Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Transferencias de datos a los Estados Unidos

En un artículo anterior, que dejo enlazado aquí, les detallé el régimen legal establecido para las transferencias internacionales de datos personales.

En este artículo, nos centraremos en el caso particular de los Estados Unidos y su régimen específico para las transferencias internacionales de datos desde el Espacio Económico Europeo (EEE).

Legislación de protección de datos en los EE. UU.

A diferencia de la Unión Europea, los Estados Unidos disponen de una legislación inconexa en materia de protección de datos personales.

Más que a personas físicas, su legislación se orienta a sectores que operan con sus propias normas, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act o HIPAA) destinada a preservar la confidencialidad de los datos de salud, o la Ley Sarbanes–Oxley (Sarbanes Oxley Act o SarOx o SOA) que protege los datos personales de aquellos empleados que denuncian a las empresas donde trabajan cuando estas incurren en fraude. Estas leyes abordan contextos específicos, pero no ofrecen un marco integral para la privacidad de datos a nivel nacional.

A falta de una ley federal, existen diferentes leyes estatales. La pionera fue la Ley de Privacidad del Consumidor de California de 2018 (CCPA). Se trata de la primera ley integral de privacidad del consumidor promulgada en los Estados Unidos. La CCPA estableció el derecho de los residentes de California a saber qué información personal han recopilado las empresas sobre ellos y cómo la utilizan; a conocer si se difunde y a quiénes; a excluir la venta o intercambio de información personal a otros; y a eliminar su información personal.

A los pocos meses de su entrada en vigor, se pudo advertir que la CCPA tenía grandes carencias. Para enmendarla, el estado de California aprobó la California Privacy Rights Act  (CPRA) en el año 2020. La CPRA amplía los derechos de los consumidores: permite corregir la información personal inexacta; exigir la limitación del plazo de conservación; rechazar que los anunciantes utilicen sistemas precisos de geolocalización; exigir a las empresas que faciliten información sobre la elaboración de perfiles y la toma de decisiones automatizadas; exige a los procesadores de datos personales de alto riesgo la realización de evaluaciones de riesgo y auditorías periódicas de ciberseguridad; y crea la Agencia de Protección de la Privacidad de California. La CPRA ha aproximado el marco normativo en materia de protección de datos personales del estado de California al RGPD. Para saber más, hagan clic aquí.

A las anteriores leyes, se suma la Delete Act aprobada en el año 2023. Aunque la CCPA permite a los consumidores solicitar la eliminación de sus datos personales, el proceso administrativo requiere contactar individualmente a cada uno de los más de 500 corredores de datos registrados en California. La Delete Act establece que, antes del 1 de enero de 2026, la Agencia de Protección de la Privacidad de California debe crear un mecanismo de eliminación que permita a los consumidores, a través de una única solicitud verificable, solicitar que cada corredor de datos que mantenga información personal suya la elimine. Los corredores deberán suprimir la información personal del consumidor, al menos, una vez cada 45 días. A partir del 1 de enero de 2028 y cada tres años, la ley establece que los corredores de datos deberán someterse a una auditoría para evaluar su grado de cumplimiento, pudiendo ser sancionados en caso de incumplimiento. Los críticos de la Delete Act argumentan que esta fomentará la eliminación masiva de datos personales, que son el alma de la economía digital de California. 

Además de California, los siguientes estados han promulgado su propia ley de protección de datos personales: Connecticut, Utah, Colorado, Virginia, Texas, Oregón, Florida, Montana, Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota, Maryland, Indiana, Kentucky, Rhode Island y Vermont. Esto eleva el total a más de 20 estados con leyes integrales de privacidad de datos a diciembre de 2025, creando un panorama cada vez más fragmentado

Estados Unidos ha mostrado siempre cierta reticencia a promulgar una ley federal que unifique los criterios de protección de datos personales, lo que ha resultado en un mosaico de regulaciones, ya sean estatales o sectoriales. Un precedente destacable es la Ley de Protección de la Privacidad en Línea para Niños (Children’s Online Privacy Protection Act o COPPA), vigente desde el 21 de abril de 2000. De alcance nacional, regula la recolección de datos personales de menores de 13 años por parte de sitios web y servicios en línea con fines comerciales, estableciendo requisitos y garantías como el consentimiento parental verificable y medidas de seguridad específicas.

Actualmente, se debate un proyecto de ley federal en la Cámara de Representantes: American Data and Privacy Protection Act (ADPPA). No está claro si lograrán obtener el suficiente consenso para su aprobación, que marcaría un hito en la armonización de la protección de datos en los Estados Unidos.

Otro gran proyecto de ley, que afecta a derechos fundamentales, es la Artificial Intelligence Civil Rights Act of 2024, presentado en el Senado el 24 de septiembre de 2024 por el senador Edward Markey (Partido Demócrata). Esta iniciativa legislativa busca proteger los derechos individuales frente al uso de algoritmos y sistemas de inteligencia artificial, abordando riesgos como la discriminación automatizada y la falta de transparencia en la toma de decisiones algorítmicas. A diciembre de 2025, el proyecto ha sido reintroducido por representantes como Pressley y Clarke, pero aún no ha sido aprobado, en medio de debates sobre un marco nacional para la IA.

En cuanto a las transferencias de datos personales a los Estados Unidos desde el Espacio Económico Europeo (EEE), cabe decir que no es un tema pacífico, toda vez que la Unión Europea exige a los Estados Unidos un nivel de protección sustancialmente equivalente al garantizado en dicho espacio, y esto no siempre ocurre. Hagamos un repaso de la historia más reciente. 

Antecedentes: Safe Harbour y Privacy Shield

Antes del actual marco, el Privacy Shield (Escudo de la Privacidad) regulaba las transferencias de datos personales entre el Espacio Económico Europeo y los Estados Unidos.

El 12 de julio de 2016, la Comisión Europea adoptó la Decisión de Ejecución (UE) 2016/1250, declarando que el Privacy Shield garantizaba un nivel de protección de datos esencialmente equivalente al del RGPD. Sin embargo, el 16 de julio de 2020, el TJUE decretó la anulación del Privacy Shield en la sentencia Schrems II, entendiendo que los Estados Unidos no otorgaban el mismo nivel de protección al usuario, al permitir la recopilación de datos personales de ciudadanos no estadounidenses a través de programas de vigilancia masiva, como PRISM y la Sección 702 de la Ley de Vigilancia de Inteligencia Exterior (FISA), que autorizan a las agencias de inteligencia estadounidenses a acceder a datos personales sin garantías suficientes ni recursos efectivos para los afectados. Según el Tribunal, esta vigilancia excede los principios de necesidad y proporcionalidad establecidos por el RGPD, comprometiendo los derechos fundamentales de los ciudadanos del EEE.

Tras la sentencia, las empresas debieron recurrir a mecanismos alternativos, como las Cláusulas Contractuales Tipo, para cumplir con el RGPD, hasta la adopción del DPF en julio de 2023.

Al Escudo de la Privacidad, le precedió otra norma: la Decisión de Puerto Seguro o «Safe Harbour» que, también, fue anulada por el Tribunal de Justicia de la Unión Europea en sentencia de 6 de octubre de 2015, conocida como Schrems I. La facilidad de acceso, de forma generalizada, al contenido de las comunicaciones electrónicas por las autoridades públicas norteamericanas fue el motivo aludido por el tribunal comunitario.

Panorama actual: Marco de Privacidad de Datos (DPF)

Anulado el Escudo de la Privacidad, el Comité Europeo de Protección de Datos (CEPD) publicó el 10 de noviembre de 2020 dos recomendaciones con el fin de aclarar el panorama:

La Recomendación 1/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la Unión Europea: establece las salvaguardas que los responsables del tratamiento deben adoptar al transferir datos personales a terceros países u organizaciones internacionales, para ajustarlas al nivel de protección ofrecido en el Espacio Económico Europeo. Dicho nivel no tiene por qué ser idéntico, pero debe ser «esencialmente equivalente» al ofrecido en dicho espacio.

Y la Recomendación 2/2020 sobre las garantías esenciales europeas para medidas de vigilancia, que introduce las «European Essential Guarantees». Se refieren, fundamentalmente, a acciones llevadas a cabo por autoridades públicas, si bien pueden resultar útiles para las empresas. Algunos de los indicadores que revelarán el respeto a los derechos de privacidad y protección de datos en el tercer país serán, entre otros, la existencia de normas claras, precisas y accesibles; el respeto a los principios de proporcionalidad y necesidad de las actuaciones; la presencia de autoridades de control y supervisión independientes; y la existencia de diversos medios para el ejercicio y la defensa de los derechos de los interesados.

El 25 de marzo de 2022, la Comisión Europea presentó la Declaración conjunta de la Comisión Europea y los Estados Unidos sobre el nuevo Marco Transatlántico de Privacidad de Datos. Según la Comisión, este nuevo marco establecerá una base jurídica duradera y fiable, garantizará un flujo de datos seguro y predecible, y fomentará una economía digital competitiva.

El 13 de diciembre de 2022 la Comisión Europea inició el proceso para la adopción de una nueva decisión sobre la adecuación del marco de privacidad de datos entre la Unión Europea y los Estados Unidos.

El Proyecto de Decisión presentado por la Comisión Europea siguió a la firma del Decreto nº 14.086 del presidente Biden, de 7 de octubre de 2022, sobre el refuerzo de las salvaguardas para las actividades de inteligencia de señales de los Estados Unidos.

El CEPD, en su Dictamen 5/2023, se manifestó en contra del Proyecto de Decisión. Aunque reconocía las mejoras introducidas en el marco legal estadounidense, expresaba su preocupación respecto al ejercicio de los derechos por parte de los interesados, las transferencias posteriores de datos, el alcance de las excepciones, la recopilación masiva temporal de datos y el funcionamiento práctico del mecanismo de recurso.

Las mismas preocupaciones fueron reiteradas por el Parlamento Europeo en su Resolución de 11 de mayo de 2023, a través de la cual insta a la Comisión Europea a no adoptar el Proyecto de Decisión en su redacción original y a continuar con las negociaciones para lograr la creación de un mecanismo que garantice una equivalencia esencial y real en el nivel de protección otorgado.

La Comisión Europea aprobó, desoyendo al Comité Europeo de Protección de Datos (CEPD) y al Parlamento Europeo, su Decisión de adecuación al Marco de Privacidad de Datos UE-EE. UU.. Desde el 10 de julio de 2023, esta decisión permite transferir datos personales desde la Unión Europea a los Estados Unidos sin necesidad de establecer salvaguardias adicionales, siempre que las empresas estadounidenses se adhieran y cumplan el nuevo marco de privacidad.

Los puntos más destacados del nuevo Marco de Privacidad de Datos son:

  • Garantías vinculantes que limitan el acceso a los datos personales por parte de las autoridades de inteligencia estadounidenses (CIA, FBI y NSA, entre otras), restringiendo dicho acceso solo a casos justificados y necesarios para la seguridad nacional.
  • Las autoridades de inteligencia implementarán procedimientos para asegurar la supervisión efectiva de las políticas de privacidad y los estándares de libertades civiles.
  • Creación del Tribunal de Revisión de Protección de Datos para investigar y resolver las quejas de ciudadanos europeos sobre el acceso a sus datos personales por parte de las autoridades de inteligencia estadounidenses.
  • Nuevas obligaciones para las empresas que procesan datos personales transferidos desde la UE/EEE, debiendo certificar su adhesión a los principios del Marco de Privacidad de Datos a través del Departamento de Comercio de los Estados Unidos.
  • Mecanismos independientes y gratuitos para la resolución de disputas, incluido un panel de arbitraje.
  • Revisión periódica del funcionamiento del Marco, coordinada por la Comisión Europea junto con las autoridades europeas de protección de datos y las autoridades estadounidenses; la primera revisión será dentro del primer año tras la entrada en vigor.

Las empresas estadounidenses que quieran recibir datos personales de la UE/EEE deben autocertificar su participación en el Marco a través del sitio web oficial habilitado por la Comisión Federal de Comercio, a cuya jurisdicción estarán sometidas. El listado de empresas certificadas puede consultarse aquí.

Para adherirse al Marco, las empresas deben cumplir una serie de requisitos como desarrollar una política de privacidad compatible con el DPF, designar un responsable de cumplimiento, implementar mecanismos independientes para resolución de disputas y establecer procedimientos de verificación.

Las organizaciones que deseen transferir datos personales desde la UE/EEE a los Estados Unidos pero no estén adheridas al DPF deben ofrecer garantías adecuadas conforme al artículo 46 del RGPD, como Cláusulas Contractuales Tipo o Normas Corporativas Vinculantes, además de realizar las evaluaciones de impacto para dichas transferencias.

El exportador debe contar con una base legal para el tratamiento (artículo 6 del RGPD) y cumplir los principios del RGPD, incluyendo limitación de finalidad, proporcionalidad, exactitud y obligaciones de información. Además, cuando la transferencia sea a una empresa certificada del DPF, el exportador debe informar a los interesados, según los artículos 13 y 14 del RGPD, sobre la identidad de los destinatarios de sus datos.

Conclusión 

Si los Estados Unidos no realizan una reforma legislativa en favor de la privacidad de los ciudadanos, impidiendo el acceso indiscriminado a la información personal de estos por parte de las autoridades de inteligencia, es más que probable que el presente marco transatlántico de protección de datos corra el mismo camino que los acuerdos anteriores. 

La Comisión Europea no ha conseguido que los datos personales de los ciudadanos europeos, necesariamente, tengan que alojarse dentro de la Unión Europea, ni los Estados Unidos se plantean modificar normas como la Sección 702 de la FISA, que fue renovada en abril de 2024 por dos años (hasta abril de 2026), con una opinión de renovación aprobada por el Tribunal de Vigilancia de Inteligencia Extranjera (FISC) en septiembre de 2025.

Las sentencias Schrems I y II muestran un historial de anulación de marcos por insuficiencias en la protección de datos y NOYB (organización liderada por Max Schrems) ya ha anunciado su intención de impugnar el DPF. 

Recurso de Latombe contra el Marco de Privacidad de Datos UE — EE. UU.

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es