El marco de transferencia de datos personales UE-EE. UU. Asunto T-553/23.

El Tribunal General de la Unión Europea ha resuelto en el asunto T-553/23, Latombe/Comisión, desestimando el recurso interpuesto contra la decisión de adecuación adoptada el 10 de julio de 2023. Esta decisión estableció el actual marco jurídico que permite la transferencia de datos personales desde la Unión Europea a los Estados Unidos. La base normativa se encuentra en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea. También en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, que reconocen el derecho a la protección de datos personales.

Contexto normativo previo

La cuestión se enmarca en una larga serie de pronunciamientos judiciales. El Tribunal de Justicia de la Unión Europea declaró inválidas en las sentencias Schrems I y Schrems II las decisiones de adecuación precedentes por considerar insuficiente el nivel de protección ofrecido en Estados Unidos. En respuesta, este país aprobó en octubre de 2022 un Decreto Presidencial. Asimismo, un reglamento del Fiscal General que reforzaron las garantías de privacidad. Crearon el Data Protection Review Court (DPRC), órgano encargado del control posterior de las actividades de inteligencia.

Alegaciones del demandante

Philippe Latombe, ciudadano francés, solicitó la anulación de la nueva decisión. Alegó que el DPRC carece de independencia. Según él, la recogida masiva de datos por parte de las agencias de inteligencia estadounidenses se realiza sin suficiente control judicial. A su juicio, estas prácticas vulnerarían los estándares exigidos por el Derecho de la Unión y la jurisprudencia previa.

Fundamentación del Tribunal General

El Tribunal General rechazó estos argumentos. Respecto al DPRC, señaló que sus jueces gozan de garantías de independencia. Hay un nombramiento sometido a requisitos específicos. La destitución está limitada a causa justificada y hay ausencia de injerencia del poder ejecutivo. En cuanto a la recogida de datos, el Tribunal precisó que la sentencia Schrems II no exige una autorización previa por autoridad independiente. En cambio, permite un control judicial a posteriori, lo cual está previsto en el marco estadounidense.

Conclusión de la sentencia

El Tribunal General concluyó que, en la fecha de adopción de la decisión impugnada, Estados Unidos ofrecía un nivel de protección de datos personales sustancialmente equivalente al europeo. En consecuencia, desestimó en su totalidad el recurso de anulación. La Comisión deberá, no obstante, supervisar de forma continua la aplicación de este marco. Podrá modificarlo o derogarlo si se produjeran cambios normativos que reduzcan las garantías reconocidas.