Fichas temáticas sobre la Unión Europea
Parlamento Europeo
Rellene este campo.

La protección de los datos personales

La protección de los datos de carácter personal y el respeto de la vida privada son derechos fundamentales y jurídicamente exigibles, que no pueden ponderarse con intereses comerciales o políticos. El Parlamento Europeo ha insistido siempre en la necesidad de lograr un equilibrio entre el refuerzo de la seguridad y la tutela de los derechos humanos, incluida la protección de los datos y de la vida privada. La nueva normativa de la Unión en materia de protección de datos, que refuerza los derechos de los ciudadanos y simplifica las normas para las empresas en la era digital, entró en vigor en mayo de 2018.

Base jurídica

Artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE);

Artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

Objetivos

La Unión debe garantizar la aplicación sistemática del derecho fundamental a la protección de datos, consagrado en la Carta de los Derechos Fundamentales de la Unión Europea. A la luz del crecimiento exponencial del volumen de transferencias de datos (debido principalmente a la Unión Europea, los Estados Unidos y Canadá), la posición de la Unión sobre la protección de los datos personales debe reforzarse en el contexto de todas sus políticas.

Resultados

A. Marco institucional

1. Tratado de Lisboa

Antes de la entrada en vigor del Tratado de Lisboa, la legislación relativa a la protección de datos en el espacio de libertad, seguridad y justicia estaba repartida entre el primer pilar (protección de datos con fines privados y comerciales, con aplicación del método comunitario) y el tercer pilar (protección de datos con fines de aplicación de la ley, a nivel intergubernamental). En consecuencia, el proceso decisorio de las dos áreas se regía por dos normativas diferentes. La estructura de pilares desapareció con el Tratado de Lisboa, que aporta una base más sólida para desarrollar un sistema de protección de datos más claro y eficaz, al tiempo que prevé nuevas competencias para el Parlamento Europeo, que se convierte en colegislador. En el artículo 16 del TFUE se dispone que el Parlamento Europeo y el Consejo establecerán las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión.

2. Orientaciones estratégicas en el espacio de libertad, seguridad y justicia

Tras los programas de Tampere y La Haya (octubre de 1999 y noviembre de 2004, respectivamente), el Consejo Europeo adoptó en diciembre de 2009 el programa plurianual en el ámbito del espacio de libertad, seguridad y justicia para el período 2010-2014, conocido como el Programa de Estocolmo. En sus Conclusiones de junio de 2014, el Consejo Europeo definió las orientaciones estratégicas de la programación legislativa y operativa para los años venideros en el espacio de libertad, seguridad y justicia, con arreglo al artículo 68 del TFUE. Uno de los objetivos clave es una mejor protección de los datos personales en la Unión.

B. Principales instrumentos legislativos en materia de protección de datos

1. Carta de los Derechos Fundamentales de la Unión Europea

Los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea reconocen el respeto de la vida privada y la protección de los datos de carácter personal como derechos fundamentales estrechamente relacionados, pero independientes.

2. Consejo de Europa

a. Convenio n.º 108 de 1981

El Convenio n.º 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal fue el primer instrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos. Tiene como fin garantizar a cualquier persona física el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal. Con el Protocolo por el que se modifica el Convenio se pretende ampliar su ámbito de aplicación, aumentar el nivel de protección de los datos y mejorar su eficacia.

b. Convenio Europeo de Derechos Humanos

El artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH), de 4 de noviembre de 1950, consagra el derecho de toda persona al respeto de la vida privada y familiar, de su domicilio y de su correspondencia.

3. Instrumentos legislativos vigentes de la Unión en materia de protección de datos

a. Reglamento general de protección de datos (RGPD)

En mayo de 2018 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Su objetivo es proteger a todos los ciudadanos de la Unión frente a las violaciones de la privacidad y de los datos personales en un mundo cada vez más basado en los datos, creando al mismo tiempo un marco más claro y coherente para las empresas. Entre los derechos de los que disfrutan los ciudadanos figuran la exigencia de un consentimiento claro y expreso para el tratamiento de sus datos y el derecho a recibir información clara y comprensible al respecto; el derecho al olvido, esto es, la facultad de los ciudadanos de solicitar que se supriman sus datos; la libertad de transferir los datos de un proveedor de servicios a otro (por ejemplo, al cambiar de una red social a otra), y el derecho a saber si los datos han sido pirateados. Las nuevas normas se aplican a todas las empresas que operan en la Unión, incluso a las que tengan su sede fuera de ella. Asimismo, pueden imponerse medidas correctoras, tales como advertencias y órdenes, o sanciones a las empresas que infrinjan las normas.

El 25 de julio de 2024, la Comisión presentó su Segundo Informe relativo a la aplicación del Reglamento General de Protección de Datos. El 16 de julio de 2025, la Comisión organizó en Bruselas un diálogo sobre la aplicación del RGPD. Este diálogo siguió a iniciativas como la propuesta ómnibus de la Comisión para eximir a las entidades con menos de 750 empleados de la obligación de llevar registros contemplada en el RGPD.

En 2023, la Comisión propuso un nuevo Reglamento sobre normas procedimentales en relación con el RGPD, al objeto de racionalizar la cooperación entre las autoridades de protección de datos a la hora de aplicar el RGPD en casos de relevancia transfronteriza. Este Reglamento fija las normas procedimentales que deben seguir las autoridades de protección de datos en la ejecución del RGPD en asuntos que afectan a personas físicas en más de un Estado miembro. El 21 de octubre de 2025, el Parlamento aprobó la nueva normativa para acelerar la aplicación transfronteriza del RGPD, aclarando así los procedimientos y derechos pertinentes.

b. Directiva sobre protección de datos en el ámbito penal

En mayo de 2018 entró en vigor la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. La Directiva protege el derecho fundamental de los ciudadanos a la protección de datos cuando los utilizan las autoridades encargadas de hacer cumplir la ley. Garantiza que los datos personales de víctimas, testigos y sospechosos de delitos sean debidamente protegidos, y facilita la cooperación transfronteriza en la lucha contra la delincuencia y el terrorismo. El 25 de julio de 2022, la Comisión Europea publicó su informe sobre la aplicación y el funcionamiento de la Directiva sobre protección de datos en el ámbito penal, pendiente desde hacía tiempo. Le siguió un estudio de evaluación encargado por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE), que incluía una evaluación crítica de la aplicación de la Directiva sobre protección de datos en el ámbito penal.

c. Directiva sobre la privacidad y las comunicaciones electrónicas

La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) fue modificada por la Directiva 2009/136/CE, de 25 de noviembre de 2009. Plantea la delicada cuestión de la conservación de datos, que se ha presentado reiteradamente ante el Tribunal de Justicia de la Unión Europea (TJUE) y ha dado lugar a una serie de sentencias, como la de 2020, en la que se declara que el Derecho de la Unión se opone a la conservación generalizada e indiscriminada de datos de tráfico y localización.

La propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas) se presentó en 2017 y fue objeto de largos debates. Los expertos del Parlamento indicaron que este debería oponerse a los intentos del Consejo de excluir la aplicabilidad de los principios europeos de protección de datos.

En febrero de 2025, la Comisión señaló en su programa de trabajo para 2025 que retiraría su propuesta de un nuevo Reglamento sobre la privacidad y las comunicaciones electrónicas (que tenía por objeto sustituir a la actual Directiva sobre la privacidad y las comunicaciones electrónicas). En julio, la Comisión aprobó la retirada, que a continuación se publicó en el Diario Oficial el 6 de octubre de 2025. La actual Directiva sobre la privacidad y las comunicaciones electrónicas y sus leyes nacionales de transposición siguen en vigor.

d. Reglamento relativo al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión

El 11 de diciembre de 2018 entró en vigor el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.

e. Artículos relativos a la protección de datos en actos legislativos sectoriales

Aparte de los principales actos legislativos en materia de protección de datos antes mencionados, también se establecen disposiciones específicas en esta materia en actos legislativos sectoriales, como, por ejemplo:

  • el artículo 13 (sobre la protección de los datos de carácter personal) de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave;
  • el artículo 4 (sobre la recogida de datos) del Reglamento (UE) 2025/12 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para reforzar y facilitar las inspecciones en las fronteras exteriores, y el Reglamento (UE) 2025/13 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, relativo a la recogida y la transferencia de información anticipada sobre los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de los delitos graves;
  • el capítulo VI (sobre las garantías en materia de protección de datos) del Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol);
  • el capítulo VIII (sobre la protección de datos) del Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea;
  • el capítulo II del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial) prohíbe una serie de prácticas de IA que implican usos específicos de los datos, mientras que el capítulo III impone la obligación de llevar a cabo evaluaciones de impacto relativas a la protección de datos para los sistemas de IA de alto riesgo.

4. Principales acuerdos de la Unión sobre transferencias de datos transatlánticas

a. Transferencias comerciales de datos: decisiones de adecuación y el Marco de Privacidad de Datos UE-EE. UU

De conformidad con el artículo 45 del RGPD, la Comisión está facultada para determinar si un país no perteneciente a la Unión ofrece un nivel adecuado de protección de datos, teniendo en cuenta su legislación nacional o los compromisos internacionales que haya contraído.

Con el telón de fondo del aumento exponencial de las transferencias de datos entre la Unión Europea y Estados Unidos , y habida cuenta de que estos dominan la publicidad y la vigilancia privadas en línea, el Parlamento ha aprobado numerosas resoluciones en las que expresa su preocupación por los flujos transatlánticos de datos. En particular, ha considerado que la Decisión sobre el Escudo de la privacidad UE-EE. UU. no ofrece el nivel adecuado de protección exigido por el Derecho de la Unión, mientras que el TJUE ha invalidado reiteradamente las decisiones de adecuación de la Comisión relativas a los Estados Unidos (véanse sus sentencias de 2015 sobre el puerto seguro en el asunto Schrems y de 2020 sobre el Escudo de la privacidad UE-EE. UU. en el asunto Schrems II).

A pesar de la falta de reforma del régimen de protección de datos en los Estados Unidos, la Comisión alcanzó otro acuerdo con los Estados Unidos y presentó una propuesta para otro nuevo Marco de Privacidad de Datos UE-EE. UU. Tras la presentación de la propuesta de la Comisión LIBE el 11 de mayo de 2023, el Parlamento aprobó una Resolución sobre la adecuación de la protección conferida por el Marco de Privacidad de Datos UE-EE. UU., en la que concluía que el marco de privacidad de datos UE-EE. UU. no crea una equivalencia sustancial en el nivel de protección y pedía a la Comisión que prosiga las negociaciones con sus homólogos estadounidenses, pero que se abstenga de adoptar la decisión de adecuación hasta que se apliquen plenamente todas las recomendaciones formuladas en la Resolución y en el dictamen del Comité Europeo de Protección de Datos (CEPD).

La Comisión adoptó su tercer Marco de Privacidad de Datos UE-EE. UU. el 10 de julio de 2023. En su sentencia de 3 de septiembre de 2025, el Tribunal General (asunto T-553/23, Latombe/Comisión Europea) desestimó un recurso por el que se solicitaba la anulación de la decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU., salvaguardando así su validez. El Tribunal General, en su comunicado de prensa, confirmó que «en la fecha de adopción de la decisión impugnada, los Estados Unidos garantizaban un nivel adecuado de protección de los datos personales transferidos a partir de la Unión a organizaciones establecidas en ese país».

b. Acuerdo marco UE-EE. UU

En el contexto del procedimiento de aprobación, el Parlamento participó en la aprobación del acuerdo entre los Estados Unidos y la Unión sobre la protección de los datos personales relacionados con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales, también conocido como «acuerdo marco». Dicho acuerdo tiene por objeto garantizar un elevado nivel de protección de la información personal que se transfiere en el marco de la cooperación transatlántica a efectos de aplicación de la ley, en concreto en la lucha contra el terrorismo y la delincuencia organizada.

c. Programa UE-EE. UU. de seguimiento de la financiación del terrorismo

La Unión ha firmado un acuerdo bilateral con los Estados Unidos sobre el tratamiento y la transferencia de datos de mensajería financiera con origen en la Unión y destino en los Estados Unidos a efectos del programa de seguimiento de la financiación del terrorismo.

5. Autoridades de control encargadas de la protección de datos de la Unión

El Supervisor Europeo de Protección de Datos (SEPD) es una autoridad de control independiente encargada de garantizar que las instituciones, órganos y organismos de la Unión cumplen sus obligaciones en materia de protección de datos. Los cometidos principales del SEPD son el control, la consulta y la cooperación. El SEPD investiga reclamaciones y asesora sobre las políticas y la legislación que afectan a la privacidad. El SEPD también pretende sensibilizar sobre los riesgos y proteger los derechos y las libertades de los ciudadanos cuando se tratan sus datos personales.

El Comité Europeo de Protección de Datos (CEPD), anteriormente el Grupo de Trabajo del Artículo 29, tiene la categoría de órgano de la Unión con personalidad jurídica y cuenta con la asistencia de una secretaría independiente (que el SEPD pone a su disposición). El CEPD está compuesto por representantes de las autoridades nacionales de protección de datos de la Unión, el SEPD y la Comisión. El CEPD dispone de amplios poderes para resolver litigios entre autoridades nacionales de supervisión y para brindar asesoramiento y orientación acerca de conceptos clave del Reglamento general de protección de datos y de la Directiva sobre protección de datos en el ámbito penal.

Papel del Parlamento Europeo

El Parlamento ha contribuido de modo fundamental a la definición de la legislación de la Unión en el ámbito de la protección de los datos personales, al hacer de la protección de la intimidad una prioridad política. Además, en el marco del procedimiento legislativo ordinario, ha trabajado en la reforma de la protección de datos en pie de igualdad con el Consejo.

En numerosas resoluciones, el Parlamento ha expresado sus dudas sobre la adecuación de la protección ofrecida a los ciudadanos de la Unión en el marco de puerto seguro UE-EE. UU. y, posteriormente, en el del Escudo de la privacidad UE-EE. UU. Después de que el asunto Schrems II condujera a la invalidación de la Decisión de Ejecución (UE) 2016/1250 de la Comisión sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU., sobre la base de la preocupación de que los poderes de vigilancia del Gobierno de los Estados Unidos no estuvieran limitados, como exige la legislación de la Unión, y de que los ciudadanos europeos no tuvieran medios efectivos de reparación, el Parlamento adoptó una Resolución en la que lamentaba que la Comisión hubiera antepuesto las relaciones con los Estados Unidos a los intereses de los ciudadanos de la Unión.

Tras la presentación de la propuesta de la Comisión LIBE, el 11 de mayo de 2023 el Parlamento aprobó una Resolución sobre la adecuación de la protección conferida por el Marco de Privacidad de Datos UE-EE. UU., en la que concluía que este no da lugar a una equivalencia sustancial en el nivel de protección y pedía a la Comisión que prosiga las negociaciones con sus homólogos estadounidenses, pero que se abstenga de adoptar la decisión de adecuación hasta que se apliquen plenamente todas las recomendaciones formuladas en la Resolución y en el dictamen del CEPD. La Comisión adoptó su decisión sobre el Marco de Privacidad de Datos UE-EE. UU. el 10 de julio de 2023.

El Parlamento ha deplorado reiteradamente las prácticas de vigilancia de los Estados Unidos. En septiembre de 2001, adoptó una Resolución sobre la existencia de un sistema mundial de interceptación de comunicaciones privadas y comerciales (sistema de interceptación ECHELON). En marzo de 2014, a raíz de las revelaciones de Edward Snowden, el Parlamento adoptó una Resolución sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE. UU. y los órganos de vigilancia en diversos Estados miembros, además de una Resolución de seguimiento en octubre de 2015.

El Parlamento constituyó una Comisión de Investigación Encargada de Examinar el Uso del Programa Espía de Vigilancia Pegasus y Otros Programas Equivalentes (Comisión PEGA) en los Estados miembros de la Unión. La Comisión PEGA, presidida por el diputado al Parlamento Europeo Jeroen Lenaers, investigó exhaustivamente la utilización de programas espía para investigar a miembros de la oposición, periodistas, abogados y activistas de la sociedad civil, así como la manera en que dichas prácticas afectan a los procesos democráticos y a los derechos individuales en la Unión. Durante su investigación, la Comisión PEGA consultó a destacados académicos, profesionales y autoridades de la Unión y de todo el mundo. El Departamento Temático del Parlamento elaboró informes para las misiones de la Comisión PEGA a Polonia, Grecia y Chipre. La Comisión PEGA votó el 8 de mayo de 2023 a favor de aprobar su informe final (ponente: Sophia in ‘t Veld, diputada al Parlamento Europeo) sobre la investigación de las alegaciones de infracción y mala administración en la aplicación del Derecho de la Unión en relación con el uso del programa espía de vigilancia Pegasus y otros programas equivalentes, y que incluía, entre otros muchos puntos, la recomendación de crear un laboratorio tecnológico de la Unión para la investigación y el seguimiento del uso de programas espía contra los ciudadanos de la Unión. La Recomendación del Parlamento al Consejo y a la Comisión a raíz del informe PEGA fue aprobada por su Pleno el 15 de junio de 2023. Sin embargo, la Comisión no dio una respuesta oportuna a la Recomendación y bloqueó el proyecto piloto del laboratorio tecnológico de la Unión propuesto por los diputados al Parlamento Europeo. En noviembre de 2023, el Parlamento adoptó una Resolución de seguimiento sobre la falta de seguimiento legislativo de la Resolución PEGA por la Comisión, y en junio de 2025 celebró un debate sobre el estado actual y seguimiento dos años después de las recomendaciones de la Comisión PEGA y el uso ilegal de programas espía.

El 13 de marzo de 2024 el Parlamento adoptó una Resolución legislativa sobre la propuesta de Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial). El Reglamento (UE) 2024/1689, aprobado el 13 de junio de 2024, establece una serie de obligaciones para los sistemas de IA y sus proveedores, sobre la base de sus posibles riesgos e impactos. Los sistemas de IA que se consideren una clara amenaza para los derechos fundamentales de los ciudadanos (incluida la protección de datos) estarán prohibidos. El Reglamento de Inteligencia Artificial entró en vigor el 1 de agosto de 2024, y la mayoría de sus disposiciones se aplicarán a partir del 2 de agosto de 2026.

El Parlamento ha encargado una serie de estudios con el fin de garantizar que dispone de una base científica para sus actividades legislativas a la vanguardia de los avances tecnológicos y la protección de datos, como por ejemplo: The impact of the General Data Protection Regulation (GDPR) on artificial intelligence (El impacto del Reglamento general de protección de datos en la inteligencia artificial), Biometric Recognition and Behavioural Detection (Reconocimiento biométrico y detección de comportamientos sospechosos), Advance Passenger Information (API) - An analysis of the European Commission’s proposals to reform the API legal framework (Información anticipada sobre los pasajeros – Un análisis de las propuestas de la Comisión Europea para reformar el marco jurídico sobre la API) y un estudio sobre el Derecho y las tecnologías de la información y de las comunicaciones.

El Parlamento estudiará y votará las próximas iniciativas políticas y propuestas legislativas en materia de conservación de datos, cifrado e interceptación legítima de datos, que se anunciaron en la hoja de ruta para un acceso lícito y efectivo a los datos por parte de las autoridades policiales y judiciales, presentada por la Comisión el 24 de junio de 2025.

 

Alessandro Davoli / Mariusz Maciejewski