Transferencias de datos UE-EE. UU. tras la decisión del Tribunal Supremo sobre la FTC: qué significa para sus datos de reuniones
La decisión del Tribunal Supremo sobre la FTC debilitó la base legal de las transferencias de datos UE-EE. UU. Qué significa para el Marco de Privacidad de Datos, las SCCs y sus datos de reuniones.
Nuestro consultor de GDPR lo señaló la misma mañana en que se publicó la decisión. Merece la pena entenderlo antes que reaccionar, y la versión breve es sencilla: la decisión importa para las transferencias de datos UE-EE. UU., pero todavía no se ha apagado nada.
De un vistazo
| Mecanismo | Estado tras la decisión | Qué hacer |
|---|---|---|
| Marco de Privacidad de Datos UE-EE. UU. | Legalmente válido por ahora, pero su base legal queda debilitada | Planifique una posible retirada por parte de la Comisión o una impugnación judicial durante los próximos dos o tres años |
| Cláusulas Contractuales Tipo (SCCs) | Siguen siendo un mecanismo válido, pero más difícil de justificar con honestidad | Actualice ahora su Evaluación de Impacto de la Transferencia |
| Evaluaciones de Impacto de la Transferencia (TIAs) | Ahora deben tener en cuenta un supervisor estadounidense que ya no es independiente | Repítalas, empezando por sus datos más sensibles |
| Transcripción en el dispositivo de Hedy | No afectada: el audio nunca sale de su dispositivo | Nada, funciona así por defecto |
| Inferencia de IA local de Hedy | No afectada: el análisis también se ejecuta en su dispositivo, así que no se envía nada a ningún lugar | Active el Procesamiento de IA Local (opcional, desactivado por defecto) |
| Residencia de datos en la UE de Hedy | Sin transferencia transatlántica: sus datos se almacenan en servidores de la UE y la inferencia se ejecuta en la UE | Elija la región de la UE al registrarse |
Qué decidió realmente el Tribunal Supremo
El 29 de junio de 2026, el Tribunal Supremo decidió Trump v. Slaughter por 6 votos contra 3. El Tribunal sostuvo que el Presidente podía destituir sin causa a Rebecca Slaughter, miembro de la Federal Trade Commission, y al hacerlo anuló Humphrey’s Executor, un precedente de 1935 que había permitido al Congreso proteger a los responsables de ciertas agencias frente a destituciones a voluntad.
El efecto es directo. Los comisionados de la FTC sirven ahora a voluntad del Presidente. La agencia que el Congreso diseñó para ser bipartidista e independiente, en términos constitucionales, ya no es independiente del poder ejecutivo.
Por qué una decisión de EE. UU. alcanza sus datos de la UE
A primera vista, este es un caso sobre poder presidencial, no sobre privacidad. La conexión pasa por la legislación de la UE.
Cuando la UE decide que un país no perteneciente a la UE protege los datos personales lo suficiente como para recibirlos sin garantías adicionales, emite una “decisión de adecuación”. Un requisito es que el país tenga una autoridad independiente que supervise la protección de datos. El Marco de Privacidad de Datos UE-EE. UU., adoptado en julio de 2023, es esa decisión de adecuación para Estados Unidos, y la Comisión Europea se apoyó 259 veces en la independencia de la FTC al tomar esa decisión. La misma lógica alcanza al Data Protection Review Court y a la Privacy and Civil Liberties Oversight Board, los otros organismos estadounidenses que el marco trata como controles independientes.
Quite la independencia y la base que construyó la Comisión empieza a parecer inestable. Como lo expresó noyb, el razonamiento que sostenía todo el acuerdo ya no se mantiene.
Qué significa para los mecanismos en los que confían las empresas
Conviene separar tres cosas.
El Marco de Privacidad de Datos no ha desaparecido. Sigue siendo legalmente válido hasta que la Comisión Europea lo retire o el Tribunal de Justicia de la UE lo anule. noyb, el grupo liderado por Max Schrems, ya ha pedido a la Comisión que lo retire de forma ordenada y afirma que llevará la cuestión a los tribunales. Una decisión podría tardar dos o tres años. Este es el camino que puso fin a Safe Harbor en 2015 y a Privacy Shield en 2020, así que una tercera invalidación pertenece a su planificación, no a las notas al pie.
Las Cláusulas Contractuales Tipo vienen con una condición. Las SCCs son el respaldo al que recurre la mayoría de las empresas, pero solo funcionan si también realiza una Evaluación de Impacto de la Transferencia que demuestre que el país de destino protege los datos en la práctica. Esa evaluación ahora debe tener en cuenta una autoridad supervisora que ya no es independiente.
Carsten Wittmann, consultor de GDPR y cumplimiento de IA que asesora a Hedy en su trabajo de protección de datos, resumió el problema con claridad:
Sin una FTC independiente, ya no puede llegar a la conclusión de que se cumplen todos los criterios requeridos.
El consejo en esta fase es mesurado, no alarmista. Actualice ahora sus Evaluaciones de Impacto de la Transferencia, mapee a dónde van sus datos y empiece por su procesamiento más sensible, pero no abandone un marco que sigue en vigor. El error tras Schrems II fue esperar hasta el último momento y luego improvisar.
Dónde se encuentra Hedy, con honestidad
Preferimos ser directos sobre esto antes que fingir que Hedy queda fuera del problema. La ruta de la región de EE. UU. de Hedy utiliza las mismas Cláusulas Contractuales Tipo de la UE (Módulo 2) y Evaluación de Impacto de la Transferencia que usa el resto del sector, y esa ruta se ve afectada por esta decisión como cualquier otra. El marco completo, incluido nuestro DPA, SCCs, TIA y medidas técnicas, está documentado en nuestro artículo sobre cumplimiento del GDPR y en nuestro Trust Center.
Lo que diferencia a Hedy no es un contrato más ingenioso. Es que dos partes de cómo funciona Hedy nunca dependen de una decisión de transferencia a EE. UU.
Las dos cosas que no dependen de una decisión de transferencia
Reconocimiento de voz en el dispositivo. Hedy transcribe su conversación en su propio teléfono, tableta u ordenador. El audio, la parte más sensible de cualquier reunión, se convierte en texto en hardware que usted controla y nunca se envía a un servidor para ser transcrito. Funciona igual en todas las plataformas compatibles con Hedy. Para ese paso no se produce ninguna transferencia, ni a EE. UU. ni a ningún otro lugar. Como dijo Carsten, “el procesamiento local en el dispositivo siempre es posible”. Hedy puede llevarlo más lejos en dispositivos compatibles: con el Procesamiento de IA Local activado, el análisis de IA también se ejecuta en su dispositivo, por lo que nada sobre la conversación se envía a ningún lugar.
Residencia de datos en la UE con inferencia en la UE. Cuando elige la región de la UE, sus datos de conversación se almacenan en servidores europeos, y cada parte del análisis de IA se ejecuta en infraestructura dentro de la UE. Podemos garantizarlo: para las cuentas con residencia en la UE, la inferencia nunca sale de Europa. Nuestro proveedor principal de inferencia, Nebius, es una empresa europea, domiciliada en los Países Bajos y operando en centros de datos de la UE. Para resiliencia mantenemos capacidad de respaldo con algunos otros proveedores que también ejecutan su inferencia dentro de la UE, aunque esas empresas tengan sede en EE. UU. En cualquier caso, sus conversaciones se analizan en Europa en lugar de enviarse al otro lado del Atlántico. Puede leer el panorama completo en nuestro artículo sobre residencia de datos en la UE.
Esto aborda una objeción razonable que plantea Carsten. Dónde se procesan sus datos es la primera pregunta, y para las cuentas con residencia en la UE la respuesta siempre es Europa. Quién opera ese procesamiento es la segunda. La residencia de datos en la UE operada íntegramente por una empresa estadounidense reduce el riesgo sin eliminarlo por completo, porque una matriz estadounidense aún puede quedar al alcance de la legislación de EE. UU. Tener una empresa europea como nuestro proveedor principal es la versión más sólida de la respuesta, con proveedores con sede en EE. UU. mantenidos solo como respaldo basado en la UE.
Dos advertencias honestas. Algunos servicios operativos, incluida la autenticación de cuentas, la facturación y el reporte de errores, siguen ejecutándose a través de infraestructura de EE. UU. para todos, y ninguno de ellos contiene el contenido de sus conversaciones. Los correos de resumen de sesión son la excepción: incluyen sus resúmenes y notas de sesión, y se envían a través de infraestructura de correo electrónico basada en EE. UU., así que si eso le importa, puede desactivarlos y leer sus resúmenes en la app. Y los usuarios existentes en la región de EE. UU. permanecen allí hasta que se muden; la configuración europea se aplica a la región de la UE.
Qué deberían hacer ahora las empresas de la UE
La orientación de Carsten, que coincide con el consenso entre abogados de protección de datos, es tratar la caída del marco como un escenario para el que prepararse, no como un riesgo que esperar que desaparezca.
- Inventarie sus transferencias. Enumere qué proveedores conservan datos personales en EE. UU., para qué y sobre qué base legal.
- Actualice sus Evaluaciones de Impacto de la Transferencia. Refleje el hecho de que la supervisión estadounidense ya no es independiente y documente su razonamiento.
- Empiece por los datos sensibles. Datos de salud, financieros, de empleados y de menores primero.
- Sopese alternativas basadas en la UE en cada renovación. No tiene que arrancarlo todo hoy, pero cada nuevo contrato es una oportunidad para reducir la exposición.
Para una perspectiva del lado del comprador sobre cómo evaluar específicamente herramientas de reuniones, nuestra lista de verificación del GDPR para herramientas de IA en reuniones y nuestra comparativa de herramientas de IA para reuniones conformes al GDPR explican qué buscar.
Qué sigue siendo incierto
Dos resultados podrían cambiar el panorama. La Comisión Europea podría interpretar de forma menos estricta el requisito de “autoridad independiente”, aunque eso sería una reversión incómoda de su propio estándar. O la posición de EE. UU. podría cambiar con el tiempo. Ninguna de las dos cosas parece probable pronto, y ambas tardarían años en desarrollarse. Hasta entonces, la descripción honesta es incertidumbre, no resolución, que es exactamente por lo que una arquitectura que evita la transferencia vale ahora más que un contrato que la maquilla.
La conclusión
La decisión no apagó nada, pero movió el suelo bajo las transferencias de datos UE-EE. UU., y la dirección del viaje está clara. Las protecciones duraderas son las que nunca envían sus datos al otro lado del Atlántico en primer lugar. Con Hedy, el reconocimiento de voz permanece en su dispositivo, y los usuarios de la región de la UE mantienen tanto el almacenamiento como el procesamiento de IA dentro de Europa.
Actualice a la última versión y elija la región de la UE durante el onboarding, o apóyese en el procesamiento en el dispositivo esté donde esté. La documentación completa de cumplimiento está en nuestro Trust Center en trust.hedy.ai.
Preguntas frecuentes
¿La decisión del Tribunal Supremo hace ilegales las transferencias de datos UE-EE. UU.?
No. El Marco de Privacidad de Datos UE-EE. UU. sigue siendo legalmente válido hasta que la Comisión Europea lo retire o el Tribunal de Justicia de la UE lo anule. La decisión debilita la base legal sobre la que se construyó el marco, pero nada cambia de la noche a la mañana. Las empresas que dependen de Cláusulas Contractuales Tipo deberían actualizar ahora sus Evaluaciones de Impacto de la Transferencia en lugar de esperar a que un tribunal las obligue.
¿Está muerto el Marco de Privacidad de Datos UE-EE. UU.?
Todavía no. El marco sigue en vigor. noyb, dirigido por Max Schrems, ha pedido a la Comisión Europea que lo retire de forma ordenada y planea impugnarlo ante los tribunales, lo que podría tardar dos o tres años. Es el mismo camino que puso fin a Safe Harbor en 2015 y a Privacy Shield en 2020, así que una tercera invalidación es un escenario para el que merece la pena planificar.
¿Siguen funcionando las Cláusulas Contractuales Tipo después de esta decisión?
Las SCCs siguen siendo un mecanismo de transferencia válido, pero solo se sostienen si su Evaluación de Impacto de la Transferencia demuestra que el país de destino protege los datos en la práctica. Con una FTC que ya no es independiente, esa evaluación es más difícil de completar con honestidad para las transferencias a EE. UU. Actualice sus TIAs para reflejar el cambio y priorice los datos sensibles.
¿Afecta esta decisión a mis datos de Hedy?
Las partes de Hedy que más importan evitan por completo una transferencia a EE. UU. El reconocimiento de voz se ejecuta en su propio dispositivo, por lo que su audio nunca se envía a ningún lugar para ser transcrito. Si elige la región de la UE, sus datos de conversación se almacenan en Europa y el análisis de IA se ejecuta en infraestructura dentro de la UE. La ruta de la región de EE. UU. de Hedy utiliza SCCs y una Evaluación de Impacto de la Transferencia como la mayoría de las herramientas, por lo que se ve afectada como el resto del sector.
¿Qué deberían hacer ahora las empresas de la UE?
Adopte un enfoque escalonado: inventarie a dónde van sus datos, actualice sus Evaluaciones de Impacto de la Transferencia, empiece por su procesamiento más sensible y sopese alternativas basadas en la UE en cada renovación de contrato. Trate la caída del marco como un escenario para el que planificar, no como un riesgo extremo. Las empresas que esperaron tras Schrems II acabaron improvisando contra reloj.
About the author
Julian Pscheid is the founder and CEO of Hedy AI, a real-time AI meeting coach used by tens of thousands of professionals worldwide. He writes about how AI is changing the way people prepare for, capture, and understand important conversations.