La incertidumbre que rodea las transferencias de datos entre la Unión Europea (UE) y Estados Unidos (EE.UU.) ha puesto en alerta a empresas y expertos en privacidad. La fragilidad del actual acuerdo, el Transatlantic Data Privacy Framework (TADPF), evidencia la necesidad urgente de estrategias más sólidas para proteger la privacidad en el ecosistema digital europeo.
Esta preocupación fue uno de los ejes centrales del Cloud Summit 2025, celebrado este jueves en el Campus de San Francisco de Sales de la Universidad de Nebrija. Organizado por la Asociación Española de Proveedores de Cloud y Data Centers (APECDATA), la Asociación de Proveedores de Telecomunicaciones Empresariales (ASOTEM) y la propia universidad, el evento reunió a especialistas en ciberseguridad y protección de datos para debatir sobre los retos presentes y futuros de la nube europea.
Uno de los ponentes destacados fue Maximilian Schrems, abogado y activista reconocido por su defensa de la privacidad digital y fundador de NOYB (None of Your Business). Durante su intervención, Schrems advirtió que la estabilidad del TADPF vuelve a tambalearse, especialmente ante los recientes cambios políticos en EE.UU. y la nueva administración de Donald Trump.
El TADPF, suscrito en 2023 por la Comisión Europea y representantes empresariales, regula actualmente el flujo de datos entre ambas regiones. Sin embargo, su dependencia de órdenes ejecutivas estadounidenses —y no de una legislación estable— lo convierte en un marco jurídico débil y vulnerable a cambios rápidos, como subrayó Schrems. En este contexto, criticó que Europa haya apostado por «promesas ejecutivas que pueden desaparecer en segundos» en lugar de construir bases legales firmes.
El regreso de Trump a la presidencia ha intensificado estas preocupaciones. Según Schrems, las recientes maniobras políticas, como la destitución de miembros clave del Privacy and Civil Liberties Oversight Board (PCLOB) y la revisión de decisiones de la anterior administración en apenas 45 días, amenazan los pilares fundamentales del acuerdo. Esto ha llevado a muchas empresas europeas a una situación de “limbo legal”, donde contratos de transferencia de datos con grandes tecnológicas estadounidenses —como Microsoft, Amazon, Google y Apple— podrían quedar en ilegalidad de un momento a otro, violando el Reglamento General de Protección de Datos (RGPD).
Además del impacto en proveedores de servicios en la nube, las implicaciones también alcanzan a sectores críticos como la banca, las administraciones públicas, los hospitales o los centros educativos, altamente dependientes del flujo seguro de información.
Ante este escenario, Schrems recomendó a las empresas europeas diseñar planes de contingencia, trasladando los datos al Espacio Económico Europeo cuando sea posible y revisando sus contratos para incluir cláusulas que aseguren el cumplimiento de las normativas vigentes. Asimismo, destacó la necesidad de seguir de cerca la evolución política en EE.UU. para anticiparse a posibles cambios regulatorios.
La protección de datos en Europa: avances y desafíos
El Cloud Summit 2025 también abordó los desafíos propios de Europa en materia de ciberseguridad y privacidad. Se destacó el papel clave de la Directiva NIS2 y el Esquema Nacional de Seguridad (ENS) en España como herramientas para reforzar la protección de los datos.
Javier Candau, experto del Centro Criptológico Nacional (CCN), explicó que el ENS establece los requisitos mínimos de seguridad para los sistemas de información públicos y privados que operan en España. A su vez, subrayó que los proveedores de servicios en la nube deben cumplir con estos estándares para garantizar la protección de los usuarios.
La nueva Directiva NIS2 fue presentada como una evolución de NIS1, buscando intensificar la cooperación entre los Estados miembros de la UE y establecer sanciones más estrictas. Candau puntualizó que aquellas organizaciones que ya cumplen con el ENS estarán en buena posición para adaptarse a las nuevas exigencias de NIS2.
Otro tema relevante fue la soberanía de los datos, que, según Carlos Galán Pascual, director de la Agencia de Tecnología Legal y asesor del CCN, es clave para asegurar el control nacional sobre la información de los ciudadanos. Candau también apoyó esta visión, abogando por la creación de nubes nacionales para que los datos de la administración pública española permanezcan en el país.
La Agencia Española de Protección de Datos insta a reforzar la estrategia empresarial
Francisco Pérez Bes, adjunto a la presidencia de la Agencia Española de Protección de Datos (AEPD), cerró el evento haciendo hincapié en la necesidad de integrar la protección de datos en la estrategia corporativa de las empresas. Pérez Bes recomendó utilizar contratos robustos, garantizar el cumplimiento del RGPD e implementar medidas de seguridad avanzadas.
Asimismo, alertó sobre los nuevos desafíos que presentan tecnologías emergentes como la inteligencia artificial y la computación cuántica, que exigirán un enfoque aún más riguroso para mantener la privacidad y la confianza digital.
