La AEPD valora la sentencia del Tribunal General de la UE que confirma el marco de transferencias de datos UE‒EEUU

(3 de septiembre de 2025).  El Tribunal General de la Unión Europea ha confirmado la validez del EU-US Data Privacy Framework, la decisión de adecuación adoptada por la Comisión Europea en julio de 2023 que permite las transferencias de datos personales a EEUU sin autorización adicional.

La Agencia Española de Protección de Datos (AEPD) considera que la sentencia aporta estabilidad y refuerza la seguridad jurídica y la continuidad de las transferencias de internacionales de datos entre la UE y EEUU.

En la sentencia hecha pública hoy (T-553/23, Latombe/Comisión), el Tribunal desestima las alegaciones de falta de independencia del Data Protection Review Court (DPRC), creado en EEUU tras la Orden Ejecutiva 14086 y el reglamento complementario del Fiscal General. El Tribunal considera que el nombramiento y cese de sus jueces, así como las garantías de funcionamiento, aseguran su independencia frente al poder ejecutivo y las agencias de inteligencia.

El Tribunal General también añade que la Comisión está obligada a hacer un seguimiento permanente de la aplicación del marco jurídico en el que se basa la decisión de adecuación y que, si el marco jurídico vigente cambia, la Comisión podrá decidir, si fuera necesario, modificar o derogar la decisión impugnada o limitar su ámbito de aplicación.

Respecto a la recogida masiva de datos por parte de agencias de inteligencia estadounidenses, el Tribunal señala que la jurisprudencia Schrems II no exige necesariamente una autorización previa de una autoridad independiente, sino que al menos debe existir un control judicial a posteriori. Constató que, en el marco actual, estas actividades están sujetas a supervisión judicial por parte del DPRC, lo que permite equiparar el nivel de garantías al exigido en la UE.

• Comunicado oficial del Tribunal General de la Unión
• La sentencia, que es recurrible, puede consultarse en este enlace

Transferencias internacionales de datos

Las transferencias internacionales de datos suponen el flujo de datos personales desde la UE a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

Los responsables y encargados del tratamiento pueden realizar transferencias internacionales de datos a países terceros u organizaciones internacionales conforme a las condiciones establecidas en el Capítulo V del Reglamento General de Protección de Datos (RGPD), entre otras, que tengan por destino terceros países u organizaciones internacionales sobre los que la Comisión haya decidido que garantizan un nivel de protección adecuado mediante una decisión de adecuación (las decisiones de adecuación existentes se encuentran recogidas en esta página de la AEPD).