La legalidad de las transferencias de datos entre UE y Estados Unidos vuelve a tambalearse

Hay que trabajar en la implementación de estrategias que garanticen la privacidad de los datos y el cumplimiento normativo. Esa es la gran necesidad que constató el evento para el sector tecnológico y legal Cloud Summit 2025, celebrado este mes de abril en Madrid.

Uno de los ponentes estrella del evento organizado por APECDATA (Asociación Española de Proveedores de Cloud y Data Centers), ASOTEM (Asociación de Proveedores de Telecomunicaciones Empresariales) y la Universidad Nebrija fue Maximilian Schrems.

El abogado y activista experto en protección de datos, fundador de NOYB, advirtió sobre el limbo legal en el que se halla Europa en estos momentos.

Después de que el Tribunal de Justicia de la Unión Europea (UE) anulase los marcos Safe Harbour y Privacy Shield, la relación entre el continente y Estados Unidos en este ámbito se apoya en el acuerdo Transatlantic Data Privacy Framework o TADPF, que depende de órdenes ejecutivas.

Esto significa que, con una simple firma, el presidente Donald Trump podría alterar el acuerdo de privacidad entre ambas partes.

“En lugar de apostar por limitaciones legales estables, Europa confió en promesas ejecutivas que pueden desaparecer en segundos”, señala Schrems. “Ahora que Trump empieza a mover ficha, muchas empresas europeas entran en un limbo legal”.

“No puedo imaginar que una orden ejecutiva de Biden, impuesta a Estados Unidos por la UE y que regula el espionaje estadounidense, sobreviva a la lógica de ‘América Primero’ de Trump”, añade.

El experto criticó durante el evento en España que las autoridades comunitarias y el lobby empresarial hubieran aceptado esta base jurídica débil para la transferencia de datos.

Con la vuelta de Trump a la Casa Blanca ya se han destituido miembros del Privacy and Civil Liberties Oversight Board (PCLOB), que es el único organismo de supervisión independiente para el acuerdo.

Schrems aconseja a las compañías preparar un plan de contingencia, incluyendo la búsqueda de alternativas de alojamiento dentro del Espacio Económico Europeo, y revisar los contratos cloud para contemplar cláusulas de protección ante posibles cambios de regulación.

También recomienda monitorizar la evolución de la actualidad en los Estados Unidos ante la posibilidad de una invalidación del acuerdo vigente.

Sobre los riesgos que se abren en esta nueva era política, destaca el hecho de que “miles de contratos que implican transferencias de datos a EE. UU. —especialmente servicios en la nube de Microsoft, Amazon, Google y Apple— podrían volverse ilegales en cuestión de días“.

Esto impactará a diversos ámbitos, incluyendo entidades financieras, hospitales, centros educativos y Administraciones públicas, entre otros sectores.

El resumen es la constatación de la situación de dependencia y la falta de soberanía que atraviesa Europa ante la escasez de opciones suficientes frente a las tecnológicas estadounidenses.

En Cloud Summit 2025 también participaron Alfonso López de la Osa, decano de la facultad de Derecho de la Universidad Nebrija; Francisco Pérez Bes, adjunto a la presidencia de la Agencia Española de Protección de Datos (AEPD), que cree que la protección de datos y la ciberseguridad deben “integrarse en el núcleo operativo de la empresa”, y Roberto Beitia, presidente de APECDATA, que opina que “la evolución tecnológica debe ir de la mano de la conciencia y la soberanía digital”.

Además, se realizó una mesa redonda sobre los “Retos de la privacidad y ciberseguridad en la nube” con portavoces del Centro Criptológico Nacional (CCN), la Agencia para la Administración Digital de la Comunidad de Madrid y la Agencia de Tecnología Legal.

El debate abordó el impacto de la directiva NIS2 y los desafíos de certificación y cumplimiento del Esquema Nacional de Seguridad (ENS).