de Trabajo de 2025. La propuesta había estado estancada desde 2017. La Directiva ePrivacy vigente (2002/58/CE) y sus transposiciones nacionales permanecen en vigor. Algunas cuestiones de ePrivacy se están abordando a través de la propuesta de Ómnibus Digital de noviembre de 2025, que propone trasladar las normas de consentimiento de cookies al marco del RGPD.
¿Qué es el Reglamento Procedimental del RGPD?
El Reglamento (UE) 2025/2518 es un nuevo reglamento de la UE que agiliza la ejecución transfronteriza del RGPD bajo el mecanismo de ventanilla única. Entró en vigor el 1 de enero de 2026 y se aplicará a partir del 2 de abril de 2027. Introduce plazos de investigación vinculantes de 15 meses, estándares de admisibilidad unificados para las reclamaciones en todos los Estados miembros, un mecanismo de resolución temprana, y derechos procesales reforzados para las partes y los reclamantes.
¿Qué es el Ómnibus Digital de la UE y cómo afecta al RGPD?
El Ómnibus Digital es una propuesta de la Comisión Europea publicada el 19 de noviembre de 2025 como parte de un Paquete Digital. En relación con el RGPD, las principales propuestas incluyen trasladar las normas de consentimiento de cookies de la Directiva ePrivacy al RGPD, armonizar a nivel de la UE las listas de requisitos de EIPD, y crear un punto único de notificación para las violaciones de datos y los incidentes de ciberseguridad. El Ómnibus también propone ampliaciones de calendario de la Ley de IA y simplificaciones para las pymes y las pequeñas empresas de mediana capitalización. Se encuentra en negociaciones de trílogo a mediados de 2026.
¿Qué países pueden recibir datos personales de la UE sin garantías adicionales?
A mayo de 2026, la Comisión Europea ha concedido decisiones de adecuación a los siguientes destinos: Andorra, Argentina, Brasil, Canadá (organizaciones comerciales), las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, la República de Corea, Suiza, el Reino Unido, Estados Unidos (para las organizaciones certificadas bajo el Marco de Privacidad de Datos UE-EE. UU.), Uruguay, y la Organización Europea de Patentes. Los datos personales pueden fluir hacia estos destinos sin necesidad de Cláusulas Contractuales Tipo ni otros mecanismos adicionales.
¿Cómo interactúa la Ley de IA de la UE con el RGPD?
La Ley de IA de la UE y el RGPD se aplican simultáneamente a los sistemas de IA que tratan datos personales. La Ley de IA impone obligaciones de clasificación de riesgo, transparencia, registro de actividad y evaluación de conformidad a los proveedores y responsables del despliegue de IA. Cuando un sistema de IA trata datos personales, también se aplican los requisitos del RGPD, incluidos la base jurídica, la minimización de datos, la limitación de la finalidad y las EIPD para el tratamiento de alto riesgo. El CEPD y la Comisión están desarrollando directrices conjuntas sobre la interacción entre ambos instrumentos, cuya adopción está prevista para 2026.
Fuentes y referencias
- Texto Completo del RGPD, Reglamento (UE) 2016/679(eur-lex.europa.eu).gov
- Comisión Europea, Protección de Datos en la UE(commission.europa.eu).gov
- Directrices 3/2018 del CEPD sobre el Ámbito Territorial (Artículo 3)(edpb.europa.eu).gov
- Directrices 1/2024 del CEPD sobre el Interés Legítimo(edpb.europa.eu).gov
- Comisión Europea, Decisiones de Adecuación para Transferencias Internacionales de Datos(commission.europa.eu).gov
- Decisión de Adecuación del Marco de Privacidad de Datos UE-EE. UU. (Julio de 2023)(ec.europa.eu).gov
- Comité Europeo de Protección de Datos (CEPD)(edpb.europa.eu).gov
- CEPD, Multa de 1200 Millones de Euros para Facebook (Decisión Vinculante)(edpb.europa.eu).gov
- CEF 2026 del CEPD, Ejecución Coordinada sobre Transparencia(edpb.europa.eu).gov
- Rastreador de Ejecución del RGPD, Base de Datos de Multas y Sanciones(enforcementtracker.com)
- Directiva ePrivacy 2002/58/CE, Texto Completo(eur-lex.europa.eu).gov
- Ley de IA de la UE, Reglamento (UE) 2024/1689, Texto Completo(eur-lex.europa.eu).gov
- Ley de IA de la UE, Estrategia Digital de la Comisión Europea(digital-strategy.ec.europa.eu).gov
- Consejo de la UE, Acuerdo Político de Simplificación de la Ley de IA (Mayo de 2026)(consilium.europa.eu).gov
- Paquete Digital de la UE, Panorama de la Comisión(digital-strategy.ec.europa.eu).gov
- Ley de Datos de la UE, Reglamento (UE) 2023/2854(digital-strategy.ec.europa.eu).gov
- Ley de Gobernanza de Datos, Reglamento (UE) 2022/868(digital-strategy.ec.europa.eu).gov
- Ley de Servicios Digitales, Comisión Europea(commission.europa.eu).gov
- Ley de Mercados Digitales, Comisión Europea(commission.europa.eu).gov