Glosario · Derecho de transferencia de datos de la UE Decisiones de adecuación de la UE (European Commission Adequacy Decisions)
Determinaciones formales de la Comisión Europea según las cuales un país no comunitario ofrece un nivel esencialmente equivalente de protección de datos personales, permitiendo el flujo libre de datos personales sin salvaguardias adicionales.
## Qué es realmente una decisión de adecuación
Una decisión de adecuación de la UE es una determinación formal de la Comisión Europea, conforme al artículo 45 del [RGPD](/es/glossary/gdpr/), de que un país no comunitario (o un sector específico dentro de él) ofrece un nivel de protección de datos personales **esencialmente equivalente** al garantizado dentro de la UE.
Cuando un país tiene decisión de adecuación, los datos personales UE pueden fluir hacia allí libremente: no se requieren salvaguardias contractuales adicionales (SCC, BCR) ni evaluaciones de impacto de transferencia para la transferencia en sí. Es la base jurídica *más sólida* para las transferencias internacionales bajo el RGPD.
## Países con decisiones de adecuación (a 2026)
La Comisión Europea ha reconocido la adecuación de:
- **Andorra**
- **Argentina**
- **Canadá** (organizaciones comerciales cubiertas por PIPEDA)
- **Islas Feroe**
- **Guernsey**
- **Isla de Man**
- **Israel**
- **Japón** (con adecuación mutua UE-Japón)
- **Jersey**
- **Nueva Zelanda**
- **República de Corea (Corea del Sur)**
- **Suiza**
- **Reino Unido** (post-Brexit, dos decisiones: RGPD y aplicación de la ley)
- **Uruguay**
- **Estados Unidos**: solo bajo el [EU-US Data Privacy Framework](/es/glossary/eu-us-data-privacy-framework/) para organizaciones certificadas
Varias de estas están sujetas a revisión periódica.
## Cómo se adoptan las decisiones de adecuación
La Comisión Europea considera:
### 1. Estado de Derecho y derechos fundamentales
Marco general de derechos humanos y Estado de Derecho del tercer país.
### 2. Ley de protección de datos
Si el país tiene legislación integral de protección de datos comparable al RGPD.
### 3. Autoridad supervisora independiente
Si existe una autoridad de protección de datos independiente con poder de aplicación real.
### 4. Compromisos internacionales
Pertenencia a acuerdos internacionales relevantes para la privacidad (Convenio 108, etc.).
### 5. Acceso gubernamental a los datos
Si el acceso de seguridad nacional y aplicación de la ley a los datos personales es proporcional, está regulado por leyes claras y ofrece recursos efectivos.
El quinto factor es donde los casos **Schrems** intervienen una y otra vez para EE. UU.
## Cómo se revisan las decisiones de adecuación
El artículo 45(3) del RGPD exige a la Comisión **revisar las decisiones de adecuación periódicamente** (al menos cada cuatro años). La Comisión puede suspender, derogar o modificar la adecuación si cambian las circunstancias.
Las decisiones también pueden ser invalidadas por el **Tribunal de Justicia de la UE**:
- [Schrems I](/es/glossary/schrems-i/) (2015) invalidó la decisión Safe Harbor
- [Schrems II](/es/glossary/schrems-ii/) (2020) invalidó el Privacy Shield
## Qué significan las decisiones de adecuación en la práctica
### Para los exportadores de datos
Si transfieres datos personales UE a un país con decisión de adecuación:
- **No se requieren salvaguardias adicionales** para la base jurídica de la transferencia
- Siguen aplicándose los principios estándar del RGPD (limitación de la finalidad, minimización, etc.)
- No se requiere evaluación de impacto de transferencia para la transferencia en sí
- La documentación debería seguir señalando la base de adecuación
### Para los importadores de datos en países adecuados
Si eres una organización japonesa o británica que recibe datos UE:
- Te beneficias de transferencias simplificadas desde clientes UE
- La adecuación de tu país es ventaja competitiva frente a jurisdicciones no adecuadas
- Mantener la adecuación depende de decisiones políticas a nivel nacional
### Para los compradores de tecnología
Al evaluar proveedores:
- **Proveedores con residencia UE**: sin problema de transferencia
- **Proveedores en países adecuados** (Reino Unido, Suiza, etc.): base de transferencia directa
- **Proveedores estadounidenses bajo EU-US DPF**: técnicamente adecuados, pero jurídicamente vulnerables
- **Jurisdicciones no adecuadas**: requieren SCC + TIA, a menudo poco prácticos para datos sensibles
## La adecuación del Reino Unido específicamente
Tras el Brexit, el Reino Unido recibió una decisión de adecuación en 2021. Esta decisión está sujeta a revisión periódica y se renovó. La divergencia del Reino Unido respecto al RGPD, en particular las propuestas de reforma de protección de datos del Reino Unido, podría poner en riesgo la adecuación.
Para las empresas europeas que utilizan proveedores con sede en el Reino Unido, la adecuación actual hace las transferencias sencillas, pero la decisión es condicional al alineamiento continuo del Reino Unido.
## Adecuación vs otros mecanismos de transferencia
Cuando no existe adecuación o es insuficiente, el RGPD ofrece:
- **Cláusulas contractuales tipo (SCC)**: términos contractuales aprobados por la Comisión ([ver SCCs](/es/glossary/sccs/))
- **Normas corporativas vinculantes (BCR)**: normas internas dentro de grupos multinacionales ([ver BCRs](/es/glossary/bcrs/))
- **Excepciones**: excepciones limitadas para situaciones específicas
- **Evaluación de impacto de transferencia**: obligatoria cuando se usan SCC/BCR para verificar si realmente brindan protección ([ver TIA](/es/glossary/tia/))
La adecuación es preferida porque elimina la carga de evaluación por transferencia.
## Qué traen 2026-2027
- **Revisiones periódicas** de las decisiones de adecuación existentes, incluida la del Reino Unido
- **Posibles nuevas decisiones de adecuación** para países adicionales (evaluaciones en curso)
- **Vulnerabilidad continuada** del EU-US DPF a impugnaciones de la línea Schrems
- **Intersección con el AI Act**: la adecuación no aborda automáticamente flujos de datos específicos de IA
## Implicaciones prácticas
Para los compradores tecnológicos europeos, las decisiones de adecuación favorecen estructuralmente:
1. **Proveedores con residencia UE** (la mejor opción: sin transferencia)
2. **Proveedores en países adecuados** (Reino Unido, Suiza, etc.: base jurídica limpia)
3. **Proveedores estadounidenses certificados bajo EU-US DPF** (legales pero vulnerables)
4. **Otros proveedores estadounidenses/no adecuados** (requieren SCC + TIA, a menudo poco prácticos)
La jerarquía importa al comparar proveedores. La jurisdicción de un proveedor da forma a la carga de cumplimiento que llevarás siempre.
¿Te resultó útil?
¡Gracias por tu opinión!