Glosario · Derecho de transferencia de datos de la UE Schrems I (Schrems v. Data Protection Commissioner (Case C-362/14, 2015))
Sentencia del TJUE de 2015 que invalidó el marco Safe Harbor UE-EE. UU. tras las revelaciones de Edward Snowden, al concluir que las leyes de vigilancia estadounidenses impedían una protección adecuada de los datos personales europeos.
## Qué fue realmente Schrems I
Schrems I es la forma abreviada de la sentencia de 2015 **Schrems contra Comisionado de Protección de Datos (asunto C-362/14)** del Tribunal de Justicia de la Unión Europea (TJUE). El tribunal invalidó el **marco Safe Harbor UE-EE. UU.**, el mecanismo de transferencia de datos que, desde 2000, había permitido a las empresas estadounidenses recibir datos personales de la UE autocertificando el cumplimiento con los estándares europeos de privacidad.
El caso fue planteado por el activista austríaco de privacidad **Maximilian Schrems**, cuya impugnación de la transferencia de sus datos personales por parte de Facebook a EE. UU. desencadenó la sentencia.
## El contexto histórico
En **junio de 2013**, el contratista de la NSA **Edward Snowden** filtró documentos que revelaban la vigilancia masiva estadounidense de datos de comunicaciones, incluso a través de programas como PRISM que obtenían datos de las grandes tecnológicas estadounidenses.
El argumento de Schrems era directo: el marco Safe Harbor presuponía protección estadounidense adecuada de los datos europeos, pero las revelaciones de Snowden dejaron claro que las leyes de vigilancia estadounidenses (Sección 702 de FISA, Orden Ejecutiva 12333) no ofrecían protección significativa a personas no estadounidenses. Por tanto, la base de Safe Harbor era falsa.
El TJUE estuvo de acuerdo.
## Qué dictaminó realmente el TJUE
La sentencia de octubre de 2015 concluyó que:
1. La decisión de adecuación Safe Harbor de la Comisión Europea era **inválida**
2. Las autoridades nacionales de protección de datos tienen **poder independiente** para investigar reclamaciones de transferencia incluso cuando exista una decisión de adecuación
3. Los interesados europeos deben tener **recurso judicial efectivo** frente al acceso de vigilancia, algo que la legislación estadounidense no proporcionaba
4. El acceso de vigilancia debe ser **proporcionado**: los programas estadounidenses que recopilaban datos de forma masiva no lo eran
La sentencia derribó Safe Harbor de inmediato, generando caos para los miles de empresas estadounidenses que dependían de él para las transferencias de datos UE.
## Qué siguió a Schrems I
### Privacy Shield (2016)
La UE y EE. UU. negociaron un marco sucesor: **Privacy Shield**. Endureció algunas disposiciones de Safe Harbor (figura del Defensor del Pueblo, compromisos escritos de las agencias de inteligencia estadounidenses sobre límites de acceso). Entró en vigor en julio de 2016.
### Schrems II (2020)
Schrems impugnó el Privacy Shield por los mismos motivos. El TJUE dictaminó en **Schrems II (asunto C-311/18, 2020)** que el Privacy Shield *también* era inválido porque persistía el mismo problema fundamental: la ley estadounidense de vigilancia ofrecía protección inadecuada.
Véase [Schrems II](/es/glossary/schrems-ii/) para el segundo caso.
### EU-US Data Privacy Framework (2023)
Tras Schrems II, la UE y EE. UU. negociaron otro sucesor: el [EU-US Data Privacy Framework](/es/glossary/eu-us-data-privacy-framework/), que entró en vigor en julio de 2023. Schrems ha indicado que tiene la intención de impugnarlo también por motivos sustancialmente similares.
## Por qué Schrems I sigue importando
### 1. Estableció el patrón jurídico
Schrems I creó el marco analítico que aún se utiliza: cuando las transferencias UE dependen de mecanismos de adecuación o equivalentes, esos mecanismos deben evaluarse frente a las leyes reales de vigilancia del tercer país, no frente a compromisos sobre el papel.
### 2. Habilitó la aplicación del RGPD
Schrems I estableció que las APD tienen poder investigador independiente. Esto resultó importante cuando el RGPD entró en vigor en 2018.
### 3. Creó el problema estructural
El problema estructural que Schrems I identificó, que las leyes estadounidenses de vigilancia no pueden satisfacer la adecuación de la UE sin reforma legal, ha persistido a través de tres marcos sucesivos (Safe Harbor → Privacy Shield → EU-US DPF). Sin una reforma de la vigilancia estadounidense, esto probablemente continúe.
### 4. Configuró la industria tecnológica europea
Schrems I, II y la tensión subyacente generaron una demanda continua de alternativas con residencia y jurisdicción UE frente a la tecnología estadounidense, mucho de lo que cataloga BetterInEurope.
## Qué significa Schrems I en la práctica
Para las empresas europeas hoy:
### La cadena de casos
Cuando evalúas si puedes transferir datos personales a proveedores estadounidenses, navegas la cadena que Schrems I inició: Safe Harbor invalidado → Privacy Shield invalidado → EU-US DPF (actual, vulnerable a impugnación).
### La pregunta más profunda
Schrems I dejó claro que la transferencia de datos UE-EE. UU. es fundamentalmente una cuestión sobre la reforma de la vigilancia estadounidense, no solo de papeleo. Mientras existan FISA 702 y la CLOUD Act, los marcos construidos encima siguen siendo estructuralmente vulnerables.
### Por qué importa "residencia UE, jurisdicción UE"
Las empresas que son genuinamente europeas (no solo filiales en la UE de empresas estadounidenses) evitan el problema completo de la línea Schrems. No están sujetas a la CLOUD Act ni a FISA 702.
## Implicaciones prácticas
Para la mayoría de compradores tecnológicos europeos:
- **Schrems I es historia**, pero sus consecuencias dan forma a las decisiones actuales
- **El EU-US DPF es la ley actual**, pero los retos de la línea Schrems siguen activos
- **Las alternativas europeas genuinas** sortean el problema por completo
- **Las evaluaciones de impacto de transferencia** ([TIA](/es/glossary/tia/)) son obligatorias cuando continúan las transferencias
El camino más sencillo hacia un cumplimiento duradero es elegir proveedores donde la cuestión no se plantee.
¿Te resultó útil?
¡Gracias por tu opinión!