El Tribunal General de la Unión Europea ha confirmado la validez del EU-US Data Privacy Framework (Marco de transferencias de datos UE-EEUU), la decisión de adecuación adoptada por la Comisión Europea en julio de 2023 que permite las transferencias de datos personales desde la UE hacia Estados Unidos sin necesidad de autorización adicional.
La Agencia Española de Protección de Datos (AEPD) ha valorado positivamente esta sentencia, subrayando que aporta estabilidad y seguridad jurídica en un ámbito crítico para la economía digital y las relaciones empresariales transatlánticas.
Estabilidad en las transferencias internacionales
La sentencia (T-553/23, Latombe/Comisión), publicada esta semana, desestima el recurso de anulación presentado contra la decisión de adecuación. Según el fallo, el marco estadounidense garantiza un nivel suficiente de protección de los datos personales, equiparable al exigido en la Unión Europea.
Para la AEPD, este respaldo judicial fortalece la confianza en el marco regulador y facilita la continuidad de las operaciones de transferencia internacional de datos, un aspecto esencial para multinacionales, proveedores tecnológicos y empresas españolas que operan en EEUU o utilizan servicios digitales con infraestructura allí alojada. La decisión supone, además, un alivio para sectores altamente dependientes de los flujos transfronterizos de información, como el financiero, el sanitario o el tecnológico.
Independencia del sistema de supervisión en EEUU
Uno de los puntos centrales de la demanda cuestionaba la independencia del Data Protection Review Court (DPRC), órgano creado en EEUU tras la Orden Ejecutiva 14086 y el reglamento del Fiscal General. El Tribunal General, sin embargo, concluyó que las garantías de nombramiento, cese y funcionamiento de sus jueces aseguran su independencia frente al poder ejecutivo y las agencias de inteligencia estadounidenses.
Este aspecto es clave para las empresas europeas, ya que elimina dudas sobre la posibilidad de revisión judicial efectiva frente a posibles accesos indebidos a datos por parte de autoridades de inteligencia.
Obligación de seguimiento por parte de la Comisión Europea
La resolución también recuerda que la Comisión Europea debe realizar un seguimiento permanente de la aplicación del marco jurídico. Si se produjeran cambios sustanciales en el sistema estadounidense, la Comisión tendría la facultad de modificar, limitar o incluso derogar la decisión de adecuación.
Para las organizaciones, esto significa que, aunque el marco actual ofrece una base sólida, sigue existiendo la necesidad de una monitorización constante de la normativa de protección de datos en EEUU y de las eventuales actualizaciones regulatorias que puedan afectar a la validez de las transferencias.
Supervisión de la recogida de datos por parte de agencias de inteligencia
Otro de los puntos debatidos hacía referencia a la recogida masiva de datos por parte de las agencias de inteligencia estadounidenses. El Tribunal señaló que la jurisprudencia Schrems II no exige necesariamente una autorización previa de una autoridad independiente, sino que basta con que exista un control judicial posterior.
En el marco vigente, estas actividades están sujetas a supervisión por el DPRC, lo que, a juicio del Tribunal, asegura un nivel de garantías equiparable al europeo. Para las compañías españolas y europeas, esta conclusión resulta decisiva, ya que despeja el temor a que un eventual vacío regulatorio obligara a buscar medidas contractuales alternativas más complejas, como las cláusulas contractuales tipo o los acuerdos ad hoc.
Relevancia empresarial en España y la UE
Las transferencias internacionales de datos son esenciales para la competitividad de las empresas europeas. Bajo el Reglamento General de Protección de Datos (RGPD), solo se pueden realizar cuando el país receptor ofrece garantías adecuadas, ya sea mediante una decisión de adecuación de la Comisión Europea o a través de mecanismos contractuales específicos.
En este contexto, la sentencia refuerza el marco jurídico para compañías que dependen de proveedores estadounidenses en áreas como cloud computing, servicios financieros, inteligencia artificial, big data y plataformas digitales. Su importancia es aún mayor para las pymes españolas que, sin grandes recursos legales, se benefician de la seguridad jurídica que ofrece el Data Privacy Framework al evitar costes adicionales de cumplimiento.
De este modo, el fallo del Tribunal General no solo zanja una disputa jurídica, sino que aporta previsibilidad a miles de empresas europeas que necesitan garantizar la continuidad de sus operaciones transatlánticas en un entorno digital cada vez más globalizado.
