Glosario · Ley de vigilancia de EE. UU. FISA 702 (Foreign Intelligence Surveillance Act, Section 702)
Ley estadounidense de vigilancia que autoriza la recopilación masiva de datos de comunicaciones de personas no estadounidenses a proveedores domiciliados en EE. UU. Junto con la CLOUD Act, la razón estructural por la que las transferencias de datos UE-EE. UU. se desploman una y otra vez bajo los desafíos de la línea Schrems.
## Qué es realmente FISA 702
La sección 702 de la **Foreign Intelligence Surveillance Act** (FISA) es una ley estadounidense, aprobada en 2008 y reautorizada periódicamente (más recientemente en 2024), que autoriza al **Director de Inteligencia Nacional y al Fiscal General de EE. UU.** a obligar a los proveedores de comunicaciones electrónicas domiciliados en EE. UU. a entregar las comunicaciones de **personas no estadounidenses que razonablemente se cree que están situadas fuera de EE. UU.**
Los datos recogidos se usan con fines de inteligencia exterior y pueden ser consultados por el FBI, la CIA, la NSA y otras agencias estadounidenses.
## Por qué FISA 702 es estructuralmente importante
La propiedad fundamental de FISA 702 es que:
1. Se aplica a **todos los proveedores de servicios de comunicaciones electrónicas domiciliados en EE. UU.**, incluidas las grandes tecnológicas (Google, Microsoft, Meta, Apple, etc.)
2. Tiene por objetivo a las **personas no estadounidenses**, es decir, cualquier persona fuera de Estados Unidos, incluidos ciudadanos y empresas de la UE
3. Opera sin estándar de **causa probable** para objetivos no estadounidenses
4. Opera con **mínimo control judicial** (el tribunal FISA aprueba programas amplios de selección, no la vigilancia individual)
5. No proporciona **un recurso efectivo** a las personas no estadounidenses afectadas
Esta es la razón estructural por la que las transferencias de datos UE-EE. UU. son invalidadas una y otra vez.
## Los programas 'PRISM' y 'Upstream'
FISA 702 autoriza dos grandes programas de recopilación:
### PRISM
Recopilación directa de proveedores estadounidenses. La NSA envía un 'selector' (dirección de correo, número de teléfono, etc.) y el proveedor entrega las comunicaciones que coinciden con dicho selector. Revelado por Edward Snowden en 2013.
### Upstream
Recopilación desde la infraestructura troncal de Internet. Permite recoger comunicaciones que transitan por territorio estadounidense (incluidas comunicaciones entre dos partes no estadounidenses que tocan infraestructura de EE. UU.).
Ambos programas operan al amparo de FISA 702.
## Cómo choca FISA 702 con el RGPD
La jurisprudencia del Tribunal de Justicia de la UE (TJUE) — en particular [Schrems I](/es/glossary/schrems-i/) (2015) y [Schrems II](/es/glossary/schrems-ii/) (2020) — ha sostenido que:
1. Los datos personales de la UE solo pueden transferirse a jurisdicciones no comunitarias que ofrezcan una **protección esencialmente equivalente** al RGPD
2. El derecho estadounidense bajo FISA 702 **no** ofrece tal protección porque:
- Permite la recopilación masiva sin causa probable individual
- Apunta a personas no estadounidenses sin límites de proporcionalidad
- No proporciona un recurso judicial efectivo para personas no estadounidenses
3. Por tanto, cualquier mecanismo de transferencia de datos UE-EE. UU. que dependa de protecciones jurídicas estadounidenses es estructuralmente vulnerable
Por eso **Safe Harbor → Privacy Shield → DPF UE-EE. UU.** es una cadena de marcos sucesivos, cada uno invalidado o amenazado por el mismo problema subyacente.
## EO 14086 y el Data Privacy Framework
En 2022, el presidente Biden firmó la **Orden Ejecutiva 14086** que establece:
- Nuevos límites a la inteligencia de señales estadounidense (proporcionalidad, selección individual)
- Un mecanismo de recurso de dos niveles para personas no estadounidenses (Civil Liberties Protection Officer + Data Protection Review Court)
- Procedimientos estadounidenses actualizados para la vigilancia FISA 702
La Comisión Europea utilizó la EO 14086 como base para adoptar la decisión de adecuación del **[Data Privacy Framework UE-EE. UU.](/es/glossary/data-privacy-framework/)** en julio de 2023.
Los críticos sostienen que la EO 14086 no aborda plenamente las preocupaciones de Schrems II porque:
- Es una orden ejecutiva (revocable por una futura administración)
- La 'Data Protection Review Court' se ubica dentro del poder ejecutivo (no es realmente independiente)
- La autoridad de recopilación masiva permanece intacta
- El desequilibrio fundamental entre la seguridad nacional estadounidense y los derechos de las personas no estadounidenses no cambia
Schrems y noyb han indicado que impugnarán el DPF UE-EE. UU. por motivos de FISA 702. Se espera el examen del TJUE entre 2026 y 2028.
## Por qué FISA 702 importa a las empresas europeas
### 1. Afecta a todo SaaS domiciliado en EE. UU.
Si utiliza Google Workspace, Microsoft 365, AWS, Slack o esencialmente cualquier SaaS domiciliado en EE. UU., sus datos quedan al alcance de FISA 702.
### 2. No se resuelve mediante contratos
Ningún SCC, BCR u otro mecanismo contractual puede anular las obligaciones derivadas del derecho de vigilancia estadounidense que afectan a los proveedores de EE. UU. El proveedor puede verse legalmente obligado a entregar datos y puede estar sujeto a órdenes de mordaza.
### 3. Las operaciones en la UE no resuelven el problema
Las regiones europeas y las filiales europeas de los proveedores estadounidenses siguen controladas por matrices estadounidenses, sometidas a FISA 702 (y a la CLOUD Act). Las regiones UE ayudan con la latencia y la residencia de datos, pero no con la jurisdicción.
### 4. Impulsa la demanda de alternativas genuinamente europeas
El problema estructural de FISA 702 es la principal razón por la que las empresas europeas no pueden alcanzar verdadera conformidad con el RGPD usando proveedores estadounidenses y el principal motor de demanda de alternativas europeas.
## FISA 702 frente a CLOUD Act
Estas dos leyes son complementarias:
| | FISA 702 | CLOUD Act |
|--|----------|-----------|
| Finalidad | Recopilación de inteligencia exterior | Recopilación de pruebas penales |
| Objetivos | Personas no estadounidenses en el extranjero | Cualquier persona (incluidas personas en la UE) |
| Proceso | Programas masivos, selección amplia | Órdenes y citaciones específicas |
| Alcance | Proveedores de comunicaciones | Cualquier proveedor que custodie datos |
| Notificación al afectado | Por lo general, no | A menudo sujeta a órdenes de mordaza |
| Recurso efectivo para persona UE | Mínimo (DPRC en el marco del DPF) | Mínimo |
Ambas bloquean una auténtica adecuación al RGPD de los proveedores estadounidenses.
## Qué traerán 2026-2027
- **Examen por el TJUE** de nuevos desafíos de la línea Schrems al DPF UE-EE. UU.
- **Batallas por la reautorización de FISA** en el Congreso estadounidense
- **Continua escalada de vigilancia patrocinada por Estados** que afecta al panorama de amenazas
- **Continuo despliegue europeo de la nube soberana** como respuesta estructural
- **No se prevé una reforma fundamental** de la vigilancia estadounidense
## Implicaciones prácticas
Para los compradores tecnológicos europeos:
- **Para cargas sensibles** (jurídicas, sanitarias, financieras, sector público): tratar a los proveedores estadounidenses como estructuralmente expuestos, sea cual sea el mecanismo contractual
- **Para cargas generales**: sopesar la exposición a FISA 702 frente a otros factores
- **Para la estrategia a largo plazo**: asumir que el DPF UE-EE. UU. puede ser invalidado y planificar en consecuencia
- **Las alternativas residentes en la UE** evitan FISA 702 por completo
Para profesionales europeos de políticas públicas:
- Una reforma de FISA 702 en EE. UU. es improbable en el futuro previsible
- El problema estructural persistirá sin un cambio legislativo estadounidense
- La respuesta europea es la infraestructura soberana, no los apaños contractuales
¿Te resultó útil?
¡Gracias por tu opinión!