Con el sugerente título de “Claridad en la práctica: Apoyar a las partes interesadas mediante la orientación y el diálogo” (Clarity in action: Supporting stakeholders through guidance and dialogue”), el Comité Europeo de Protección de Datos acaba de hacer público su Informe Anual correspondiente a 2025 en el que analiza los hitos más relevantes de la protección de datos en la Unión Europea y los Estados miembros durante el pasado año.
El artículo 68 del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) crea el Comité Europeo de Protección de Datos (CEPD) al objeto de, según el artículo 70, garantizar la aplicación coherente de dicho Reglamento. Según el artículo 71, el Comité elaborará un informe anual en materia de protección de las personas físicas en lo que respecta al tratamiento en la Unión y, si procede, en terceros países y organizaciones internacionales. El informe se hará público y se transmitirá al Parlamento Europeo, al Consejo y a la Comisión. Dicho informe anual incluirá un examen de la aplicación práctica de las directrices, recomendaciones y buenas prácticas aprobadas por el CEPD, así como de sus decisiones vinculantes.
El Informe -documento de enorme interés para conocer la evolución de la protección de datos en la Unión Europea, así como su relación con otros ámbitos, tales como los servicios o mercados digitales y la inteligencia artificial-, ofrece una visión general de la labor realizada por el EDPB en 2025 y reflexiona sobre los hitos más importantes de su actividad. Entre ellos se destaca la Declaración de Helsinki sobre una mayor claridad, apoyo y compromiso, adoptada el 2 de julio de 2025, que el CEPD no dudó en calificar de “declaración histórica” (La Declaración de Helsinki sobre una mayor claridad, apoyo y compromiso | European Data Protection Board), y que hace hincapié en nuevas iniciativas para facilitar el cumplimiento del RGPD, en particular para las microorganizaciones y las organizaciones pequeñas y medianas, reforzar la coherencia e impulsar la cooperación normativa. Queda claro, pues, que en línea con la citada Declaración de Helsinki, el CEPD pretende con su Informe, no sólo cumplir con la obligación que le corresponde de acuerdo con lo que establece el RGPD, sino facilitar el cumplimiento del propio Reglamento. Tras exponer los hitos más relevantes de su actividad y describir las funciones que le corresponden y la misión de la Secretaría General (de la que se encarga el Supervisor Europeo de Protección de Datos de acuerdo a lo previsto en el artículo 75.1 del RGPD) el Informe se centra en las principales actividades del Comité:
- Clarificar la interacción entre el RGPD y otras normativas digitales, adoptando directrices sobre la relación con la Digital Services Act, la Digital Marquets Act y el Reglamento de Inteligencia Artificial.
- El CEPD emitió varias opiniones sobre adecuación legislativa, participó en debates sobre simplificación normativa y emitió 29 dictámenes en el marco del mecanismo de coherencia, de acuerdo con el artículo 64 del RGPD.
- Siguió fortaleciendo la importancia de su actividad internacional mediante su participación en foros internacionales tales como el G7 Data Protection Authorities Roundtable o la Asamblea Global de Privacidad, promoviendo estándares internacionales de protección de datos.
- La vigilancia y aplicación del GDPR se reforzaron mediante instrumentos como el Coordinated Enforcement Framework (CEF), el Pool de Expertos y las reuniones de grupos de trabajo. Por otra parte, en 2025 el CEPD gestionó 414 casos transfronterizos y 1.299 procedimientos relacionados con el sistema de cooperación del artículo 60 del RGPD (one-stop-shop).
- La Secretaría del EDPB apoyó todas estas actividades elaborando opiniones, facilitando reuniones (en torno a 500) atendiendo más de 10.000 consultas, incluyendo más de 800 relacionadas con el sistema IMI (Internal Marquet Information), además de participar en 15 casos ante el Tribunal de Justicia de la UE.
Pero además el Informe incluye una información de gran utilidad relativa al ejercicio de sus poderes por parte de las autoridades de protección de datos de los Estados miembros. En este sentido, cabe destacar que ha sido Eslovaquia (542) el país que más sanciones ha impuesto, seguido de Alemania (499, contabilizando el conjunto de las autoridades de los Lander) y, en tercer lugar, España (324). En cuanto a la cuantía de las sanciones, es Irlanda con casi 531 millones de euros la que lidera el ranking, seguido de Francia (casi 487 millones), Italia (algo más de 530 millones de euros) y, en cuarto lugar, España (con algo más de 45 millones de euros en sanciones impuestas en 2025). Es relevante apuntar que según se señala en el Informe del CEPD el importe de las multas impuestas en 2025 en los Estados miembros fue de más de 1.145 millones de euros. Este panorama, por cierto, puede completarse con la detallada información que ofrece CMS sobre las sanciones impuestas en materia de protección de datos, no sólo en la Unión Europea, y el Informe 2025 con las conclusiones más relevantes. En fin, el Informe del CEPD incluye un útil anexo con la relación de las guías y recomendaciones adoptadas, los dictámenes del mecanismo de coherencia, las opiniones sobre propuestas normativas y otros documentos.
En suma, y como se señalaba al principio, el Informe Anual correspondiente a 2025 del Comité Europeo de Protección de Datos es un documento de gran utilidad para conocer mejor la situación de la protección de datos en la Unión Europea y en los Estados miembros.
