Protección de Datos

Transferencias datos Reino Unido España

Transferencias datos UK desde España 2026: adequacy decision UE-UK, IDTA, requisitos post-Brexit y revisión adecuación junio 2025. Guía operativa.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. Las transferencias de datos personales desde España al Reino Unido se rigen por la decisión de adecuación UE-UK vigente desde junio 2021 (renovada en diciembre 2025 hasta 2031), permitiendo flujos sin instrumentos adicionales como si fueran intracomunitarios, salvo controles específicos en seguridad nacional.

Puntos clave

  • Adecuación UE-UK adoptada el 28 junio 2021 tras Brexit.
  • Revisión y renovación en diciembre 2025: vigente hasta 2031.
  • Flujos UK→España bajo UK GDPR + Data Use and Access Act 2025.
  • IDTA (International Data Transfer Agreement) cuando no aplica adecuación.
  • Riesgo residual: legislación de inteligencia británica y solapamiento con EEUU.

1. Estado actual: adecuación vigente

Tras el Brexit (1 enero 2021), Reino Unido se convirtió en “tercer país” para el RGPD. La Comisión Europea adoptó decisiones de adecuación el 28 junio 2021 (RGPD y Directiva de protección de datos en el ámbito penal), permitiendo flujos sin instrumentos adicionales.

La adecuación se revisó en diciembre 2025 y fue renovada con vigencia hasta diciembre 2031.

2. Marco normativo UK aplicable

  • UK GDPR: versión británica del RGPD post-Brexit.
  • Data Protection Act 2018: ley nacional británica.
  • Data Use and Access Act 2025: modificación reciente del UK GDPR (objetivo: facilitar uso de datos en investigación e IA).
  • Investigatory Powers Act 2016: legislación de inteligencia con interferencia potencial.

3. Régimen para transferencias España → UK

Tras adecuación:

  • Transferencia tratada como intracomunitaria.
  • No requiere CCT, BCR ni otros instrumentos del art. 46 RGPD.
  • Información al interesado sobre transferencia (art. 13 RGPD).
  • Registro de la transferencia en registro de actividades.

4. Régimen para transferencias UK → España

UK reconoce a la UE como adecuada en general. Reglas:

  • Transferencia desde UK al EEE sin restricciones.
  • Aplicable el UK GDPR durante el tratamiento en UK.
  • Cláusulas tipo del ICO británico (IDTA) cuando UE no es destino.

5. IDTA: International Data Transfer Agreement

Cuando no aplica adecuación (ej. transferencia desde UK a EEUU sin DPF), se usa el IDTA del ICO británico:

  • Plantilla oficial publicada en marzo 2022.
  • Tres documentos: IDTA, Addendum a las CCT UE, Documento Complementario.
  • Análisis de impacto similar al TIA europeo.
  • Medidas suplementarias obligatorias si riesgos identificados.

6. Información al interesado

Conforme al art. 13.1.f RGPD, la transferencia a UK debe estar informada:

  • Mención al país (Reino Unido) o al hecho de transferencia internacional.
  • Mención a la existencia de decisión de adecuación.
  • Información sobre derechos del interesado y mecanismo de reclamación.
  • Si se usa IDTA: información sobre disponibilidad de copia de las salvaguardas.

7. Encargados del tratamiento en UK

Empresas españolas que usan proveedores británicos como encargados (cloud, hosting, BPO):

  • Contrato art. 28 RGPD adaptado.
  • Mención de la transferencia internacional.
  • Cláusulas de subencargados.
  • Posibilidad de auditoría documentada.

8. Casos típicos UK desde España

  • Grupos empresariales con matriz en UK: HSBC, AstraZeneca, BP, Shell.
  • Proveedores cloud y SaaS con DC en UK.
  • Empresas de auditoría y consultoría: Big Four UK arms.
  • Tratamiento de datos personales por bufetes londinenses.
  • Servicios financieros para clientes españoles desde la City.

9. Riesgos residuales

A pesar de la adecuación, riesgos a evaluar:

  • Investigatory Powers Act 2016: amplios poderes de inteligencia británica.
  • UK-US CLOUD Act Agreement: acceso recíproco a datos.
  • Data Use and Access Act 2025: relajación de algunas obligaciones (impacto a evaluar).
  • Posible no renovación futura: tras 2031.

Recomendación: documentar análisis de riesgo en EIPD para tratamientos sensibles.

10. Brechas en encargados UK

Si un encargado en UK sufre brecha:

  • Encargado notifica al responsable español sin demora.
  • Responsable notifica AEPD en 72 horas si riesgo.
  • Comunicación a afectados si alto riesgo.
  • Procedimiento integrado en el plan de gestión de incidentes.

11. Cambios tras la Data Use and Access Act 2025

El UK GDPR fue modificado en 2025 con:

  • Mayor flexibilidad para investigación científica y estadística.
  • Régimen específico para IA y entrenamiento de modelos.
  • Simplificación de algunas obligaciones documentales.
  • Reforma del ICO (autoridad británica).

Estos cambios fueron evaluados en la renovación de la adecuación de diciembre 2025 y aceptados como compatibles.

12. Comparación con otras adecuaciones

País/región Adecuación Vigencia Particularidades
Reino Unido Hasta 2031 Decisión renovada 2025
EEUU (DPF) Variable Bajo escrutinio judicial
Suiza Indefinida Bilateral previa al RGPD
Canadá Sí parcial Indefinida Solo organizaciones bajo PIPEDA
Japón Renovada 2024 Garantías adicionales
Corea Sur 2021 Sectores específicos
Andorra, Argentina, Israel, Uruguay Indefinida Decisiones antiguas

13. Cómo gestionar transferencias UK desde España

  • Identificar todos los flujos UK en el registro de actividades.
  • Documentar la base legal: adecuación o instrumento art. 46.
  • Información a interesados con mención específica.
  • Contratos art. 28 con encargados UK actualizados.
  • Procedimiento de gestión de brechas integrado.
  • EIPD si tratamiento sensible o masivo.
  • Revisión periódica del marco regulatorio UK.
  • Ver guía completa: transferencias internacionales.

FAQ

¿Puedo transferir datos a un proveedor en UK sin firmar nada especial?

Sí, gracias a la adecuación UE-UK. Solo necesita el contrato art. 28 RGPD habitual y mencionar la transferencia en la información al interesado.

¿Hasta cuándo dura la adecuación con UK?

Hasta diciembre 2031 (renovada en diciembre 2025). Sujeta a revisión anterior si cambios sustanciales en derecho británico.

¿La Data Use and Access Act 2025 afecta a las transferencias?

No directamente. La modificación del UK GDPR fue evaluada en la renovación de la adecuación y aceptada como compatible con el nivel UE.

¿Qué hago si el proveedor UK transfiere a EEUU?

Verifique que aplica DPF o IDTA con análisis de transferencia. La cadena de transferencias debe estar documentada y conforme.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →