El Tribunal General de la Unión Europea (TGUE) ha confirmado la validez del Data Privacy Framework (DPF), marco legal que habilita la transferencia internacional de datos desde Europa hacia Estados Unidos para las empresas importadoras que estén dadas de alta en el DPF. El TGUE ha desestimado el recurso presentado por el diputado francés Philippe Latombe. La decisión aporta seguridad jurídica a miles de empresas, europeas y norteamericanas, que dependen de estos flujos para realizar sus operaciones diarias.
El caso Latombe se enmarca en un contexto de tensión entre Europa y Estados Unidos: los dos marcos anteriores, Safe Harbor y Privacy Shield, fueron anulados por el TJUE en los casos Schrems I y Schrems II, respectivamente, por no garantizar una protección equivalente a la europea en materia de protección de datos. Para regularizar el flujo de datos entre Europay Y EE. UU., el país norteamericano adoptó en 2022 la Orden Ejecutiva 14086, que reforzó las garantías de privacidad y creó el Data Protection Review Court (DPRC), un órgano de recurso para ciudadanos europeos. Con el cambio de administración,
Latombe alegaba principalmente que el DPRC carece de independencia, que la recopilación masiva de datos por agencias de seguridad estadounidenses sigue sin estar suficientemente limitada ni sujeta a una autorización previa y cuestionaba la falta de transparencia y de garantías efectivas para los interesados cuyos datos se vean afectados por la normativa estadounidense. Por su parte, el Tribunal consideró que el DPRC dispone de salvaguardias suficientes para garantizar su independencia, así como que la supervisión judicial posterior cumple con los estándares exigidos por la jurisprudencia europea.
Ante este escenario, Latombe todavía puede recurrir ante el Tribunal de Justicia de la Unión Europea (TJUE), por lo que no se trata de una decisión firme. Asimismo, en paralelo, la Comisión Europea deberá vigilar la aplicación del marco y podría suspenderlo si cambian las condiciones en EE. UU.