El Tribunal General avala el marco de transferencias internacionales con Estados Unidos
El pasado 3 de septiembre de 2025, el Tribunal General de la Unión Europea dictó sentencia en el asunto T-553/23, Philippe Latombe contra la Comisión Europea, desestimando el recurso presentado contra la Decisión de Ejecución (UE) 2023/1795, por la que la Comisión Europea declaró adecuado el nivel de protección de datos personales en el marco de privacidad Unión Europea – Estados Unidos («Data Privacy Framework» o «DPF»). Con esta resolución, el Tribunal respalda la posición de la Comisión y ofrece cierta estabilidad jurídica a un mecanismo que permite transferir datos personales a organizaciones establecidas en Estados Unidos sin necesidad, por regla general, de garantías adicionales, como cláusulas contractuales tipo o normas corporativas vinculantes.
Casos Schrems
Desde la primera sentencia Schrems I, dictada en 2015, el Tribunal de Justicia de la Unión Europea ha venido configurando un marco de exigencia elevado en materia de protección de datos, invalidando sucesivamente los acuerdos «Safe Harbor» y «Privacy Shield» por considerar que el sistema jurídico estadounidense no ofrecía garantías equivalentes o similares a las del Derecho de la Unión. Ambos fallos tuvieron consecuencias significativas para las empresas que mantenían relaciones comerciales o de servicios con entidades estadounidenses. Las transferencias internacionales, que hasta entonces se realizaban con relativa normalidad, quedaron sujetas a un control más riguroso, obligando a las organizaciones a adoptar medidas contractuales y técnicas adicionales para evitar sanciones.
Como consecuencia de la conclusión de Schrems II, la Comisión Europea y el Gobierno de los Estados Unidos emprendieron una nueva negociación. El resultado fue el Data Privacy Framework, adoptado en julio de 2023, que se apoya en el Decreto Presidencial 14086 y en un nuevo mecanismo de recurso, el Data Protection Review Court («DPRC»). Este tribunal independiente pretende ofrecer a los ciudadanos de la Unión una vía efectiva para impugnar el acceso indebido a sus datos por parte de las agencias de inteligencia estadounidenses.
Philippe Latombe
El ciudadano francés Philippe Latombe interpuso un recurso de anulación ante el Tribunal General, cuestionando la independencia del DPRC y denunciando la persistencia de prácticas de vigilancia masiva por parte de los servicios de inteligencia estadounidenses. En su opinión, el nuevo marco tampoco corregía las deficiencias estructurales señaladas en Schrems II, y, por lo tanto, debía ser invalidado.
El Tribunal General rechazó ambos argumentos. En relación con el DPRC, remarcó que su configuración incorpora suficientes garantías de independencia: los jueces solo pueden ser cesados por causa justificada, su mandato está protegido frente a injerencias políticas y el Fiscal General no puede influir en sus decisiones. Asimismo, la Comisión Europea está obligada a realizar un seguimiento constante de la aplicación del marco y a revisar su validez si detecta cambios sustanciales en el Derecho estadounidense. En otras palabras, el Tribunal reconoce que, pese a que el sistema no es perfecto, cumple con los estándares mínimos exigidos por el Derecho de la Unión.
En cuanto a la vigilancia masiva, el Tribunal precisó que el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD») y la jurisprudencia Schrems II no exigen una autorización previa de una autoridad independiente para toda recogida de datos, sino que basta con la existencia de un control judicial posterior efectivo. El DPRC cumple esta función de revisión y, por ello, garantiza un nivel de protección sustancialmente equivalente al europeo. El Tribunal concluye que la decisión de adecuación es válida y que el recurso debe ser desestimado en su totalidad.
El propio Tribunal recuerda que la decisión puede ser objeto de casación ante el Tribunal de Justicia de la Unión Europea, limitada a cuestiones de Derecho. No sería la primera vez que una aparente solución provisional acaba siendo anulada unos años después. De hecho, diversos grupos de defensa de la privacidad, incluidos los liderados por Max Schrems, ya han anunciado que estudian recurrir la sentencia.
Consideraciones finales
Desde una perspectiva práctica, el Data Privacy Framework ofrece a las empresas una vía directa para transferir datos personales a entidades estadounidenses certificadas en el programa, lo que simplifica notablemente los trámites y reduce los costes de cumplimiento. Pese a ello, esta facilidad no debe interpretarse como una exoneración total de responsabilidad. Las organizaciones de la Unión siguen obligadas a verificar que sus socios estadounidenses mantienen la certificación actualizada y que el tratamiento de los datos se ajusta a los principios del RGPD. Además, los flujos de datos que no encajen en este marco deben seguir basándose en mecanismos alternativos, como las cláusulas contractuales tipo o las normas corporativas vinculantes.
Desde un punto de vista jurídico, la sentencia Latombe/Comisión refuerza la idea de que la adecuación no exige una equivalencia idéntica entre los sistemas, sino una «equivalencia sustancial». Es decir, lo relevante es que las garantías ofrecidas sean, en conjunto, comparables en eficacia, aunque sus mecanismos difieran. El Tribunal asume un enfoque pragmático que busca preservar el equilibrio entre protección de derechos y viabilidad económica.
En definitiva, la sentencia del Tribunal General devuelve una dosis necesaria de previsibilidad al panorama de la protección de datos, pero también recuerda que la materia evoluciona y que el cumplimiento debe entenderse como un proceso continuo, no como un estado invariable. La prudencia, el seguimiento jurídico y la inversión en cumplimiento normativo seguirán siendo esenciales.