La Corte Suprema acaba de eliminar la independencia de la FTC, y el Marco de privacidad de datos de la Unión Europea y EE. UU. podría no sobrevivir

La base legal que sostiene las transferencias de datos entre la UE y EE. UU. acaba de recibir un golpe estructural directo. El 29 de junio de 2026, el Tribunal Supremo de Estados Unidos emitió una decisión de 6-3 en Trump v. Slaughter que permite que los comisionados de la FTC sean removidos a voluntad presidencial, eliminando la independencia estatutaria bajo la que la agencia ha operado desde 1935. Para las organizaciones europeas que dependen del Marco de Privacidad de Datos UE-EE. UU. para transferir legalmente datos personales a proveedores de nube estadounidenses, esto no es un riesgo de cumplimiento especulativo. Es un defecto estructural en la base de toda la decisión de adecuación.

La Comisión Europea adoptó el Marco de Privacidad de Datos UE-EE. UU. en julio de 2023 tras años de negociaciones después de que Schrems II invalidara Privacy Shield en 2020. La decisión de adecuación se basa en un principio legal fundamental: que la FTC actúa como una autoridad independiente de cumplimiento capaz de exigir a las organizaciones estadounidenses obligaciones de protección de datos equivalentes al GDPR. Según el análisis de NOYB sobre la decisión de adecuación, la Comisión citó la independencia de la FTC 259 veces en ese documento. El Tribunal Supremo acaba de declarar inconstitucional esa independencia.

Max Schrems, el defensor austriaco de la privacidad cuyas impugnaciones previas desmantelaron Safe Harbor y Privacy Shield, no perdió tiempo. El 30 de junio, su organización NOYB envió una carta formal a la Comisión exigiendo una retirada ordenada de la decisión de adecuación del DPF, calificando el marco como un «castillo de naipes legal». Se espera una impugnación ante el TJUE —ya conocida como Schrems III— en cuestión de semanas. Si los dos casos anteriores sirven de referencia, la decisión de adecuación no sobrevivirá.

Las cláusulas contractuales tipo y las Normas Corporativas Vinculantes —los mecanismos de transferencia alternativos en los que la mayoría de las organizaciones de la UE realmente confían— también están expuestos. Las evaluaciones de impacto de transferencia para estos mecanismos se basaban rutinariamente en suposiciones sobre organismos de supervisión independientes en EE. UU., muchos de los cuales ahora pueden ser removidos por el presidente. Toda la arquitectura legal de las transferencias de datos UE-EE. UU. está bajo presión. Las organizaciones que aún no han completado una evaluación formal de riesgos de sus flujos de datos UE-EE. UU. —mapeando cada transferencia, su base legal y su dependencia de la independencia de la supervisión estadounidense— deben tratar ese inventario como la primera acción de cumplimiento que exige este fallo.

Puntos clave

El Tribunal Supremo eliminó la independencia de la FTC.

En Trump v. Slaughter (29 de junio de 2026), una mayoría de 6-3 sostuvo que las protecciones estatutarias contra la remoción de los comisionados de la FTC son inconstitucionales, aplicando la «teoría del ejecutivo unitario» y anulando 90 años de precedente bajo Humphrey’s Executor v. United States.

El Marco de Privacidad de Datos UE-EE. UU. está comprometido estructuralmente.

La Comisión Europea citó la independencia de la FTC 259 veces en su decisión de adecuación del DPF de 2023, la base legal que permite a las organizaciones de la UE transferir libremente datos personales a proveedores de nube estadounidenses.

Schrems III está en camino.

El grupo de defensa de la privacidad NOYB envió una carta formal a la Comisión Europea el 30 de junio exigiendo una retirada ordenada de la decisión de adecuación del DPF y anunció planes para presentar una impugnación ante el TJUE en cuestión de semanas.

Las Cláusulas Contractuales Tipo y las BCR sufren daños colaterales.

Las evaluaciones de impacto de transferencia para las SCC y las Normas Corporativas Vinculantes normalmente se basaban en suposiciones sobre organismos de cumplimiento independientes en EE. UU. que ahora pueden ser removidos por el presidente.

La soberanía de datos ya no es una opción premium.

Las organizaciones que basaron su estrategia de datos en la adecuación del DPF —almacenando datos personales de la UE con hyperscalers estadounidenses— enfrentan riesgos legales de transferencia que las implementaciones en las instalaciones, en nube privada o en nube soberana de la UE eliminan por completo. Un marco de gobernanza de datos que mapea cada flujo de datos personales de la UE con su base de transferencia es el requisito previo para comprender el alcance total de la exposición.

Lista completa de cumplimiento GDPR

Leer ahora

Qué decía la decisión de adecuación del DPF sobre la independencia de la FTC y por qué importa ahora

La determinación de adecuación de la Comisión en julio de 2023 fue un argumento legal de 100 páginas basado en una afirmación empírica central: que Estados Unidos ofrece un nivel de protección de datos «esencialmente equivalente» al garantizado por la legislación de la UE. Uno de los pilares de esa equivalencia era la independencia de la FTC.

El GDPR exige que la aplicación de la protección de datos sea realizada por autoridades supervisoras independientes, libres de instrucciones políticas o control ejecutivo. La FTC, bajo el precedente de Humphrey’s Executor de 1935, contaba con protecciones legales contra la remoción que aislaban a los comisionados de la interferencia presidencial. La Comisión citó esta independencia repetidamente —259 veces— para justificar la determinación de adecuación.

Esa base ya no existe. Trump v. Slaughter aplica la «teoría del ejecutivo unitario» para sostener que el Congreso no puede aislar a los jefes de agencias independientes de la remoción presidencial. El cumplimiento por parte de la FTC de las obligaciones comerciales de privacidad del DPF ahora puede ser dirigido, limitado o incluso anulado por preferencia ejecutiva. El requisito del derecho de la UE de una supervisión de protección de datos genuinamente independiente, en la práctica, no se cumple.

El Comité Europeo de Protección de Datos ya había expresado reservas sobre el DPF en opiniones consultivas anteriores, señalando que los requisitos de independencia estructural plena no se cumplían. Esas preocupaciones resultan hoy premonitorias. Una apelación ante el TJUE de la decisión del Tribunal General de septiembre de 2025 que confirmó el DPF (Asunto C-703/25 P) ya estaba pendiente. Schrems III añadirá un expediente fáctico sustancialmente reforzado a esa impugnación. Los procedimientos ante el TJUE de este tipo suelen durar entre dos y tres años, pero el riesgo de cumplimiento no espera a una sentencia definitiva. Las organizaciones sujetas a obligaciones de cumplimiento GDPR y a requisitos de cumplimiento NIS2 enfrentan obligaciones de cadena de suministro y gobernanza de datos que la incertidumbre del DPF ahora afecta directamente.

La exposición de las SCC y BCR de la que nadie habla

La mayoría de los comentarios sobre Trump v. Slaughter se han centrado en las organizaciones inscritas formalmente en el DPF. Pero la exposición es mucho más profunda. Las Cláusulas Contractuales Tipo son el mecanismo que la mayoría de las organizaciones de la UE realmente utiliza para transferencias de datos a EE. UU., y no están protegidas de este fallo.

Las SCC no ofrecen protección automática. Según Schrems II, las organizaciones que dependen de las SCC deben realizar una Evaluación de Impacto de Transferencia (TIA) para evaluar si el destino en EE. UU. ofrece una protección de datos adecuada en la práctica. Esas TIA se han basado de forma constante en una suposición fáctica específica: que agencias estadounidenses independientes, incluida la FTC, proporcionan una aplicación civil significativa de las obligaciones de privacidad sin interferencia ejecutiva. Esa suposición ya no es válida.

El marco de TIA desarrollado por el Comité Europeo de Protección de Datos pide específicamente a las organizaciones que evalúen la independencia de los mecanismos de supervisión en el país de destino. Una respuesta honesta a esa pregunta, después de Trump v. Slaughter, es materialmente diferente de lo que las organizaciones documentaron en 2023.

Las autoridades supervisoras aprobaron las Normas Corporativas Vinculantes sobre la base de que las matrices estadounidenses operaban bajo obligaciones legales aplicadas de forma independiente, suposiciones que el Tribunal Supremo ahora ha cambiado. Nada de esto significa que las transferencias de datos UE-EE. UU. deban detenerse de inmediato. La decisión de adecuación del DPF sigue vigente formalmente hasta que la Comisión la derogue o el TJUE la anule, y las SCC siguen estando técnicamente disponibles. Pero los equipos de cumplimiento de datos que no están revisando sus evaluaciones de impacto de transferencia en este momento no están gestionando este riesgo. Las TIA que eran defendibles en 2023 pueden no resistir un escrutinio hoy. Una brecha de datos o una investigación regulatoria que revele una TIA legalmente deficiente tras Trump v. Slaughter sería difícil de defender: el fallo ya es de dominio público y las autoridades supervisoras evaluarán si las organizaciones actualizaron su análisis de TIA a la luz de ello.

Cómo se desarrollará el desafío Schrems III

La carta de NOYB del 30 de junio exigía dos cosas: una retirada ordenada de la Comisión de la decisión de adecuación del DPF y un reconocimiento público de que su base legal ha colapsado. La respuesta de la Comisión —negarse a comentar mientras realiza un análisis interno— sigue el guion de los desafíos anteriores.

La Comisión aguantará todo lo posible. Los flujos de datos transatlánticos valen más de €877 mil millones, y la Comisión no tiene apetito político para cortar el cable unilateralmente. Esperará a que el TJUE fuerce la cuestión. NOYB presentará su impugnación en cuestión de semanas, atacando la decisión de adecuación directamente sobre la base de la independencia de la FTC.

Schrems I (2015) invalidó Safe Harbor al determinar que la legislación estadounidense no cumplía los estándares de la UE de aplicación independiente y proporcional. Schrems II (2020) invalidó Privacy Shield porque la vigilancia bajo la Sección 702 de FISA era desproporcionada y carecía de supervisión judicial independiente. Schrems III argumentará que los mecanismos de cumplimiento del DPF ya no cumplen los requisitos de independencia de la UE tras Trump v. Slaughter. El razonamiento del Tribunal en los dos casos anteriores se aplica directamente a la situación fáctica creada por este fallo: el argumento prácticamente se escribe solo.

Un plazo de dos a tres años ante el TJUE significa un periodo prolongado de incertidumbre legal, no una prohibición inmediata de transferencias, pero sí un riesgo de cumplimiento que aumenta a medida que avanza el caso. Las organizaciones con flujos de datos UE-EE. UU. significativos deben planificar ya un escenario en el que la decisión de adecuación sea anulada y no haya un acuerdo sucesor disponible de inmediato. Las arquitecturas de residencia de datos y soberanía de datos que eliminan la dependencia de transferencias transfronterizas son la única solución estructural para ese escenario. Las organizaciones también deben evaluar si sus prácticas de gestión de claves de cifrado —en concreto, si los datos personales de la UE están cifrados con claves a las que los proveedores de nube estadounidenses no pueden acceder— ofrecen un control suplementario significativo para la TIA durante el periodo de incertidumbre.

La soberanía de datos como arquitectura de riesgo, no solo como preferencia de cumplimiento

Durante años, el cumplimiento de soberanía de datos era una característica premium: algo que buscaban organizaciones con sensibilidad elevada o obligaciones en el sector defensa, mientras la mayoría de las empresas confiaban en decisiones de adecuación y SCC. Trump v. Slaughter cambia ese cálculo.

Las organizaciones que dependen de hyperscalers estadounidenses —AWS, Azure, GCP— para almacenar y procesar datos personales de la UE enfrentan un riesgo estructural que no pueden reducir actualizando cláusulas contractuales ni revisando una política de privacidad. El mecanismo legal que autoriza la transferencia puede ser invalidado por una sentencia fuera de su control, en un plazo que no pueden prever. Cuando eso ocurra, se enfrentarán a un cierre operativo de los flujos de datos o a una migración de emergencia a infraestructura residente en la UE. Ninguna de las dos opciones es gestionable sin preparación.

La respuesta es dejar de depender por completo de la decisión de adecuación. La localización de datos —almacenar y procesar datos personales de la UE dentro de la jurisdicción de la UE— elimina la cuestión de la transferencia transfronteriza. Los datos que nunca salen del territorio de la UE no requieren una base legal de transferencia bajo el GDPR, porque no hay transferencia transfronteriza que autorizar. La minimización de datos junto con la localización —conservando solo los datos personales de la UE estrictamente necesarios para cada finalidad de tratamiento, sujetos a periodos de retención definidos— reduce el volumen de datos que requieren almacenamiento localizado y la superficie regulatoria asociada.

El intercambio seguro de datos de Kiteworks puede implementarse en las instalaciones, en una nube privada dentro de la jurisdicción de la UE o en infraestructura de nube soberana de la UE, lo que da a las organizaciones control total sobre dónde se almacena y procesa el contenido confidencial. Para las organizaciones europeas que procesan datos personales bajo el GDPR, esto significa que la validez de la decisión de adecuación del DPF es simplemente irrelevante para su postura de cumplimiento. Han eliminado la dependencia.

La arquitectura de confianza cero de Kiteworks garantiza que, incluso cuando el contenido confidencial cruza límites organizativos o geográficos, el acceso está gobernado por controles de acceso granulares y basados en políticas que cumplen los requisitos de cumplimiento GDPR de forma independiente a cualquier marco de adecuación EE. UU.-UE. Cada transferencia de archivos, adjunto de correo electrónico e intercambio vía API queda registrada con una pista de auditoría a prueba de manipulaciones, el tipo de responsabilidad demostrable que exigen los reguladores cuando los marcos de adecuación se impugnan legalmente.

Qué deben hacer ahora las organizaciones europeas

El periodo entre ahora y la sentencia final del TJUE no es un periodo de gracia. Es una ventana de gestión de riesgos. Las organizaciones que utilicen este tiempo para reducir su dependencia del procesamiento de datos en EE. UU. estarán en una posición fundamentalmente más sólida que las que esperen a la anulación para actuar.

Empieza con una auditoría de privacidad de datos: un inventario completo de los flujos de datos personales de la UE hacia procesadores con sede en EE. UU., con un análisis del mecanismo legal de transferencia para cada uno. Las organizaciones que dependen de la adecuación del DPF deben evaluar ya opciones de respaldo con SCC, con TIA actualizadas que reflejen la situación fáctica tras Trump v. Slaughter. Las organizaciones que usan SCC deben revisar las TIA existentes y documentar su análisis actualizado sobre la independencia de la supervisión estadounidense.

A largo plazo, la decisión es arquitectónica. Si almacenas datos personales de la UE con un hyperscaler estadounidense, puedes aceptar la incertidumbre legal y planificar la disrupción, o puedes migrar a infraestructura de datos residente en la UE y eliminar la cuestión de la ecuación. Esa migración lleva tiempo, tiempo que es mejor invertir ahora que improvisar cuando una sentencia lo exija.

El cumplimiento GDPR siempre ha exigido una base legal para cada categoría de tratamiento de datos personales. Las transferencias transfronterizas a EE. UU. han dependido de la adecuación del DPF como base durante tres años. La respuesta prudente a lo que acaba de ocurrir es documentar el riesgo, informar a tu DPO, actualizar tu EIPD para las actividades de tratamiento afectadas y comenzar el trabajo de migración. Las organizaciones sujetas a obligaciones DORA deben además señalar el cambio de independencia de la FTC como una actualización relevante en cualquier evaluación de riesgos de terceros TIC que citara la aplicación civil estadounidense como control mitigador.

Una dimensión más: obligaciones de la Directiva NIS 2. Los operadores de entidades esenciales e importantes enfrentan requisitos rigurosos de riesgo en la cadena de suministro. Un proveedor de nube estadounidense cuya protección de datos ya no es independiente del control ejecutivo es un riesgo de cadena de suministro que las evaluaciones de riesgo NIS2 deben ahora considerar. La gestión de riesgos de la cadena de suministro para organizaciones reguladas en la UE acaba de volverse mucho más compleja.

Para saber más sobre cómo construir una arquitectura de datos que no dependa de la validez continua de los marcos de adecuación UE-EE. UU., solicita una demo personalizada hoy.

Preguntas frecuentes

En Trump v. Slaughter (29 de junio de 2026), el Tribunal Supremo de EE. UU. determinó por 6-3 que las protecciones legales contra la remoción de los comisionados de la FTC son inconstitucionales. Aplicando la «teoría del ejecutivo unitario», el Tribunal anuló el precedente de Humphrey’s Executor de 1935 y dictaminó que el presidente puede remover a los jefes de agencias independientes a voluntad. Para la legislación de privacidad de datos de la UE, esto importa porque la ley de la UE exige que la aplicación de la protección de datos la realicen autoridades independientes del control ejecutivo. La FTC era el principal organismo de cumplimiento estadounidense citado en la decisión de adecuación del DPF —259 veces— y esa independencia ya no existe. El fundamento fáctico de la determinación de adecuación ya no se sostiene. Las organizaciones deben tratar este fallo como un desencadenante para actualizar su documentación de cumplimiento normativo, en concreto las TIA y EIPD que citaban la independencia de la FTC como factor mitigador en las evaluaciones de riesgo de transferencia a EE. UU.

Sí, a día de hoy la decisión de adecuación del DPF sigue vigente formalmente. La Comisión no la ha derogado y ningún fallo del TJUE la ha anulado. NOYB ha exigido una retirada ordenada y la Comisión ha decidido no actuar de inmediato. Se espera Schrems III en cuestión de semanas y los procedimientos suelen durar entre dos y tres años. Las organizaciones certificadas bajo el DPF pueden seguir confiando técnicamente en él, pero tratarlo como un terreno seguro es un error. Revisar la postura de cumplimiento de datos y preparar planes de contingencia para un escenario de invalidación es lo correcto ahora, no después. La Red de Datos Privados de Kiteworks implementada dentro de la jurisdicción de la UE elimina por completo la dependencia del DPF: los datos personales de la UE que nunca cruzan el Atlántico no requieren decisión de adecuación ni TIA.

Casi con total seguridad sí, en algún grado. Las SCC requieren Evaluaciones de Impacto de Transferencia que evalúan si EE. UU. ofrece una protección de datos adecuada en la práctica, incluyendo mecanismos de cumplimiento independientes. Trump v. Slaughter cambia el fundamento fáctico sobre el que se basaban esas TIA. Revisa tus TIA, actualiza el análisis sobre la independencia de la supervisión estadounidense y consulta con tu DPO si las conclusiones previas siguen siendo defendibles. Las Normas Corporativas Vinculantes requieren la misma reevaluación. Salvaguardas técnicas como claves de cifrado controladas por el cliente refuerzan las conclusiones de la TIA al demostrar controles alineados con el GDPR que existen independientemente de las condiciones de cumplimiento en EE. UU. Las organizaciones también deben revisar su documentación de gobernanza de datos para confirmar que cada flujo de datos cubierto por SCC cuenta con una TIA actual y documentada: una investigación de la autoridad supervisora tras una anulación se centrará en si las organizaciones actualizaron sus evaluaciones después de Trump v. Slaughter.

Schrems I (2015) invalidó Safe Harbor porque la vigilancia de inteligencia estadounidense daba a las autoridades acceso prácticamente ilimitado a los datos personales de la UE. Schrems II (2020) invalidó Privacy Shield porque la vigilancia bajo la Sección 702 de FISA era desproporcionada y carecía de supervisión judicial independiente. Schrems III se centrará en el DPF argumentando que su mecanismo de cumplimiento basado en la FTC ya no es independiente tras Trump v. Slaughter. Los casos anteriores trataban principalmente sobre el acceso de vigilancia; Schrems III trata sobre la independencia en la aplicación. El razonamiento del TJUE en ambos casos anteriores se aplica directamente aquí. Las organizaciones deben revisar su estrategia de soberanía de datos en función de hacia dónde se dirige Schrems III, no solo cuánto tiempo llevará. Las organizaciones que ya tengan infraestructura de datos residente en la UE antes del fallo no sufrirán disrupción operativa; las que lo hayan pospuesto enfrentarán una migración de emergencia sin margen de maniobra. Una actualización de la EIPD que modele el escenario de invalidación de Schrems III como un riesgo a corto plazo —y no como un evento futuro especulativo— da a los consejos y DPO la base de evidencia para acelerar la inversión en migración.

El intercambio seguro de datos de Kiteworks puede implementarse en las instalaciones o en infraestructura de nube privada dentro de la jurisdicción de la UE, lo que significa que los datos personales de la UE nunca cruzan el Atlántico y la cuestión del marco de adecuación no se plantea. Para las organizaciones que no pueden migrar inmediatamente fuera de entornos alojados en EE. UU., Kiteworks proporciona capacidades de cumplimiento de soberanía de datos, registros de auditoría integrales y controles de acceso de confianza cero que refuerzan las conclusiones de las Evaluaciones de Impacto de Transferencia y demuestran una gobernanza de datos alineada con el GDPR. Kiteworks también respalda los requisitos de cumplimiento NIS2 y DORA que enfrentan las organizaciones reguladas en la UE junto con sus obligaciones GDPR. Para organizaciones en sectores regulados —servicios financieros bajo DORA, entidades esenciales bajo NIS2, salud bajo normas sectoriales— la combinación de implementación residente en la UE y la pista de auditoría unificada de Kiteworks en todos los canales de contenido brinda a los equipos de cumplimiento el historial de gobernanza demostrable que las autoridades supervisoras esperan ver cuando los marcos de adecuación se impugnan.

Recursos adicionales

  • Artículo del Blog La lucha por tus datos: cómo las leyes CLOUD y SHIELD enfrentan seguridad y privacidad
  • Artículo del Blog Protege datos sensibles mapeando DSPM con tus objetivos de cumplimiento
  • Resumen Las 3 principales violaciones de FERPA y cómo evitarlas
  • Artículo del Blog Orden Ejecutiva 14117: Protegiendo los datos personales sensibles de los estadounidenses
  • Artículo del Blog ¿Necesitas cumplimiento NIS2? Empieza con ISO 27001

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks