Europrivacy se transforma en un esquema de certificación de protección de datos

Con fecha 16 de abril, el Comité Europeo de Protección de Datos (CEPD) ha publicado dos dictámenes relevantes mediante los cuales el Comité aprueba, por un lado, una nueva versión del esquema de certificación Europrivacy y, por otro, una extensión del propio esquema para permitir su utilización como mecanismo para la realización de transferencias internacionales de datos de conformidad con el artículo 46.2.f) del RGPD:

• El Dictamen 14/2026 sobre los criterios de certificación Europrivacy en relación con su aprobación como Sello Europeo de Protección de Datos conforme al artículo 42.5 del RGPD, 
• El Dictamen 15/2026 sobre dichos criterios en cuanto a su utilización como herramienta para transferencias internacionales conforme a los artículos 42 y 46 del RGPD. 

A continuación, se facilita una breve descripción de los principales cambios introducidos en dicho esquema de certificación.

Actualización de los criterios de certificación y extensión del esquema de Europrivacy a entidades ubicadas fuera del Espacio Económico Europeo (EEE) a las que resulte aplicable el RGPD de conformidad con su artículo 3.2.

Mediante el Dictamen 14/2026, el CEPD ha aprobado una nueva versión (versión 82) del esquema de certificación Europrivacy.

El cambio principal que conviene destacar consiste en la extensión del esquema de certificación a entidades ubicadas fuera del EEE a las que resulte aplicable el RGPD de conformidad con su artículo 3.2.

Por lo tanto, con esta modificación, el esquema Europrivacy se aplica a:

• (i) los responsables y encargados del tratamiento establecidos en la Unión Europea (UE) o en el EEE; 
• (ii) los responsables y encargados del tratamiento establecidos fuera del EEE que estén sujetos al RGPD conforme a su artículo 3.2, ya sea porque ofrecen bienes o servicios a interesados situados en el EEE o porque supervisan su comportamiento.

Para poder certificar tratamientos realizados por entidades ubicadas fuera del EEE (a las cuales le resulta aplicable el RGPD), los nuevos criterios exigen que el solicitante aporte un informe elaborado por un experto jurídico en el que se evalúe que la legislación y la práctica del tercer país no impiden el cumplimiento de sus obligaciones en materia de protección de datos conforme al RGPD. Asimismo, cuando el solicitante esté establecido en un tercer país respecto del cual exista una decisión de adecuación aplicable al tratamiento comprendido en el Target of Evaluation (ToE), este requisito podrá acreditarse mediante un informe simplificado.

En línea con las obligaciones previstas en el RGPD, los nuevos criterios establecen que el solicitante sujeto al artículo 3.2 deberá designar un representante en el EEE conforme al artículo 27 del RGPD, cuyos datos de contacto deberán estar disponibles en su sitio web (criterio G.4.1.4).

Asimismo, se introduce una aclaración relevante en materia de corresponsabilidad, al establecerse que un responsable del tratamiento puede someter a certificación un ToE en el que exista corresponsabilidad (criterio A.2.1.5).

Destaca también la introducción de un criterio específico relativo a un posible tratamiento tratamiento ulterior que exige demostrar que los datos personales no serán tratados de manera incompatible con los fines para los que fueron recogidos, debiendo evaluarse separadamente la licitud de cualquier tratamiento ulterior mediante una adecuada evaluación de compatibilidad de la finalidad (criterio G.1.1.6).

Por último, el CEPD establece que todos los procesos de certificación iniciados conforme a la primera versión del esquema (versión 60) deberán finalizar durante el año 2026. A partir de 2027, no podrán emitirse certificados con base en dicha versión del esquema Europrivacy.

En cuanto a la validez de los certificados ya otorgados, se prevé que, una vez finalizado el año 2029, los criterios de certificación aprobados conforme a la versión anterior (v60) quedarán completamente sustituidos por los nuevos criterios (versión 82).

Extensión de Eurprivacy como instrumento para las transferencias internacionales de datos conforme al artículo 46.2.f)

Por otro lado, mediante el Dictamen 15/2026, el CEPD ha aprobado un conjunto adicional de criterios de certificación (“Europrivacy Certification Scheme Extension for Certifying Data Importers under Article 46”), destinados a su utilización como instrumento para las transferencias internacionales de datos conforme al artículo 46.2.f) del RGPD.

Este esquema se configura como una extensión del esquema de certificación Europrivacy, con el objetivo de certificar a importadores de datos (responsables o encargados del tratamiento) establecidos fuera del EEE y no sujetos al RGPD. 

El CEPD precisa que el ámbito de este esquema, como herramienta de transferencia, difiere del de la certificación Europrivacy conforme al artículo 42.1 del RGPD, en la medida en que establece criterios específicos aplicables a importadores de datos ubicados fuera del EEE.

Entre los aspectos más importantes a destacar se subrayan los siguientes:

• El esquema exige, en línea con el artículo 46 del RGPD, la asunción de compromisos vinculantes y exigibles por parte del importador frente al exportador de datos. A tal efecto, Europrivacy facilita un modelo de cláusulas contractuales bilaterales para formalizar dichos compromisos.
• El exportador deberá reflejar el uso de la certificación como mecanismo de transferencia en el correspondiente contrato (ya sea en el marco del artículo 28 RGPD o en acuerdos entre responsables) y cumplir con las obligaciones de información previstas en el artículo 13.1.f) del RGPD.
• Se exige la elaboración de una evaluación documentada que acredite que la legislación y las prácticas del tercer país no impiden el cumplimiento de los criterios Europrivacy, respetan la esencia de los derechos fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática conforme al artículo 23.1 del RGPD. Esta evaluación deberá actualizarse en caso de cambios relevantes.
• El esquema de certificación exige la realización de una Transfer Impact Assessment (TIA) y, en su caso, la adopción de medidas complementarias. El organismo de certificación deberá verificar, con carácter previo a la auditoría, que el solicitante puede demostrar el cumplimiento de estos requisitos; en caso contrario, el proceso de certificación deberá interrumpirse.
• Las transferencias solo podrán iniciarse una vez concedida la certificación y después de que el importador haya suscrito compromisos vinculantes y exigibles frente al exportador del EEE.
• El esquema no resulta aplicable a supuestos de corresponsabilidad. En consecuencia, si el ToE incluyera una situación de corresponsabilidad, el organismo de certificación deberá denegar la emisión del certificado
• El esquema pone un especial énfasis en los derechos de los interesados, incluida la transparencia, la gestión de reclamaciones, la tutela judicial y la cooperación con las autoridades de control del EEE.

El CEPD destaca, finalmente, que el proceso de certificación deberá interrumpirse si el solicitante no puede demostrar que la normativa del tercer país permite el cumplimiento de los criterios establecidos, debiendo el importador mantener actualizada su evaluación y notificar cualquier cambio relevante que pueda afectar al nivel de protección.

Conclusiones

Con los últimos cambios aprobados por el CEPD, Europrivacy evoluciona hacia un esquema de certificación con vocación global, ampliando su alcance tanto a entidades extraterritoriales sujetas al RGPD como a importadores de datos ubicados fuera del EEE.

Los nuevos criterios no solo amplían el alcance de Europrivacy como esquema de certificación de actividades de tratamiento, permitiendo a las entidades certificadas beneficiarse de las ventajas previstas en el RGPD, sino que además refuerzan su utilidad práctica al habilitar su utilización como herramienta para la realización de transferencias internacionales de datos de conformidad con el artículo 46.2.f) del RGPD. En particular, esta extensión permitirá certificar a importadores de datos que reciben datos personales desde organizaciones ubicadas en el Espacio Económico Europeo (exportadores), dotando a dichas transferencias de un marco adicional de garantías y seguridad jurídica.

Servicios de implementación de Europrivacy

ECIJA Barcelona es Official Partner de Europrivacy y sujeto homologado para prestar servicios de implementación del esquema. ECIJA Barcelona cuenta con un equipo especializado en Europrivacy compuesto por más de 10 profesionales certificados como Europrivacy Implementers y Auditors.

Los servicios ofrecidos incluyen, entre otros, el apoyo en la selección del/los tratamiento/os a certificar; la elaboración de la documentación necesaria para presentar la solicitud ante la entidad de certificación; la realización de un gap analysis; la elaboración de las medidas legales y organizativas necesaria para cumplir con los criterios aplicables; el acompañamiento durante el proceso de certificación; y las actividades de mantenimiento anual de la certificación.

Departamento de Privacidad, Compliance y Ciberseguridad de ECIJA Barcelona.