Marco de Privacidad de Datos UE-EE. UU.: Guía Completa (2026)
El Marco de Privacidad de Datos UE-EE. UU. (DPF, por sus siglas en inglés) es una decisión de adecuación adoptada por la Comisión Europea el 10 de julio de 2023 en virtud del artículo 45 del RGPD, que autoriza las transferencias lícitas de datos personales desde la UE hacia organizaciones estadounidenses que se autocertifican ante el Departamento de Comercio.
El Marco de Privacidad de Datos UE-EE. UU. (DPF) es el tercer intento de la Unión Europea y los Estados Unidos por crear un mecanismo jurídico estable para transferir datos personales a través del Atlántico. Sus dos predecesores, el Safe Harbor y el Privacy Shield, fueron anulados por el Tribunal de Justicia de la Unión Europea (TJUE). Comprender por qué fracasaron esos marcos, cómo se diseñó el DPF para subsanar esas deficiencias y qué desafíos lo amenazan actualmente resulta esencial para cualquier organización que transfiera datos personales entre la UE y los Estados Unidos.
Esta guía abarca la historia completa, el funcionamiento del DPF, el nuevo mecanismo de reparación, la primera revisión de 2024, el litigio Latombe y su apelación pendiente ante el TJUE, la crisis del PCLOB y las medidas prácticas que las empresas deben adoptar ahora.
Respuesta Rápida
El Marco de Privacidad de Datos UE-EE. UU. es derecho vigente. La decisión de adecuación de la Comisión Europea de julio de 2023 se mantiene en pie. El Tribunal General de la UE la confirmó en septiembre de 2025, y el DPF sigue siendo la base jurídica más sencilla para las transferencias de datos personales de la UE a Estados Unidos. Sin embargo, hay una apelación pendiente ante el TJUE (asunto C-703/25 P), el organismo de supervisión que revisa las garantías de inteligencia del DPF (el PCLOB) se encuentra en un limbo legal, y la Sección 702 de FISA opera bajo una prórroga a corto plazo mientras el Congreso debate su renovación. Las organizaciones que dependan únicamente del DPF deberían mantener Cláusulas Contractuales Tipo como respaldo.
Del Safe Harbor al Privacy Shield y al Marco de Privacidad de Datos UE-EE. UU.
El camino hacia el marco actual abarca más de dos décadas y dos sentencias históricas del TJUE.
Safe Harbor (2000 a 2015)
El marco Safe Harbor se adoptó en el año 2000 para salvar la diferencia fundamental entre los enfoques de la UE y de Estados Unidos en materia de protección de datos. Las empresas estadounidenses podían autocertificar que cumplían con un conjunto de principios de privacidad alineados con los estándares de la UE. Aproximadamente 4500 empresas participaron.
En octubre de 2015, el TJUE invalidó el Safe Harbor en la sentencia Schrems I (asunto C-362/14). El activista austriaco de privacidad Max Schrems impugnó las transferencias de datos de Facebook Ireland, argumentando que las revelaciones de Edward Snowden sobre los programas de vigilancia masiva de la NSA demostraban que Estados Unidos no ofrecía una protección adecuada. El Tribunal le dio la razón: el Safe Harbor no limitaba de manera suficiente el acceso del gobierno estadounidense a los datos personales de la UE y no ofrecía una vía de reparación judicial efectiva para las personas de la UE.
Privacy Shield (2016 a 2020)
El Privacy Shield UE-EE. UU. reemplazó al Safe Harbor en agosto de 2016. Incluía principios de privacidad más estrictos, una supervisión reforzada por parte de la FTC y una figura de Defensor del Pueblo (Ombudsperson) en el Departamento de Estado para atender las reclamaciones de la UE sobre actividades de inteligencia. Más de 5300 empresas estadounidenses se certificaron.
En julio de 2020, el TJUE anuló el Privacy Shield en Schrems II (asunto C-311/18). Los programas de vigilancia estadounidenses (en particular, la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera, FISA, y la Orden Ejecutiva 12333) permitían una recopilación masiva de datos que excedía lo "estrictamente necesario" conforme al derecho de la UE. El Defensor del Pueblo no era suficientemente independiente y carecía de autoridad vinculante sobre las agencias de inteligencia.
Las negociaciones que dieron origen al DPF (2020 a 2023)
Después de Schrems II, las organizaciones recurrieron principalmente a las Cláusulas Contractuales Tipo combinadas con Evaluaciones de Impacto de la Transferencia. Las negociaciones entre la UE y Estados Unidos comenzaron casi de inmediato.
En marzo de 2022, el presidente Biden y la presidenta de la Comisión, von der Leyen, anunciaron un acuerdo de principio. El 7 de octubre de 2022, el presidente Biden firmó la Orden Ejecutiva 14086 ("Reforzamiento de las Garantías para las Actividades de Inteligencia de Señales de Estados Unidos"), que introdujo los cambios jurídicos sustantivos que exigía el nuevo marco.
La Comisión publicó su proyecto de decisión de adecuación en diciembre de 2022. El CEPD emitió su dictamen en febrero de 2023, reconociendo las mejoras introducidas pero señalando también inquietudes. La decisión de adecuación definitiva se adoptó el 10 de julio de 2023.
Cómo funciona el DPF
El DPF consta de dos partes complementarias: la autocertificación de las empresas estadounidenses y los compromisos vinculantes del gobierno de Estados Unidos en materia de actividades de inteligencia.
El proceso de certificación
Las empresas estadounidenses se adhieren al DPF mediante la autocertificación a través de la Administración de Comercio Internacional (ITA) del Departamento de Comercio. La certificación es voluntaria, pero una vez realizada genera obligaciones jurídicamente vinculantes.
Para certificarse, una organización debe:
- Confirmar que está sujeta a la jurisdicción de ejecución de la FTC o del Departamento de Transporte (DOT)
- Elaborar una política de privacidad conforme a los Principios del DPF
- Identificar un mecanismo de recurso independiente para atender reclamaciones individuales
- Pagar la tarifa anual correspondiente según sus ingresos anuales
- Presentar su certificación a través del sitio web del Data Privacy Framework
Más de 2800 organizaciones cuentan con certificaciones activas a partir de 2026. La ITA mantiene una lista pública de organizaciones certificadas que los exportadores de datos de la UE deben verificar antes de realizar cualquier transferencia.
Los Principios del DPF
Las organizaciones certificadas deben cumplir con principios de privacidad que reflejan los conceptos centrales del RGPD:
- Aviso: Informar a las personas sobre los fines, las prácticas y los derechos relacionados con la recopilación de datos
- Elección: Permitir que las personas se opongan a usos sustancialmente diferentes o a divulgaciones a terceros
- Responsabilidad por la transferencia posterior: Proteger los datos compartidos con terceros mediante contratos que exijan protecciones equivalentes
- Seguridad: Implementar medidas razonables y adecuadas contra la pérdida, el uso indebido y el acceso no autorizado
- Integridad de los datos y limitación de la finalidad: Limitar los datos personales a lo pertinente para la finalidad declarada
- Acceso: Permitir que las personas accedan, corrijan o eliminen sus datos personales
- Recurso, aplicación y responsabilidad: Mantener mecanismos y vías de reparación sólidos en materia de cumplimiento
Aplicación
La FTC es el principal organismo encargado de la aplicación. Las empresas que no cumplan con los compromisos del DPF se exponen a medidas de ejecución conforme a la Sección 5 de la Ley de la FTC, que prohíbe las prácticas comerciales desleales o engañosas. El Departamento de Comercio supervisa el cumplimiento, realiza comprobaciones puntuales y puede eliminar de la lista de certificados a las organizaciones que incumplan.
Orden Ejecutiva 14086: el fundamento jurídico
La Orden Ejecutiva 14086 abordó directamente las dos deficiencias que el TJUE señaló en Schrems II: la ausencia de límites de proporcionalidad en la recopilación de inteligencia estadounidense y la falta de un mecanismo de reparación independiente.
Restricciones a la recopilación de inteligencia
La orden limita la recopilación de inteligencia de señales a 12 objetivos de seguridad nacional claramente definidos, entre ellos la lucha contra el terrorismo, el contraespionaje y la protección de infraestructuras críticas. Por primera vez en una orden ejecutiva estadounidense, la "proporcionalidad" aparece como un límite vinculante: las actividades deben ser proporcionales a la prioridad de inteligencia validada y deben ponderar dicha prioridad frente a los efectos sobre la privacidad de todas las personas, no solo de los ciudadanos estadounidenses.
Requisitos de privacidad y libertades civiles
Cada agencia de inteligencia debe actualizar sus políticas para incorporar estas garantías. La Junta de Supervisión de la Privacidad y las Libertades Civiles (PCLOB) desempeña un papel central: revisa el cumplimiento de los procedimientos de las agencias, participa en consultas sobre el nombramiento de los jueces del DPRC y realiza una revisión anual de cómo los organismos de reparación tramitan las reclamaciones.
Vulnerabilidad: se trata de una orden ejecutiva
Debido a que la EO 14086 es una orden ejecutiva y no una ley, cualquier presidente puede modificarla o revocarla sin necesidad de aprobación del Congreso. Esta vulnerabilidad estructural ha sido objeto de críticas constantes por parte de los defensores de la privacidad y del CEPD. El trato que la administración Trump dio al PCLOB en 2025 demostró con qué facilidad pueden verse afectados los componentes del marco que dependen del poder ejecutivo.
El Tribunal de Revisión de Protección de Datos
La innovación más importante del DPF es el Tribunal de Revisión de Protección de Datos (DPRC), creado por la EO 14086 y desarrollado mediante reglamentos del Fiscal General.
Cómo funciona el DPRC
Las personas de la UE que consideren que sus datos fueron recopilados de forma ilícita por agencias de inteligencia estadounidenses pueden presentar una reclamación ante su autoridad nacional de protección de datos. Esa autoridad remite la reclamación al Oficial de Protección de las Libertades Civiles (CLPO) de la Oficina del Director de Inteligencia Nacional de Estados Unidos, quien realiza una investigación inicial.
Si el reclamante no queda conforme, puede apelar ante el DPRC. El tribunal está compuesto por jueces designados por el Fiscal General, ajenos al gobierno estadounidense, que cuentan con las habilitaciones de seguridad correspondientes. Se designa a un defensor especial para representar los intereses del reclamante, ya que el carácter confidencial de las actuaciones impide su participación directa. El DPRC tiene autoridad vinculante sobre las agencias de inteligencia, lo que constituye la mejora estructural clave respecto del Defensor del Pueblo del Privacy Shield.
Lo que determinó el Tribunal General en el caso Latombe
Cuando el asunto T-553/23 llegó al Tribunal General de la UE, uno de los argumentos centrales de Latombe era que el DPRC no constituía un tribunal suficientemente independiente. El Tribunal General rechazó ese argumento en su sentencia del 3 de septiembre de 2025, al considerar que la composición, los mecanismos de supervisión y las facultades vinculantes del DPRC cumplían con los estándares exigidos por el derecho de la UE. El Tribunal también determinó que el derecho estadounidense limitaba de manera suficiente la recopilación masiva de datos y que las protecciones en materia de seguridad de datos y toma de decisiones automatizadas eran sustancialmente equivalentes a los estándares de la UE.
Críticas persistentes
Los defensores de la privacidad, incluida NOYB (liderada por Max Schrems), continúan sosteniendo que el DPRC no satisface el estándar del TJUE en materia de tutela judicial efectiva, ya que los reclamantes solo reciben una confirmación genérica de que la revisión se completó, sin ninguna explicación sustantiva del resultado. El carácter confidencial de las actuaciones es una característica estructural, no un descuido subsanable.
La extensión al Reino Unido y el DPF Suiza-EE. UU.
El DPF no cubre automáticamente las transferencias de datos del Reino Unido ni de Suiza. Cada una de ellas requirió un proceso de adecuación independiente.
El Puente de Datos Reino Unido-EE. UU. (extensión al Reino Unido)
El Reino Unido estableció la extensión del DPF al Reino Unido, comúnmente conocida como el Puente de Datos Reino Unido-EE. UU., en octubre de 2023. Las empresas estadounidenses con certificaciones activas del DPF pueden optar por adherirse a esta extensión para cubrir las transferencias de datos del Reino Unido a través del mismo portal de la ITA. La extensión al Reino Unido opera bajo el RGPD del Reino Unido y no bajo el RGPD de la UE, lo que refleja el régimen independiente de protección de datos del Reino Unido tras el Brexit. La extensión cuenta con normas complementarias propias que abordan las diferencias entre el derecho de protección de datos del Reino Unido y el de la UE.
El Marco de Privacidad de Datos Suiza-EE. UU.
Suiza siguió un camino diferente. El 14 de agosto de 2024, el Consejo Federal Suizo reconoció la adecuación de la protección de datos que ofrecen las empresas estadounidenses certificadas bajo el DPF. La decisión entró en vigor el 15 de septiembre de 2024. El comunicado de prensa del Consejo Federal Suizo confirmó que Estados Unidos fue incorporado a la lista suiza de países adecuados, limitada a las organizaciones certificadas bajo el DPF. Las empresas estadounidenses pueden extender su certificación del DPF para cubrir las transferencias con Suiza a través del portal de la ITA.
El DPF Suiza-EE. UU. enfrenta la misma vulnerabilidad derivada de la EO 14086 que la versión UE-EE. UU. Los defensores de la privacidad en Suiza han advertido que la disrupción del PCLOB en 2025 genera incertidumbre sobre los mecanismos de supervisión en los que se basó la evaluación de adecuación suiza.
La primera revisión periódica (octubre de 2024)
El artículo 45, apartado 3, del RGPD exige que la Comisión Europea revise periódicamente las decisiones de adecuación. La primera revisión del DPF tuvo lugar en octubre de 2024.
Conclusiones de la Comisión
El primer informe de revisión de la Comisión Europea concluyó que el DPF sigue garantizando un nivel de protección adecuado. Las agencias estadounidenses habían implementado la EO 14086, el DPRC se encontraba operativo y el Departamento de Comercio supervisaba activamente a las organizaciones certificadas.
La Comisión identificó una preocupación significativa: el PCLOB careció de quórum durante gran parte del período de revisión. La Comisión señaló que restablecer la plena capacidad operativa del PCLOB resultaba importante para el funcionamiento continuo del marco.
Conclusiones del CEPD
El primer informe de revisión del CEPD reconoció las mejoras introducidas, pero solicitó mayor transparencia sobre cómo el DPRC tramita las reclamaciones y recomendó aclarar con mayor detalle cómo las agencias de inteligencia estadounidenses aplican en la práctica el estándar de proporcionalidad.
Impugnaciones judiciales y riesgos
El caso Latombe: T-553/23 y la apelación pendiente ante el TJUE C-703/25 P
Philippe Latombe, diputado de la Asamblea Nacional francesa, presentó una demanda ante el Tribunal General de la UE solicitando la anulación de la decisión de adecuación de la Comisión. Se trató de la primera impugnación judicial directa contra el DPF.
El 3 de septiembre de 2025, el Tribunal General desestimó la demanda. El Tribunal determinó que el DPRC era suficientemente independiente e imparcial, que el derecho estadounidense limitaba adecuadamente la recopilación masiva de datos y que las protecciones estadounidenses en materia de seguridad de datos y toma de decisiones automatizadas eran sustancialmente equivalentes al derecho de la UE.
Latombe presentó una apelación el 31 de octubre de 2025. El caso quedó registrado ante el Tribunal de Justicia como el asunto C-703/25 P. La apelación ante el TJUE se limita a cuestiones de derecho. Hasta mayo de 2026 no se había anunciado fecha de audiencia. Si el TJUE emitiera una sentencia de fondo en contra del DPF, se trataría de la tercera invalidación consecutiva de un marco de transferencia de datos transatlántico.
NOYB y la amenaza de un «Schrems III»
NOYB aún no ha presentado su propia impugnación contra el DPF, pero lo critica de manera constante. Sus argumentos centrales son los siguientes: el marco se sustenta en una orden ejecutiva y no en una ley; el DPRC no ofrece transparencia a los reclamantes; y la Sección 702 de FISA no ha sido reformada de manera sustancial. NOYB da seguimiento a la apelación de Latombe y a la evolución del PCLOB en busca de elementos que puedan sustentar una acción independiente.
La crisis del PCLOB
La disrupción del PCLOB representa el riesgo operativo más inmediato para las garantías en las que se sustenta el DPF.
El 27 de enero de 2025, el presidente Trump destituyó a tres de los cinco miembros de la junta del PCLOB (todos ellos demócratas) mediante un correo electrónico de una sola frase y sin justificación. Esto eliminó el quórum del organismo. Dos de los miembros destituidos, Edward Felten y Travis LeBlanc, presentaron una demanda ante un tribunal federal. El 21 de mayo de 2025, un tribunal de distrito declaró ilegal la destitución y ordenó su reincorporación.
La administración Trump apeló. El 1 de julio de 2025, el Tribunal de Apelaciones del Circuito de DC suspendió la orden de reincorporación mientras se resolvía la apelación, y el caso quedó posteriormente en suspenso a la espera de la resolución de la Corte Suprema en Trump v. Slaughter (n.º 25-332), que determinará los límites constitucionales de la facultad presidencial para destituir a miembros de juntas de supervisión independientes. Hasta que se resuelva esa cuestión, el PCLOB no puede funcionar a plena capacidad.
Las consecuencias prácticas para el DPF son las siguientes: el PCLOB no puede realizar las revisiones anuales de cumplimiento de la EO 14086 que exige la propia orden; su función consultiva en el nombramiento de los jueces del DPRC se encuentra suspendida; y tanto el CEPD como la Comisión Europea han señalado la incapacidad del PCLOB como una preocupación para la evaluación continua de la adecuación del marco.
La Sección 702 de FISA
La Sección 702 de FISA autoriza la recopilación de inteligencia extranjera sobre personas que no son ciudadanas estadounidenses y se encuentran fuera de Estados Unidos. La renovación por dos años promulgada en abril de 2024 (la Ley de Reforma de la Inteligencia y Seguridad de Estados Unidos, RISAA) venció en abril de 2026. El Congreso aprobó una prórroga a corto plazo de 45 días, que mantiene vigente la Sección 702 hasta mediados de junio de 2026, mientras continúa el debate sobre una renovación de mayor plazo.
La ampliación que hizo la RISAA de las definiciones de «proveedor de servicios de comunicaciones electrónicas» generó críticas por parte de los defensores europeos de la privacidad, quienes sostuvieron que ampliaba el alcance de las empresas sujetas a obligaciones de vigilancia. El resultado del debate de renovación de 2026 será seguido de cerca por la Comisión y el CEPD a la hora de evaluar si se mantienen las condiciones de adecuación del DPF.
Si el DPF cae: las SCC como alternativa
Dado que tanto el Safe Harbor como el Privacy Shield fueron invalidados, las organizaciones deberían contar con un plan de contingencia.
Las Cláusulas Contractuales Tipo (SCC) constituyen la principal alternativa. Se trata de cláusulas contractuales estándar aprobadas por la Comisión Europea en virtud del artículo 46 del RGPD. Vinculan al importador de datos estadounidense a protecciones equivalentes a las de la UE y otorgan a los titulares de los datos derechos contractuales directamente exigibles frente al importador.
Las SCC no hacen que una transferencia de la UE a Estados Unidos sea automáticamente lícita: el exportador también debe realizar una Evaluación de Impacto de la Transferencia (TIA) para determinar si el derecho y la práctica estadounidenses permiten que el importador cumpla en la práctica con las SCC. Después de Schrems II, las organizaciones desarrollaron metodologías de TIA; la mayoría de esas evaluaciones siguen siendo válidas hoy en día y pueden actualizarse si el DPF cayera.
Otros mecanismos de transferencia previstos en el artículo 46 incluyen las normas corporativas vinculantes (BCR) para transferencias intragrupo, los códigos de conducta aprobados y las excepciones restringidas del artículo 49 (consentimiento, ejecución de un contrato, razones importantes de interés público). Las excepciones no son adecuadas como base habitual para las transferencias.
Las organizaciones que mantuvieran las SCC junto con su dependencia del DPF podrían continuar con sus transferencias con una interrupción mínima si el DPF fuera invalidado. Aquellas que dependan únicamente del DPF enfrentarían una transición mucho más compleja, como puede atestiguar cualquiera que se haya apresurado a firmar anexos de SCC en las semanas posteriores a Schrems II.
En qué se diferencia el DPF del Privacy Shield
Límites a la recopilación de inteligencia: el Privacy Shield se basaba en la Directiva de Política Presidencial 28 (PPD-28), que exigía que la recopilación masiva fuera «lo más específica posible». El TJUE consideró que esto resultaba demasiado permisivo. La EO 14086 la reemplaza con un requisito vinculante de proporcionalidad y 12 objetivos permitidos enumerados.
Mecanismo de reparación: el Defensor del Pueblo del Departamento de Estado del Privacy Shield carecía de independencia respecto del poder ejecutivo y no tenía autoridad vinculante. El DPRC es estructuralmente más independiente (sus jueces provienen de fuera del gobierno) y sus decisiones son vinculantes para las agencias de inteligencia.
Supervisión: la función del PCLOB está definida explícitamente en la EO 14086, con obligaciones específicas de revisión y presentación de informes, aunque, como demostró 2025, los componentes de supervisión que dependen del poder ejecutivo son vulnerables a las disrupciones políticas.
Orientación práctica para las organizaciones
Para las empresas estadounidenses que reciben datos de la UE
Verifique que su organización esté sujeta a la jurisdicción de la FTC o del DOT. Complete o renueve la autocertificación a través de dataprivacyframework.gov. Actualice su política de privacidad pública para reflejar todos los Principios del DPF. Designe un organismo independiente de resolución de disputas. Implemente procedimientos internos para las solicitudes de acceso a datos y las reclamaciones. Renueve la certificación anualmente: una certificación vencida invalida la base de transferencia de los datos recibidos durante el período de vencimiento.
Si también recibe datos del Reino Unido, adhiérase a la extensión al Reino Unido a través del portal de la ITA. Si recibe datos de Suiza, adhiérase a la extensión del DPF Suiza-EE. UU.
Para las organizaciones de la UE que transfieren datos
Antes de realizar cualquier transferencia, verifique que el destinatario cuente con una certificación activa del DPF en la lista oficial de participantes. El estado de la certificación puede cambiar; realice comprobaciones puntuales antes de iniciar flujos de datos nuevos y significativos. Documente la decisión de adecuación como base jurídica en su Registro de Actividades de Tratamiento conforme al artículo 30 del RGPD.
Haga seguimiento de la fecha de renovación anual del destinatario. Una certificación vencida implica que la base de adecuación deja de aplicarse a las nuevas transferencias.
Planificación de contingencia
Dada la historia de marcos invalidados y la apelación pendiente ante el TJUE en el asunto C-703/25 P, las organizaciones prudentes deberían:
- Firmar SCC en paralelo con la certificación del DPF para los flujos de datos de gran volumen o sensibles
- Mantener una Evaluación de Impacto de la Transferencia que pueda activarse si el DPF es anulado
- Documentar un plan de transición que identifique qué flujos dependen del DPF y cómo quedaría cubierto cada uno mediante SCC
- Hacer seguimiento de la evolución del asunto C-703/25 P ante el TJUE y de la decisión de la Corte Suprema en Trump v. Slaughter
Esta es información jurídica de carácter general y no constituye asesoramiento legal. Las organizaciones que gestionen transferencias transfronterizas de datos deben consultar a un abogado calificado para recibir asesoramiento específico a su situación.
Preguntas frecuentes
¿Qué es el Marco de Privacidad de Datos UE-EE. UU.?
El Marco de Privacidad de Datos UE-EE. UU. (DPF) es el mecanismo jurídico que permite el flujo de datos personales desde la Unión Europea hacia organizaciones estadounidenses certificadas. La Comisión Europea adoptó su decisión de adecuación el 10 de julio de 2023. Reemplazó al marco Privacy Shield, que el TJUE invalidó en 2020. El DPF combina la autocertificación voluntaria de las empresas estadounidenses con compromisos vinculantes del gobierno de Estados Unidos para limitar el acceso de las agencias de inteligencia a los datos personales de la UE y ofrecer una vía de reparación independiente a través del Tribunal de Revisión de Protección de Datos.
¿Se ha impugnado el DPF ante los tribunales?
Sí. El diputado francés Philippe Latombe impugnó la decisión de adecuación de la Comisión ante el Tribunal General de la UE (asunto T-553/23). El Tribunal General desestimó su demanda el 3 de septiembre de 2025, confirmando la validez del DPF. Latombe presentó una apelación ante el Tribunal de Justicia de la UE el 31 de octubre de 2025 (asunto C-703/25 P). Dicha apelación se encuentra pendiente a partir de mayo de 2026. Una sentencia del TJUE en contra del DPF constituiría la amenaza más grave que ha enfrentado el marco, dado el historial del Tribunal de invalidar a sus predecesores.
¿Qué es el Tribunal de Revisión de Protección de Datos?
El Tribunal de Revisión de Protección de Datos (DPRC) es un organismo independiente creado por la Orden Ejecutiva 14086 para examinar las reclamaciones de personas de la UE que consideren que sus datos fueron recopilados de forma ilícita por agencias de inteligencia estadounidenses. Sus jueces son designados fuera del gobierno estadounidense, y sus decisiones son vinculantes para las agencias de inteligencia. Reemplazó al Defensor del Pueblo del Departamento de Estado del Privacy Shield, al que el TJUE consideró insuficientemente independiente. El Tribunal General de la UE confirmó la independencia e imparcialidad del DPRC en septiembre de 2025.
¿Qué ocurrió con el PCLOB?
El 27 de enero de 2025, el presidente Trump destituyó a tres de los cinco miembros demócratas de la Junta de Supervisión de la Privacidad y las Libertades Civiles mediante un correo electrónico de una sola frase, eliminando así su quórum. Dos de los miembros destituidos demandaron y lograron su reincorporación a nivel de tribunal de distrito. La administración Trump apeló, y el Circuito de DC suspendió la orden de reincorporación. El caso quedó en suspenso a la espera de la decisión de la Corte Suprema en Trump v. Slaughter (n.º 25-332). El PCLOB no puede realizar sus revisiones anuales de supervisión del DPF ni cumplir su función consultiva en el nombramiento de los jueces del DPRC hasta que se resuelva la cuestión del quórum.
¿Qué es la Orden Ejecutiva 14086?
La Orden Ejecutiva 14086, firmada por el presidente Biden el 7 de octubre de 2022, constituye el fundamento jurídico del DPF. Limita la recopilación de inteligencia de señales de Estados Unidos a 12 objetivos de seguridad nacional definidos, introduce un requisito de proporcionalidad para las actividades de vigilancia (el primero en una orden ejecutiva estadounidense) y crea el Tribunal de Revisión de Protección de Datos. Debido a que se trata de una orden ejecutiva y no de una ley, cualquier presidente posterior puede modificarla o revocarla sin necesidad de aprobación del Congreso, lo cual constituye una crítica estructural persistente al DPF.
¿El DPF cubre las transferencias de datos del Reino Unido o de Suiza?
No de manera automática. El Reino Unido estableció un mecanismo independiente (la extensión del DPF al Reino Unido, comúnmente llamada Puente de Datos Reino Unido-EE. UU.) en octubre de 2023. Suiza reconoció la adecuación de las empresas estadounidenses certificadas bajo el DPF el 14 de agosto de 2024, y la decisión de adecuación suiza entró en vigor el 15 de septiembre de 2024. Las empresas estadounidenses con certificaciones activas del DPF pueden adherirse a estas extensiones para cubrir las transferencias con el Reino Unido y con Suiza a través del mismo portal de la ITA.
¿Cuál es la alternativa de las SCC si el DPF es invalidado?
Las Cláusulas Contractuales Tipo (SCC) constituyen el principal mecanismo de transferencia alternativo conforme al artículo 46 del RGPD. Se trata de cláusulas contractuales estándar aprobadas por la Comisión Europea que vinculan al importador de datos estadounidense a protecciones equivalentes a las de la UE. Las organizaciones que utilicen SCC también deben realizar una Evaluación de Impacto de la Transferencia. Las organizaciones que ya cuenten con SCC podrían continuar con los flujos de datos entre la UE y Estados Unidos inmediatamente después de una invalidación del DPF; aquellas que dependan únicamente del DPF enfrentarían una transición mucho más disruptiva.
¿Cuál es el estado actual de la Sección 702 de FISA?
La Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera autoriza la recopilación de inteligencia extranjera sobre personas que no son ciudadanas estadounidenses y se encuentran fuera de Estados Unidos. La renovación por dos años de abril de 2024 venció en abril de 2026. El Congreso aprobó una prórroga a corto plazo de 45 días, que mantiene vigente la Sección 702 hasta mediados de junio de 2026, mientras continúa el debate sobre una renovación de mayor plazo. El resultado es relevante para el DPF, ya que la Sección 702 fue una de las facultades de vigilancia estadounidenses citadas en Schrems II, y los reguladores europeos siguen de cerca su alcance.
¿Cómo se certifica una empresa estadounidense bajo el DPF?
Las empresas se certifican presentando una solicitud a través de la Administración de Comercio Internacional en dataprivacyframework.gov. La empresa debe estar sujeta a la jurisdicción de ejecución de la FTC o del DOT, elaborar una política de privacidad conforme al DPF, identificar un mecanismo independiente de resolución de disputas y pagar una tarifa anual. La certificación debe renovarse cada año. Más de 2800 organizaciones contaban con certificaciones activas a partir de 2026.
Fuentes y referencias
- Comisión Europea - Transferencias de Datos UE-EE. UU.(commission.europa.eu).gov
- Comisión Europea - Comunicado de Prensa sobre la Decisión de Adecuación(ec.europa.eu).gov
- Orden Ejecutiva 14086(whitehouse.gov).gov
- Programa del Marco de Privacidad de Datos(dataprivacyframework.gov).gov
- Principios del DPF(dataprivacyframework.gov).gov
- Tribunal de Revisión de Protección de Datos(justice.gov).gov
- Reglamentos del Fiscal General sobre el DPRC(justice.gov).gov
- Dictamen 5/2023 del CEPD sobre el DPF(edpb.europa.eu).gov
- Primera Revisión del DPF de la Comisión Europea(commission.europa.eu).gov
- Informe del CEPD sobre la Primera Revisión del DPF(edpb.europa.eu).gov
- Comunicado de Prensa del Tribunal General de la UE - Asunto T-553/23 Latombe(curia.europa.eu).gov
- EUR-Lex - Apelación Latombe, Asunto C-703/25 P(eur-lex.europa.eu).gov
- Análisis de NOYB sobre el DPF(noyb.eu)
- Consejo Federal Suizo - Decisión de Adecuación del DPF Suiza-EE. UU.(admin.ch).gov
- Panorama del DPF Suizo(dataprivacyframework.gov).gov
- Puente de Datos Reino Unido-EE. UU.(gov.uk).gov
- Panorama del Safe Harbor(trade.gov).gov
- Casos del Privacy Shield ante la FTC(ftc.gov).gov
- Brennan Center - Caso LeBlanc contra el PCLOB(brennancenter.org)
- Página de Recursos sobre la Sección 702 de FISA 2026(brennancenter.org)
- Preguntas Frecuentes del CEPD sobre el DPF para Empresas v2.0(edpb.europa.eu).gov