Impacto de la sentencia T-553/23 en la transferencia internacional de datos
El pasado 3 de septiembre de 2025, el Tribunal General de la Unión Europea (TGUE) dictó la sentencia T-553/23, caso Latombe contra la Comisión, que desestima el recurso de anulación interpuesto contra la decisión de adecuación adoptada por la Comisión Europea el 10 de julio de 2023 relativa al EU-US Data Privacy Framework. Esta resolución judicial supone un respaldo definitivo al actual marco normativo que regula las transferencias de datos personales entre la Unión Europea y Estados Unidos, aportando la estabilidad jurídica que tanto demandaba el sector empresarial tras años de incertidumbre regulatoria.
Antecedentes del caso
El demandante, un ciudadano francés usuario de diversas plataformas digitales que transfieren datos personales a territorio estadounidense, cuestionaba la validez del nuevo marco de adecuación por dos motivos principales: la presunta falta de independencia del Data Protection Review Court (DPRC) estadounidense y la legalidad de la recogida masiva de datos por parte de las agencias de inteligencia de Estados Unidos sin autorización judicial previa.
La controversia se enmarca en el contexto histórico de las relaciones transatlánticas en materia de protección de datos, marcadas por las anteriores anulaciones del Safe Harbor (2015) y del Privacy Shield (2020) por parte del Tribunal de Justicia de la Unión Europea en las conocidas sentencias Schrems I y II.
Aspectos jurídicos clave de la sentencia
Independencia del Data Protection Review Court
El TGUE aborda de manera exhaustiva las alegaciones relativas a la falta de independencia del DPRC, órgano creado tras la Orden Ejecutiva 14086 y el reglamento complementario del Fiscal General estadounidense. La sentencia concluye que el proceso de nombramiento y cese de los jueces, así como las garantías de funcionamiento establecidas, aseguran su independencia frente al poder ejecutivo y las agencias de inteligencia.
Particularmente relevante resulta la consideración del tribunal de que los jueces del DPRC solo pueden ser destituidos por el Fiscal General por causa justificada, y que ni este ni las agencias de inteligencia pueden interferir indebidamente en las decisiones del tribunal. Esta conclusión resulta determinante para validar el sistema de supervisión judicial establecido en Estados Unidos.
Control judicial de la recogida masiva de datos
En relación con las actividades de las agencias de inteligencia estadounidenses, el TGUE realiza una interpretación significativa de la doctrina Schrems II. La sentencia establece que la jurisprudencia europea no exige necesariamente una autorización previa de una autoridad independiente para la recogida de datos por motivos de seguridad nacional, siendo suficiente la existencia de un control judicial a posteriori.
El tribunal constata que, en el marco actual, estas actividades están sujetas a supervisión judicial por parte del DPRC, lo que permite equiparar el nivel de garantías al exigido en la Unión Europea. Esta interpretación supone una flexibilización respecto a exigencias anteriores y aporta mayor seguridad jurídica a las transferencias transatlánticas.
Obligación de seguimiento continuo
La sentencia enfatiza el carácter dinámico del marco de adecuación, recordando que la Comisión Europea está obligada a realizar un seguimiento permanente de la aplicación del marco jurídico estadounidense. Si se produjeran cambios sustanciales en el sistema normativo de Estados Unidos que comprometieran el nivel de protección considerado adecuado, la Comisión tendría la facultad de modificar, limitar o incluso derogar la decisión de adecuación.
Implicaciones prácticas para las organizaciones
Estabilidad en las transferencias internacionales
La confirmación judicial del EU-US Data Privacy Framework proporciona una base sólida para las transferencias de datos personales sin necesidad de autorizaciones adicionales. Esto resulta especialmente relevante para multinacionales, proveedores tecnológicos y empresas que operan con infraestructura alojada en Estados Unidos o que utilizan servicios de cloud computing, inteligencia artificial, big data y plataformas digitales estadounidenses.
Sectores especialmente beneficiados
Los sectores financiero, sanitario y tecnológico, altamente dependientes de los flujos transfronterizos de información, se ven especialmente favorecidos por esta estabilidad jurídica. Para las pequeñas y medianas empresas, que carecen de grandes recursos legales, el marco ofrece seguridad jurídica al evitar costes adicionales de cumplimiento que supondrían mecanismos alternativos como las cláusulas contractuales tipo.
Necesidad de monitorización continua
No obstante, las organizaciones deben mantener una vigilancia constante sobre la evolución normativa en Estados Unidos. Aunque el marco actual ofrece una base sólida, la obligación de seguimiento por parte de la Comisión Europea implica que podrían producirse modificaciones futuras que afecten a la validez de las transferencias.
Valoración de la AEPD
La Agencia Española de Protección de Datos ha valorado positivamente la sentencia, considerando que aporta estabilidad y refuerza la seguridad jurídica en las transferencias internacionales de datos. Esta valoración institucional refuerza la confianza en el marco regulador y facilita la continuidad de las operaciones empresariales que dependen de estos flujos de datos.
Conclusiones
La sentencia T-553/23 del TGUE supone un hito en la regulación de las transferencias transatlánticas de datos personales. Al confirmar la validez del EU-US Data Privacy Framework, el tribunal no solo resuelve una disputa jurídica concreta, sino que aporta la previsibilidad necesaria para miles de empresas europeas que requieren garantizar la continuidad de sus operaciones en un entorno digital globalizado.
La interpretación flexible de los requisitos de la doctrina Schrems II, especialmente en lo relativo al control judicial a posteriori, marca un precedente significativo que podría influir en futuras decisiones de adecuación con otros países terceros. Sin embargo, el carácter dinámico del marco y la obligación de seguimiento continuo por parte de la Comisión Europea mantienen la necesidad de vigilancia constante sobre la evolución del sistema estadounidense.
Desde LAW21, despacho especializado en derechos fundamentales digitales y protección de datos, valoramos la importancia de esta sentencia para reforzar la seguridad jurídica en las transferencias internacionales, al tiempo que recordamos la necesidad de un seguimiento constante de la evolución jurisprudencial y normativa para garantizar la máxima protección de los derechos de los ciudadanos y la adecuada adaptación de las organizaciones.
La sentencia T-553/23 está sujeta a recurso ante el Tribunal de Justicia de la Unión Europea y puede consultarse íntegramente en el portal web de la Curia.
SUBSTACK