El 10 de julio de 2023 la Comisión adoptó la decisión de adecuación para el DPF, autorizando transferencias de datos personales desde la UE a organizaciones en EE.UU. sin requisitos adicionales, al considerar que el nivel de protección ofrecido era “adecuado” conforme al Reglamento (UE) 2016/679 (RGPD) artículo 45.
El precedente inmediato lo constituyen los fallos de la Court of Justice of the European Union (CJEU) en los casos Max Schrems I (C-362/14) y II (C-311/18), en los que se anuló primero el Safe Harbour (2015) y luego el Privacy Shield (2020) al considerar que EE.UU. no garantizaba un nivel de protección “esencialmente equivalente” al de la UE.
El señor Latombe, diputado francés y miembro de la CNIL, presentó acción de anulación ante el GC (T-553/23) contra la decisión de adecuación del DPF, argumentando que:
- la Corte de Revisión de Protección de Datos de EE.UU. (DPRC) no era independiente e imparcial,
- la recogida masiva (“bulk collection”) de datos por agencias de inteligencia estadounidenses no estaba suficientemente autorizada y limitada conforme al estándar europeo. El 3 de septiembre de 2025 el GC desestimó la acción en su totalidad: sostuvo que en el momento de adopción de la decisión la protección en EE.UU. era adecuada, que la DPRC contaba con garantías de independencia, y que la ex post revisión judicial de las actividades de inteligencia era compatible con el marco jurisprudencial de la CJEU.
A continuación destaco algunos de los puntos relevantes de la sentencia que conviene destacar:
1. Admisibilidad y mérito juntos.
Aunque la cuestión de la legitimación (standing) del demandante era controvertida – dado que el artículo 263 TFUE exige que el particular esté “directamente y individualmente concernido” – el GC decidió, “en interés de la buena administración de justicia”, pronunciarse sobre el fondo sin decidir previamente la admisibilidad.
Esto es relevante, pues abre la puerta a que futuros litigios procedan directamente sin que la primera barrera de legitimación sea fatal.
2. Reglamento de las transferencias internacionales (Capítulo V RGPD).
El RGPD permite que los datos personales salgan del Espacio Económico Europeo hacia un tercer país si la Comisión ha adoptado una decisión de adecuación (Art. 45), o, en su defecto, mediante garantías apropiadas (por ejemplo, cláusulas contractuales, BCR).
La decisión de adecuación es, por tanto, una pieza crucial para las empresas y nodos de datos transatlánticos.
3. Evaluación de la equivalencia sustancial.
El GC considera que, al tiempo de adopción de la decisión, EE.UU. ofrecía un nivel de protección adecuado, pues la normativa estadounidense modificada (por ejemplo, la Orden Ejecutiva 14086) más el mecanismo DPRC ofrecían salvaguardas suficientes.
En particular, la recolección masiva de datos no fue considerada incompatible per se, dada la existencia de revisión judicial ex post y otros controles, lo que se aparta parcialmente de la interpretación más estricta del CJEU en Schrems II, al menos en cuanto a exigencia de autorización previa.
4. Examen temporal limitado.
El GC enfatiza que el análisis se refiere al estado de la normativa y hechos al momento de adopción de la decisión (10 de julio de 2023), y que la Comisión tiene obligación de monitorizar la aplicación y, si los hechos cambian, puede suspender, enmendar o retirar la decisión.
Esto introduce un mecanismo de “vigilancia” continua, lo cual tiene implicaciones para la seguridad jurídica de las empresas.
Implicaciones para el ámbito español y europeo
Para un despacho como el tuyo que asesora en privacidad, protección de datos y cumplimiento normativo, este fallo tiene varias repercusiones:
- Certidumbre transatlántica (temporal): Las empresas españolas y europeas que transfieren datos a EE.UU. a través de entidades certificadas en el DPF disponen de una base legítima (la decisión de adecuación) respaldada por el GC al menos por ahora. Esto reduce, de momento, el riesgo de invalidación repentina y obliga menos a migrar inmediatamente a otro mecanismo.
- Monitorización activa: No obstante, el carácter condicionado del análisis (fecha de corte 10 julio 2023) y la obligación de vigilancia de la Comisión implican que los derechos de los interesados y la validez del mecanismo pueden depender de hechos futuros. Así que los contratos de datos deben prever cláusulas de bloqueo, suspensión o migración hacia otras garantías.
- Estrategia de compliance: Las empresas deben reforzar sus evaluaciones de transferencia de datos (transfer impact assessments) y tener un plan de contingencia por si se produce un nuevo fallo de la CJEU que invierta el régimen.
- Gobernanza de datos personales: En España, el asesoramiento debe integrar estos desarrollos en los programas de cumplimiento (por ejemplo, para empresas con filiales en EE.UU.) y los responsables de protección de datos (DPD) deben incorporarlo en sus matrices de riesgo de tratamiento internacional.
Aunque el fallo es favorable para el DPF, conviene subrayar los aspectos sensibles que podrían dar ocasión a nuevos litigios, lo cual es muy relevante desde el punto de vista del análisis doctrinal o monográfico en protección de datos:
- Independencia de la DPRC: Si bien el GC estimó que existían suficientes garantías, muchos críticos (como NOYB) sostienen que al tratarse de un órgano creado por orden ejecutiva en EE.UU., sin base legislativa robusta, su independencia no está equiparada al estándar europeo.
- Evolución de la normativa estadounidense: El hecho de que el análisis se refiera al momento de adopción de la decisión plantea el riesgo de que cambios legislativos o de práctica en EE.UU. (por ejemplo una nueva administración que modifique la supervisión de inteligencia) puedan dar lugar a nuevos desafíos de adecuación.
- Autorisation a priori vs ex post: El paso dado por el GC al aceptar que la supervisión ex post puede ser suficiente (y no necesariamente una autorización previa) implica una flexibilización de lo que se interpretaba en Schrems II como requisito estricto. Esto abre un debate doctrinal sobre el estándar real de la “equivalencia esencial”.
- Vía de recurso pendiente: Como se indica en las fuentes, puede interponerse recurso ante el CJEU — que tendrá la última palabra en el sistema judicial de la UE.
- Dimensión práctica para los interesados: Desde la perspectiva de los ciudadanos europeos cuyos datos viajan a EE.UU., la cuestión de la eficacia real de los remedios y la transparencia de las actividades de inteligencia sigue siendo motivo de preocupación.
En sintesis, el fallo del General Court en el caso Latombe marca un hito importante: confirma por ahora la vigencia del DPF como mecanismo de transferencia transatlántica dentro del marco del RGPD, y da certezas para las empresas. Sin embargo, también deja claro que dicha certeza es condicionada a la vigilancia continua y al mantenimiento de los estándares de protección en EE.UU., y que la vía de recurso ante el CJEU aún permanece abierta.
Para nuestro ámbito, la decisión subraya que el asesoramiento en protección de datos debe combinar análisis normativo(acompañando los desarrollos europeos y estadounidenses) con proactividad contractual (prever escenarios de cambio y migración de mecanismos de transferencia) y compliance operativo (monitorizar continuamente las transferencias y los riesgos).
