El Tribunal General respalda el EU-US Data Privacy Framework. El marco de transferencias de datos.
El Tribunal General de la Unión Europea ha desestimado el recurso de anulación interpuesto contra la decisión de adecuación adoptada por la Comisión Europea en julio de 2023, que avala el marco de transferencias de datos personales entre la Unión Europea y Estados Unidos. La sentencia, publicada hoy bajo la referencia T-553/23 (Latombe/Comisión), confirma que el sistema estadounidense ofrece un nivel adecuado de protección de los datos personales conforme al Reglamento General de Protección de Datos.
Independencia del tribunal estadounidense y garantías jurídicas
Uno de los puntos clave del recurso era la supuesta falta de independencia del Data Protection Review Court, órgano creado en Estados Unidos tras la Orden Ejecutiva 14086. El Tribunal General concluye que tanto el proceso de nombramiento y cese de los jueces como las garantías de funcionamiento del DPRC aseguran su independencia frente al poder ejecutivo y las agencias de inteligencia estadounidenses.
Asimismo, el Tribunal subraya que la Comisión Europea debe realizar un seguimiento continuo del marco jurídico que sustenta la decisión de adecuación. Si se produjeran cambios sustanciales, la Comisión tendría la facultad de modificar, limitar o incluso revocar dicha decisión.
Supervisión judicial de la recogida masiva de datos
En relación con la recogida masiva de datos por parte de agencias de inteligencia de EE. UU. , el Tribunal aclara que la jurisprudencia del caso Schrems II no exige una autorización previa por parte de una autoridad independiente, sino que basta con un control judicial posterior. En este sentido, se reconoce que el DPRC cumple con este requisito, lo que permite equiparar el nivel de garantías al exigido en la Unión Europea.
Valoración positiva de la AEPD
La Agencia Española de Protección de Datos ha valorado positivamente la sentencia, destacando que aporta estabilidad y seguridad jurídica a las transferencias internacionales de datos. Según la AEPD, esta resolución refuerza la confianza en el marco legal vigente y facilita la continuidad de los flujos de datos.
Qué son las transferencias internacionales de datos
Las transferencias internacionales de datos implican el envío de información personal desde la UE a países fuera del Espacio Económico Europeo. Estas operaciones deben cumplir con los requisitos del RGPD, incluyendo decisiones de adecuación que garanticen un nivel de protección equivalente al europeo.
Fuente: AEPD.
