En un artículo anterior, que dejo enlazado aquí, abordé el régimen legal de las transferencias de datos personales desde el Espacio Económico Europeo (EEE) hacia los Estados Unidos.
En este artículo, analizo una sentencia reciente del Tribunal General de la Unión Europea (TGUE) sobre el vigente Marco de Privacidad de Datos (Data Privacy Framework, DPF), adoptado el 10 de julio de 2023 mediante la Decisión de Ejecución (UE) 2023/1795.
Antecedentes: recurso de anulación de Philippe Latombe
Apenas tres meses después de la entrada en vigor del DPF, el diputado francés Philippe Latombe impugnó la Decisión de Ejecución (UE) 2023/1795 ante el TGUE.
Latombe argumenta que el DPF vulnera sus derechos fundamentales, ya que permitía la transferencia de datos personales a organizaciones estadounidenses adheridas al marco sin controles adicionales suficientes para garantizar el cumplimiento del Derecho de la Unión Europea, en particular del RGPD.
Latombe cuestiona tres aspectos principales:
-
La independencia del Tribunal creado en los Estados Unidos mediante la Orden Ejecutiva 14086 y el reglamento complementario del Fiscal General, para resolver quejas de ciudadanos europeos, conocido como: Tribunal de Revisión de Protección de Datos (Data Protection Review Court, DPRC),
-
La recopilación masiva de datos personales por las agencias de inteligencia estadounidenses, que considera contraria a los principios de necesidad y proporcionalidad previstos en el RGPD.
-
La falta de recursos efectivos para los ciudadanos europeos cuyos datos personales se transfieren a los Estados Unidos, lo que limita su capacidad de defensa.
Latombe solicitó la anulación de la decisión de adecuación y, como medida cautelar, la suspensión de los efectos del DPF, alegando que las transferencias bajo este marco carecían de garantías adecuadas.
Sentencia del Tribunal General de la Unión Europea
El 3 de septiembre de 2025, el TGUE dictó sentencia en el caso T-553/23, Latombe/Comisión.
El TGUE desestima el recurso de anulación, considerando que Latombe no demostró:
-
Que la decisión de adecuación lo colocara en una desventaja específica respecto a la situación previa, en la que las transferencias de datos se basaban en mecanismos como las Cláusulas Contractuales Tipo (CCT) o las Normas Corporativas Vinculantes (BCR), conforme al artículo 45 del RGPD.
-
La existencia de un daño grave e irreparable que justificara la urgencia de la suspensión cautelar solicitada.
Sobre la recopilación masiva de datos por agencias de inteligencia estadounidenses, el TGUE señaló que la jurisprudencia Schrems II no exige necesariamente una autorización judicial previa para las actividades de vigilancia, sino un control judicial a posteriori. El TGUE constató que el DPRC proporciona ese control, equiparando el nivel de garantías al exigido en la Unión Europea.
También destacó que la Comisión Europea tiene la obligación de supervisar continuamente el DPF y, de ser necesario, modificar, derogar o limitar su aplicación.
Consecuencias y perspectivas
Latombre presentó recurso contra la sentencia, que dejo enlazado aquí, ante el Tribunal de Justicia de la Unión Europea (TJUE).
En apoyo de su recurso de apelación, Latombe invoca cinco motivos:
1º.- Basado en la infracción del Reglamento nº 1/1958, se alega que la Decisión de Ejecución (UE) 2023/1795 fue notificada a los Estados miembros infringiendo el artículo 4 de dicho Reglamento, que dispone que los reglamentos y otros textos de alcance general se redactarán en las lenguas oficiales de la Unión Europea.
2º.- Basado en la infracción de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE), debido a la insuficiencia de garantías del respeto de la vida privada y familiar en vista de las recogidas masivas y «en bloque» de datos de carácter personal.
3º.- Basado en la infracción del artículo 47 de CDFUE y del artículo 45, apartado 2, del RGPD, ya que no existen garantías de un derecho a un recurso efectivo y a poder acudir ante un tribunal independiente. Se alega que la autoridad de fiscalización establecida en los Estados Unidos, creada por un acto del poder ejecutivo estadounidense y no por la ley, no es un tribunal independiente y no ofrece garantías análogas a las que exige el Derecho europeo.
4º.- Basado en la infracción del artículo 22 del RGPD, a causa de la inexistencia de marco regulador de las decisiones automatizadas. Se alega que el Derecho estadounidense no prevé garantía general alguna contra las decisiones automatizadas, por lo que el riesgo de que estas se produzcan no puede ser excluido por el instrumento previsto.
5º.- Basado en infracción del artículo 32, en relación con el artículo 45, apartado 2, del RGPD, debido a la falta de garantías relativas a la seguridad de los datos tratados, ya que el ordenamiento jurídico estadounidense únicamente prevé medidas vagas, pero no establece obligaciones precisas en la materia que recaigan sobre los operadores que transfieren datos
Max Schrems se ha pronunciado al respecto, afirmando que: «El recurso de Latombe fue limitado en su alcance. Creemos que un análisis más amplio de la legislación estadounidense, especialmente el uso de Órdenes Ejecutivas bajo la administración Trump, conduciría a un resultado diferente. Estamos evaluando opciones para plantear un nuevo desafío. Aunque la Comisión Europea haya ganado tiempo, persiste la falta de seguridad jurídica para usuarios y empresas»
Conclusión
La sentencia del TGUE refuerza temporalmente la validez del DPF, proporcionando estabilidad a las transferencias de datos hacia los Estados Unidos desde el EEE, pero, la apelación de Latombe y futuros recursos, como los de NOYB, podrían reabrir el debate sobre la adecuación del marco, especialmente en relación con la vigilancia masiva en los Estados Unidos y la efectividad del Tribunal de Revisión de Protección de Datos.
No se pierda nuestro podcast sobre el artículo
