Durante la última década, el marco jurídico que regula las transferencias internacionales de datos entre la Unión Europea y Estados Unidos ha atravesado distintas etapas. Tras la invalidación de los acuerdos Safe Harbour (2015) y Privacy Shield (2020) por parte del Tribunal de Justicia de la UE, la Comisión Europea adoptó en julio de 2023 el EU–US Data Privacy Framework (DPF), actualmente en vigor.

La sentencia dictada recientemente por el Tribunal General de la UE (asunto T-553/23, Latombe/Comisión) ha confirmado la validez de este nuevo marco, al considerar que el Data Protection Review Court (DPRC), órgano creado en Estados Unidos tras la Orden Ejecutiva 14086, cumple las garantías necesarias de independencia y supervisión judicial equivalentes a las exigidas en la UE.

El Tribunal también subraya la obligación de la Comisión Europea de realizar un seguimiento continuo del cumplimiento de este marco y la posibilidad de modificarlo o revocarlo si se alteran las condiciones legales que lo sustentan.

Una estabilidad jurídica aún condicionada

Para Henry Velásquez, miembro del Comité Operativo del Data Privacy Institute (DPI) de ISMS Forum y Group DPO en Publicis Group, la resolución “aporta estabilidad jurídica y un respiro a los profesionales de privacidad, aunque esa estabilidad podría ser temporal”.

Velásquez advierte que la sentencia es recurrible ante el TJUE, instancia históricamente más rigurosa en este tipo de cuestiones, y que un eventual recurso podría reabrir el debate sobre la validez del mecanismo.

El experto subraya además que el DPF “está sujeto a revisión periódica” y que “los cambios políticos en EE. UU., como nuevas órdenes ejecutivas o reestructuraciones institucionales, podrían afectar su sostenibilidad a largo plazo”.

En su opinión, los delegados de Protección de Datos (DPO) deben “mantener la prudencia y combinar mecanismos”, empleando el DPF en transferencias hacia proveedores certificados, pero también “reforzando la seguridad con cláusulas contractuales tipo actualizadas y medidas técnicas adicionales, como cifrado o tokenización”.

Garantías reforzadas y mayor exigencia empresarial

Esmeralda Saracibar, miembro del Comité Operativo del DPI de ISMS Forum y Socia de Ecix Group, coincide en que el fallo “aporta estabilidad y seguridad jurídica al consolidar un sistema que garantiza la continuidad de las transferencias entre la UE y Estados Unidos”.

No obstante, recuerda que “la sentencia es recurrible y podrían surgir nuevas impugnaciones si se cuestiona la aplicación práctica de las garantías del Data Protection Review Court o la eficacia del seguimiento de la Comisión”.

Saracibar destaca que el Data Privacy Framework presenta una base jurídica “más sólida y alineada con el RGPD” que su predecesor, el Privacy Shield, al apoyarse en el artículo 45 del Reglamento y en la Orden Ejecutiva 14086.

Entre sus principales avances señala: la sustitución del antiguo Ombudsperson por un tribunal especializado (DPRC) con jueces independientes; la introducción de un control judicial a posteriori sobre las actividades de inteligencia; una supervisión continua y proactiva de la Comisión Europea; y un régimen de cumplimiento empresarial más estricto.

En este punto, la experta subraya que el DPF introduce un sistema de validación anual obligatoria y controles coordinados entre el Departamento de Comercio y la Comisión Federal de Comercio (FTC), lo que supone “una transformación sustancial respecto al Privacy Shield, que se basaba en gran medida en la buena fe de las organizaciones”.

“Con el nuevo modelo añade— se pasa de un marco basado en la confianza a un sistema sustentado en la rendición de cuentas y la verificación activa del cumplimiento”, un aspecto especialmente relevante para las empresas que gestionan transferencias internacionales de datos.

La sentencia del Tribunal General representa un paso significativo hacia la consolidación de un marco estable para las transferencias internacionales de datos entre la UE y Estados Unidos. Sin embargo, la posibilidad de nuevos recursos y la evolución del contexto político estadounidense mantienen abierta la necesidad de vigilancia continua.

ISMS Forum, a través del Data Privacy Institute (DPI), reafirma su compromiso con la difusión de conocimiento especializado en materia de protección de datos, privacidad y cumplimiento normativo, promoviendo el debate técnico y la formación continua de los profesionales del sector.