analisis-juridico

La caída de Humphrey's Executor y el futuro de las transferencias transatlánticas de datos: Trump v. Slaughter y el Marco de Privacidad UE-EE.UU.

Estudio crítico sobre la erosión de la independencia de la FTC en el Derecho constitucional estadounidense, sus efectos en la Decisión de Adecuación de la Comisión Europea y el consiguiente riesgo de una nueva anulación judicial (Schrems III).

I. INTRODUCCIÓN: LA ENCRUCIJADA DEL RÉGIMEN TRANSATLÁNTICO DE DATOS

1. Planteamiento del problema: la intersección entre el Derecho constitucional estadounidense y el Derecho europeo de protección de datos

El 29 de junio de 2026, el Tribunal Supremo de los Estados Unidos dictó sentencia en el asunto Trump v. Slaughter (nº 25-332). Por una mayoría de seis votos contra tres, el Tribunal declaró que la protección estatutaria de los comisionados de la Comisión Federal de Comercio (Federal Trade Commission, en adelante, FTC) contra el cese sin causa justificada vulnera la separación de poderes consagrada en la Constitución. Con ello, el Tribunal anuló expresamente el precedente Humphrey's Executor v. United States, 295 U.S. 602 (1935), que durante noventa y un años había servido de fundamento a la independencia de las agencias federales de carácter multimembro.

La sentencia, en apariencia, se circunscribe al ámbito del Derecho constitucional administrativo estadounidense. No aborda directamente la protección de datos, ni el Reglamento General de Protección de Datos (RGPD), ni las transferencias internacionales de información. Sin embargo, sus efectos se proyectan con inmediatez sobre uno de los pilares institucionales del régimen transatlántico de transferencia de datos personales: la FTC, que constituye el principal órgano encargado de hacer cumplir el Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework, en adelante, DPF) y de proporcionar reparación a los ciudadanos europeos. Como ha señalado acertadamente Gaia-X, la decisión del Tribunal Supremo "ha creado un nuevo nivel de incertidumbre en torno a los fundamentos institucionales del Marco de Privacidad de Datos UE-EE.UU.".

El presente informe tiene por objeto analizar, con el máximo rigor jurídico y metodológico, las implicaciones de la sentencia Trump v. Slaughter sobre la validez de la Decisión de Adecuación de la Comisión Europea 2023/1795, que en julio de 2023 declaró que Estados Unidos garantiza un nivel de protección esencialmente equivalente al exigido por el Derecho de la Unión Europea. La cuestión central que se plantea es si, tras la anulación de Humphrey's Executor, la FTC puede seguir siendo considerada, a efectos del artículo 45 del RGPD y de la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), una "autoridad de control independiente". El argumento principal que ya se está esgrimiendo, impulsado por la organización none of your business (NOYB) de Max Schrems, es que la FTC ha dejado de ser suficientemente independiente para estos fines.

2. Justificación y relevancia del estudio

La relevancia del presente estudio es múltiple. En primer lugar, el DPF constituye el mecanismo legal que permite que los datos personales fluyan libremente desde la Unión Europea hacia organizaciones estadounidenses certificadas, sin necesidad de salvaguardas adicionales como las Cláusulas Contractuales Tipo (SCC). Su eventual invalidación afectaría a miles de empresas que han confiado en este marco para sus transferencias internacionales.

En segundo lugar, el litigio no es nuevo. El TJUE ya anuló los dos precedentes del DPF: el Safe Harbour en la sentencia Schrems I (C-362/14) y el Privacy Shield en la sentencia Schrems II (C-311/18). El DPF fue diseñado precisamente para superar las objeciones planteadas en aquellas resoluciones, en particular la exigencia de que la supervisión de la protección de datos sea ejercida por autoridades independientes. La sentencia Trump v. Slaughter introduce un "hecho nuevo" de naturaleza constitucional que podría reactivar el contencioso ante el TJUE, dando lugar a lo que ya se denomina Schrems III.

En tercer lugar, la cuestión trasciende lo puramente jurídico y afecta a las relaciones diplomáticas y comerciales entre la Unión Europea y Estados Unidos, así como a la estrategia de autonomía digital europea. La Comisión Europea ya ha manifestado que evaluará si la sentencia puede afectar a la validez del DPF, mientras que NOYB ha solicitado formalmente la retirada de la Decisión de Adecuación.

3. Metodología y fuentes

El presente informe se elabora a partir del análisis de las siguientes categorías de fuentes: (i) la sentencia del Tribunal Supremo de EE.UU. y los documentos del procedimiento judicial; (ii) los análisis de despachos de reconocido prestigio internacional; (iii) las publicaciones doctrinales y de asociaciones profesionales; (iv) las declaraciones institucionales de la Comisión Europea, del Congreso de EE.UU. y de NOYB; y (v) la prensa especializada de referencia. Todas las afirmaciones se sustentan exclusivamente en fuentes documentales verificables, aplicando el principio de fidelidad documental como criterio rector.

4. Estructura del informe

El informe se articula en once secciones. Tras esta introducción, se examinan los antecedentes constitucionales y normativos del caso (Sección II), para abordar a continuación los hechos y el itinerario procesal de Trump v. Slaughter (Sección III) y el contenido de la sentencia del Tribunal Supremo (Sección IV). La Sección V analiza la estructura y fundamentos jurídicos del DPF, mientras que la Sección VI evalúa el impacto de la sentencia sobre la independencia de la FTC y la Decisión de Adecuación. La Sección VII ofrece un análisis crítico de las posiciones doctrinales y jurisprudenciales enfrentadas. Las Secciones VIII y IX examinan, respectivamente, los escenarios de futuro y las recomendaciones para las organizaciones. La Sección X aborda el régimen transatlántico en perspectiva de largo plazo, y la Sección XI recoge las conclusiones finales.

II. ANTECEDENTES CONSTITUCIONALES Y NORMATIVOS DEL CASO

1. El principio de separación de poderes en la Constitución de EE.UU.

La controversia resuelta por el Tribunal Supremo en Trump v. Slaughter encuentra su raíz última en la estructura constitucional del sistema estadounidense y, más concretamente, en la delimitación de las facultades del Presidente de los Estados Unidos en relación con los oficiales del poder ejecutivo. La Constitución de los Estados Unidos establece en su Artículo II, Sección 1, Cláusula 1, que "el Poder Ejecutivo será conferido a un Presidente de los Estados Unidos de América". Esta cláusula, conocida como la Vesting Clause (Cláusula de Investidura), no se limita a designar un departamento del gobierno, sino que constituye una concesión efectiva del poder ejecutivo. El Artículo II, Sección 3, añade el deber del Presidente de "cuidar de que las leyes sean fielmente ejecutadas" (Take Care Clause).

De estas disposiciones se deriva la doctrina del "ejecutivo unitario" (unitary executive), conforme a la cual todo el poder ejecutivo corresponde al Presidente, quien debe poder controlar y supervisar a todos los oficiales que ejercen funciones ejecutivas. Esta doctrina ha sido objeto de permanente tensión con la facultad del Congreso de crear agencias independientes y de limitar la capacidad presidencial de remover a sus titulares. La cuestión central, que ha ocupado al Tribunal Supremo en numerosas ocasiones, es si el Congreso puede constitucionalmente restringir la facultad del Presidente de remover a los oficiales del poder ejecutivo, estableciendo causas tasadas para su cese. La respuesta a esta pregunta ha variado a lo largo de la historia jurisprudencial del Tribunal, dando lugar a una evolución que culmina con la sentencia Trump v. Slaughter.

2. Myers v. United States (1926): el reconocimiento de la facultad presidencial de remoción sin causa

El primer hito fundamental en esta evolución es la sentencia Myers v. United States, 272 U.S. 52 (1926). El caso traía causa del cese de un jefe de correos (postmaster) por parte del Presidente, en contra de lo dispuesto en una ley que exigía el consentimiento del Senado para la remoción. El Tribunal Supremo, en una sentencia redactada por el Chief Justice Taft, estableció la doctrina según la cual el Presidente está facultado por la Constitución para remover a cualquier oficial ejecutivo nombrado por él con el consejo y consentimiento del Senado, y que esta facultad no está sujeta, en su ejercicio, al asentimiento del Senado, ni puede ser sometida a tal condición por una ley del Congreso. El Tribunal razonó que la facultad de remoción es inherente al poder ejecutivo y que el Congreso no puede limitarla mediante estatuto.

Sin embargo, Myers dejó abierta la cuestión de si existían excepciones a esta regla general. El propio Tribunal reconoció que podía haber casos en los que el Congreso tuviera competencia para limitar la remoción, en particular cuando se tratara de oficiales que ejercen funciones cuasilegislativas o cuasijudiciales. Esta salvedad, enunciada pero no resuelta en Myers, sería el fundamento sobre el que se construiría la excepción de las agencias independientes.

3. Humphrey's Executor v. United States (1935): la excepción de las agencias independientes

Nueve años después de Myers, el Tribunal Supremo abordó directamente la cuestión de la remoción de los comisionados de la FTC en Humphrey's Executor v. United States, 295 U.S. 602 (1935). El caso se planteó cuando el Presidente Franklin D. Roosevelt intentó remover a William E. Humphrey, comisionado de la FTC, sin invocar las causas previstas en el Federal Trade Commission Act. El Tribunal, por unanimidad, sostuvo que la protección estatutaria de los comisionados de la FTC contra el cese sin causa justificada no vulneraba la separación de poderes consagrada en la Constitución.

El razonamiento del Tribunal en Humphrey's Executor descansaba en una distinción fundamental: la FTC no ejercía "poder ejecutivo" en sentido estricto, sino funciones "cuasilegislativas" y "cuasijudiciales". El Tribunal describió a la FTC como "una agencia de los departamentos legislativo y judicial", "totalmente desconectada del departamento ejecutivo". Por ello, sostuvo que el Presidente no podía remover a sus comisionados a voluntad. En palabras del Tribunal, "no puede dudarse" de que el Congreso tiene autoridad, al crear tales órganos "cuasilegislativos o cuasijudiciales", para "prohibir su remoción excepto por causa". El Tribunal entendió que permitir al Presidente remover a los comisionados a voluntad supondría que una rama del gobierno "impusiera su control en la casa de otra, donde ésta es soberana".

La decisión Humphrey's Executor no abandonó la doctrina Myers, sino que la distinguió. Mientras que Myers se refería a oficiales puramente ejecutivos, Humphrey's Executor estableció una excepción para las agencias multimembro que ejercen funciones no ejecutivas. Esta distinción sentó las bases del Estado administrativo moderno y permitió al Congreso crear numerosas agencias independientes cuyos titulares gozaban de protección contra el cese arbitrario.

El Tribunal, no obstante, erró tanto jurídica como fácticamente al sostener que la FTC, incluso en 1935, ejercía "ninguna parte del poder ejecutivo". Como señalaría posteriormente un Tribunal posterior, resulta "difícil discutir que los poderes de la FTC en la época de Humphrey's Executor serían considerados en la actualidad como 'ejecutivos'". El poder de emitir órdenes de cese y desistimiento es, a todas luces, ejecutivo, y no "cuasilegislativo" o "cuasijudicial".

4. La erosión progresiva de Humphrey's Executor en la jurisprudencia reciente del Tribunal Supremo

En la última década y media, el Tribunal Supremo ha ido erosionando progresivamente la doctrina Humphrey's Executor, ampliando la facultad presidencial de remoción y reduciendo el ámbito de las agencias independientes.

El primer paso significativo fue Free Enterprise Fund v. Public Company Accounting Oversight Board, 561 U.S. 477 (2010). El Tribunal declaró inconstitucional el sistema de doble protección contra la remoción que afectaba a los miembros del Public Company Accounting Oversight Board (PCAOB): los miembros del PCAOB solo podían ser removidos por la Comisión de Valores y Bolsa (SEC) por causa justificada, y los comisionados de la SEC solo podían ser removidos por el Presidente por causa justificada. El Tribunal sostuvo que este doble nivel de protección vulneraba la separación de poderes, al impedir que el Presidente controlara adecuadamente a los oficiales inferiores. El Tribunal remedió el defecto invalidando las disposiciones que limitaban la facultad de la SEC de remover a los miembros del PCAOB, dejando a estos últimos removibles a voluntad por la SEC.

El segundo hito fue Seila Law LLC v. Consumer Financial Protection Bureau, 591 U.S. 197 (2020). El Tribunal declaró inconstitucional la estructura de la Oficina de Protección Financiera del Consumidor (CFPB), encabezada por un único Director removible por el Presidente solo por causa justificada. El Tribunal rechazó extender la excepción de Humphrey's Executor a una agencia encabezada por un único Director y dotada de un significativo poder ejecutivo. La estructura de la CFPB, sostuvo el Tribunal, no tenía fundamento en la historia o la tradición y era incompatible con la Constitución. El Tribunal encontró que la protección contra la remoción del Director era separable de las demás disposiciones de la Dodd-Frank Act que establecían la CFPB.

El tercer hito fue Collins v. Yellen, 594 U.S. 220 (2021). El Tribunal declaró inconstitucional la estructura de la Agencia Federal de Financiación de la Vivienda (FHFA), encabezada por un único Director removible por el Presidente solo por causa justificada. El Tribunal sostuvo que la facultad de remoción del Presidente cumple funciones importantes con independencia de si la agencia regula directamente a los ciudadanos o adopta medidas que tienen un efecto indirecto en sus vidas. La Constitución prohíbe incluso "restricciones modestas" a la facultad del Presidente de remover al jefe de una agencia con un único oficial superior. El Tribunal remitió para la determinación de la reparación, señalando que, aunque una disposición inconstitucional nunca forma realmente parte del cuerpo de la ley aplicable, es posible que una disposición inconstitucional cause un daño indemnizable.

El cuarto hito, inmediatamente anterior a Trump v. Slaughter, fue Trump v. Wilcox, decidido en mayo de 2025. En este caso, el Tribunal concedió una suspensión de emergencia que permitió al Presidente Trump remover, mientras se tramitaba el litigio, a miembros de la Junta Nacional de Relaciones Laborales (NLRB) y de la Junta de Protección del Sistema de Mérito (MSPB). La disidencia de la Justice Kagan, en la que se unieron las Justice Sotomayor y Jackson, subrayó que Humphrey's Executor seguía siendo un precedente vinculante y que la decisión del Tribunal de conceder una suspensión en la fase de emergencia suponía, en la práctica, la anulación de una doctrina consolidada sin el beneficio de una deliberación plena. La disidencia advertía que el Tribunal no debería utilizar su jurisdicción de emergencia para anular o revisar el derecho existente.

Esta secuencia de decisiones revela una tendencia clara y constante: la reducción progresiva del ámbito de las agencias independientes y la afirmación de la facultad presidencial de remoción sin causa. Trump v. Slaughter constituye el paso final y más radical de esta evolución, al anular expresamente Humphrey's Executor y extender la regla de la remoción a voluntad a las agencias multimembro que ejercen funciones ejecutivas, categoría en la que el Tribunal incluye a la FTC.

III. EL CASO TRUMP v. SLAUGHTER: HECHOS Y ITINERARIO PROCESAL

1. Contexto político: el inicio del segundo mandato del Presidente Trump (enero 2025)

El 20 de enero de 2025, Donald J. Trump tomó posesión de su segundo mandato como Presidente de los Estados Unidos. Desde los primeros momentos de su nueva Administración, el Presidente manifestó su intención de ejercer un control más directo sobre las agencias federales independientes, en línea con una doctrina del ejecutivo unitario que había venido defendiendo durante su anterior mandato y que encontró eco en la composición del Tribunal Supremo. La FTC, creada en 1914 y dotada de amplios poderes normativos, de ejecución y adjudicativos, se convirtió en uno de los primeros objetivos de esta estrategia.

La FTC es una agencia reguladora multimembro compuesta por cinco comisionados, nombrados por el Presidente con el consejo y consentimiento del Senado, que ejercen mandatos escalonados de siete años. Por disposición del Federal Trade Commission Act (15 U.S.C. § 41), los comisionados solo pueden ser removidos por el Presidente "por ineficiencia, negligencia en el deber o mala conducta en el cargo". Ningún comisionado puede ser removido por discrepancias políticas o por falta de sintonía con las prioridades de la Administración. Esta protección estatutaria, confirmada por el Tribunal Supremo en Humphrey's Executor v. United States (1935), había sido durante noventa años el pilar de la independencia de la FTC.

2. Los ceses de Rebecca Slaughter y Alvaro Bedoya (18 de marzo de 2025)

El 18 de marzo de 2025, el Presidente Trump removió a los dos comisionados demócratas de la FTC, Rebecca Kelly Slaughter y Alvaro Bedoya. Slaughter, que había sido nombrada originalmente por el propio Trump en 2018 y posteriormente renombrada por el Presidente Biden en 2023 para un segundo mandato que expiraría en 2029, y Bedoya, también nombrado por Biden, eran los únicos miembros del partido demócrata en la Comisión.

Las cartas de cese no invocaban ninguna de las causas previstas en el estatuto. En su lugar, los comisionados recibieron la comunicación de que su "servicio continuado en la FTC era inconsistente con las prioridades de la Administración" y que eran removidos "de conformidad con la autoridad del Presidente bajo el Artículo II de la Constitución". Como señala el análisis de DLA Piper, las cartas de remoción no citaban ineficiencia, negligencia o mala conducta. El fundamento invocado era exclusivamente constitucional: el Presidente afirmaba tener la facultad, derivada del Artículo II, de remover a los comisionados a voluntad, sin necesidad de causa estatutaria.

3. Demanda de Slaughter ante el Tribunal de Distrito para el Distrito de Columbia

El 27 de marzo de 2025, Slaughter y Bedoya presentaron demanda ante el Tribunal de Distrito de los Estados Unidos para el Distrito de Columbia. El escrito de demanda, registrado con el número 1:25-cv-00909, argumentaba que la remoción era ultra vires, vulneraba la Administrative Procedure Act y violaba la Constitución, al contravenir la protección estatutaria establecida en el FTC Act (15 U.S.C. § 41) y confirmada por el precedente Humphrey's Executor. Slaughter solicitaba su reintegro y una declaración de que su remoción era nula y sin efecto jurídico.

El 17 de julio de 2025, el Tribunal de Distrito dictó sentencia concediendo la summary judgment (juicio sumario) a favor de Slaughter. El Tribunal declaró que la remoción de Slaughter era "ilegal y sin efecto jurídico" y que ella "sigue siendo miembro legítimo de la FTC". El Tribunal razonó que la decisión del Tribunal Supremo en Humphrey's Executor seguía siendo un precedente vinculante que impedía al Presidente remover a los comisionados de la FTC excepto por las causas estatutarias. El Tribunal de Distrito dictó además una orden de interdicción permanente contra los tres comisionados restantes de la FTC, ordenándoles que no removieran a Slaughter de su cargo ni interfirieran en su derecho a desempeñar sus funciones legales. Bedoya, por su parte, renunció voluntariamente a su puesto y fue desestimado del procedimiento.

4. Denegación de la suspensión por el Circuito de D.C. y recurso ante el Tribunal Supremo

El Gobierno, en representación del Presidente, solicitó al Tribunal de Apelaciones del Circuito de D.C. la suspensión (stay) de la orden del Tribunal de Distrito, pendiente de apelación. Un panel dividido del Circuito de D.C. denegó la solicitud de suspensión. Ante esta denegación, el Gobierno acudió al Tribunal Supremo solicitando una suspensión de emergencia y, alternativamente, que se tratara su petición como una petición de certiorari before judgment.

5. Intervención del Tribunal Supremo: suspensión y concesión de certiorari before judgment (22 de septiembre de 2025)

El 22 de septiembre de 2025, el Tribunal Supremo, en una votación de 6-3, concedió la suspensión de la orden del Tribunal de Distrito y trató la solicitud del Gobierno como una petición de certiorari before judgment. La orden del Tribunal, dictada en el marco del expediente nº 25A264 (posteriormente 25-332), establecía lo siguiente: (i) se concedía la suspensión de la orden del Tribunal de Distrito de 17 de julio de 2025; (ii) la solicitud se trataba como una petición de certiorari before judgment y se concedía; y (iii) las partes quedaban obligadas a presentar alegatos y defender las siguientes cuestiones: si las protecciones estatutarias contra la remoción para los miembros de la FTC violan la separación de poderes y, en caso afirmativo, si Humphrey's Executor debe ser anulado; y si un tribunal federal puede impedir la remoción de una persona de un cargo público, ya sea mediante equity o mediante law.

La decisión del Tribunal Supremo de conceder la suspensión y el certiorari before judgment fue objeto de una enérgica disidencia de la Justice Kagan, a la que se unieron las Justice Sotomayor y Jackson. En su disidencia, la Justice Kagan sostuvo que el Tribunal, al conceder la suspensión en la fase de emergencia, estaba permitiendo al Presidente "despedir inmediatamente, sin causa alguna, a un miembro de la Comisión Federal de Comercio". La disidencia señalaba que esta suspensión era "la última de una serie" de decisiones mediante las cuales la misma mayoría, por el mismo mecanismo, había permitido al Presidente despedir sin causa a miembros de la Junta Nacional de Relaciones Laborales, la Junta de Protección del Sistema de Mérito y la Comisión de Seguridad de Productos de Consumo. La Justice Kagan recordó que, en Humphrey's Executor, el Tribunal había rechazado una pretensión de prerrogativa presidencial idéntica a la planteada en el caso. La concesión de la suspensión, en su opinión, suponía, en la práctica, la anulación de una doctrina consolidada sin el beneficio de una deliberación plena, y "extinguía" la independencia y el bipartidismo de las agencias. La suspensión concedida por el Tribunal debía extenderse hasta la notificación de la sentencia definitiva.

6. El caso Trump v. Cook: la excepción de la Reserva Federal

Simultáneamente al litigio Slaughter, el Tribunal Supremo conoció del asunto Trump v. Cook (nº 25A312). En agosto de 2025, el Presidente Trump había intentado remover a Lisa D. Cook, miembro de la Junta de Gobernadores del Sistema de la Reserva Federal, por presunto fraude hipotecario. A diferencia de Slaughter, en Cook el Tribunal denegó la suspensión y permitió que Cook permaneciera en su cargo. Esta decisión, dictada el mismo día que Slaughter, estableció una distinción fundamental: la Reserva Federal, en razón de sus funciones de política monetaria y su papel central en el sistema financiero, quedaba exceptuada de la regla de la remoción a voluntad. Como señala el análisis de DLA Piper, la sentencia Cook "confirmó que la Reserva Federal se erige como una excepción notable al alcance de Slaughter". Esta distinción sería relevante para delimitar el alcance de la doctrina establecida en Slaughter y para comprender que el Tribunal no estaba declarando inconstitucionales todas las protecciones contra la remoción, sino únicamente aquellas que afectaban a agencias que ejercen "poder ejecutivo" en sentido estricto.

IV. LA SENTENCIA DEL TRIBUNAL SUPREMO (29 DE JUNIO DE 2026)

1. Composición del Tribunal y votación

El 29 de junio de 2026, el Tribunal Supremo de los Estados Unidos dictó sentencia en el asunto Trump v. Slaughter (nº 25-332), poniendo fin a un contencioso que había sido tramitado por la vía de urgencia desde septiembre de 2025. La votación fue de seis votos contra tres. La opinión mayoritaria fue redactada por el Chief Justice John G. Roberts, Jr., y fue suscrita íntegramente por los Justice Samuel Alito, Neil Gorsuch, Brett Kavanaugh y Amy Coney Barrett, y parcialmente por el Justice Clarence Thomas. Los tres magistrados liberales ---Justice Sonia Sotomayor, Elena Kagan y Ketanji Brown Jackson--- formaron la disidencia.

La fractura ideológica del Tribunal se manifestó con nitidez en este pronunciamiento. Como señala el análisis de Mayer Brown, la sentencia confirma que el Presidente puede ahora remover a los comisionados de la FTC ---y a los responsables de muchas otras "agencias independientes"--- a voluntad. La decisión representa la culminación de un proceso de erosión progresiva de la doctrina Humphrey's Executor que se había venido produciendo en la jurisprudencia del Tribunal durante la última década y media.

2. La opinión mayoritaria del Chief Justice Roberts

La opinión mayoritaria, de extenso desarrollo, se fundamenta en una interpretación robusta de la Vesting Clause del Artículo II de la Constitución. El Chief Justice Roberts sostuvo que la Constitución "confiere el Poder Ejecutivo" al Presidente y le ordena "cuidar de que las leyes sean fielmente ejecutadas". Para hacer efectiva esta responsabilidad, el Presidente debe poder remover a los oficiales ejecutivos subordinados, porque solo así pueden estos "permanecer sujetos a la supervisión del Presidente, y el Presidente al pueblo". En palabras del Chief Justice, "la autoridad del Presidente para remover a los oficiales ejecutivos es un componente central del poder ejecutivo conferido por la Constitución".

El Tribunal procedió a examinar la naturaleza de las funciones ejercidas por la FTC. El Chief Justice Roberts describió a la FTC como una agencia que posee "el poder de promulgar normas sustantivas con fuerza de ley, investigar a las empresas y hacer cumplir las leyes mediante adjudicaciones internas, y presentar demandas civiles en nombre de Estados Unidos ante los tribunales federales". Sobre esta base, el Tribunal concluyó que "la FTC ejerce incuestionablemente poder ejecutivo, y por tanto debe ser controlada por el Jefe del Ejecutivo, en quien reside tal poder". El razonamiento del Tribunal rechazó expresamente la distinción establecida en Humphrey's Executor entre funciones "puramente ejecutivas" y funciones "cuasilegislativas" o "cuasijudiciales". El Tribunal sostuvo que el precedente de 1935 "no ha resistido el paso del tiempo" y que se trataba de "un resultado en busca de una fundamentación". La conclusión fue terminante: "Si queda algo más de Humphrey's, el Tribunal lo anula".

No obstante, el Tribunal se abstuvo de definir los límites precisos de su doctrina. El Chief Justice Roberts señaló que, "dado que las actividades de la FTC se sitúan plenamente en el núcleo del poder ejecutivo", el Tribunal no tenía "ocasión hoy de definir los contornos de lo que tal poder implica". El Tribunal dejó para "otro día" la cuestión de la viabilidad de las protecciones contra la remoción para los tribunales no previstos en el Artículo III, "como el Tribunal Fiscal y el Tribunal de Reclamaciones Federales", razonando que estos cargos pueden plantear "un conjunto diferente de cuestiones". El Tribunal también señaló que nada en su fallo afectaba a la Reserva Federal, objeto de la opinión separada en Trump v. Cook, también dictada ese mismo día. El Tribunal reconoció asimismo que "no todos los cargos creados por el Congreso conllevan necesariamente poder ejecutivo o incluso soberano".

3. La concurrencia del Justice Gorsuch

El Justice Neil Gorsuch presentó una opinión concurrente en la que, si bien se sumaba al fallo mayoritario, abogó por una revisión más amplia de las doctrinas que limitan la delegación de poder al Ejecutivo. Gorsuch instó a una aplicación más rigurosa de la doctrina de la no delegación (nondelegation doctrine), que impide al Congreso transferir su poder legislativo a agencias administrativas. Su concurrencia sugiere que, en su opinión, la anulación de Humphrey's Executor es solo el primer paso hacia una reconfiguración más radical del Estado administrativo. Esta posición refleja una corriente doctrinal que considera que el crecimiento de las agencias independientes ha erosionado la separación de poderes y que es necesario restaurar el control presidencial sobre todas las funciones ejecutivas.

4. La disidencia de la Justice Sotomayor (unida por Kagan y Jackson)

La Justice Sonia Sotomayor, en una disidencia en la que se unieron las Justice Kagan y Jackson, formuló una crítica frontal a la decisión mayoritaria. Sotomayor leyó su disidencia desde el estrado durante aproximadamente veinte minutos, una práctica inusual que subraya la gravedad que atribuía al fallo. Calificó la decisión como "gravemente errónea" (grievously wrong) y afirmó que "reconfigura la estructura del gobierno de una manera fundamental". En sus términos más enérgicos, sostuvo que la sentencia otorga al Presidente "un poder desconocido incluso para la Corona inglesa contra la cual los Fundadores se rebelaron, elevándolo por encima de sus ramas que antes eran coiguales".

Sotomayor argumentó que la estructura de los consejos ejecutivos que regulan la energía nuclear, los productos de consumo y la seguridad en el lugar de trabajo, entre otros ámbitos, "permite a las agencias abordar problemas complejos mientras gozan de cierta independencia de la remoción presidencial y, por tanto, del control partidista absoluto". La disidencia acusó a la mayoría de desechar un derecho consolidado y de reconfigurar drásticamente el equilibrio de poder entre el Congreso y la Presidencia. Sotomayor advirtió que el fallo "desmantela un precedente de casi un siglo que ha salvaguardado la independencia de numerosas agencias federales" y que reduce significativamente la capacidad del Congreso para crear agencias aisladas de la influencia política directa, exponiendo a los reguladores independientes a la presión de la Casa Blanca. En su opinión, la decisión transforma el "deber del Presidente de velar por la fiel ejecución de las leyes en una licencia para actuar en desafío de esas mismas leyes". Sotomayor concluyó que el fallo representa un "resultado profundamente desestabilizador" que ignora la separación de poderes consagrada en la Constitución.

5. Análisis comparado de las posiciones doctrinales

La sentencia Trump v. Slaughter pone de manifiesto una tensión constitucional de larga data entre dos concepciones del poder ejecutivo. Por un lado, la mayoría se adhiere a la doctrina del "ejecutivo unitario" (unitary executive), conforme a la cual todo el poder ejecutivo reside en el Presidente y todos los oficiales que ejercen funciones ejecutivas deben estar sujetos a su control y remoción. Esta concepción enfatiza la responsabilidad democrática y la eficiencia en la administración. Por otro lado, la disidencia defiende la legitimidad de las agencias independientes como instrumentos de experticia técnica, continuidad y protección frente a la politización partidista. Esta concepción subraya la necesidad de contrapesos al poder presidencial y de espacios de regulación que trasciendan los ciclos electorales.

El fallo también revela una evolución en la jurisprudencia del Tribunal. Durante décadas, Humphrey's Executor fue considerado un pilar del Estado administrativo, y su anulación por una mayoría de seis votos representa un cambio jurisprudencial de primera magnitud. Como señala el análisis de DLA Piper, la decisión "reconfigura y clarifica la relación entre el Presidente y las agencias independientes". La distinción trazada en Trump v. Cook respecto de la Reserva Federal sugiere, no obstante, que el Tribunal no ha declarado inconstitucionales todas las protecciones contra la remoción, sino únicamente aquellas que afectan a agencias que ejercen "poder ejecutivo" en sentido estricto. Queda por determinar qué otras agencias podrán acogerse a excepciones similares a la de la Reserva Federal, y si el Congreso podrá diseñar nuevas estructuras que resistan el escrutinio constitucional a la luz de la nueva doctrina.

V. EL MARCO DE PRIVACIDAD UE-EE.UU. (DPF): ESTRUCTURA Y FUNDAMENTOS JURÍDICOS

1. La regulación de las transferencias internacionales de datos en el RGPD

El Reglamento General de Protección de Datos (RGPD) establece en su Capítulo V un régimen jurídico completo para las transferencias de datos personales desde la Unión Europea hacia terceros países u organizaciones internacionales. El artículo 45 del RGPD constituye la piedra angular de este régimen, al conferir a la Comisión Europea la facultad de adoptar decisiones de adecuación cuando considere que un tercer país garantiza un nivel de protección de los datos personales "esencialmente equivalente" al garantizado en el interior de la Unión. Una vez adoptada una decisión de adecuación, las transferencias de datos personales al tercer país en cuestión pueden realizarse sin necesidad de autorización adicional ni de salvaguardas suplementarias, como las Cláusulas Contractuales Tipo (SCC) o las Reglas Corporativas Vinculantes (BCR).

El artículo 45.2 del RGPD establece los criterios que la Comisión debe evaluar al examinar la adecuación del nivel de protección en un tercer país. Entre estos criterios se incluyen, de manera destacada, "la existencia y la eficacia efectiva de una o varias autoridades de supervisión" en el tercer país, así como "las obligaciones, el acceso y los fines del tratamiento ulterior de los datos personales" y "las garantías que se exijan". La jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) ha precisado ulteriormente estos requisitos, exigiendo que el nivel de protección en el tercer país sea "esencialmente equivalente" al garantizado en el ordenamiento jurídico de la Unión, a la luz de la Carta de los Derechos Fundamentales de la Unión Europea.

El RGPD prevé asimismo mecanismos alternativos para las transferencias internacionales, aplicables cuando no existe una decisión de adecuación. El artículo 46 del RGPD autoriza las transferencias cuando el responsable o encargado del tratamiento haya proporcionado "garantías adecuadas", que incluyen las SCC aprobadas por la Comisión, las BCR y los códigos de conducta. Estos mecanismos, sin embargo, exigen un análisis caso por caso y la adopción de medidas suplementarias cuando el nivel de protección no sea suficiente, lo que los hace significativamente más gravosos para las organizaciones que el recurso a una decisión de adecuación.

2. La Decisión de Adecuación de la Comisión Europea 2023/1795 (julio 2023)

El 10 de julio de 2023, la Comisión Europea adoptó la Decisión de Ejecución (UE) 2023/1795, mediante la cual declaró que Estados Unidos garantiza un nivel de protección adecuado para los datos personales transferidos desde la Unión Europea a organizaciones estadounidenses certificadas en el marco del Marco de Privacidad de Datos UE-EE.UU. (DPF). La Decisión constituye el tercer intento de establecer un régimen estable de transferencias transatlánticas de datos, tras la invalidación del Safe Harbour por el TJUE en 2015 (Schrems I) y del Privacy Shield en 2020 (Schrems II).

La Decisión de Adecuación se fundamenta en un examen detallado de las reformas introducidas por Estados Unidos para responder a las objeciones planteadas por el TJUE en Schrems II. En particular, el Presidente Biden firmó el 7 de octubre de 2022 la Orden Ejecutiva 14086 sobre "Mejora de las salvaguardas para las actividades de inteligencia de señales de Estados Unidos", que estableció nuevas limitaciones a la vigilancia masiva y creó un mecanismo de reparación judicial a través del Tribunal de Revisión de Protección de Datos (Data Protection Review Court, DPRC). Estas reformas fueron complementadas por un Reglamento del Fiscal General que modificó las disposiciones relativas al establecimiento y funcionamiento del DPRC.

La Decisión de Adecuación se basa en un sistema de certificación voluntaria mediante el cual las organizaciones estadounidenses se comprometen a cumplir un conjunto de principios de privacidad, los "Principios del Marco de Privacidad de Datos UE-EE.UU.". Uno de los aspectos centrales de este sistema es que una organización certificada debe quedar sujeta a los poderes de investigación y ejecución de la FTC o del Departamento de Transporte de EE.UU.. La Decisión confiere a la FTC un papel central como autoridad de supervisión y ejecución, responsable de supervisar y hacer cumplir el cumplimiento por parte de las organizaciones estadounidenses certificadas de sus compromisos en el marco del DPF. La Comisión Europea se refirió expresamente a la independencia de la FTC en múltiples ocasiones a lo largo de la Decisión de Adecuación.

El artículo 3 de la Decisión de Adecuación obliga a la Comisión a realizar revisiones periódicas del DPF, estableciendo que la primera revisión periódica debe tener lugar después de un año desde la fecha de notificación de la Decisión a los Estados miembros. La Comisión ha indicado que, al igual que con todas las decisiones de adecuación, continúa supervisando si se garantiza un alto nivel de protección de datos y mantendrá un contacto estrecho con la Administración estadounidense.

3. Los precedentes del TJUE: Schrems I (C-362/14) y Schrems II (C-311/18)

El DPF es el tercer intento de establecer un régimen de transferencias transatlánticas de datos, y los dos intentos anteriores fueron anulados por el TJUE. La sentencia Schrems I, dictada el 6 de octubre de 2015 en el asunto C-362/14, declaró la invalidez de la Decisión 2000/520 de la Comisión sobre los principios de Safe Harbour. El Tribunal sostuvo que la Decisión no garantizaba un nivel de protección esencialmente equivalente al exigido por el Derecho de la Unión, debido a que la legislación estadounidense permitía a las autoridades públicas acceder a los datos personales a gran escala sin salvaguardas suficientes y sin ofrecer a los ciudadanos europeos un recurso judicial efectivo. El Tribunal estableció que la existencia de una decisión de adecuación no impide a las autoridades de protección de datos nacionales examinar las reclamaciones de los ciudadanos y, en su caso, suspender las transferencias de datos.

La sentencia Schrems II, dictada el 16 de julio de 2020 en el asunto C-311/18, declaró la invalidez de la Decisión de Ejecución (UE) 2016/1250 sobre el Privacy Shield. El Tribunal confirmó la validez de las Cláusulas Contractuales Tipo (SCC), pero invalidó el Privacy Shield por razones análogas a las expuestas en Schrems I: la insuficiencia de las salvaguardas frente a la vigilancia masiva y la ausencia de un mecanismo de reparación judicial efectivo para los ciudadanos europeos. El Tribunal exigió que los responsables del tratamiento que utilicen SCC evalúen, caso por caso, si el nivel de protección en el tercer país es esencialmente equivalente al de la Unión y, en caso contrario, adopten medidas suplementarias. El Tribunal subrayó que las autoridades de supervisión independientes desempeñan un papel fundamental en la protección de los derechos de los ciudadanos y que su independencia es un requisito indispensable para la adecuación.

Ambas sentencias establecieron dos principios fundamentales que resultan directamente relevantes para el análisis del impacto de Trump v. Slaughter. En primer lugar, el estándar de "equivalencia sustancial" exige que el nivel de protección en el tercer país sea, en la práctica, comparable al garantizado en el ordenamiento jurídico de la Unión, a la luz de la Carta de los Derechos Fundamentales. En segundo lugar, la independencia efectiva de las autoridades de supervisión es un requisito previo para cualquier constatación de adecuación. El TJUE ha interpretado este requisito a la luz del artículo 8, apartado 3, de la Carta, que establece que el cumplimiento de las normas de protección de datos debe estar sujeto al control de una autoridad independiente.

4. El litigio Latombe ante el Tribunal General de la UE

El DPF ya había sido objeto de un desafío judicial antes de la sentencia Trump v. Slaughter. El 3 de septiembre de 2025, el Tribunal General de la Unión Europea dictó sentencia en el asunto T-553/23, Philippe Latombe contra Comisión Europea, desestimando el recurso de anulación interpuesto contra la Decisión de Adecuación 2023/1795. El recurrente, Philippe Latombe, miembro de la Asamblea Nacional francesa y de la autoridad francesa de protección de datos (CNIL), solicitaba la anulación de la Decisión alegando que el DPF no ofrecía un nivel de protección esencialmente equivalente al garantizado en la Unión. En particular, Latombe argumentaba que el Tribunal de Revisión de Protección de Datos (DPRC) no era ni imparcial ni independiente, sino dependiente del poder ejecutivo, y que la práctica de las agencias de inteligencia estadounidenses de recoger grandes cantidades de datos personales en tránsito no estaba restringida de manera suficientemente clara y precisa.

El Tribunal General examinó el recurso estructurado en cinco motivos, de los cuales consideró principalmente cuatro: (i) violación de los artículos 7 y 8 de la Carta (derecho a la vida privada y familiar y protección de datos personales), (ii) infracción del artículo 47 de la Carta (derecho a un recurso efectivo y a un proceso equitativo) y del artículo 45.2 del RGPD, (iii) vulneración del artículo 22 de la Carta, y (iv) vulneración del artículo 52.1 de la Carta. El Tribunal desestimó todos los motivos, confirmando la validez del DPF. El Tribunal sostuvo que la Decisión de Adecuación era válida a la luz de la situación jurídica en el momento de su adopción.

Sin embargo, el Tribunal General no otorgó al DPF una aprobación incondicional frente a futuros desarrollos en el Derecho estadounidense. La sentencia confirmó la validez del marco por referencia a la posición existente en el momento de la Decisión de Adecuación, dejando abierta la relevancia de los desarrollos posteriores en el Derecho de Estados Unidos. Latombe ha anunciado su intención de interponer recurso de casación ante el TJUE contra la sentencia del Tribunal General. El TJUE aún no se ha pronunciado sobre el recurso, y los procedimientos ante el Tribunal de Justicia suelen prolongarse durante varios años.

La sentencia Latombe es relevante para el análisis del impacto de Trump v. Slaughter por dos razones. En primer lugar, confirma que el DPF, como cuestión de Derecho de la Unión, es válido a la luz de la situación jurídica existente en el momento de su adopción. En segundo lugar, al no pronunciarse sobre desarrollos posteriores, deja abierta la posibilidad de que hechos nuevos, como la sentencia Trump v. Slaughter, puedan alterar el análisis de la equivalencia sustancial. Como señala el análisis de GTG, "la sentencia confirmó la validez del marco por referencia a la posición en el momento de la Decisión de Adecuación de la Comisión, dejando abierta la relevancia de los desarrollos posteriores en el Derecho de Estados Unidos". Esta salvedad es precisamente la que NOYB y otros actores están invocando para fundamentar su solicitud de retirada de la Decisión de Adecuación y su anuncio de un nuevo litigio ante el TJUE.

VI. IMPACTO DE TRUMP v. SLAUGHTER SOBRE LA INDEPENDENCIA DE LA FTC Y LA DECISIÓN DE ADECUACIÓN

1. La naturaleza jurídica de la cuestión: ¿afecta Slaughter a la validez del DPF?

La sentencia Trump v. Slaughter no aborda directamente la protección de datos, ni el RGPD, ni las transferencias internacionales de información, ni el DPF. Se trata de una decisión de Derecho constitucional administrativo estadounidense que resuelve una cuestión de separación de poderes entre el Presidente y el Congreso. Sin embargo, sus efectos se proyectan sobre el DPF porque la Decisión de Adecuación de la Comisión Europea 2023/1795 se fundamenta, en parte material, en la independencia y efectividad de los mecanismos de supervisión y ejecución estadounidenses, para garantizar que los ciudadanos europeos disfrutan de un nivel de protección esencialmente equivalente en relación con sus datos personales. La FTC ocupa un papel central en este entramado: es la principal responsable de hacer cumplir los compromisos del DPF asumidos por las empresas estadounidenses y de proporcionar una vía de reparación a los ciudadanos europeos que consideren vulnerados sus derechos.

La cuestión que se plantea no es si la sentencia invalida per se la Decisión de Adecuación. Como ha señalado Hunton Andrews Kurth, "la decisión de adecuación sigue en vigor, ya que ningún tribunal ha invalidado el DPF, y las empresas estadounidenses certificadas en virtud del DPF siguen siendo elegibles para recibir transferencias cubiertas de datos personales". El efecto inmediato no es un cambio en la base jurídica de las transferencias, sino un incremento de la incertidumbre jurídica. La sentencia introduce, sin embargo, un "hecho nuevo" de naturaleza constitucional que puede alterar el análisis de la equivalencia sustancial a efectos del Derecho de la Unión Europea. Como señala el análisis de GTG, la sentencia del Tribunal General en el asunto Latombe confirmó la validez del DPF "por referencia a la posición en el momento de la Decisión de Adecuación de la Comisión, dejando abierta la relevancia de los desarrollos posteriores en el Derecho de Estados Unidos". Esa salvedad es precisamente la que ahora cobra plena actualidad.

2. El requisito de "autoridad de control independiente" en el Derecho de la UE

El Derecho de la Unión Europea exige, como requisito para cualquier constatación de adecuación, que el tercer país cuente con una o varias autoridades de supervisión independientes que funcionen de manera efectiva. El artículo 45 del RGPD establece que, al evaluar la adecuación del nivel de protección en un tercer país, la Comisión debe considerar, entre otros factores, "la existencia y la eficacia efectiva de una o varias autoridades de supervisión" en el tercer país. Las funciones salientes de estas autoridades incluyen la supervisión del cumplimiento de la normativa de protección de datos y la cooperación con las autoridades de supervisión de la Unión.

La jurisprudencia del TJUE ha precisado este requisito de manera exigente. En las sentencias Schrems I y Schrems II, el Tribunal estableció que la efectiva independencia de los órganos de supervisión es un requisito previo para cualquier constatación de adecuación. El Tribunal ha exigido que el nivel de protección en el tercer país sea "esencialmente equivalente" al garantizado en el ordenamiento jurídico de la Unión, a la luz de la Carta de los Derechos Fundamentales. Esta equivalencia debe ser analizada no solo desde una perspectiva formal, sino también material, atendiendo a la efectividad real de las garantías ofrecidas.

El estándar de independencia exigido por el Derecho de la Unión es particularmente riguroso. La autoridad de control debe estar libre de influencias externas, tanto políticas como económicas, y debe poder ejercer sus funciones con imparcialidad. La independencia orgánica ---esto es, la inamovilidad de sus titulares--- es un componente esencial de esta exigencia. Como ha subrayado NOYB, el Tribunal Supremo ha declarado ahora que esa independencia es inconstitucional como cuestión de Derecho estadounidense.

3. Análisis de la posición de la FTC tras la sentencia

La sentencia Trump v. Slaughter afecta directamente a la posición institucional de la FTC. El Tribunal Supremo ha declarado que la protección estatutaria de los comisionados de la FTC contra el cese sin causa justificada vulnera la separación de poderes consagrada en la Constitución. Ello significa que, a partir de ahora, el Presidente puede remover a los comisionados de la FTC a voluntad, sin necesidad de invocar las causas previstas en el FTC Act (ineficiencia, negligencia o mala conducta).

Esta pérdida de la inamovilidad de los comisionados tiene implicaciones profundas para la credibilidad de la FTC como autoridad de supervisión independiente. La Comisión Europea, en su Decisión de Adecuación de 2023, se refirió en múltiples ocasiones a la independencia de la FTC. La Decisión confiaba a la FTC un papel central como autoridad de supervisión y ejecución, responsable de supervisar y hacer cumplir el cumplimiento por parte de las organizaciones estadounidenses certificadas de sus compromisos en el marco del DPF. Esa independencia, que la Comisión consideró un pilar del sistema, ha sido ahora declarada inconstitucional como cuestión de Derecho estadounidense.

El argumento principal que ahora se esgrime es que, tras Trump v. Slaughter, la FTC ya no puede ser considerada suficientemente independiente a efectos del Derecho de la Unión Europea. Como señala el análisis de Matheson, "si los comisionados de la FTC (o los líderes de otros órganos independientes) pueden ser removidos por orden del Presidente de Estados Unidos, es discutible que tales agencias ya no sean autoridades de supervisión independientes en la forma requerida por el Derecho de la Unión". Esta argumentación no se limita a la FTC, sino que se extiende a otros órganos de supervisión mencionados en la Decisión de Adecuación, como el Tribunal de Revisión de Protección de Datos (Data Protection Review Court, DPRC) y la Junta de Supervisión de Privacidad y Libertades Civiles (Privacy and Civil Liberties Oversight Board, PCLOB). NOYB ha señalado que la independencia de estos órganos "depende de acuerdos ejecutivos o estatutarios que ahora podrían enfrentar desafíos constitucionales".

4. Posición de la Comisión Europea

La Comisión Europea ha reaccionado con prudencia pero con clara preocupación ante la sentencia. Un portavoz de la Comisión ha declarado que la institución "evaluará si la reciente sentencia del Tribunal Supremo de Estados Unidos en Trump v. Slaughter podría afectar a la validez del Marco de Privacidad de Datos UE-EE.UU.". La Comisión ha indicado que, al igual que con todas las decisiones de adecuación, continúa supervisando si se garantiza un alto nivel de protección de datos y mantendrá un contacto estrecho con la Administración estadounidense. El portavoz ha recordado asimismo que el RGPD proporciona a la Comisión los instrumentos necesarios para responder si la decisión de adecuación dejara de ofrecer una protección suficiente.

La posición de la Comisión refleja un delicado equilibrio entre diversas consideraciones. Por un lado, la Comisión debe velar por el cumplimiento del Derecho de la Unión y por la protección efectiva de los derechos fundamentales de los ciudadanos europeos. Por otro lado, la retirada de la Decisión de Adecuación tendría consecuencias económicas y diplomáticas de gran magnitud, afectando a miles de empresas que dependen del DPF para sus transferencias internacionales. La Comisión ha manifestado que analizará cuidadosamente cualquier implicación de la sentencia, pero no ha indicado que vaya a retirar la Decisión de Adecuación de manera inmediata.

Para que el DPF cayera, sería necesario que la Comisión retirara o suspendiera voluntariamente la Decisión, o que el TJUE la anulara. La primera opción, dado el enorme peso comercial y diplomático en juego, parece poco probable sin una presión política significativa o una obligación legal clara. La segunda opción, la invalidación por el TJUE, no es inminente, ya que los procedimientos ante el Tribunal de Justicia suelen prolongarse durante varios años.

5. Posición de NOYB y de Max Schrems

La organización none of your business (NOYB), fundada por Max Schrems, ha reaccionado con contundencia a la sentencia. En una carta enviada a la Comisión Europea el 30 de junio de 2026, NOYB ha solicitado formalmente la retirada de la Decisión de Adecuación y ha anunciado su intención de interponer un nuevo recurso ante el TJUE, dando lugar a lo que ya se denomina Schrems III. En su carta, NOYB sostiene que la sentencia Trump v. Slaughter "socava un elemento central del Marco de Privacidad de Datos UE-EE.UU. al declarar que la Comisión Federal de Comercio (FTC) ya no puede operar como una autoridad independiente".

NOYB argumenta que la Comisión Europea, en su Decisión de Adecuación, se refirió a la FTC "cientos de veces" y trató a la agencia como el principal órgano de ejecución de las obligaciones de privacidad. Según Schrems, si la independencia de la FTC ya no está garantizada, "el fundamento jurídico que sustenta la decisión de adecuación puede que ya no satisfaga los requisitos constitucionales de la UE". NOYB ha afirmado que, a raíz de la sentencia, la FTC "ya no puede ser considerada constitucionalmente independiente, un estatus en el que la Comisión Europea confió al adoptar el marco en 2023".

La organización ha señalado además que la sentencia afecta no solo a la FTC, sino también a otros mecanismos de supervisión vinculados al acuerdo, incluido el Tribunal de Revisión de Protección de Datos (DPRC) creado en virtud de la Orden Ejecutiva 14086 y la Junta de Supervisión de Privacidad y Libertades Civiles (PCLOB). NOYB sostiene que estos órganos también podrían verse afectados por el razonamiento del Tribunal Supremo, porque su independencia depende de acuerdos ejecutivos o estatutarios que ahora podrían enfrentar desafíos constitucionales.

La posición de NOYB se fundamenta en una interpretación estricta de los requisitos del Derecho de la Unión. La organización sostiene que el estándar de independencia exigido por el TJUE en Schrems I y Schrems II no se satisface cuando el Presidente puede remover a los titulares de la autoridad de supervisión a voluntad. En opinión de NOYB, la sentencia Trump v. Slaughter no es un mero desarrollo marginal, sino una transformación constitucional que altera radicalmente el fundamento institucional sobre el que la Comisión construyó su Decisión de Adecuación.

El anuncio de NOYB de un nuevo litigio ante el TJUE añade una capa adicional de incertidumbre al ya complejo panorama del DPF. Si bien el Tribunal General desestimó en septiembre de 2025 el recurso de anulación interpuesto por Philippe Latombe contra la Decisión de Adecuación, el recurso de casación de Latombe está pendiente ante el TJUE. Trump v. Slaughter proporciona a ese recurso "munición fresca", y NOYB ha indicado que presentará su propia impugnación, lo que podría dar lugar a procedimientos paralelos o a la acumulación de los mismos.

El escenario que se dibuja es, por tanto, el de una batalla jurídica que se librará en dos frentes: ante el TJUE, donde se dirimirá la validez de la Decisión de Adecuación a la luz de la nueva realidad constitucional estadounidense; y en el ámbito político, donde la Comisión Europea deberá decidir si mantiene, suspende o retira la Decisión, sopesando los intereses comerciales, diplomáticos y de protección de derechos fundamentales en juego.

VII. ANÁLISIS CRÍTICO DE LAS POSICIONES DOCTRINALES Y JURISPRUDENCIALES

1. ¿Puede la FTC ser considerada una "autoridad de control independiente" a efectos del RGPD?

La cuestión central que se plantea tras la sentencia Trump v. Slaughter es si la FTC puede seguir siendo calificada como una "autoridad de control independiente" a los efectos del artículo 45 del RGPD y de la jurisprudencia del TJUE. Sobre esta cuestión se han articulado dos posiciones doctrinales claramente enfrentadas, cuyos argumentos conviene examinar con detenimiento.

a) Argumentos a favor de la subsistencia de la equivalencia

Quienes defienden que la FTC sigue siendo una autoridad suficientemente independiente pese a la sentencia Trump v. Slaughter esgrimen varios argumentos. En primer lugar, sostienen que la independencia exigida por el Derecho de la Unión no requiere una inamovilidad absoluta de los titulares de la autoridad de control, sino una independencia funcional en el ejercicio de sus competencias. El TJUE, en su jurisprudencia, ha distinguido entre la independencia orgánica ---esto es, la relativa al estatuto de los miembros de la autoridad--- y la independencia funcional ---la relativa al ejercicio de sus funciones---. Desde esta perspectiva, lo decisivo no sería tanto si el Presidente puede remover a los comisionados, sino si la FTC, en la práctica, sigue ejerciendo sus funciones de supervisión y ejecución con imparcialidad y sin interferencias políticas. La Comisión Europea, al evaluar la adecuación, podría considerar que, aunque los comisionados son removibles a voluntad, la estructura institucional de la FTC y su cultura organizativa garantizan una independencia funcional suficiente.

En segundo lugar, se argumenta que la sentencia Trump v. Slaughter no ha invalidado el FTC Act ni ha suprimido las competencias de la agencia. La FTC sigue siendo la misma institución, con los mismos poderes normativos, de investigación y de ejecución que tenía antes de la sentencia. Lo único que ha cambiado es la protección estatutaria de sus comisionados contra el cese sin causa. Este cambio, por importante que sea, no afecta por sí mismo a la capacidad de la FTC para ejercer sus funciones de supervisión del DPF. Como señala el análisis de Hunton Andrews Kurth, la sentencia no aborda directamente la protección de datos ni el RGPD, y la Decisión de Adecuación sigue en vigor mientras no sea formalmente retirada o anulada por un tribunal.

En tercer lugar, se invoca el principio de seguridad jurídica y la necesidad de evitar una ruptura brusca de las transferencias transatlánticas de datos. Miles de empresas han confiado en el DPF para sus transferencias internacionales, y una invalidación precipitada tendría consecuencias económicas de gran magnitud. La Comisión Europea, consciente de estos intereses, ha manifestado que analizará cuidadosamente las implicaciones de la sentencia, pero no ha indicado que vaya a retirar la Decisión de Adecuación de manera inmediata.

b) Argumentos en contra: el déficit estructural de independencia

Quienes sostienen que la FTC ya no puede ser considerada suficientemente independiente esgrimen argumentos de mayor calado jurídico. El principal de ellos es que la independencia exigida por el Derecho de la Unión no es meramente funcional, sino también orgánica. El TJUE, en las sentencias Schrems I y Schrems II, ha establecido que la efectiva independencia de los órganos de supervisión es un requisito previo para cualquier constatación de adecuación. Esta independencia debe ser analizada no solo desde una perspectiva formal, sino también material, atendiendo a la efectividad real de las garantías ofrecidas. La inamovilidad de los titulares de la autoridad de control es un componente esencial de esta exigencia, porque garantiza que puedan ejercer sus funciones sin temor a represalias políticas.

La sentencia Trump v. Slaughter ha declarado que la inamovilidad de los comisionados de la FTC es inconstitucional como cuestión de Derecho estadounidense. Ello significa que el Presidente puede ahora remover a los comisionados a voluntad, sin necesidad de invocar causa alguna. Esta pérdida de la inamovilidad afecta directamente a la credibilidad de la FTC como autoridad de supervisión independiente. Como señala el análisis de Matheson, "si los comisionados de la FTC (o los líderes de otros órganos independientes) pueden ser removidos a la orden del Presidente de Estados Unidos, es discutible que tales agencias ya no sean autoridades de supervisión independientes en la forma requerida por el Derecho de la Unión". El argumento se extiende más allá de la FTC: la Decisión de Adecuación se refiere también a otros órganos de supervisión, como el Tribunal de Revisión de Protección de Datos (DPRC) y la Junta de Supervisión de Privacidad y Libertades Civiles (PCLOB), cuya independencia también podría verse afectada por el razonamiento del Tribunal Supremo.

Además, se argumenta que la Comisión Europea, en su Decisión de Adecuación de 2023, se refirió a la FTC "cientos de veces" y trató a la agencia como el principal órgano de ejecución de las obligaciones de privacidad. La Decisión confiaba a la FTC un papel central como autoridad de supervisión y ejecución, responsable de supervisar y hacer cumplir el cumplimiento por parte de las organizaciones estadounidenses certificadas de sus compromisos en el marco del DPF. Esa independencia, que la Comisión consideró un pilar del sistema, ha sido ahora declarada inconstitucional como cuestión de Derecho estadounidense. Como ha señalado NOYB, si la independencia de la FTC ya no está garantizada, "el fundamento jurídico que sustenta la decisión de adecuación puede que ya no satisfaga los requisitos constitucionales de la UE".

c) Valoración crítica

Desde una perspectiva estrictamente jurídica, la posición de quienes sostienen que la FTC ya no puede ser considerada suficientemente independiente resulta más sólida. El TJUE ha establecido en su jurisprudencia que la independencia de las autoridades de supervisión es un requisito esencial para cualquier constatación de adecuación. Esta independencia no es meramente formal, sino que exige garantías efectivas contra la interferencia política. La inamovilidad de los titulares de la autoridad de control es una de esas garantías esenciales. La sentencia Trump v. Slaughter ha suprimido esa garantía en el caso de la FTC, declarándola inconstitucional. Por tanto, resulta difícil sostener que la FTC siga siendo una autoridad de control independiente a efectos del Derecho de la Unión, al menos en el sentido que el TJUE ha dado a este concepto en su jurisprudencia.

No obstante, debe reconocerse que la cuestión no es pacífica. La Comisión Europea podría adoptar una interpretación más flexible del requisito de independencia, considerando que lo decisivo es la independencia funcional más que la orgánica. Sin embargo, esta interpretación chocaría con la jurisprudencia consolidada del TJUE, que ha sido particularmente exigente en este punto. Además, el TJUE ha demostrado en el pasado que no duda en anular decisiones de adecuación cuando considera que el nivel de protección no es esencialmente equivalente al garantizado en la Unión. Por ello, es previsible que, si el asunto llega al TJUE, el Tribunal se incline por una interpretación estricta del requisito de independencia y declare la invalidez de la Decisión de Adecuación.

2. El alcance de la doctrina del Schrems II en el contexto de Slaughter

La sentencia Schrems II estableció que el nivel de protección en el tercer país debe ser "esencialmente equivalente" al garantizado en el ordenamiento jurídico de la Unión, a la luz de la Carta de los Derechos Fundamentales. Este estándar exige un análisis global de las garantías ofrecidas por el tercer país, que incluye tanto las normas sustantivas de protección de datos como los mecanismos institucionales de supervisión y reparación. La cuestión que se plantea es si la pérdida de la independencia de la FTC, por sí sola, es suficiente para romper la equivalencia sustancial, o si, por el contrario, deben considerarse otras garantías que puedan compensar este déficit.

Quienes defienden la subsistencia de la equivalencia sostienen que la independencia de la FTC no es el único pilar del DPF. El sistema incluye otros mecanismos de supervisión y reparación, como el Tribunal de Revisión de Protección de Datos (DPRC) y la Junta de Supervisión de Privacidad y Libertades Civiles (PCLOB). Además, las empresas certificadas están sujetas a obligaciones sustantivas de protección de datos que van más allá de la mera supervisión de la FTC. Por tanto, aunque la FTC haya perdido su independencia, el sistema en su conjunto podría seguir ofreciendo un nivel de protección esencialmente equivalente.

Sin embargo, este argumento presenta debilidades importantes. En primer lugar, la Decisión de Adecuación se refiere a la FTC en múltiples ocasiones y la considera el principal órgano de ejecución del DPF. La FTC no es un elemento accesorio del sistema, sino su pieza central. En segundo lugar, los otros órganos de supervisión mencionados en la Decisión, como el DPRC y la PCLOB, también podrían verse afectados por el razonamiento del Tribunal Supremo, porque su independencia depende de acuerdos ejecutivos o estatutarios que ahora podrían enfrentar desafíos constitucionales. En tercer lugar, el TJUE ha demostrado en el pasado que no se conforma con garantías formales, sino que exige garantías efectivas y verificables. La pérdida de la independencia de la FTC es un hecho objetivo que afecta a la efectividad del sistema en su conjunto.

Por tanto, desde una perspectiva jurídica rigurosa, la sentencia Trump v. Slaughter introduce un elemento de desequilibrio sustancial en el sistema de garantías del DPF. Este desequilibrio es suficientemente significativo como para poner en cuestión la equivalencia sustancial del nivel de protección ofrecido por Estados Unidos. Como señala el análisis de GTG, la sentencia "ha llevado a muchos a argumentar que una de las salvaguardas institucionales clave del DPF ha sido socavada". Esta apreciación parece jurídicamente fundada.

3. La dimensión política de la controversia

La controversia en torno al impacto de Trump v. Slaughter sobre el DPF no es únicamente jurídica, sino también política. En el centro del debate se encuentran intereses contrapuestos de gran magnitud: por un lado, la protección de los derechos fundamentales de los ciudadanos europeos y la integridad del sistema normativo de la Unión; por otro, los intereses comerciales de miles de empresas que dependen del DPF para sus transferencias internacionales de datos, y las relaciones diplomáticas entre la Unión Europea y Estados Unidos.

La Comisión Europea se encuentra en una posición delicada. Si retira o suspende la Decisión de Adecuación, provocará un impacto económico significativo y tensará las relaciones con la Administración estadounidense. Si mantiene la Decisión a pesar de las dudas sobre la independencia de la FTC, se expondrá a críticas por no proteger adecuadamente los derechos fundamentales de los ciudadanos europeos y a posibles recursos judiciales ante el TJUE. La Comisión ha optado por una estrategia prudente: evaluará las implicaciones de la sentencia, pero no ha indicado que vaya a retirar la Decisión de manera inmediata.

La organización NOYB, por su parte, ha adoptado una posición maximalista: solicita la retirada inmediata de la Decisión de Adecuación y anuncia un nuevo litigio ante el TJUE. Esta posición refleja la estrategia que ya ha dado frutos en el pasado, con la anulación del Safe Harbour y del Privacy Shield. NOYB confía en que el TJUE, si se pronuncia sobre la cuestión, declarará la invalidez de la Decisión de Adecuación a la luz de la nueva realidad constitucional estadounidense.

La dimensión política de la controversia no debe subestimarse. La cuestión de las transferencias transatlánticas de datos ha sido objeto de tensiones diplomáticas durante más de una década. La Unión Europea ha insistido en la necesidad de garantizar un nivel de protección adecuado para los datos de sus ciudadanos, mientras que Estados Unidos ha defendido la legitimidad de sus sistemas de vigilancia y la suficiencia de sus mecanismos de reparación. La sentencia Trump v. Slaughter añade un nuevo elemento de fricción a esta relación ya compleja.

4. Comparación con otros supuestos de revisión de decisiones de adecuación

El escenario abierto por Trump v. Slaughter no es inédito en el Derecho de la Unión. La Comisión Europea ha revisado en el pasado decisiones de adecuación a la luz de cambios en el ordenamiento jurídico del tercer país, y el TJUE ha anulado decisiones de adecuación cuando ha considerado que el nivel de protección no era suficiente.

El caso más relevante para la comparación es el de la decisión de adecuación del Reino Unido tras el Brexit. La Comisión adoptó una decisión de adecuación para el Reino Unido en junio de 2021, tras evaluar que el país garantizaba un nivel de protección esencialmente equivalente al de la Unión. Sin embargo, la Comisión ha mantenido un seguimiento estrecho de la evolución del ordenamiento jurídico británico, especialmente en relación con el régimen de vigilancia y la independencia de la autoridad de protección de datos. Hasta la fecha, la Comisión no ha retirado la decisión de adecuación, pero ha señalado que lo haría si el Reino Unido se desviara significativamente del estándar europeo.

Otro ejemplo relevante es el de la decisión de adecuación de Argentina, que fue objeto de revisión por parte de la Comisión tras cambios en la legislación del país. La Comisión mantuvo la decisión de adecuación, pero condicionó su vigencia a la aplicación efectiva de las garantías ofrecidas.

Estos precedentes sugieren que la Comisión Europea no retira una decisión de adecuación de manera automática ante cualquier cambio en el ordenamiento jurídico del tercer país. La Comisión evalúa si el cambio afecta de manera sustancial al nivel de protección ofrecido y si existen otros factores que puedan compensar el déficit. En el caso de Trump v. Slaughter, la cuestión es si la pérdida de la independencia de la FTC es un cambio suficientemente sustancial como para justificar la retirada de la Decisión de Adecuación. La respuesta a esta pregunta dependerá en gran medida de la interpretación que la Comisión y, en última instancia, el TJUE hagan del requisito de independencia.

En cualquier caso, el precedente de Schrems II es el más relevante: el TJUE no dudó en anular el Privacy Shield cuando consideró que el nivel de protección no era suficiente, a pesar de las importantes consecuencias económicas y diplomáticas de su decisión. Este precedente sugiere que el TJUE, si se pronuncia sobre la cuestión, aplicará un estándar riguroso y no dudará en declarar la invalidez de la Decisión de Adecuación si considera que la independencia de la FTC no está suficientemente garantizada.

VIII. CONSECUENCIAS PRÁCTICAS Y ESCENARIOS DE FUTURO

1. Escenario A: Mantenimiento del DPF

El primer escenario posible es el mantenimiento del DPF en su forma actual, sin que se produzca ni la retirada voluntaria de la Decisión de Adecuación por parte de la Comisión Europea ni su anulación por el TJUE. Este escenario requiere que se cumplan determinadas condiciones.

En primer lugar, la Comisión Europea debería concluir, tras el análisis anunciado, que la sentencia Trump v. Slaughter no afecta de manera sustancial a la equivalencia del nivel de protección ofrecido por Estados Unidos. Esta conclusión implicaría una interpretación flexible del requisito de independencia, según la cual lo decisivo sería la independencia funcional de la FTC más que su independencia orgánica. La Comisión podría argumentar que, aunque los comisionados son removibles a voluntad, la estructura institucional de la FTC y su cultura organizativa garantizan una independencia funcional suficiente para los fines del artículo 45 del RGPD.

En segundo lugar, el TJUE debería desestimar los recursos de casación y las nuevas impugnaciones que se presenten contra la Decisión de Adecuación, confirmando la validez del DPF incluso a la luz de la nueva realidad constitucional estadounidense. Este resultado no es imposible, aunque parece poco probable a la vista de la jurisprudencia consolidada del Tribunal en materia de independencia de las autoridades de control.

En tercer lugar, podrían adoptarse medidas correctoras o garantías adicionales que compensen el déficit de independencia de la FTC. Estas medidas podrían incluir compromisos formales de la Administración estadounidense de no interferir en las funciones de supervisión y ejecución de la FTC relacionadas con el DPF, o el establecimiento de mecanismos de supervisión alternativos que ofrezcan garantías de independencia equivalentes.

Sin embargo, este escenario presenta debilidades importantes. La Comisión Europea ha manifestado que "evaluará si la sentencia podría afectar a la validez del DPF", lo que indica que no descarta la posibilidad de que el impacto sea significativo. Además, la posición de NOYB y la existencia de recursos pendientes ante el TJUE añaden una capa de incertidumbre que dificulta el mantenimiento del statu quo. Por último, incluso si el DPF se mantuviera formalmente, la incertidumbre jurídica generada por la sentencia podría erosionar la confianza de las empresas y de los ciudadanos en el marco, lo que a la larga podría socavar su efectividad. Como señala el análisis de Hunton Andrews Kurth, "el efecto inmediato es una mayor incertidumbre jurídica, más que un cambio inmediato en la base jurídica de las transferencias transfronterizas de datos".

2. Escenario B: Retirada voluntaria de la Decisión de Adecuación por la Comisión Europea

El segundo escenario posible es la retirada voluntaria de la Decisión de Adecuación por parte de la Comisión Europea, al amparo del artículo 45.5 del RGPD. Este precepto establece que la Comisión "supervisará de manera continuada la evolución en el tercer país" y, cuando disponga de información que justifique que el tercer país ya no garantiza un nivel de protección adecuado, "derogará, modificará o suspenderá" la Decisión de Adecuación.

La retirada voluntaria podría producirse si la Comisión concluye que la pérdida de la independencia de la FTC supone una ruptura de la equivalencia sustancial que no puede ser compensada por otras garantías. Esta decisión no sería sencilla, dado el "enorme peso comercial y diplomático en juego". Como señala el análisis de Fieldfisher, "dado el enorme peso comercial y diplomático en juego, [la retirada] es poco probable sin una presión política significativa o una obligación legal clara". Sin embargo, la presión de NOYB y de otras organizaciones de defensa de los derechos fundamentales, así como la exigencia de los Estados miembros de la Unión de proteger a sus ciudadanos, podrían llevar a la Comisión a adoptar esta decisión.

La retirada voluntaria tendría consecuencias inmediatas para las empresas certificadas en el marco del DPF. La Decisión de Adecuación dejaría de ser un mecanismo válido para las transferencias internacionales de datos, y las empresas que dependen de él deberían recurrir a mecanismos alternativos, como las SCC o las BCR. La Comisión podría establecer un período de transición para facilitar la adaptación de las empresas, como ocurrió tras la anulación del Privacy Shield en 2020.

Sin embargo, la retirada voluntaria plantea interrogantes sobre la relación diplomática entre la Unión Europea y Estados Unidos. La decisión de la Comisión podría ser interpretada como un gesto hostil por parte de la Administración estadounidense, y podría dar lugar a represalias comerciales o a una escalada de las tensiones en el ámbito digital. La Comisión debería sopesar cuidadosamente estos riesgos antes de adoptar una decisión de esta naturaleza.

3. Escenario C: Anulación judicial por el TJUE (Schrems III)

El tercer escenario, y probablemente el más probable, es la anulación de la Decisión de Adecuación por parte del TJUE, dando lugar a lo que ya se denomina Schrems III. Este escenario podría materializarse a través de dos cauces procesales.

El primer cauce es el recurso directo de anulación ante el TJUE al amparo del artículo 263 del Tratado de Funcionamiento de la Unión Europea (TFUE). NOYB ha anunciado su intención de presentar un recurso de esta naturaleza, solicitando la anulación de la Decisión de Adecuación a la luz de la sentencia Trump v. Slaughter. El recurso podría interponerse directamente ante el TJUE o, alternativamente, ante el Tribunal General, con posibilidad de recurso de casación ante el TJUE.

El segundo cauce es la cuestión prejudicial planteada por un tribunal nacional. Un particular o una empresa podría impugnar una transferencia de datos realizada al amparo del DPF ante un tribunal de un Estado miembro, y dicho tribunal podría plantear una cuestión prejudicial al TJUE sobre la validez de la Decisión de Adecuación. Este cauce, que fue el utilizado en Schrems I y Schrems II, ha demostrado ser eficaz para cuestionar la validez de las decisiones de adecuación.

En cualquiera de los dos casos, el TJUE aplicaría el estándar de "equivalencia sustancial" establecido en Schrems I y Schrems II. El Tribunal examinaría si, a la luz de la sentencia Trump v. Slaughter, el nivel de protección ofrecido por Estados Unidos sigue siendo esencialmente equivalente al garantizado en la Unión. El Tribunal tendría en cuenta la independencia de la FTC, así como otros factores relevantes, como las garantías frente a la vigilancia masiva y los mecanismos de reparación judicial.

Los plazos previsibles para este escenario son inciertos. Como señala el análisis de Fieldfisher, "los procedimientos ante el TJUE de este tipo suelen durar varios años". La tramitación de un recurso directo de anulación o de una cuestión prejudicial puede prolongarse durante dos o tres años, o incluso más. Durante este tiempo, el DPF seguiría en vigor, lo que generaría una situación de incertidumbre jurídica para las empresas.

Si el TJUE declarara la invalidez de la Decisión de Adecuación, los efectos de la sentencia podrían ser retroactivos o diferidos. En Schrems I, el TJUE declaró la invalidez de la Decisión sobre el Safe Harbour con efectos retroactivos, lo que significaba que las transferencias realizadas al amparo de la Decisión anulada eran ilegales desde el momento de su adopción. En Schrems II, el Tribunal declaró la invalidez del Privacy Shield con efectos retroactivos, pero mantuvo la validez de las SCC como mecanismo alternativo. Es previsible que, en Schrems III, el TJUE adopte un enfoque similar, declarando la invalidez de la Decisión de Adecuación pero permitiendo que las empresas recurran a mecanismos alternativos.

4. Escenario D: Reforma legislativa en EE.UU.

El cuarto escenario posible es la adopción de una reforma legislativa en Estados Unidos que restablezca la independencia de la FTC o cree un mecanismo de supervisión alternativo que cumpla con los requisitos del Derecho de la Unión. Esta reforma podría adoptar diversas formas.

Una posibilidad es la aprobación de una ley federal de privacidad que establezca un marco normativo completo para la protección de datos personales y cree una autoridad de supervisión independiente, cuyos titulares gozaran de protección contra el cese sin causa. Sin embargo, la viabilidad política de esta opción es incierta. La sentencia Trump v. Slaughter ha declarado inconstitucionales las protecciones contra el cese sin causa para los comisionados de la FTC, lo que sugiere que cualquier autoridad de supervisión que ejerza "poder ejecutivo" en sentido estricto podría ser considerada inconstitucional si sus titulares son inamovibles. Una reforma de esta naturaleza requeriría una enmienda constitucional o una reinterpretación de la doctrina del Tribunal Supremo, lo que parece poco probable en el corto plazo.

Otra posibilidad es la creación de un mecanismo de supervisión alternativo que no ejerza "poder ejecutivo" en sentido estricto, sino funciones puramente consultivas o de supervisión técnica. Este mecanismo podría estar compuesto por expertos independientes, cuyos titulares fueran inamovibles, y tendría como función supervisar el cumplimiento del DPF y proporcionar reparación a los ciudadanos europeos. Sin embargo, esta opción plantea interrogantes sobre la efectividad del mecanismo, ya que carecería de poderes de ejecución y sanción.

Una tercera posibilidad es la celebración de un acuerdo internacional entre la Unión Europea y Estados Unidos que establezca un marco de transferencia de datos basado en un tratado o instrumento vinculante, que incluyera garantías específicas de independencia para las autoridades de supervisión. Este acuerdo podría ser ratificado por el Senado estadounidense y, por tanto, tendría rango de ley federal, lo que podría superar las objeciones constitucionales planteadas en Trump v. Slaughter. Sin embargo, la negociación y ratificación de un tratado de esta naturaleza llevaría años y requeriría un amplio consenso político.

5. Escenario E: Adopción de un nuevo marco basado en garantías sectoriales o contractuales

El quinto escenario posible es la adopción de un nuevo marco basado en garantías sectoriales o contractuales, que permita las transferencias internacionales de datos sin necesidad de una decisión de adecuación. Este escenario se materializaría si el DPF es invalidado o retirado, y las empresas se ven obligadas a recurrir a mecanismos alternativos.

El mecanismo alternativo más relevante son las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea. Las SCC son cláusulas contractuales que los responsables y encargados del tratamiento pueden incorporar a sus contratos para garantizar un nivel de protección adecuado en las transferencias internacionales de datos. Las SCC fueron validadas por el TJUE en Schrems II, que declaró que, aunque el Privacy Shield era inválido, las SCC seguían siendo un mecanismo válido para las transferencias internacionales de datos. Sin embargo, el Tribunal estableció que los responsables del tratamiento deben evaluar, caso por caso, si el nivel de protección en el tercer país es esencialmente equivalente al de la Unión y, en caso contrario, adoptar medidas suplementarias.

La utilización de las SCC exige la realización de una Evaluación de Impacto de Transferencia (Transfer Impact Assessment, TIA), en la que el responsable del tratamiento debe analizar el nivel de protección en el tercer país y determinar si son necesarias medidas suplementarias para garantizar un nivel de protección esencialmente equivalente. Esta evaluación debe tener en cuenta la legislación del tercer país, incluyendo las disposiciones sobre vigilancia y acceso a los datos por parte de las autoridades públicas. La sentencia Trump v. Slaughter añade un nuevo elemento a esta evaluación: la falta de independencia de la FTC, que podría afectar a la efectividad de los mecanismos de supervisión y reparación en Estados Unidos. Por tanto, las TIAs deberán actualizarse para tener en cuenta este nuevo factor.

Otro mecanismo alternativo son las Reglas Corporativas Vinculantes (Binding Corporate Rules, BCR), que son normas internas adoptadas por grupos empresariales para garantizar un nivel de protección adecuado en las transferencias internacionales de datos dentro del grupo. Las BCR requieren un proceso de aprobación largo y complejo por parte de las autoridades de protección de datos de la Unión, lo que las hace menos accesibles para las empresas que las SCC.

Las medidas suplementarias, como el cifrado, la seudonimización y la anonimización, pueden utilizarse para reducir los riesgos asociados a las transferencias internacionales de datos. Sin embargo, estas medidas no son suficientes por sí mismas para garantizar un nivel de protección adecuado, y deben combinarse con mecanismos contractuales y organizativos adecuados.

Una propuesta que ha ganado tracción en los últimos años es la de los "anclajes de datos" (data anchors), que consisten en infraestructuras de confianza verificables y transparentes que permiten a las empresas almacenar y procesar datos en la Unión Europea, evitando así la necesidad de transferencias internacionales. Este enfoque, promovido por iniciativas como Gaia-X, ofrece una alternativa a largo plazo a los modelos basados en decisiones de adecuación.

IX. RECOMENDACIONES PARA LAS ORGANIZACIONES QUE DEPENDEN DEL DPF

1. Evaluación de riesgos y elaboración de inventario de transferencias

La primera medida que deben adoptar las organizaciones que dependen del DPF para sus transferencias internacionales de datos es la realización de una evaluación de riesgos exhaustiva y la elaboración de un inventario detallado de todas las transferencias de datos personales desde la Unión Europea hacia Estados Unidos. Esta evaluación debe identificar qué transferencias se realizan al amparo del DPF, qué categorías de datos personales se transfieren, qué flujos de datos existen dentro de la organización y qué proveedores o socios comerciales están implicados en el proceso. Como señala el análisis de Fieldfisher, "las organizaciones deben evaluar su uso del DPF y considerar si es necesario implementar salvaguardas contractuales alternativas".

El inventario debe ser lo suficientemente granular para permitir una evaluación precisa del riesgo en caso de que el DPF sea invalidado o retirado. Las organizaciones deben documentar no solo las transferencias directas desde la Unión Europea hacia Estados Unidos, sino también las transferencias indirectas que puedan producirse a través de procesadores o subprocesadores ubicados en terceros países. Esta documentación es esencial para poder implementar con rapidez mecanismos alternativos si el DPF dejara de ser una base jurídica válida para las transferencias.

2. Análisis de la exposición al DPF y dependencia de la certificación

Una vez elaborado el inventario de transferencias, las organizaciones deben analizar su grado de dependencia del DPF y evaluar su exposición al riesgo de invalidación o retirada de la Decisión de Adecuación. Este análisis debe tener en cuenta tanto el volumen de datos transferidos como la criticidad de las operaciones que dependen de las transferencias. Las organizaciones que realizan transferencias de gran volumen o que dependen críticamente del DPF para sus operaciones deben priorizar la implementación de mecanismos alternativos.

Las organizaciones certificadas en el marco del DPF deben revisar su certificación y evaluar si siguen cumpliendo con los requisitos del marco. La certificación en el DPF exige que la organización esté sujeta a los poderes de investigación y ejecución de la FTC. Si la FTC pierde su independencia, la efectividad de la supervisión y ejecución podría verse comprometida, lo que podría afectar a la validez de la certificación. Las organizaciones deben considerar si su certificación sigue siendo una base jurídica sólida para las transferencias internacionales o si deben buscar mecanismos alternativos.

3. Identificación y preparación de mecanismos alternativos

Ante la incertidumbre generada por la sentencia Trump v. Slaughter, las organizaciones deben identificar y preparar mecanismos alternativos para las transferencias internacionales de datos. Los principales mecanismos alternativos son las Cláusulas Contractuales Tipo (SCC) y las Reglas Corporativas Vinculantes (BCR).

a) Adopción de SCC actualizadas

Las SCC son cláusulas contractuales aprobadas por la Comisión Europea que los responsables y encargados del tratamiento pueden incorporar a sus contratos para garantizar un nivel de protección adecuado en las transferencias internacionales de datos. La Comisión adoptó un conjunto actualizado de SCC en junio de 2021, que incorporan las exigencias del Schrems II y ofrecen un mayor nivel de protección que las versiones anteriores. Las organizaciones que dependen del DPF deben considerar la posibilidad de adoptar las SCC actualizadas como mecanismo alternativo o complementario al DPF.

La adopción de las SCC requiere un proceso de negociación e implementación que puede llevar tiempo. Las organizaciones deben identificar los contratos que necesitan ser modificados y negociar la incorporación de las SCC con sus proveedores y socios comerciales. Este proceso debe ser iniciado con la mayor brevedad posible para garantizar que, en caso de que el DPF deje de ser una base jurídica válida, la organización disponga de mecanismos alternativos ya implementados.

b) Implementación de BCR

Las BCR son normas internas adoptadas por grupos empresariales para garantizar un nivel de protección adecuado en las transferencias internacionales de datos dentro del grupo. Las BCR requieren un proceso de aprobación por parte de las autoridades de protección de datos de la Unión, que puede prolongarse durante varios meses o incluso años. Las organizaciones que forman parte de grupos empresariales deben considerar la posibilidad de implementar BCR como mecanismo alternativo al DPF. Sin embargo, el proceso de aprobación es largo y complejo, por lo que las BCR no son una solución inmediata.

c) Medidas suplementarias

Además de los mecanismos contractuales, las organizaciones deben considerar la adopción de medidas suplementarias para reducir los riesgos asociados a las transferencias internacionales de datos. Estas medidas incluyen el cifrado de los datos personales, la seudonimización, la anonimización y la segmentación de los datos. Las medidas suplementarias deben ser evaluadas caso por caso, teniendo en cuenta la naturaleza de los datos transferidos y el nivel de riesgo asociado. Como señala el análisis de Fieldfisher, "las empresas deben considerar la aplicación de medidas suplementarias, incluyendo el cifrado, la seudonimización y otras medidas técnicas y organizativas".

4. Actualización de las Evaluaciones de Impacto de Transferencia (TIA)

El TJUE, en la sentencia Schrems II, estableció que los responsables del tratamiento que utilizan SCC deben evaluar, caso por caso, si el nivel de protección en el tercer país es esencialmente equivalente al de la Unión y, en caso contrario, adoptar medidas suplementarias. Esta evaluación, conocida como Evaluación de Impacto de Transferencia (Transfer Impact Assessment, TIA), debe ser actualizada periódicamente para tener en cuenta los cambios en el ordenamiento jurídico del tercer país.

La sentencia Trump v. Slaughter constituye un cambio significativo en el ordenamiento jurídico estadounidense que debe ser tenido en cuenta en las TIAs. Las organizaciones que utilizan SCC deben actualizar sus TIAs para evaluar el impacto de la pérdida de la independencia de la FTC en el nivel de protección ofrecido por Estados Unidos. Esta actualización debe incluir un análisis detallado de la independencia de la FTC, de los mecanismos de supervisión y reparación disponibles, y de las garantías frente a la vigilancia masiva.

La actualización de las TIAs debe ser documentada y conservada como evidencia del cumplimiento de las obligaciones derivadas del RGPD. Las autoridades de protección de datos de la Unión podrían solicitar acceso a las TIAs durante sus investigaciones, por lo que es fundamental que estén actualizadas y sean completas.

5. Estrategias de contingencia y planificación de escenarios

Ante la incertidumbre generada por la sentencia Trump v. Slaughter, las organizaciones deben desarrollar estrategias de contingencia y planes de escenarios para hacer frente a los posibles desarrollos. Estos planes deben tener en cuenta los diferentes escenarios descritos en la sección anterior: el mantenimiento del DPF, la retirada voluntaria de la Decisión de Adecuación por la Comisión Europea, la anulación judicial por el TJUE, la reforma legislativa en Estados Unidos, y la adopción de un nuevo marco basado en garantías sectoriales o contractuales.

Los planes de contingencia deben incluir las medidas que la organización adoptará en cada escenario, los plazos para su implementación y los recursos necesarios. Las organizaciones deben designar un equipo responsable de la gestión del riesgo de transferencias internacionales de datos y de la implementación de los planes de contingencia. Este equipo debe estar compuesto por representantes de las áreas jurídica, de cumplimiento normativo, de tecnologías de la información y de negocio, y debe contar con la autoridad necesaria para tomar decisiones rápidas en caso de que el DPF deje de ser una base jurídica válida.

6. Seguimiento de la evolución normativa y jurisprudencial

La situación del DPF es dinámica y está sujeta a cambios normativos y jurisprudenciales. Las organizaciones deben establecer mecanismos de seguimiento de la evolución normativa y jurisprudencial para estar al tanto de los desarrollos relevantes. Este seguimiento debe incluir la evolución de los procedimientos ante el TJUE, la posición de la Comisión Europea, la eventual adopción de reformas legislativas en Estados Unidos, y los pronunciamientos de las autoridades de protección de datos de los Estados miembros.

Las organizaciones deben suscribirse a servicios de información jurídica especializada y participar en foros y asociaciones profesionales que aborden estas cuestiones. El seguimiento continuo de la evolución normativa y jurisprudencial permitirá a las organizaciones anticipar los cambios y adaptar sus estrategias con la debida antelación.

7. Consideraciones para el espacio UK-EE.UU. y el UK Extension to the DPF

El Reino Unido, tras el Brexit, ha adoptado su propia decisión de adecuación que permite las transferencias de datos personales desde el Reino Unido hacia Estados Unidos al amparo del UK Extension to the EU-U.S. Data Privacy Framework. La sentencia Trump v. Slaughter podría tener implicaciones también para este marco, ya que se basa en los mismos mecanismos de supervisión y ejecución de la FTC. Las organizaciones que realizan transferencias de datos desde el Reino Unido hacia Estados Unidos deben considerar este aspecto y evaluar si la pérdida de la independencia de la FTC afecta también a la validez de la decisión de adecuación del Reino Unido.

La Information Commissioner's Office (ICO) del Reino Unido podría seguir el enfoque de la Comisión Europea y evaluar si la sentencia Trump v. Slaughter afecta a la validez de su decisión de adecuación. Las organizaciones que dependen del UK Extension deben monitorizar la evolución de la posición de la ICO y considerar la posibilidad de implementar mecanismos alternativos, como las SCC del Reino Unido, para cubrir sus transferencias de datos.

X. EL FUTURO DEL RÉGIMEN TRANSATLÁNTICO DE DATOS: UNA REFLEXIÓN DE LARGO PLAZO

1. La inestabilidad estructural del modelo de adecuación basado en decisiones unilaterales

La sucesión de crisis del régimen transatlántico de transferencia de datos ---el Safe Harbour, el Privacy Shield y ahora el DPF--- revela una debilidad estructural que trasciende los méritos o deméritos de cada instrumento en particular. El modelo de adecuación basado en decisiones unilaterales de la Comisión Europea, confirmables o anulables por el TJUE, ha demostrado ser intrínsecamente vulnerable a los cambios en el ordenamiento jurídico del tercer país y a las reinterpretaciones judiciales de los estándares de equivalencia sustancial. Como ha señalado Gaia-X, la decisión del Tribunal Supremo en Trump v. Slaughter "ha creado un nuevo nivel de incertidumbre en torno a los fundamentos institucionales del Marco de Privacidad de Datos UE-EE.UU.". Para Gaia-X, este desarrollo "no es principalmente una disputa política transatlántica. Es un recordatorio estructural de que la confianza en la gobernanza internacional de datos no puede depender demasiado de acuerdos institucionales cuya independencia y permanencia pueden ser alteradas por la interpretación judicial, el poder ejecutivo o el cambio político".

La experiencia de las tres décadas de litigios transatlánticos sugiere que el modelo actual, basado en una decisión de adecuación que puede ser impugnada ante el TJUE en cualquier momento, genera una inseguridad jurídica crónica que afecta tanto a las empresas como a los ciudadanos. Cada nuevo ciclo de negociación y litigio impone costes significativos a las organizaciones, que deben adaptar sus flujos de datos y sus mecanismos de cumplimiento a un panorama normativo en constante cambio. La sentencia Trump v. Slaughter no es sino el último episodio de esta inestabilidad estructural, y no es previsible que sea el último.

2. Hacia un acuerdo transatlántico integral: la necesidad de un tratado o instrumento vinculante

Ante la fragilidad del modelo de adecuación unilateral, diversos actores han planteado la necesidad de un acuerdo transatlántico integral que adopte la forma de un tratado internacional o de un instrumento vinculante de naturaleza similar. Un tratado, ratificado por ambas partes, ofrecería un nivel de estabilidad y permanencia muy superior al de una decisión de adecuación de la Comisión, que puede ser modificada o retirada por la propia Comisión o anulada por el TJUE.

La negociación de un tratado transatlántico sobre protección de datos no es una idea nueva. Ya en la época del Safe Harbour se plantearon propuestas en este sentido, que no llegaron a fructificar debido a las dificultades políticas y a la complejidad de armonizar los sistemas jurídicos de ambas orillas del Atlántico. Sin embargo, la repetición de las crisis del régimen transatlántico podría impulsar a las partes a explorar esta vía con mayor determinación. Un tratado podría establecer garantías específicas en materia de vigilancia, acceso a datos por parte de las autoridades públicas, mecanismos de reparación judicial y, por supuesto, la independencia de las autoridades de supervisión. La ventaja de un tratado es que su modificación o denuncia requeriría un procedimiento formal y el consentimiento de ambas partes, lo que reduciría la incertidumbre jurídica para las empresas y los ciudadanos.

No obstante, un tratado de esta naturaleza presenta desafíos considerables. La negociación sería larga y compleja, y requeriría un amplio consenso político en ambas partes. En Estados Unidos, un tratado necesitaría ser ratificado por el Senado con una mayoría de dos tercios, lo que en el actual clima político parece difícil de alcanzar. Además, el contenido del tratado debería ser suficientemente detallado para satisfacer las exigencias del TJUE en materia de equivalencia sustancial, pero suficientemente flexible para adaptarse a la evolución de los ordenamientos jurídicos de ambas partes. Estas dificultades hacen que, aunque la opción del tratado sea atractiva en teoría, su viabilidad práctica sea incierta en el corto y medio plazo.

3. El papel de la gobernanza digital europea: autonomía estratégica y resiliencia

Paralelamente a los esfuerzos por mantener y estabilizar el régimen transatlántico, la Unión Europea está desarrollando una estrategia de autonomía digital que busca reducir su dependencia de infraestructuras y proveedores no europeos. El 3 de junio de 2026, la Comisión Europea presentó su "paquete de soberanía tecnológica" (Tech Sovereignty Package), que incluye la Ley de Desarrollo de la Nube y la IA (Cloud and AI Development Act), una actualización de la Ley de Chips y una definición formal de "soberanía digital". Esta definición, que la Unión Europea carecía hasta ahora, tiene como objetivo "desarrollar, controlar y escalar las tecnologías críticas, infraestructuras, servicios y datos que sustentan la economía, la seguridad y la sociedad de la UE". Los eurodiputados han acogido con satisfacción el paquete, aunque han expresado su preocupación por la validez del acuerdo de transferencia de datos UE-EE.UU. y han solicitado medidas que fomenten la demanda y que las administraciones nacionales de la UE den ejemplo utilizando software europeo de ciberseguridad y de código abierto.

La estrategia de autonomía digital europea tiene implicaciones directas para el futuro del régimen transatlántico de datos. Por un lado, la reducción de la dependencia de proveedores estadounidenses podría disminuir el volumen de datos personales transferidos a Estados Unidos, lo que reduciría la presión sobre el DPF. Por otro lado, la estrategia de autonomía digital refleja una creciente desconfianza hacia el marco regulatorio estadounidense, que podría alimentar las demandas de un endurecimiento de los estándares de equivalencia sustancial. Como ha señalado el Parlamento Europeo, la cuestión de la soberanía digital "no es solo una cuestión de posición en el mercado o de rentabilidad, sino de la soberanía digital de la Unión Europea".

El concepto de soberanía digital, sin embargo, no es unívoco. Como ha señalado el Atlantic Council, existen diferentes interpretaciones de lo que significa la soberanía digital en el contexto de la UE: desde una visión centrada en el almacenamiento y procesamiento de datos en Europa, hasta una visión orientada a la protección frente a la extralimitación extraterritorial, pasando por una visión de política industrial destinada a proteger a los actores locales. La Comisión Europea se enfrenta al desafío de definir el concepto de una manera que responda a las demandas internas de una mayor independencia tecnológica sin exacerbar las tensiones transatlánticas. Esta tensión se refleja en la postura de la Comisión respecto del DPF: por un lado, la necesidad de proteger los derechos fundamentales de los ciudadanos europeos; por otro, la conveniencia de mantener unas relaciones fluidas con el principal socio comercial de la Unión.

4. El enfoque de Gaia-X: infraestructuras de confianza verificables y transparentes

En este contexto de incertidumbre, iniciativas como Gaia-X ofrecen un enfoque alternativo y complementario al modelo de adecuación tradicional. Gaia-X es un proyecto iniciado en 2019 por Francia y Alemania para crear una infraestructura de datos federada, segura e interoperable para Europa. Su objetivo es proteger los datos sensibles, apoyar el cumplimiento de la normativa europea y garantizar que la infraestructura digital europea no dependa de los proveedores de nube estadounidenses.

El documento de posición de Gaia-X sobre el impacto de Trump v. Slaughter en el DPF es particularmente revelador. Gaia-X sostiene que la lección de la sentencia "no es que deban abandonarse las transferencias internacionales de datos, ni que la cooperación con Estados Unidos sea indeseable. Europa necesita flujos de datos transfronterizos de confianza, y la cooperación transatlántica sigue siendo económica y estratégicamente importante". La lección, más bien, es que "la confianza en la infraestructura digital debe construirse sobre mecanismos verificables, transparentes, interoperables y basados en reglas que sigan siendo creíbles incluso cuando cambien las condiciones políticas o constitucionales". Esta perspectiva es especialmente importante en sectores sensibles como la salud, la administración pública, la energía, la movilidad, las finanzas y las infraestructuras críticas, donde la incertidumbre jurídica en la gobernanza de datos puede convertirse rápidamente en un riesgo operativo.

Gaia-X propone que el debate actual "no debería plantearse únicamente como una cuestión de si el Marco de Privacidad de Datos UE-EE.UU. sobrevive o cae. También debería utilizarse para reforzar la propia arquitectura de confianza de Europa para los espacios de datos y los ecosistemas basados en la nube". Los marcos de confianza, las etiquetas, los criterios de cumplimiento, las obligaciones de transparencia y los modelos de gobernanza interoperables no son sustitutos de la ley, pero son complementos esenciales que ayudan a reducir el riesgo de dependencia estructural y hacen que la confianza digital sea más resistente en la práctica. La contribución de Gaia-X consiste precisamente en promover reglas transparentes, cumplimiento auditable, interoperabilidad, portabilidad de proveedores y control de los participantes, creando condiciones en las que la confianza no dependa únicamente de la estabilidad continuada de garantías políticas externas o de acuerdos institucionales extranjeros. Como señala Gaia-X, "este no es un enfoque aislacionista. Es un enfoque práctico de la resiliencia: garantizar que las organizaciones europeas puedan comprometerse globalmente manteniendo al mismo tiempo un control significativo sobre cómo se procesan y gestionan sus datos".

5. Perspectivas de la Administración estadounidense y del Congreso

La posición de la Administración estadounidense y del Congreso será un factor determinante para el futuro del régimen transatlántico de datos. La Administración Trump, que ha impulsado la sentencia Trump v. Slaughter y ha defendido una interpretación maximalista del poder ejecutivo, no ha manifestado hasta ahora una disposición clara a negociar un nuevo marco que restablezca la independencia de la FTC o que cree mecanismos alternativos de supervisión.

En el Congreso, sin embargo, existen iniciativas legislativas que podrían ofrecer una vía de salida a la crisis. El SECURE Data Act, respaldado por los líderes del Comité de Energía y Comercio y del Comité Judicial de la Cámara de Representantes, establece un marco nacional para los derechos de privacidad del consumidor y la protección de datos personales. Una ley federal de privacidad de esta naturaleza podría crear una autoridad de supervisión independiente cuyos titulares gozaran de protección contra el cese sin causa, o podría establecer mecanismos alternativos de supervisión que cumplieran con los requisitos del Derecho de la Unión. Sin embargo, la viabilidad política de esta iniciativa es incierta, y su tramitación legislativa podría prolongarse durante años.

La Administración estadounidense ha manifestado su interés en mantener un flujo fluido de datos a través del Atlántico, consciente de que la relación económica entre la UE y EE.UU. está valorada en 9,8 billones de dólares y se sustenta en la capacidad de las empresas para transferir datos sin fricciones. Sin embargo, la prioridad de la Administración parece ser el control presidencial sobre las agencias federales, más que la estabilidad del régimen transatlántico de datos. Esta tensión entre los intereses económicos y las prioridades constitucionales de la Administración será difícil de resolver, y podría dar lugar a una prolongada incertidumbre.

6. El papel del G7, la OCDE y otros foros multilaterales

Los foros multilaterales desempeñan un papel creciente en la gobernanza global de los datos, y podrían ofrecer un espacio para la estabilización del régimen transatlántico. El G7, en particular, ha avanzado en el concepto de Data Free Flow with Trust (DFFT), que busca promover el libre flujo de datos garantizando al mismo tiempo la confianza en materia de privacidad, seguridad y derechos de propiedad intelectual. En la Declaración Ministerial sobre Digital y Tecnología del G7 de mayo de 2026, los ministros reafirmaron la importancia de mantener marcos de datos basados en la confianza y su compromiso con el DFFT, respetando la legislación aplicable en materia de privacidad, protección de datos y seguridad.

Las autoridades de protección de datos del G7, reunidas en la Mesa Redonda anual de París del 23 al 26 de junio de 2026, han adoptado un Plan de Acción para 2026 que establece tres pilares de trabajo: el DFFT, las tecnologías emergentes y la cooperación en materia de ejecución. El Grupo de Trabajo sobre DFFT examina los enfoques regulatorios existentes y las herramientas de transferencia de datos para encontrar vías que fomenten la interoperabilidad futura. Estos trabajos podrían contribuir a la creación de un marco global de confianza para las transferencias internacionales de datos, que complemente los acuerdos bilaterales como el DPF.

La OCDE también ha trabajado en el fomento de los flujos de datos transfronterizos con confianza, publicando informes que resumen cómo diferentes países y partes interesadas están persiguiendo este objetivo a través de enfoques directos e indirectos, en diferentes niveles y foros. El concepto de DFFT, acuñado en 2019, encarna el impulso político internacional para promover el uso de los datos para la prosperidad económica y social, gestionando al mismo tiempo eficazmente las preocupaciones y desafíos asociados.

Sin embargo, estos foros multilaterales tienen un carácter predominantemente consultivo y carecen de poder normativo vinculante. Sus declaraciones y planes de acción no pueden sustituir a los acuerdos bilaterales entre la UE y EE.UU., ni pueden resolver las divergencias fundamentales entre los sistemas jurídicos de ambas partes. No obstante, ofrecen un espacio para el diálogo y la construcción de confianza, y podrían allanar el camino para la negociación de un acuerdo transatlántico más estable en el futuro.

XI. CONCLUSIONES

1. Síntesis de los hallazgos principales

La sentencia Trump v. Slaughter, dictada por el Tribunal Supremo de los Estados Unidos el 29 de junio de 2026, constituye un hito jurisprudencial de primera magnitud que trasciende el ámbito del Derecho constitucional administrativo estadounidense para proyectar sus efectos sobre el régimen transatlántico de transferencia de datos personales. Al anular expresamente el precedente Humphrey's Executor v. United States (1935) y declarar inconstitucional la protección estatutaria de los comisionados de la FTC contra el cese sin causa justificada, el Tribunal ha alterado radicalmente el fundamento institucional sobre el que la Comisión Europea construyó su Decisión de Adecuación 2023/1795, que establece el Marco de Privacidad de Datos UE-EE.UU. (DPF). La FTC, que la Decisión de Adecuación consideraba la pieza central del sistema de supervisión y ejecución del DPF, ha perdido la independencia orgánica que la Comisión Europea consideró un pilar del sistema.

El análisis de los antecedentes constitucionales y normativos revela que Trump v. Slaughter no es un fallo aislado, sino la culminación de una tendencia jurisprudencial que se ha venido desarrollando a lo largo de la última década y media. Desde Free Enterprise Fund v. PCAOB (2010) hasta Trump v. Wilcox (2025), pasando por Seila Law v. CFPB (2020) y Collins v. Yellen (2021), el Tribunal Supremo ha ido erosionando progresivamente la doctrina de las agencias independientes y afirmando la facultad presidencial de remoción sin causa. Trump v. Slaughter representa el paso final y más radical de esta evolución, al extender la regla de la remoción a voluntad a una agencia multimembro que ejerce "poder ejecutivo" en sentido estricto.

El impacto de la sentencia sobre la independencia de la FTC es directo e inmediato. El Tribunal ha declarado que la inamovilidad de los comisionados es inconstitucional, lo que significa que el Presidente puede ahora removerlos a voluntad, sin necesidad de invocar las causas previstas en el FTC Act (ineficiencia, negligencia o mala conducta). Esta pérdida de la inamovilidad afecta a la credibilidad de la FTC como autoridad de supervisión independiente a efectos del artículo 45 del RGPD y de la jurisprudencia del TJUE. La Comisión Europea, en su Decisión de Adecuación, se refirió a la FTC en múltiples ocasiones y la trató como el principal órgano de ejecución del DPF. Esa independencia, que la Comisión consideró un pilar del sistema, ha sido ahora declarada inconstitucional como cuestión de Derecho estadounidense.

2. Valoración global del impacto de Trump v. Slaughter

Desde una perspectiva estrictamente jurídica, la sentencia Trump v. Slaughter introduce un déficit estructural de independencia en el sistema de supervisión del DPF que resulta difícil de conciliar con los requisitos establecidos por el TJUE en las sentencias Schrems I y Schrems II. El TJUE ha exigido que el nivel de protección en el tercer país sea "esencialmente equivalente" al garantizado en el ordenamiento jurídico de la Unión, y ha subrayado que la independencia efectiva de las autoridades de supervisión es un requisito previo para cualquier constatación de adecuación. La pérdida de la inamovilidad de los comisionados de la FTC, declarada constitucionalmente necesaria por el Tribunal Supremo, priva a la FTC de una de las garantías esenciales de independencia.

La posición de quienes sostienen que la FTC ya no puede ser considerada suficientemente independiente resulta, a juicio de este análisis, jurídicamente más sólida. La independencia exigida por el Derecho de la Unión no es meramente funcional, sino también orgánica, y la inamovilidad de los titulares de la autoridad de control es un componente esencial de esta exigencia. La sentencia Trump v. Slaughter ha suprimido esa garantía en el caso de la FTC, declarándola inconstitucional. Por tanto, resulta difícil sostener que la FTC siga siendo una autoridad de control independiente a efectos del Derecho de la Unión, al menos en el sentido que el TJUE ha dado a este concepto en su jurisprudencia.

No obstante, debe reconocerse que la cuestión no es pacífica y que existen argumentos en ambas direcciones. La Comisión Europea podría adoptar una interpretación más flexible del requisito de independencia, considerando que lo decisivo es la independencia funcional más que la orgánica. Sin embargo, esta interpretación chocaría con la jurisprudencia consolidada del TJUE, que ha sido particularmente exigente en este punto. Además, el TJUE ha demostrado en el pasado que no duda en anular decisiones de adecuación cuando considera que el nivel de protección no es esencialmente equivalente al garantizado en la Unión. Por ello, es previsible que, si el asunto llega al TJUE, el Tribunal se incline por una interpretación estricta del requisito de independencia y declare la invalidez de la Decisión de Adecuación.

3. Diagnóstico de la situación actual del DPF

La situación actual del DPF es de incertidumbre jurídica. La Decisión de Adecuación sigue en vigor y las empresas certificadas pueden seguir realizando transferencias al amparo del DPF. Sin embargo, la sentencia Trump v. Slaughter ha introducido un elemento de desequilibrio sustancial en el sistema de garantías del DPF, y este desequilibrio es suficientemente significativo como para poner en cuestión la equivalencia sustancial del nivel de protección ofrecido por Estados Unidos.

La Comisión Europea ha manifestado que evaluará las implicaciones de la sentencia, pero no ha indicado que vaya a retirar la Decisión de Adecuación de manera inmediata. La Comisión se encuentra en una posición delicada, sopesando los intereses comerciales y diplomáticos frente a la necesidad de proteger los derechos fundamentales de los ciudadanos europeos. NOYB, por su parte, ha solicitado formalmente la retirada de la Decisión de Adecuación y ha anunciado su intención de interponer un nuevo recurso ante el TJUE, dando lugar a lo que ya se denomina Schrems III.

El litigio Latombe ante el Tribunal General de la UE, que desestimó el recurso de anulación contra la Decisión de Adecuación en septiembre de 2025, ha quedado superado en parte por los hechos. La sentencia del Tribunal General confirmó la validez del DPF "por referencia a la posición en el momento de la Decisión de Adecuación de la Comisión, dejando abierta la relevancia de los desarrollos posteriores en el Derecho de Estados Unidos". La sentencia Trump v. Slaughter constituye precisamente un desarrollo posterior de esa naturaleza, y proporciona a los recurrentes un argumento nuevo y sustancial para impugnar la validez de la Decisión de Adecuación.

4. Pronóstico sobre la evolución previsible

El pronóstico sobre la evolución previsible del DPF debe tener en cuenta varios factores. En primer lugar, la Comisión Europea ha manifestado su intención de evaluar las implicaciones de la sentencia, pero no ha indicado que vaya a retirar la Decisión de Adecuación de manera inmediata. Dado el "enorme peso comercial y diplomático en juego", la retirada voluntaria parece poco probable sin una presión política significativa o una obligación legal clara.

En segundo lugar, los procedimientos ante el TJUE suelen prolongarse durante varios años. Por tanto, aunque NOYB o Latombe interpongan un recurso de anulación o una cuestión prejudicial, la resolución del TJUE podría tardar dos o tres años, o incluso más. Durante este tiempo, el DPF seguiría en vigor, lo que generaría una situación de incertidumbre jurídica para las empresas.

En tercer lugar, el Tribunal Supremo de EE.UU. podría tener la oportunidad de reconsiderar o matizar su doctrina en futuros casos, aunque este escenario parece poco probable a corto plazo, dado el carácter rotundo de la sentencia y la mayoría conservadora en el Tribunal. La concurrencia del Justice Gorsuch, que abogó por una revisión más amplia de la doctrina de la no delegación, sugiere que el Tribunal podría estar dispuesto a ir más allá de la anulación de Humphrey's Executor y a revisar otros aspectos del Estado administrativo.

En cuarto lugar, la posibilidad de una reforma legislativa en Estados Unidos, como la aprobación de una ley federal de privacidad que cree una autoridad de supervisión independiente o un mecanismo alternativo de supervisión, es incierta. La viabilidad política de una reforma de esta naturaleza es limitada, y su tramitación legislativa podría prolongarse durante años.

En quinto lugar, la estrategia de autonomía digital europea y las iniciativas como Gaia-X ofrecen una alternativa a largo plazo al modelo de adecuación tradicional, basada en infraestructuras de confianza verificables y transparentes. Sin embargo, estas iniciativas no pueden sustituir al DPF en el corto plazo, y su éxito depende de la adopción de estándares comunes y de la cooperación internacional.

El escenario más probable, a juicio de este análisis, es el de una prolongada incertidumbre jurídica, seguida de una anulación judicial del DPF por el TJUE en un plazo de dos a tres años. El TJUE, si se pronuncia sobre la cuestión, es probable que aplique un estándar riguroso del requisito de independencia y declare la invalidez de la Decisión de Adecuación, siguiendo la línea marcada por las sentencias Schrems I y Schrems II. Este escenario daría lugar a un nuevo periodo de transición en el que las empresas deberían adoptar mecanismos alternativos, como las SCC o las BCR, para garantizar la legalidad de sus transferencias internacionales de datos.

5. Reflexión final sobre el equilibrio entre soberanía digital y cooperación transatlántica

El caso Trump v. Slaughter y sus implicaciones para el DPF invitan a una reflexión más amplia sobre el equilibrio entre soberanía digital y cooperación transatlántica. La Unión Europea ha desarrollado un modelo normativo exigente en materia de protección de datos, que refleja su compromiso con los derechos fundamentales y su visión de un mercado digital basado en la confianza. Este modelo, sin embargo, choca con frecuencia con las prioridades y la estructura institucional de otros actores globales, en particular Estados Unidos.

La sentencia Trump v. Slaughter revela una divergencia fundamental entre la concepción europea y la estadounidense de la independencia regulatoria. Para la Unión Europea, la independencia de las autoridades de supervisión es un requisito innegociable, derivado de la Carta de los Derechos Fundamentales y de la jurisprudencia del TJUE. Para el Tribunal Supremo de EE.UU., la independencia de las agencias federales es, en última instancia, incompatible con la estructura constitucional del poder ejecutivo, que exige un control presidencial pleno sobre todos los oficiales que ejercen "poder ejecutivo". Esta divergencia, que no es nueva, se ha agudizado con la sentencia Trump v. Slaughter y plantea interrogantes sobre la viabilidad a largo plazo de un régimen transatlántico de transferencia de datos basado en el modelo de adecuación.

La lección de la experiencia de las tres décadas de litigios transatlánticos es que el modelo actual, basado en decisiones unilaterales de la Comisión Europea y en una cooperación institucional frágil, es intrínsecamente vulnerable a los cambios en el ordenamiento jurídico estadounidense y a las reinterpretaciones judiciales de los estándares de equivalencia sustancial. La estabilidad del régimen transatlántico requeriría, en última instancia, un acuerdo más sólido y vinculante, que adoptara la forma de un tratado internacional o de un instrumento equivalente, y que estableciera garantías específicas en materia de vigilancia, acceso a datos, mecanismos de reparación judicial e independencia de las autoridades de supervisión.

Mientras tanto, las organizaciones que dependen del DPF para sus transferencias internacionales de datos deben prepararse para un escenario de incertidumbre prolongada. La adopción de mecanismos alternativos, como las SCC y las BCR, la actualización de las Evaluaciones de Impacto de Transferencia (TIA), y el desarrollo de estrategias de contingencia son medidas prudentes que permitirán a las organizaciones adaptarse a un panorama normativo en constante cambio. La soberanía digital europea y la cooperación transatlántica no son necesariamente incompatibles, pero exigen un esfuerzo sostenido de diálogo, negociación y construcción de confianza que trascienda los ciclos políticos y judiciales.

En definitiva, Trump v. Slaughter no es solo una sentencia sobre la remoción de los comisionados de la FTC. Es un recordatorio de que la gobernanza global de los datos se encuentra en un punto de inflexión, y de que el futuro del régimen transatlántico dependerá de la capacidad de ambas partes para encontrar un equilibrio entre sus respectivas concepciones de la democracia, los derechos fundamentales y el Estado de derecho.


Fuentes citadas

I. Jurisprudencia

Tribunal Supremo de los Estados Unidos

  1. Trump v. Slaughter, No. 25-332 (U.S. June 29, 2026) (slip op.).
  2. Humphrey's Executor v. United States, 295 U.S. 602 (1935).
  3. Free Enterprise Fund v. Public Company Accounting Oversight Board, 561 U.S. 477 (2010).
  4. Seila Law LLC v. Consumer Financial Protection Bureau, 591 U.S. 197 (2020).
  5. Collins v. Yellen, 594 U.S. 220 (2021).
  6. Trump v. Wilcox, No. 24A966, 145 S. Ct. 1415 (2025).
  7. Trump v. Cook, No. 25A312 (U.S. June 29, 2026).
  8. Myers v. United States, 272 U.S. 52 (1926).

Tribunal de Justicia de la Unión Europea y Tribunal General

  1. Latombe v. Comisión, T-553/23, EU:T:2025:624 (Tribunal General de la Unión Europea, 3 de septiembre de 2025).
  2. Schrems v. Data Protection Commissioner ("Schrems I"), C-362/14, EU:C:2015:650 (TJUE, 6 de octubre de 2015).
  3. Data Protection Commissioner v. Facebook Ireland Ltd y Schrems ("Schrems II"), C-311/18, EU:C:2020:559 (TJUE, 16 de julio de 2020).

II. Normativa

  1. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), DO L 119 de 4.5.2016, p. 1.
  2. Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023, con arreglo al Reglamento (UE) 2016/679, relativa a la adecuación de la protección de los datos personales en el Marco de Privacidad de Datos UE-EE.UU., DO L 233 de 11.7.2023, p. 1.
  3. Federal Trade Commission Act, 15 U.S.C. § 41 y ss.
  4. Orden Ejecutiva 14086, de 7 de octubre de 2022, Enhancing Safeguards for United States Signals Intelligence Activities, 87 Fed. Reg. 62283.
  5. Reglamento del Fiscal General de los Estados Unidos sobre el establecimiento del Data Protection Review Court, adoptado en desarrollo de la Orden Ejecutiva 14086.
  6. Constitución de los Estados Unidos de América, artículo II.
  7. Carta de los Derechos Fundamentales de la Unión Europea, DO C 326 de 26.10.2012, p. 391.
  8. Tratado de Funcionamiento de la Unión Europea, DO C 326 de 26.10.2012, p. 47.
  9. Information Commissioner's Office (ICO) del Reino Unido, UK Extension to the EU-U.S. Data Privacy Framework (documento informativo y decisión de adecuación del Reino Unido).

III. Doctrina, análisis profesionales y organizaciones

  1. Gaia-X, Position Paper: Trust, Stability and the EU-US Data Privacy Framework After Trump v. Slaughter, 3 de julio de 2026.
  2. NOYB (none of your business), carta a la Comisión Europea solicitando la retirada de la Decisión de Adecuación del Marco de Privacidad de Datos UE-EE.UU., 30 de junio de 2026.
  3. DLA Piper, Supreme Court overrules Humphrey's Executor, upholds Federal Reserve independence: Key takeaways from Trump v. Slaughter and Trump v. Cook, 2 de julio de 2026.
  4. Mayer Brown, Supreme Court Overturns Independent Agency Removal Protections and Allows Removal of FTC Commissioner, 29 de junio de 2026.
  5. Morgan Lewis, US Supreme Court Reshapes Independent Agency Removals, Carves Out Fed, 30 de junio de 2026.
  6. Fieldfisher, Trump v. Slaughter: What the US Supreme Court's ruling means for your EU-U.S. data transfers, 2 de julio de 2026.
  7. Hunton Andrews Kurth, U.S. Supreme Court FTC Ruling Prompts Fresh Scrutiny of EU-U.S. Data Privacy Framework, 2 de julio de 2026.
  8. Matheson, EU-US data transfers under threat? The US Supreme Court's decision in Trump v Slaughter, 30 de junio de 2026.
  9. Pinsent Masons, US ruling raises fresh questions for EU-US data transfers, 2 de julio de 2026.
  10. American Bar Association (ABA), Trump v. Slaughter: A Rough Journey Ahead for the FTC, 30 de enero de 2026.
  11. Atlantic Council, Digital Sovereignty and the Transatlantic Data Relationship, 2026.
  12. OCDE, Data Free Flow with Trust (DFFT): Approaches and Frameworks, informes y publicaciones 2024-2026.

IV. Documentos institucionales

  1. Comisión Europea, declaraciones del portavoz sobre la sentencia Trump v. Slaughter y sus implicaciones para el Marco de Privacidad de Datos UE-EE.UU., 30 de junio de 2026.
  2. Senado de los Estados Unidos, Comité de Comercio, Ciencia y Transporte, Cantwell Statement on Supreme Court Ruling in Trump v. Slaughter, 29 de junio de 2026.
  3. Cámara de Representantes de los Estados Unidos, carta de los representantes Pallone y Raskin exigiendo el reintegro de los comisionados Slaughter y Bedoya, 30 de junio de 2026.
  4. Parlamento Europeo, declaraciones sobre el "Tech Sovereignty Package" y la validez del DPF tras Trump v. Slaughter, junio-julio de 2026.
  5. G7, Ministerial Declaration on Digital and Technology, mayo de 2026.
  6. G7, Data Protection Authorities Round Table, Paris, 23-26 de junio de 2026: Action Plan 2026.

V. Prensa especializada

  1. The New York Times, "Justices Expand Presidential Power Over Regulators, but Not the Fed", 29 de junio de 2026.
  2. The Atlantic, "A President With More Control, but Less Power", 5 de julio de 2026.
  3. Vox, "Trump's quest for untrammeled power just got a big boost", 30 de junio de 2026.
  4. CBS News, "Supreme Court strikes down limits on removing FTC members, overturning 90-year-old ruling", 29 de junio de 2026.
  5. Bloomberg Law, "Supreme Court-Backed FTC Firing Threatens EU-US Data Transfers", 30 de junio de 2026.
  6. The Cyber Express, "EU-US Data Privacy Framework Faces Legal Challenge", 3 de julio de 2026.
  7. NHK World-Japan, cobertura internacional de la sentencia Trump v. Slaughter, 29-30 de junio de 2026.