Glosario · Sentencia del TJUE Schrems II
Sentencia de 2020 del Tribunal de Justicia de la Unión Europea que invalidó el Privacy Shield UE-EE. UU., dejando las transferencias transatlánticas de datos legalmente precarias para las empresas europeas.
## Qué dictaminó realmente Schrems II
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia en el asunto C-311/18, conocido como Schrems II. La resolución hizo dos cosas:
1. **Invalidó el Privacy Shield UE-EE. UU.**, el marco que permitía a las empresas estadounidenses autocertificarse en estándares de protección de datos equivalentes al RGPD
2. **Endureció los requisitos de las cláusulas contractuales tipo (SCC)**, el mecanismo contractual que sigue permitiendo las transferencias transatlánticas de datos
El caso fue planteado por Max Schrems, abogado austríaco de privacidad que ya había logrado invalidar el predecesor del Privacy Shield (Safe Harbor) en Schrems I (2015).
## Por qué se anuló el Privacy Shield
El TJUE detectó dos problemas fundamentales en las protecciones jurídicas estadounidenses para los datos europeos:
1. Los **programas de vigilancia estadounidenses** (en especial la Sección 702 de FISA y la Orden Ejecutiva 12333) permiten la vigilancia masiva de extranjeros sin una supervisión judicial equivalente a los estándares europeos
2. **Sin recurso efectivo** para los ciudadanos europeos cuyos datos fueran objeto de vigilancia estadounidense, sin un recurso judicial comparable al que exige el RGPD
El tribunal concluyó que las protecciones jurídicas estadounidenses no alcanzan el estándar de "esencialmente equivalente" que el RGPD exige para las transferencias internacionales.
## Qué significa esto en la práctica
Tras Schrems II, las empresas europeas que envían datos personales a EE. UU. tienen tres opciones:
**1. Usar las cláusulas contractuales tipo (SCC) con salvaguardias adicionales.** Las SCC siguen siendo válidas, pero la carga recae sobre el exportador de datos (la empresa europea), que debe evaluar si las protecciones jurídicas estadounidenses son adecuadas en sus circunstancias concretas. Esta evaluación de impacto de transferencia (TIA) es operativamente compleja.
**2. Usar tratamiento exclusivo en residencia UE.** Evitar por completo la transferencia transatlántica eligiendo proveedores con sede en la UE sin vínculos corporativos estadounidenses. Es la protección jurídica más sólida.
**3. Usar el EU-US Data Privacy Framework (DPF).** Adoptado en julio de 2023, el DPF sustituye al Privacy Shield con protecciones reforzadas. Defensores de la privacidad como Max Schrems ya han anunciado planes para impugnar el DPF ante los tribunales (Schrems III).
Para la mayoría de empresas europeas, la opción 2 (tratamiento en residencia UE) ofrece la postura jurídica más limpia. Las opciones 1 y 3 funcionan, pero conllevan incertidumbre legal continua.
## Qué podría traer "Schrems III"
El EU-US Data Privacy Framework (DPF), en vigor desde 2023, es la base actual de las transferencias transatlánticas. Cambios clave respecto al Privacy Shield:
- Un nuevo "Tribunal de Revisión de Protección de Datos" supervisa judicialmente el acceso de la inteligencia estadounidense a datos europeos
- Limitaciones más estrictas a la recopilación masiva de datos
- Compromisos específicos de proporcionalidad y necesidad
El recurso ya presentado por NOYB (None Of Your Business, la organización de Schrems) sostiene que estas reformas siguen sin alcanzar el estándar "esencialmente equivalente" del RGPD. Una futura sentencia Schrems III podría invalidar el DPF y devolver el panorama de transferencias transatlánticas a la incertidumbre posterior a Schrems II.
Calendario: una sentencia del TJUE sobre el DPF podría llegar en 2026-2027.
## Por qué importa al elegir herramientas
Para las empresas europeas que toman decisiones de proveedor en 2026:
- **El DPF es válido actualmente**, pero jurídicamente incierto
- **Las SCC siguen siendo el respaldo más seguro**, pero requieren un trabajo continuo de cumplimiento de TIA
- **Los proveedores con residencia UE** evitan por completo la cuestión de la transferencia
Para casos sensibles (datos sanitarios, datos de empleados, datos de clientes de poblaciones vulnerables), el camino prudente es elegir proveedores con residencia UE desde el inicio. Para cargas rutinarias, los proveedores estadounidenses bajo DPF + SCC siguen siendo viables, pero conviene revisarlos periódicamente.
Schrems II no es un evento puntual: es una tensión jurídica continua que reaparece periódicamente. Tratarlo como contexto de fondo en lugar de como crisis del mes es la postura operativamente sólida.
¿Te resultó útil?
¡Gracias por tu opinión!