Validación Judicial del Marco de Privacidad de Datos UE–Estados Unidos: Entre la Estabilidad y la Erosión

1. Contexto y objeto del litigio

La Sentencia del Tribunal General de la Unión Europea (TGUE) de 3 de septiembre de 2025 en el asunto T-553/23, Latombe v. Comisión, confirma la validez del Marco de Privacidad de Datos UE–Estados Unidos (en adelante, “DPF”), desestimando el recurso presentado por el Sr. Philippe Latombe. Este recurso tenía por objeto principal la anulación de la Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023, por la que se determina, conforme al Reglamento (UE) 2016/679 (RGPD), el nivel adecuado de protección de los datos personales garantizado por el DPF.

2. Antecedentes y relevancia histórica

Históricamente, el principal impulsor de los cuestionamientos sobre la adecuación de este marco regulatorio ha sido el Sr. Max Schrems, cuyas acciones derivaron en la anulación de los anteriores acuerdos “Puerto Seguro” y “Escudo de Privacidad”. Aunque el presente caso difiere en sus fundamentos, este precedente resulta relevante, ya que pone de manifiesto que la seguridad jurídica en materia de transferencias internacionales de datos entre EE. UU. y la UE sigue siendo objeto de debate. A pesar de ello, los esfuerzos diplomáticos de ambas jurisdicciones han mostrado resiliencia, manteniendo un diálogo regulatorio en constante evolución.

3. Fundamentos de la decisión del TGUE

El Tribunal considera que el sistema estadounidense ofrece garantías “esencialmente equivalentes” a las exigidas por el Derecho de la Unión. Este criterio, menos restrictivo que el aplicado en Schrems I y II, se basa en dos puntos clave: la independencia efectiva del Data Protection Review Court (DPRC) sin necesidad de replicar estructuras constitucionales europeas y la suficiencia del control judicial a posteriori frente a la vigilancia masiva, eliminando la exigencia de autorización previa por una autoridad independiente.

4. Incertidumbres y riesgos identificados

Aunque la sentencia sugiere una etapa de reconsolidación institucional, persisten incertidumbres que impiden considerarla definitiva. Entre ellas, la posibilidad de recurso ante el TJUE, el alcance limitado del recurso inicial y los cambios en organismos estadounidenses clave, como el desmantelamiento del Consejo de Supervisión de Privacidad y Libertades Civiles (PCLOB) en 2024, lo que evidencia su fragilidad institucional.

5. Advertencias de autoridades europeas

Varias autoridades de protección de datos en Europa (Noruega, Suecia, Dinamarca y Alemania) han instado a las empresas a desarrollar “estrategias de salida” del DPF. Estas advertencias no son meras precauciones, sino señales técnicas de que alteraciones en EE. UU. podrían comprometer los fundamentos de la decisión de adecuación.

6. Impacto práctico y recomendaciones

Aunque la sentencia puede interpretarse como una luz verde para las transferencias UE–EE. UU., los escenarios futuros apuntan a riesgos significativos: desde una posible suspensión administrativa por cambios legislativos en EE. UU. hasta una nueva reclamación con mayor alcance. 

Actualmente, más de 2 800 empresas en EE. UU. están certificadas bajo el DPF, lo que les permite seguir basándose en la decisión de adecuación (art. 45 GDPR) como base jurídica para sus transferencias transatlánticas. Esto reduce la incertidumbre inmediata y evita interrupciones masivas de los flujos de datos. Sin embargo, la estabilidad del marco no está garantizada y debe monitorizarse activamente, ya que pueden surgir eventos regulatorios o judiciales que lo pongan en cuestión. 

Por ello, se recomienda a las organizaciones mantener estrategias flexibles, preparar mecanismos alternativos como las Cláusulas Contractuales Tipo (SCCs) y revisar periódicamente los flujos de datos.