logo-4dlegal-consultora-compliance
Contactar

< Volver al blog

La AEPD celebra la sentencia del Tribunal General de la UE que confirma el marco UE-EEUU de transferencias de datos (EU-US data privacy framework)

El Tribunal General de la UE (TGUE) ha desestimado el recurso T-553/23 (Latombe vs. Comisión) y confirma la validez del EU-US Data Privacy Framework (DPF), la base legal que permite transferencias internacionales de datos de la UE a Estados Unidos sin garantías adicionales cuando el receptor está certificado. La AEPD valora positivamente el fallo porque aporta estabilidad y seguridad jurídica a empresas y administraciones que dependen de estos flujos.

Qué significa la sentencia, en palabras sencillas

  • El TGUE dice que, cuando la Comisión aprobó la Decisión de adecuación del DPF (julio de 2023), EE. UU. ofrecía un nivel “adecuado” de protección para los datos personales de europeos.
  • El tribunal rechaza que el Data Protection Review Court (DPRC) —el “tribunal” de recursos para personas europeas— carezca de independencia o poderes efectivos.
  • Para la AEPD, esto reduce la incertidumbre de las empresas españolas sobre cómo transferir datos a proveedores en EE. UU. y mantener la continuidad de negocio.

 

Por qué importa para tu empresa (aunque no seas jurista)

  1. Menos fricción para contratar tecnología: si tu proveedor en EE. UU. está certificado en el DPF, puedes transferir datos amparándote en la decisión de adecuación —sin tener que negociar cláusulas adicionales—, igual que antes con Privacy Shield, pero con controles reforzados.
  2. Más seguridad en auditorías: la AEPD ve la sentencia como un paso de seguridad jurídica. Eso ayuda en evaluaciones de cumplimiento, due diligence y auditorías.
  3. Aún necesitas gobernanza: si tu proveedor no está en el DPF, siguen valiendo las Cláusulas Contractuales Tipo (SCCs) con su Transfer Impact Assessment (TIA) como “plan B”. (La sentencia no las invalida).

 

Checklist 4Dlegal: qué deberías hacer esta semana

  • Localiza tus flujos a EE. UU. en el Registro de actividades de tratamiento y en el inventario de proveedores.
  • Comprueba la certificación DPF de cada proveedor en la lista oficial y guarda evidencias (capturas, fecha, alcance).
  • Actualiza textos legales: política de privacidad, avisos a clientes y anexos de encargo de tratamiento para documentar la base de transferencia (DPF o SCCs).
  • Documenta tu decisión en el TIA/RIA: anota cómo el DPF y el DPRC mitigan riesgos de acceso gubernamental y derechos de reclamación.
  • Mantén un “plan B”: conserva plantillas de SCCs + TIA por si hay apelación al TJUE o cambios futuros. (El debate puede seguir).

 

Qué dijo exactamente el Tribunal (puntos clave)

  • Confirma la adecuación del nivel de protección en EE. UU. a la fecha de la decisión de 2023 (Decisión (UE) 2023/1795).
  • Rechaza la acusación de falta de independencia del DPRC y valida el mecanismo de reparación de dos capas (CLPO + DPRC).
  • Resultado práctico: se mantiene un marco estable para miles de organizaciones que necesitan transferir datos personales entre la UE y EE. UU. —banca, salud, industria, SaaS, marketing y payroll—.

 

¿Qué es el Data Privacy Framework (DPF) y el DPRC?

  • El DPF es el sistema de certificación para empresas de EE. UU. que se comprometen a cumplir principios de privacidad alineados con el RGPD, permitiendo transferencias de datos desde la UE sin garantías adicionales. Entró en vigor el 10 de julio de 2023.
  • El DPRC es un órgano de revisión que puede investigar y ordenar remedios cuando una persona europea denuncia accesos indebidos de inteligencia estadounidense a sus datos; forma parte del sistema de recursos creado por EE. UU. tras la Orden Ejecutiva de 2022.

 

Preguntas frecuentes

1) Si uso Microsoft, Google, AWS, Meta u otros en EE. UU., ¿ya estoy cubierto?
Depende. Cada entidad debe estar certificada en el DPF y la certificación debe cubrir los servicios que utilizas. Revisa la lista oficial y guarda evidencia. Si no hay DPF, aplica SCCs + TIA.

2) ¿Debo cambiar mis contratos actuales?
Si estabas en SCCs, puedes mantenerlas o migrar a DPF si tu proveedor está certificado. En ambos casos, documenta tu elección y actualiza la política de privacidad y el Registro.

3) ¿Se acabó el riesgo legal?
No del todo. El demandante puede recurrir al TJUE y activistas han anunciado que seguirán litigando. Mantén monitorización y un plan alternativo.

4) ¿A quién afecta?
A cualquier organización en España/UE que envíe datos personales a EE. UU. (clientes, empleados, usuarios) para nube, soporte, marketing, RR. HH., pagos, etc.

Transferencias internacionales: Cuando utilizamos proveedores establecidos en Estados Unidos, verificamos si están certificados en el EU-US Data Privacy Framework (DPF). En tal caso, la transferencia se basa en la Decisión de adecuación (UE) 2023/1795 de la Comisión. Si el proveedor no está certificado, firmamos Cláusulas Contractuales Tipo y realizamos una Evaluación de Impacto de Transferencias (TIA) con medidas adicionales cuando sea necesario.

 

Conclusión 4Dlegal

La sentencia del TGUE consolida el DPF y alinea a España con un escenario de mayor previsibilidad para transferencias internacionales de datos. Es un buen momento para ordenar documentación, actualizar evidencias de proveedores y explicar al negocio que contratar en EE. UU. vuelve a ser operacionalmente viable… siempre con gobernanza y plan de contingencia.