El Tribunal General de la Unión Europea avala el marco de transferencia de datos a EE.UU.

El Tribunal General de la Unión Europea, en su sentencia de fecha 3 de septiembre de 2025, asunto T-553/23, ha desestimado el recurso interpuesto por un ciudadano francés, quien solicitaba la anulación del nuevo marco regulador para la transferencia de datos personales entre la Unión Europea (UE) y los Estados Unidos de América. Mediante esta decisión, emitida en septiembre de 2025, el tribunal confirma que, en la fecha de adopción de la decisión impugnada, Estados Unidos garantizaba un nivel adecuado de protección para los datos personales transferidos desde la UE a organizaciones radicadas en territorio estadounidense.

La protección de los datos personales constituye un derecho fundamental recogido tanto en la Carta de los Derechos Fundamentales de la Unión Europea como en el Tratado de Funcionamiento de la Unión Europea (TFUE). El marco normativo de la UE establece estrictos requisitos para la transferencia internacional de datos, permitiendo este flujo sólo a aquellos países considerados por la Comisión Europea como poseedores de un nivel de protección adecuado y equivalente al europeo. Este marco fue renovado mediante la decisión de adecuación de la Comisión Europea del 10 de julio de 2023, que ahora permite la transferencia de datos sin autorización adicional entre ambos bloques.

El caso que ha centrado esta resolución judicial parte de la demanda de un ciudadano, usuario de diversas plataformas informáticas que recogen y transfieren sus datos personales a Estados Unidos. El demandante alegaba que el nuevo Tribunal de Recurso en Materia de Protección de Datos (DPRC, por sus siglas en inglés), órgano estadounidense encargado de supervisar los flujos de datos, carece de imparcialidad e independencia, ya que depende del poder ejecutivo. Asimismo, cuestionaba la legalidad de la recolección masiva de datos personales por parte de las agencias de inteligencia estadounidenses, trámite que, según él, adolece de claridad y control suficiente, al realizarse sin autorización judicial o administrativa previa.

En la resolución, el Tribunal General aborda dos cuestiones principales: la independencia e imparcialidad del DPRC y la legalidad de la recogida masiva de datos por parte de agencias estadounidenses.

En cuanto a la cuestionada imparcialidad del DPRC, el tribunal destaca que el proceso de nombramiento y el funcionamiento de este órgano están sujetos a diversas garantías específicamente diseñadas para preservar la independencia de sus miembros. Entre estas garantías figuran que los jueces del DPRC sólo pueden ser destituidos por el Fiscal General por causa justificada y que ni el Fiscal General ni las agencias de inteligencia pueden interferir ni influir indebidamente sobre el tribunal. Además, el tribunal subraya que la decisión de adecuación obliga a la Comisión Europea a vigilar de forma permanente la aplicación del marco regulador, facultándola para modificarlo o derogarlo si aprecia falta de garantías suficientes tras eventuales cambios legislativos en EE.UU.

Respecto al reproche sobre la falta de autorización judicial previa para la recolección masiva de datos, el Tribunal General aclara que, conforme a la doctrina sentada en Schrems II, no resulta imprescindible que tal autorización sea previa ni que provenga de una autoridad independiente, siempre que exista la posibilidad de un control judicial posterior. En este caso, las actividades de inteligencia de origen electromagnético en EE.UU. quedan sujetas al control a posteriori del propio DPRC, lo que —según el tribunal— satisface las exigencias del Derecho de la Unión en materia de protección jurídica efectiva.

La resolución judicial incide en el carácter dinámico del marco de adecuación. La Comisión Europea está obligada a realizar un seguimiento continuo de la aplicación de la normativa estadounidense. Si el contexto legislativo en EE.UU. cambiase de modo que comprometiese el nivel de protección considerado adecuado, la Comisión podría modificar, limitar o incluso derogar la decisión impugnada.

Con este fallo, el Tribunal General de la Unión Europea respalda la legalidad del nuevo marco transatlántico para la transferencia de datos personales, considerando que Estados Unidos ofrece en la actualidad garantías adecuadas de protección, tanto en los procedimientos de control y supervisión judicial a posteriori como en la independencia de los organismos encargados. 

Fuente: Curia