Digest Network Come funziona
Digest / Comunicato

AEPD Valora la Sentencia del TGUE que Confirma el Marco de Transferencias de Datos UE–EE.UU.

Compatibilità
Salva(0)
Condividi

Por Carlos Albareda Úbeda

El Tribunal General de la Unión Europea (TGUE) ha confirmado la validez del Marco de Privacidad de Datos UE–EE.UU. (EU–U.S. Data Privacy Framework), aprobado por la Comisión Europea mediante la Decisión de Ejecución (UE) 2023/1795, de 10 de julio de 2023, en aplicación del artículo 45 del Reglamento General de Protección de Datos (RGPD). Esta resolución desestima el recurso interpuesto en el asunto T‑553/23 (Latombe), que pretendía anular la decisión de adecuación.

¿Qué implica esta sentencia?

La decisión confirma que Estados Unidos ofrece un nivel adecuado de protección de los datos personales, lo que permite a las empresas europeas transferir datos a organizaciones estadounidenses adheridas al marco sin necesidad de garantías adicionales, como cláusulas contractuales tipo. Para la Agencia Española de Protección de Datos (AEPD), esta sentencia aporta estabilidad y seguridad jurídica en las transferencias internacionales, esenciales para la economía digital y los servicios transatlánticos.

El núcleo de la cuestión radicaba en el recurso de anulación interpuesto contra la Decisión de Ejecución (UE) 2023/1795 de la Comisión Europea, de 10 de julio de 2023. Mediante esta decisión, la Comisión declaró que Estados Unidos garantiza un nivel adecuado de protección de datos personales en el marco del EU-U.S. Data Privacy Framework (DPF) https://www.dataprivacyframework.gov/. Esta adecuación se basa en el artículo 45 del Reglamento General de Protección de Datos (RGPD), que permite las transferencias sin necesidad de garantías adicionales.

Este nuevo marco (DPF) sustituye a sus predecesores, «Safe Harbor» y «Privacy Shield», que fueron invalidados por el Tribunal de Justicia de la Unión Europea (TJUE) en los ya conocidos casos Schrems I y Schrems II.

La Sentencia del TGUE: Asunto T-553/23 (Latombe/Comisión)

El Tribunal General, en su sentencia en el asunto T-553/23 (Latombe), desestimó en su totalidad el recurso que pretendía la anulación de la decisión de adecuación, confirmando así su validez.

El recurso se sustentaba principalmente en dos alegaciones fundamentales, que cuestionaban la equivalencia del nivel de protección estadounidense con el estándar europeo:

  1. Independencia del Órgano de Supervisión y Recurso

Se impugnaba la falta de independencia del Data Protection Review Court (DPRC), el tribunal estadounidense creado para atender y resolver las reclamaciones de ciudadanos europeos sobre el acceso a sus datos por parte de las agencias de inteligencia de EE.UU..

El TGUE rechazó esta alegación. Consideró que el DPRC cuenta con las garantías estructurales y funcionales necesarias para asegurar su independencia frente al poder ejecutivo y las agencias de inteligencia, incluyendo las relativas al nombramiento y cese de sus jueces. El Tribunal General concluyó, por tanto, que este órgano cumple con los requisitos europeos de tutela judicial efectiva.

  • Recogida Masiva de Datos por Agencias de Inteligencia

La segunda alegación se refería a la posibilidad de acceso masivo a datos por parte de las agencias de inteligencia en EE.UU., argumentando que persistía una falta de control suficiente.

El TGUE desestimó también este punto. El Tribunal señaló que la normativa estadounidense actual prevé mecanismos de control judicial sobre las actividades de inteligencia, lo cual es compatible con los estándares de proporcionalidad y control exigidos en la UE. Específicamente, se constató que estas actividades están sujetas a la supervisión del DPRC, equiparando el nivel de garantías al exigido en el derecho europeo.

La Valoración de la Agencia Española de Protección de Datos (AEPD)

La AEPD ha valorado muy positivamente la decisión del TGUE, poniendo el foco en sus efectos prácticos y su contribución al marco regulatorio.

La Agencia considera que la sentencia «aporta estabilidad y refuerza la seguridad jurídica y la continuidad de las transferencias de internacionales de datos entre la UE y EEUU». Esta estabilidad es fundamental, ya que las transferencias internacionales de datos son un pilar esencial para las relaciones económicas y tecnológicas transatlánticas.

El mensaje principal es de previsibilidad y confianza, al confirmar la existencia de un instrumento legal sólido para el flujo de información personal, lo que reduce la incertidumbre que ha planeado sobre estas operaciones durante años.

Implicaciones Prácticas para Empresas y Responsables del Tratamiento

La confirmación del Data Privacy Framework tiene consecuencias directas y muy significativas para las empresas y profesionales en la UE, especialmente para los responsables y encargados del tratamiento de datos:

  1. Simplificación de las Transferencias: Las empresas europeas pueden transferir datos personales a organizaciones estadounidenses adheridas al DPF sin la necesidad de utilizar herramientas adicionales y más gravosas, como las cláusulas contractuales tipo o la realización de exhaustivas evaluaciones de impacto de la transferencia (TIA).
  2. Verificación Obligatoria: No obstante, los responsables del tratamiento deben asegurarse y verificar la adhesión de la entidad receptora en Estados Unidos al DPF y documentar debidamente esta base jurídica en su registro de actividades de tratamiento (RAT).
  3. Refuerzo de Derechos: Para los ciudadanos, se refuerza la seguridad jurídica y la posibilidad de recurrir en caso de acceso indebido, con la vía de reclamación ante el DPRC.

Carlos Albareda Úbeda es abogado del Bufete Mas y Calvet, donde integra las áreas de Tecnología y de Derecho Espacial del Bufete Mas y Calvet

Colegiado en el Ilustre Colegio de Abogados de Madrid desde 2021, cuenta con formación en Criminología y Ciencias Forenses y en Administración y Finanzas.

Ha participado en proyectos de consultoría tecnológica, protección de datos y propiedad intelectual.

Ha colaborado como mentor en programas espaciales europeos con orientación legal a startups y empresas del sector tecnológico y espacial.

Desde 2023 ha sido reconocido en The Best Lawyers in Spain® 2022 «Ones to watch», en la categoría Technology.

Perfil en LinkedIn

Vigilancia Continua de la Comisión

A pesar de la ratificación, la AEPD y el TGUE recuerdan que la Comisión Europea mantiene la obligación de vigilar de forma permanente la aplicación y el cumplimiento de las garantías por parte de EE.UU. Si el marco legal estadounidense cambiara o se detectasen incumplimientos, la Comisión tiene la potestad de modificar o revocar la decisión de adecuación.

En conclusión, la sentencia del TGUE, con el respaldo de la AEPD, supone un sólido espaldarazo a la continuidad de las transferencias de datos transatlánticas bajo un mecanismo que, tras el escrutinio judicial, se considera compatible con los estándares de protección del RGPD, aportando la tan necesaria estabilidad al flujo de datos global.

Fonte: https://mascalvet.com/la-aepd-valora-la-sentencia-del-tgue-que-confirma-la-validez-del-marco-de-transferencias-de-datos-ue-ee-uu/
Recapiti
Elena Marcos

Comunicati correlati

Press Release cover image
16/11/2021
Arte
Cultura
Musica
El Consejo de la UE recurrirá la sentencia del TGUE que anulaba parte del acuerdo agrícola con Marruecos por lo que se confirma que todo sigue igual para la exportación hortofrutícola de este país
Fonte
FEPEX (FEDERACIÓN ESPAÑOLA DE ASOCIACIONES DE PRODUCTORES EXPORTADORES DE FRUTAS, HORTALIZAS, FLORES Y PLANTAS VIVAS)
Scopri affinità
0
05/04/2022
Legge/Diritto
Economia
Finanza
Politica Interna
Sicurezza delle informazioni
De las cookies a la actividad intercontinental — Finreg360
Fonte
FINREG360
Scopri affinità
0
Press Release cover image
26/05/2025
Legge/Diritto
Politica Interna
Sicurezza delle informazioni
La multa a Vodafone por mal uso de datos personales: de 8 a 4,5 millones - Metricson
Fonte
METRICSON
Scopri affinità
0