Nuevas reglas para mejorar la gestión de reclamaciones transfronterizas del RGPD

Una reclamación transfronteriza es una reclamación relacionada con la protección de datos que involucra a autoridades de distintos Estados miembros, normalmente porque el reclamante y el responsable del tratamiento se encuentran en países diferentes, o porque el tratamiento afecta a personas en varios Estados miembros.

La ausencia de criterios homogéneos y la complejidad de la cooperación entre la autoridad líder y las autoridades interesadas generaban retrasos significativos, criterios divergentes y una carga administrativa elevada.

Con el objetivo de corregir estas ineficiencias, el Consejo de la Unión Europea aprobó el 17 de noviembre de 2025 una nueva regulación destinada a agilizar y armonizar el tratamiento de las reclamaciones transfronterizas en materia de protección de datos personales.

A continuación, resumimos los puntos clave de esta reforma:

1. Criterios de admisibilidad armonizados

Por primera vez, todas las autoridades europeas aplicarán los mismos criterios para determinar si una reclamación es admisible. Esto aporta mayor coherencia y previsibilidad tanto para ciudadanos como para empresas.

2. Mayor claridad en los derechos del reclamante y del investigado

Se refuerzan las garantías procesales de todas las partes:

• Información clara en caso de que la reclamación sea inadmitida.
• Derecho de audiencia y acceso a conclusiones preliminares antes de la decisión final.
• Mayor participación del reclamante desde fases tempranas.

 3. Procedimiento simplificado para casos de baja complejidad

La nueva norma introduce una vía más ágil para aquellos expedientes que no requieren una cooperación extensa entre autoridades, reduciendo tiempos y carga administrativa.

4. Plazos estrictos y uniformes para las investigaciones

El RGPD contará por primera vez con plazos definidos para procedimientos transfronterizos:

• 15 meses para el procedimiento estándar.
• Hasta 12 meses adicionales si el caso es complejo. 
• 12 meses para el procedimiento simplificado.

5. Mecanismo de “resolución temprana”

Se permite cerrar un caso antes de activar el procedimiento formal cuando:

• La organización investigada ha corregido la irregularidad, y
• El reclamante no se opone.

Este mecanismo ayudará a reducir litigios y permitirá que autoridades y empresas concentren recursos en los casos realmente relevantes.

6. Resolución de conflictos entre autoridades

En caso de desacuerdo entre autoridades de protección de datos sobre un caso transfronterizo, se aplicará el mecanismo de coherencia del RGPD, permitiendo que la autoridad líder o el Comité Europeo de Protección de Datos (CEPD) emitan una decisión vinculante. Esto asegura:

• Evitar bloqueos que retrasen la resolución de la reclamación.
• Mantener uniformidad en la aplicación del RGPD en toda la UE.
• Dar claridad a las organizaciones sobre qué autoridad coordina el procedimiento.

Impacto práctico

La reforma aporta más agilidad y claridad, pero también introduce nuevos desafíos:

• Capacidad institucional limitada en varias autoridades, lo que podría generar tensiones para cumplir los nuevos plazos.
• Riesgos en la resolución temprana, que podría utilizarse de forma excesiva sin un análisis profundo si no se gestionan adecuadamente las garantías.
• Casos transnacionales complejos, en los que incluso los plazos ampliados podrían resultar insuficientes.
• Necesidad de mayor coordinación interna en empresas con presencia en varios Estados miembros para gestionar procedimientos con plazos estrictos y nuevas exigencias.

Entrada en vigor y próximos pasos

La regulación entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y será aplicable 15 meses después.

Las empresas deberán revisar y ajustar sus políticas y procedimientos de protección de datos para alinearse con las nuevas reglas y garantizar una cooperación ágil y eficaz con las autoridades de protección de datos.