El Tribunal General de la UE valida el EU-US Data Privacy Framework, permitiendo transferencias de datos a EE.UU. sin autorización adicional, lo que refuerza la seguridad jurídica y estabilidad en este ámbito.
El Tribunal General de la Unión Europea ha validado el marco de protección de datos conocido como EU-US Data Privacy Framework, una decisión adoptada por la Comisión Europea en julio de 2023 que permite la transferencia de datos personales hacia Estados Unidos sin necesidad de autorizaciones adicionales. Esta sentencia, emitida el 3 de septiembre de 2025, es considerada un hito por la Agencia Española de Protección de Datos (AEPD), que resalta su importancia para la estabilidad y seguridad jurídica en las transferencias internacionales entre la UE y EE.UU.
En el fallo, identificado como T-553/23, el Tribunal desestima las alegaciones sobre la falta de independencia del Data Protection Review Court (DPRC), creado en EE.UU. tras la Orden Ejecutiva 14086. El Tribunal concluye que los mecanismos para el nombramiento y cese de jueces, así como las garantías operativas, aseguran su independencia frente al poder ejecutivo y a las agencias de inteligencia.
Además, el Tribunal General establece que la Comisión Europea tiene la obligación de realizar un seguimiento continuo sobre cómo se aplica este marco jurídico. En caso de que haya cambios en dicho marco, se reserva el derecho a modificar o incluso derogar la decisión si es necesario.
En relación con la recopilación masiva de datos por parte de agencias estadounidenses, el Tribunal aclara que no es imprescindible contar con una autorización previa por parte de una autoridad independiente. Sin embargo, debe existir algún tipo de control judicial posterior. En este contexto, se señala que las actividades actuales están bajo supervisión judicial del DPRC, lo que permite equiparar las garantías exigidas en Europa.
Las transferencias internacionales implican el movimiento de datos personales desde países europeos hacia destinatarios situados fuera del Espacio Económico Europeo (EEE), que incluye a los países miembros más Liechtenstein, Islandia y Noruega. Los responsables del tratamiento pueden llevar a cabo estas transferencias conforme a lo estipulado en el Capítulo V del Reglamento General de Protección de Datos (RGPD). Este reglamento establece que solo se pueden transferir datos a aquellos países u organizaciones internacionales que hayan sido considerados como garantizando un nivel adecuado de protección mediante decisiones específicas.
Las decisiones existentes sobre adecuación están disponibles en la página oficial de la AEPD.