Desde la Asociación Profesional de Consultores en Protección de Datos, y en atención a la evolución reciente del marco jurídico aplicable a las transferencias internacionales de datos personales, consideramos oportuno fijar una posición técnica sobre el actual escenario de transferencias a Estados Unidos.

1. Situación actual: vigencia del nuevo marco de adecuación

La adopción del EU-US Data Privacy Framework permite, en la actualidad, realizar transferencias de datos personales a entidades estadounidenses adheridas al mismo sin necesidad de garantías adicionales, conforme al artículo 45 del Reglamento General de Protección de Datos.

Este marco ha supuesto una normalización operativa de las transferencias, facilitando la actividad de las organizaciones que dependen de proveedores tecnológicos establecidos en Estados Unidos.

2. Consideración jurídica: persistencia de incertidumbre estructural

Sin perjuicio de su validez actual, este marco debe analizarse con cautela.

La experiencia previa con mecanismos anteriores, anulados por el Tribunal de Justicia de la Unión Europea —en particular en la sentencia Schrems II—, pone de manifiesto que las decisiones de adecuación en este ámbito pueden verse sujetas a revisión.

El núcleo del conflicto jurídico no ha desaparecido:
la posible injerencia de autoridades públicas estadounidenses en el acceso a datos personales continúa siendo un elemento de debate en relación con el nivel de protección exigido por el derecho de la Unión.

3. Obligaciones vigentes para responsables del tratamiento

La existencia de una decisión de adecuación no exime a los responsables del tratamiento del cumplimiento de sus obligaciones en materia de protección de datos.

En particular, deben garantizar:

• La verificación de la adhesión efectiva del importador al marco de adecuación.
• La evaluación de la naturaleza y sensibilidad de los datos transferidos.
• El análisis de la necesidad y proporcionalidad del tratamiento.
• La adecuada documentación de las decisiones adoptadas, en aplicación del principio de responsabilidad proactiva.

En determinados supuestos, especialmente cuando se traten categorías especiales de datos o tratamientos de alto riesgo, resultará aconsejable realizar evaluaciones adicionales.

4. Riesgos detectados en la práctica

Desde la práctica profesional, se observa una tendencia creciente a considerar el nuevo marco como una habilitación suficiente por sí misma.

Esta interpretación puede generar una falsa sensación de seguridad.

El cumplimiento normativo en materia de transferencias internacionales requiere un análisis contextualizado, no limitado al instrumento jurídico utilizado.

5. Recomendaciones de la APCPD

A la vista del escenario actual, esta asociación considera recomendable que las organizaciones adopten un enfoque prudente y estructurado, basado en:

• La identificación y mapeo de transferencias internacionales.
• La evaluación específica de proveedores ubicados en terceros países.
• La preparación de mecanismos alternativos (como cláusulas contractuales tipo) ante posibles cambios normativos.
• La integración de este análisis en los sistemas internos de cumplimiento y gestión de riesgos.

6. Consideración final

El actual marco jurídico ha aportado estabilidad en el corto plazo.
No obstante, no puede considerarse una solución definitiva a las tensiones existentes entre los sistemas jurídicos implicados.

Por ello, desde la Asociación Profesional de Consultores en Protección de Datos recomendamos mantener una posición de vigilancia activa y evitar interpretaciones excesivamente simplificadas del régimen de transferencias internacionales.