El Tribunal General de la Unión Europea ha confirmado la validez del EU-US Data Privacy Framework, la decisión de adecuación adoptada por la Comisión Europea en julio de 2023 que permite transferencias de datos personales entre la UE y Estados Unidos sin necesidad de autorización adicional.
Un paso hacia la estabilidad jurídica en las transferencias internacionales
La Agencia Española de Protección de Datos (AEPD) ha valorado positivamente la sentencia, destacando que aporta estabilidad, seguridad jurídica y continuidad en las transferencias internacionales de datos entre ambas regiones. Esta decisión supone un respaldo al marco creado para facilitar los flujos de datos en un contexto de creciente interconexión global.
El control independiente del Data Protection Review Court (DPRC)
En el caso T-553/23, Latombe/Comisión, el Tribunal desestimó las alegaciones que cuestionaban la independencia del Data Protection Review Court (DPRC), órgano creado en Estados Unidos tras la Orden Ejecutiva 14086 y el reglamento complementario del Fiscal General.
El TJUE considera que los mecanismos de nombramiento, cese y funcionamiento de los jueces del DPRC garantizan su independencia frente al poder ejecutivo y las agencias de inteligencia, cumpliendo con las exigencias de tutela judicial efectiva.
Supervisión continua de la Comisión Europea
El Tribunal también subrayó que la Comisión Europea está obligada a supervisar de manera permanente la aplicación del marco jurídico que sustenta la decisión de adecuación. En caso de que se produzcan cambios significativos en la legislación o en las prácticas estadounidenses, la Comisión podrá modificar, limitar o incluso derogar la decisión de adecuación.
Garantías frente a la recogida masiva de datos
Otro de los puntos clave de la sentencia se refiere a la recogida masiva de datos por parte de las agencias de inteligencia de EEUU. El Tribunal recordó que la jurisprudencia Schrems II no exige necesariamente una autorización previa por parte de una autoridad independiente, siempre que exista un control judicial posterior efectivo.
En este sentido, el Tribunal constató que en el marco actual las actividades de inteligencia en Estados Unidos están sujetas a la supervisión judicial del DPRC, lo que permite equiparar el nivel de garantías al que se exige en la Unión Europea.
Implicaciones para empresas y organizaciones
La confirmación del EU-US Data Privacy Framework significa que los responsables y encargados del tratamiento en la UE pueden seguir transfiriendo datos personales a entidades establecidas en Estados Unidos sin necesidad de solicitar autorizaciones adicionales, siempre que se respete lo dispuesto en el Capítulo V del Reglamento General de Protección de Datos (RGPD).
De esta forma, las transferencias se benefician de la presunción de adecuación establecida por la Comisión Europea, reforzando la seguridad jurídica para empresas y organizaciones que operan a nivel internacional.
Contexto: qué son las transferencias internacionales de datos
Las transferencias internacionales de datos consisten en el flujo de datos personales desde la UE hacia países situados fuera del Espacio Económico Europeo (EEE), que incluye a los Estados miembros de la UE junto con Liechtenstein, Islandia y Noruega.
El RGPD permite dichas transferencias cuando se realizan a países u organizaciones internacionales que ofrecen un nivel de protección adecuado de los datos personales, reconocido mediante una decisión de adecuación adoptada por la Comisión Europea.
En el caso de Estados Unidos, esa adecuación está actualmente amparada por el EU-US Data Privacy Framework, validado ahora por el Tribunal General.