El 3 de septiembre de 2025, el Tribunal General de la Unión Europea desestimó la demanda en el asunto T-553/23 | Latombe v Comisión, que impugnaba la decisión de adecuación que facilita la transferencia de datos personales entre la UE y Estados Unidos. Esta sentencia confirma que, desde la adopción de la decisión, EE. UU. garantiza un nivel adecuado de protección de los datos personales transferidos desde la UE.
Antecedentes
El Marco de Transferencia de Datos UE–EE. UU., establecido por la Comisión Europea el 10 de julio de 2023, fue diseñado para abordar las incertidumbres jurídicas derivadas de la sentencia Schrems II, que invalidó decisiones de adecuación anteriores debido a preocupaciones sobre las prácticas de vigilancia estadounidenses. Como respuesta, EE. UU. promulgó en octubre de 2022 una Orden Ejecutiva destinada a reforzar las garantías de privacidad, en particular respecto al acceso de las agencias de inteligencia a datos personales. Esto se complementó con un Reglamento del Fiscal General que modificó las disposiciones relativas al establecimiento y funcionamiento del Data Protection Review Court (DPRC).
La decisión del Tribunal
Philippe Latombe, diputado francés, impugnó la decisión de adecuación alegando que el DPRC carecía de independencia y que las prácticas de recopilación masiva de datos por parte de las agencias de inteligencia estadounidenses estaban insuficientemente reguladas. El Tribunal rechazó ambas alegaciones.
-
Independencia del DPRC: El Tribunal concluyó que la estructura del DPRC, incluidos los procedimientos de nombramiento y cese de jueces, incorporaba garantías suficientes para asegurar su independencia respecto del poder ejecutivo.
-
Recopilación masiva de datos: El Tribunal señaló que, en virtud de la legislación estadounidense, las actividades de inteligencia de señales están sujetas a revisión judicial a posteriori, en línea con los requisitos establecidos en Schrems II.
En consecuencia, el Tribunal General confirmó la decisión de adecuación de la Comisión, afirmando que EE. UU. ofrece un nivel adecuado de protección para los datos personales transferidos desde la UE.
Implicaciones para las empresas
Esta sentencia tiene importantes repercusiones para las empresas que participan en flujos de datos transatlánticos:
-
Seguridad jurídica: Las compañías pueden seguir basándose, por ahora, en la decisión para transferir datos personales a EE. UU., siempre que lo hagan conforme a lo previsto en el Marco de Transferencia de Datos (DTF).
-
Cumplimiento continuo: La Comisión está obligada a supervisar de forma continua la aplicación del marco jurídico. Si se producen cambios en la legislación estadounidense que afecten a la protección de datos, la Comisión podrá suspender, modificar o revocar la decisión de adecuación.
-
Riesgos de litigio: Aunque el Tribunal General ha confirmado la decisión de adecuación, existe la posibilidad de nuevos desafíos legales. Las empresas deben mantenerse atentas a los posibles desarrollos y estar preparadas para ajustar sus prácticas de transferencia de datos en consecuencia.
Conclusión
La decisión del Tribunal General aporta un cierto grado de estabilidad a las empresas implicadas en transferencias de datos UE–EE. UU. No obstante, la naturaleza dinámica del derecho de protección de datos exige una vigilancia constante. Las compañías deben seguir de cerca la evolución jurídica y asegurarse de que sus mecanismos de transferencia de datos sigan cumpliendo tanto con la normativa de la UE como con la de EE. UU.
