La sentencia del Tribunal Supremo de EE. UU. de finales de junio de 2026, que consagra la facultad del presidente Trump para cesar sin causa a los comisionados de la Comisión Federal de Comercio (FTC), amenaza con dinamitar el andamiaje jurídico que sostiene las transferencias masivas de datos entre Europa y Estados Unidos. Y, lo que para este vertical es aún más grave, la propia recogida de inteligencia de señales (SIGINT) que la NSA realiza al amparo de la Sección 702 de la FISA se sostiene en buena medida sobre esos flujos de datos.
La sentencia, que declara inconstitucional una ley por la que los comisionados de la FTC solo podían ser apartados por «ineficiencia, negligencia o conducta inaceptable en el cargo», ha puesto en guardia al activista austriaco Max Schrems. El hombre gracias al cual Europa ya ha visto caer dos marcos de transferencia de datos —Safe Harbor y Privacy Shield— ha anunciado que impugnará la tercera iteración, el actual Data Privacy Framework (DPF). El argumento es quirúrgico: la Carta de Derechos Fundamentales de la UE exige que la protección de datos esté «bajo el control de una autoridad independiente». Si el Tribunal Supremo dicta que las agencias independientes son inconstitucionales, sostiene Schrems, la FTC deja de cumplir el requisito.
Entender la dimensión de la amenaza exige repasar cómo la Sección 702 sostiene buena parte de la inteligencia exterior estadounidense. Esta provisión, enmendada por última vez en 2024, permite al Fiscal General y al Director de Inteligencia Nacional obligar a los proveedores de servicios de comunicaciones a entregar información sobre objetivos situados fuera de Estados Unidos. El programa es, en palabras de la propia comunidad de inteligencia, «la joya de la corona» del SIGINT americano. Más de 3.600 empresas estadounidenses operan bajo el paraguas del actual DPF, y sin esa base legal el flujo de datos personales desde Europa se interrumpiría o quedaría en un limbo jurídico.
El círculo vicioso lo conocen bien los lectores de este vertical. En 2015, el Tribunal de Justicia de la UE tumbó el acuerdo Safe Harbor por las revelaciones de Edward Snowden sobre la vigilancia masiva de la NSA. En 2020, el mismo tribunal anuló el sucesor, Privacy Shield, al constatar que los ciudadanos europeos carecían de una vía de recurso «accionable» frente a la recogida de inteligencia bajo la Sección 702. Ante cada revés, Washington y Bruselas se han doblado para diseñar un nuevo artilugio, siempre con Max Schrems como antagonista puntual. Ahora, el activista vuelve a la carga con una munición inédita: la propia Constitución estadounidense, interpretada por su Tribunal Supremo, colisiona con los tratados europeos.
La independencia del supervisor de protección de datos no es un capricho burocrático; es el tornillo que mantiene unidos el comercio transatlántico y la inteligencia de señales.
Para calmar las aguas, la administración Biden emitió en 2022 la Orden Ejecutiva 14086, que definía objetivos de inteligencia permitidos, prohibía expresamente algunas actividades —como el espionaje comercial o la discriminación por etnia o religión— y creaba un mecanismo de revisión: el Tribunal de Revisión de Protección de Datos. Aunque su opacidad llevó a muchos a calificarlo de «kafkiano pero bienintencionado», constituía la pieza que Bruselas necesitaba para validar el DPF. Pero aquel equilibrio dependía, entre otras cosas, de la Junta de Supervisión de Privacidades y Libertades Civiles (PCLOB), un órgano que Trump descabezó en enero de 2025 al cesar a sus tres miembros demócratas, dejándolo sin quorum y, por tanto, sin capacidad de control.
La combinación de un supervisor sin quorum y una FTC cuya independencia ha sido declarada inconstitucional convierte en papel mojado las garantías que tanto costó arrancar. Si no hay autoridad de control independiente, la Comisión Europea podría verse forzada a suspender el DPF de forma automática, con consecuencias inmediatas para la inteligencia de señales que la NSA y sus socios del Five Eyes extraen del tráfico europeo.
Usted, lector habitual, recordará que el CNI y el CCN-CERT se nutren, en parte, del intercambio de inteligencia técnica con la NSA. Cualquier interrupción del flujo legal de datos entre la UE y EE. UU. debilita de rebote las capacidades de alerta temprana sobre ciberamenazas, terrorismo o interferencia extranjera que monitoriza España. No sería la primera vez: tras la invalidación del Privacy Shield en 2020, muchas empresas y agencias tuvieron que renegociar cláusulas contractuales tipo, un parche que ahora podría no bastar si el problema es de raíz constitucional.
El disparo jurídico que liquida la independencia de la FTC y su impacto en la inteligencia
El razonamiento del Tribunal Supremo es devastador por su sencillez: si el presidente no puede cesar libremente a los comisionados de una agencia ejecutiva, el diseño institucional viola el poder ejecutivo unitario que la Constitución reserva al inquilino de la Casa Blanca. Esa misma lógica se extiende, según los abogados de Schrems, a cualquier autoridad de control que la UE considere independiente. «Cualquier autoridad ejecutiva independiente en EE. UU. es inconstitucional», ha resumido el austriaco. La Comisión Europea, en su decisión de ejecución que avaló el DPF, cita explícitamente a la FTC y al Departamento de Transporte como organismos certificados. Si esos organismos ya no son independientes a ojos de la legislación europea, el DPF se queda sin columna vertebral.
No todos los juristas comparten el dramatismo de Schrems. Austin Mooney, socio de privacidad internacional y ciberseguridad en el bufete Dechert, declaró al podcast Seriously Risky Business que la independencia de la FTC «nunca fue la pieza central» del DPF ni de los litigios anteriores. Pero el precedente es peligroso: una vez que el activista enciende la mecha judicial, la historia demuestra que el Tribunal de Justicia de la UE no se anda con paños calientes cuando están en juego los derechos fundamentales. Por eso las empresas y los servicios de inteligencia miran de reojo hacia Estrasburgo.
La guerra judicial que puede dejar a la NSA sin orejas en Europa
El corazón de la Sección 702 es la interceptación masiva de comunicaciones transatlánticas. Si el DPF se derrumba, los proveedores de servicios —Google, Meta, Microsoft, Amazon— quedarían en una encrucijada insostenible entre dos ordenamientos jurídicos. El resultado más probable es que limiten o suspendan las transferencias directas, obligando a la NSA a recurrir a métodos de recolección menos fiables o directamente clandestinos. En plata: la inteligencia de señales perdería una fuente de acceso privilegiada que ha sido crucial en operaciones antiterroristas, de contrainteligencia y de ciberdefensa durante dos décadas.
La Orden Ejecutiva 14086 ya mostraba las costuras: el informe anual de 2024 de la Oficina de Libertades Civiles, Privacidad y Transparencia de la comunidad de inteligencia recogió una sola reclamación europea tramitada por esa vía. La maquinaria de control era más simbólica que efectiva, pero bastaba para que Bruselas diera su visto bueno. Ahora, con una FTC herida de muerte y una PCLOB fantasma, el barniz de «protección esencialmente equivalente» que exige la Carta de Derechos Fundamentales de la UE se ha agrietado por completo.

Dossier Moncloa: Ojos en la Sombra
Lo que está en juego no es un mero tecnicismo de abogados especializados en privacidad. La sentencia del Tribunal Supremo estadounidense tiene el potencial de alterar, de un plumazo, el equilibrio de poder en el tablero de la inteligencia global. La doctrina legal que consagra la dependencia absoluta del poder ejecutivo colisiona con los pilares del ordenamiento europeo de protección de datos, y cuando dos sistemas jurídicos chocan así, quien sale perdiendo es la inteligencia compartida.
El vector de amenaza es de naturaleza jurisdiccional: un tribunal nacional reinterpreta la separación de poderes y, sin proponérselo, dinamita el marco que permite la transferencia de datos entre dos continentes. Las agencias implicadas son claras. En el lado atacante, el Tribunal Supremo de EE. UU. y, a la postre, la administración Trump, que busca un control ejecutivo sin contrapesos; en el lado defensor, la NSA y la comunidad de inteligencia estadounidense que ven peligrar una de sus herramientas más valiosas. Los tercios observadores —el CNI, el GCHQ británico, el BND alemán— asisten a la partida con el aliento contenido, porque cualquier restricción sobre la Sección 702 afecta directamente a la arquitectura SIGINT del Five Eyes.
El nivel de clasificación estimado del material que se transmite bajo la Sección 702 es, en su mayor parte, Top Secret. Contiene inteligencia sobre planes terroristas, operaciones de injerencia extranjera y ciberataques atribuidos a APT chinas, rusas o norcoreanas. Si el grifo de los datos europeos se cierra, la comunidad de inteligencia podría enfrentarse a apagones informativos en teatros como el Magreb-Sahel —donde España tiene intereses vitales— o el flanco oriental de la OTAN. Lo escribí hace años en El quinto elemento: «El próximo 11S empezará con un clic». Hoy añadiría que empezará con un juez que tumba un acuerdo de transferencia de datos y deja a los servicios sin la señal que necesitan.
El precedente histórico ya lo conocemos. La invalidación del Safe Harbor en 2015 fue una réplica directa de las filtraciones de Snowden, y obligó a reformular todo el entramado de vigilancia extranjera. La diferencia ahora es que el ataque no proviene de un denunciante ni de un ciberataque chino, sino de la propia deriva constitucional estadounidense. Es la paradoja del oficio: a veces el mayor enemigo de la inteligencia no está en Moscú ni en Pekín, sino en la sala de un tribunal.
Reconozco mi escepticismo cuando leo que Schrems se ha propuesto tumbar el tercer acuerdo en menos de una década. Su hoja de servicios es impecable y la jurisprudencia del TJUE le da alas. Sin embargo, también sé que ni Washington ni Bruselas pueden permitirse una nueva ruptura que deje en el aire la relación comercial y de seguridad más densa del planeta. Por eso anticipo una nueva vuelta de tuerca: algún tipo de parche legislativo en el Congreso, un memorando de entendimiento adicional o, en el peor de los casos, una crisis diplomática en la que la inteligencia de señales pase a moverse en terreno pantanoso, sin cobertura legal clara.
La incertidumbre es mayúscula y no hay calendario definido. Mientras tanto, los servicios de inteligencia europeos, incluido el CNI, harían bien en revisar sus planes de contingencia. Porque si algo nos enseñan los casos Schrems es que el juego no termina hasta que el TJUE dice la última palabra.

