Datos clave
| Normativa | Decisión (UE) 2026/1447 de la Comisión, de 30 de junio de 2026 |
|---|---|
| Publicación | 03 de julio de 2026 |
| Entrada en vigor | 30 de junio de 2026 |
| Afectados | Empresas investigadas por subvenciones de terceros países y personas físicas vinculadas a esos procedimientos |
| Categoría | Protección de Datos |
| Reglamento base | Reglamento (UE) 2022/2560 sobre subvenciones extranjeras que distorsionan el mercado interior |
| Ejercicio | 2026 |
Las empresas que operan en el mercado interior europeo con financiación de terceros países se enfrentan a un nuevo escenario normativo. La Decisión (UE) 2026/1447, adoptada por la Comisión Europea el 30 de junio de 2026, establece las reglas internas que rigen el tratamiento de datos personales durante las investigaciones, la ejecución y la supervisión previstas en el Reglamento (UE) 2022/2560 sobre subvenciones extranjeras que distorsionan el mercado interior.
En la práctica, esto significa que la Comisión puede restringir derechos fundamentales de protección de datos de las personas físicas vinculadas a un expediente activo, siempre que esa restricción sea necesaria para proteger la eficacia de la investigación.
¿Qué establece esta normativa?
La Decisión regula tres grandes bloques dentro del marco del Reglamento de Subvenciones Extranjeras:
| Bloque | Contenido |
|---|---|
| Restricción de derechos de los interesados | La Comisión puede limitar los derechos de acceso, rectificación y supresión de datos personales durante investigaciones activas para no comprometer su eficacia. |
| Obligaciones de información | Se definen las condiciones y el modo en que la Comisión debe informar a los afectados sobre el tratamiento de sus datos y sobre las restricciones aplicadas. |
| Garantías al aplicar limitaciones | Las restricciones son temporales: deben levantarse en cuanto desaparezca el riesgo que las justifica. Se establecen salvaguardas que deben respetarse en todo momento. |
El fundamento de esta Decisión es el Reglamento (UE) 2022/2560, que otorga a la Comisión poderes de investigación sobre empresas que hayan recibido subvenciones de gobiernos de terceros países cuando esas ayudas puedan distorsionar la competencia en el mercado interior europeo. La Decisión 2026/1447 no amplía esos poderes de investigación, sino que regula cómo se gestionan los datos personales dentro de esos procedimientos.
Impacto económico y operativo
El impacto directo de esta Decisión no es económico en términos de tasas o sanciones propias, sino operativo y de cumplimiento. Las empresas afectadas deben incorporar esta capa normativa a sus protocolos de protección de datos:
- Restricción temporal de derechos RGPD: Durante una investigación activa, los responsables de cumplimiento no podrán ejercer con normalidad los derechos de acceso, rectificación o supresión de datos ante la Comisión. Esto afecta a los plazos y procedimientos internos de respuesta a solicitudes de interesados.
- Capa adicional de compliance: Las empresas bajo investigación deben documentar y gestionar el hecho de que ciertos derechos están temporalmente suspendidos, lo que implica actualizar registros de actividades de tratamiento y políticas de privacidad internas.
- Coordinación legal multidisciplinar: Los equipos jurídicos deben coordinar simultáneamente la defensa en el procedimiento de subvenciones extranjeras y la gestión de los derechos de protección de datos de las personas físicas vinculadas al expediente (directivos, representantes legales, empleados clave).
- Riesgo reputacional: Estar bajo investigación por el Reglamento (UE) 2022/2560 implica ya de por sí una exposición pública significativa. La gestión incorrecta de los datos personales en este contexto puede añadir un frente adicional de riesgo regulatorio.
¿A quién afecta?
- Empresas investigadas por haber recibido subvenciones de gobiernos de terceros países (fuera de la UE) que puedan distorsionar el mercado interior europeo.
- Personas físicas vinculadas a esos expedientes: directivos, administradores, representantes legales, empleados clave o cualquier persona cuyos datos personales sean tratados en el marco de la investigación.
- Departamentos de compliance y protección de datos de grupos empresariales con financiación o accionariado de terceros países.
- Asesores jurídicos y DPOs (Delegados de Protección de Datos) que gestionen procedimientos ante la Comisión Europea en el marco del Reglamento (UE) 2022/2560.
- Empresas participantes en concentraciones o licitaciones públicas en la UE que hayan recibido subvenciones extranjeras y estén sujetas a notificación obligatoria.
Ejemplo práctico
Imaginemos una empresa española del sector de infraestructuras que ha recibido financiación de un fondo soberano de un país no perteneciente a la UE para participar en una licitación pública europea. La Comisión abre una investigación formal bajo el Reglamento (UE) 2022/2560.
Durante esa investigación, el director financiero de la empresa —cuya información personal forma parte del expediente— solicita a la Comisión acceder a los datos que obran en su poder y rectificar determinada información. Con la Decisión (UE) 2026/1447 en vigor, la Comisión puede denegar temporalmente esa solicitud si considera que atenderla comprometería la eficacia de la investigación en curso.
La empresa y su asesor legal deben saber que esta restricción no es indefinida: en cuanto desaparezca el riesgo que la justifica —por ejemplo, al concluirse la fase de recopilación de pruebas—, los derechos del interesado deben ser restituidos. El DPO de la empresa debe documentar esta situación en el registro de actividades de tratamiento y actualizar la política de privacidad interna para reflejar este escenario.
¿Qué deben hacer las empresas ahora?
- Identificar la exposición al Reglamento (UE) 2022/2560: Revisar si la empresa ha recibido subvenciones de terceros países que superen los umbrales de notificación o que puedan considerarse distorsionadoras del mercado interior.
- Actualizar el registro de actividades de tratamiento: Incorporar el escenario de investigación por subvenciones extranjeras como supuesto específico en el que los derechos de los interesados pueden quedar temporalmente restringidos.
- Informar al DPO y al equipo legal: Asegurarse de que el Delegado de Protección de Datos conoce la Decisión (UE) 2026/1447 y puede coordinar la respuesta ante solicitudes de derechos RGPD durante una investigación activa.
- Revisar las políticas de privacidad internas: Incluir una cláusula que contemple la posibilidad de restricción temporal de derechos en el contexto de investigaciones de la Comisión Europea.
- Preparar protocolos de respuesta: Definir internamente cómo actuar si un directivo o empleado clave solicita el ejercicio de derechos RGPD mientras la empresa está bajo investigación, incluyendo los plazos de revisión de la restricción.
- Consultar con asesoría especializada: Si la empresa ya está bajo investigación o anticipa estarlo, involucrar a abogados con experiencia en derecho de la competencia europeo y en protección de datos de forma coordinada.
Preguntas frecuentes
¿Qué derechos de protección de datos puede restringir la Comisión durante una investigación de subvenciones extranjeras?
Según la Decisión (UE) 2026/1447, la Comisión puede limitar los derechos de acceso, rectificación y supresión de datos personales de los interesados vinculados a un expediente activo. Estas restricciones son temporales y solo se aplican cuando sea necesario para proteger la eficacia de la investigación. Deben levantarse en cuanto desaparezca el riesgo que las justifica.
¿Cuándo entra en vigor la Decisión (UE) 2026/1447 sobre datos personales en investigaciones de subvenciones extranjeras?
La Decisión entró en vigor el 30 de junio de 2026, fecha de su adopción por la Comisión Europea. Fue publicada en el Diario Oficial de la UE el 3 de julio de 2026.
¿A qué empresas afecta el Reglamento (UE) 2022/2560 sobre subvenciones extranjeras?
Afecta a empresas que operan en el mercado interior europeo y han recibido subvenciones de gobiernos de terceros países (fuera de la UE) que puedan distorsionar la competencia. Esto incluye empresas participantes en grandes concentraciones o licitaciones públicas en la UE que superen los umbrales de notificación establecidos en el Reglamento.
¿Qué debe hacer el DPO de una empresa investigada bajo el Reglamento de Subvenciones Extranjeras?
El DPO debe: actualizar el registro de actividades de tratamiento para reflejar el escenario de investigación, coordinar con el equipo legal la gestión de solicitudes de derechos RGPD durante el procedimiento, y documentar las restricciones aplicadas y su levantamiento una vez desaparezca el riesgo. La Decisión (UE) 2026/1447 establece que deben respetarse garantías específicas al aplicar dichas limitaciones.
¿Las restricciones de derechos RGPD durante una investigación de subvenciones extranjeras son permanentes?
No. La Decisión (UE) 2026/1447 establece expresamente que las restricciones son temporales. Deben levantarse en cuanto desaparezca el riesgo que las justifica, por ejemplo, al concluirse la fase de recopilación de pruebas o al cerrarse la investigación.
Fuente oficial
Consultar normativa completa en fuente oficial
Aviso: Este artículo tiene carácter meramente informativo y no constituye asesoramiento legal. Para decisiones específicas, consulte a un profesional cualificado. Fuente: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=OJ:L_202601447