La revisión de Safe Harbor sigue como siempre, por ahora

Por Danny Bradbury • 7 October 2025

Septiembre fue un mes decisivo para las empresas europeas que querían compartir datos con EE. UU. El Tribunal General de la Unión Europea rechazó una impugnación al marco de privacidad entre ambos países. Esto significa que las organizaciones estadounidenses pueden seguir importando datos personales de la UE.

La impugnación del Marco de Privacidad de Datos (MPD) entre la UE y EE. UU. provino del parlamentario francés Philippe Latombe. Estaba descontento con los detalles del Marco, que permite una vía legal para que miles de empresas estadounidenses transfieran datos personales de la UE. Latombe había impugnado la decisión de la UE de permitir el funcionamiento del MPD, basándose en dos argumentos.

En primer lugar, afirmó que el Tribunal de Revisión de Privacidad de Datos de EE. UU. (TPRC) no era independiente ni imparcial. Este tribunal, creado por el Marco, es un organismo operado por EE. UU. que revisa las quejas de los residentes de la UE sobre el tratamiento de sus datos. También denunció que la recopilación de datos masivos por parte de las agencias de inteligencia estadounidenses sin la aprobación previa del tribunal violaba la Carta de los Derechos Fundamentales de la UE.

Esta no era la primera vez que la UE se enfrentaba a impugnaciones de los marcos de privacidad. El abogado Max Schrems ya había impugnado dos intentos de establecer marcos de equivalencia entre la UE y EE. UU.

Schrems presentó su primera demanda en 2013, impugnando las transferencias de datos de Facebook en EE. UU. bajo la Ley de Puerto Seguro, a raíz de las revelaciones de Edward Snowden sobre el espionaje de la NSA. El fallo Schrems I de octubre de 2015 invalidó por completo la Ley de Puerto Seguro, al determinar que las leyes de vigilancia estadounidenses permitían interferencias más allá de lo estrictamente necesario.

La UE y EE. UU. volvieron a intentarlo con el Escudo de Privacidad, que sustituyó a Puerto Seguro en 2016, pero Schrems impugnó inmediatamente tanto el nuevo marco como las Cláusulas Contractuales Tipo, argumentando que las autoridades de vigilancia estadounidenses subyacentes se mantenían sin cambios. La decisión Schrems II de julio de 2020 invalidó el Escudo de Privacidad, pero confirmó las Cláusulas Contractuales Tipo (CCT), acuerdos de la UE que las organizaciones pueden utilizar para autorizar las transferencias de datos. Estas requieren Evaluaciones de Impacto de Transferencia (EIT) que obligan a las empresas a realizar su propia diligencia debida sobre si los datos de la UE estarán protegidos en el país de destino.

Un fracaso en convencer al tribunal

Si Latombe hubiera tenido éxito en su impugnación inicial, habría devuelto a las empresas al engorroso mundo de las SCC. Sin embargo, el tribunal discrepó. Argumentó que los jueces solo pueden ser nombrados para el tribunal por el Fiscal General, dictaminando que esto se ajustaba a la definición de independencia. También añadió que los tribunales de cobro masivo no requerían aprobación previa para la cobranza masiva en virtud de Schrems II. En cambio, declaró: ex post Basta con una autorización posterior. La DPRC ya la contempla.

Todo esto indica que las protecciones bajo la ley estadounidense son "esencialmente equivalentes" a las de la ley europea, según el fallo. Anuncio del TJUE.

No se acaba hasta que se acaba

Entonces, ¿qué significa esto para el statu quo? A primera vista, sugiere que las empresas estadounidenses pueden seguir transfiriendo datos de ciudadanos de la UE allí con impunidad. Pero no descarten los libros de leyes todavía; ya hay más recursos legales en curso que sugieren que esto no ha terminado.

NOYB (la organización de Schrems, que significa "No es asunto tuyo") argumenta que el DPF simplemente reestructura las mismas facultades de vigilancia que el TJUE ha rechazado en dos ocasiones. "Las protecciones del nuevo acuerdo son prácticamente un calco de los acuerdos anteriores que el TJUE declaró ilegales en Schrems I y Schrems II", declaró. "En algunos aspectos, las protecciones son incluso peores que las del antiguo decreto ejecutivo, que no fueron suficientes para el TJUE. Por lo tanto, resulta sorprendente que el Tribunal General haya emitido una decisión diferente sobre la tercera versión del acuerdo UE-EE. UU. en comparación con las dos versiones anteriores".

Latombe ahora puede apelar, y el plazo de presentación vence a mediados de noviembre de este año. Ante las críticas de los defensores de la privacidad a la sentencia, es probable que el DPF se enfrente a nuevos ataques.

Teniendo esto en cuenta, las organizaciones deberían adoptar un enfoque estratificado para la transferencia de datos, ya que es la estrategia más resiliente desde el punto de vista legal, según los abogados. Las Normas Corporativas Vinculantes (NCV) también desempeñan un papel importante. Se trata de acuerdos que las empresas suscriben con los organismos reguladores para transferir datos dentro de sus propias oficinas a través de las fronteras nacionales.

“Por ahora, el DPF sigue siendo una vía válida y simplificada para las transferencias de datos personales de la UE a EE. UU.” explica la El bufete de abogados Clifford Chance recomendó: «Construir en torno a esto, mantener preparados los manuales de estrategias de la SCC/BCR, actualizar las Evaluaciones de Impacto de Transferencias (haciendo referencia a la Orden Ejecutiva 14086 y al DPRC cuando corresponda) y monitorear tanto el panorama de apelaciones como el de la supervisión estadounidense».

En 2021, el Comité Europeo de Protección de Datos (CEPD) también orientación publicada sobre qué podrían hacer los exportadores de datos para contribuir a mantener la protección de datos de la UE al exportar datos a otros países. Este documento aconseja a los exportadores documentar exhaustivamente sus transferencias de datos y verificar la herramienta de transferencia que utilizan, de conformidad con el artículo 46 del RGPD. Además de las normas de seguridad de datos (SSC) y las normas de responsabilidad corporativa (BCR), otras herramientas de este tipo incluyen códigos de conducta, mecanismos de certificación y cláusulas contractuales ad hoc. También deben evaluar la legislación del país de destino si no existe un acuerdo de adecuación. Asimismo, recomienda medidas complementarias, como el cifrado de datos, con claves conservadas en la UE.

Así que, por ahora, todo sigue igual, pero las responsabilidades de gestión de riesgos exigen un plan B. Con un gobierno caótico en Occidente y el peligro de nuevos desafíos legales en Europa, las empresas no deberían depender completamente del DPF.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

La seguridad cibernética 23 Septiembre 2025

Cuando fallan los sistemas heredados: lecciones de la violación de los tribunales federales

Los ciberataques ocurren a diario, pero algunos son especialmente escalofriantes. Un ataque este verano contra el sistema judicial estadounidense debería haber causado escalofríos en todos...

danny bradbury

La seguridad cibernética 9 Septiembre 2025

Banner sobre el plan de acción de inteligencia artificial de EE. UU.

Qué significa el Plan de Acción de IA de EE. UU.

La Casa Blanca presentó en julio un amplio plan de acción sobre IA que redefine el enfoque de Estados Unidos para la gestión de la IA. Supone un cambio radical respecto a...

danny bradbury