Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

RESUMEN

El Tribunal General, en la sentencia de 3 de septiembre de 2025 sobre el asunto T-553/23 (Philippe Latombe contra la Comisión Europea), desestimó el recurso presentado contra la Decisión de Ejecución de la Comisión  que reconoce la adecuación de la protección de datos personales en los Estados Unidos bajo el nuevo marco legal pos-Schrems II.

Philippe Latombe impugnó la legalidad de la Decisión de Ejecución de la Comisión Europea que declara adecuado el nivel de protección de datos personales transferidos a EE.UU. UU. argumentando que el marco estadounidense no garantiza derechos equivalentes a los de la UE, en particular la tutela judicial efectiva, la vida privada y la protección contra decisiones exclusivamente automatizadas.

El Tribunal examinó si el marco regulatorio estadounidense, especialmente tras la reforma de la Executive Order 14086, responde a los requisitos del Reglamento General de Protección de Datos, RGPD en cuanto a derechos de los interesados ​​y recursos judiciales independientes; analizó igualmente si existen garantías efectivas frente a decisiones basadas solo en tratamiento automatizado de datos, y si la seguridad proporcionada era suficiente respecto al estándar europeo.

El Tribunal General concluyó que:

• La Comisión no incurrió en error manifiesto al considerar que las salvaguardias estadounidenses ofrecen un nivel de protección sustancialmente equivalente al europeo.
• La existencia del Tribunal de Revisión de Protección de Datos y los mecanismos de reparación previstos en EE.UU. UU. satisfacen las exigencias mínimas de tutela judicial efectiva.
• No se probó una vulneración sistemática de derechos como el respeto a la vida privada o la protección frente a decisiones automatizadas.

En consecuencia, el recurso de Latombe fue desestimado en su totalidad.

 A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com

______________________________________________________________

                                    RECOPILACION DE LA JURISPRUDENCIA

Asunto T‑553/23 Philippe Latombe contra Comisión Europea

Sentencia del Tribunal General de 3 de septiembre de 2025

«Transferencia de datos personales a los Estados Unidos — Decisión de Ejecución de la Comisión mediante la que se constata un nivel de protección adecuado de los datos personales garantizado por los Estados Unidos — Derecho a la tutela judicial efectiva — Derecho a la vida privada y familiar — Decisiones basadas únicamente en el tratamiento automatizado de los datos personales — Seguridad del tratamiento de datos personales»

1. Recurso de anulación — Admisibilidad — Desestimación de un recurso en cuanto al fondo sin pronunciarse sobre la admisibilidad — Facultad de apreciación del juez de la Unión(véanse los apartados 14 y 15)
2. (Art. 263 TFUE)
3. Recurso de anulación — Control de legalidad — Criterios — Consideración únicamente de los elementos de hecho y de Derecho existentes en la fecha de adopción del acto controvertido(véase el apartado 22)
4. (Art. 263 TFUE)
5. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Transferencia de datos personales a países terceros — Adopción por la Comisión de una decisión mediante la que se constata un nivel de protección adecuado en un país tercero — Decisión de Ejecución (UE) 2023/1795 mediante la que se constata un nivel de protección adecuado garantizado por los Estados Unidos — Vulneración del derecho a la tutela judicial efectiva — Vulneración del derecho de acceso a un juez independiente e imparcial, establecido previamente por la ley — Inexistencia(véanse los apartados 24, 35 a 37, 39, 42, 46, 51, 53 a 58, 60, 62, 64 y 66 a 82)
6. [Art. 2 TUE; Carta de los Derechos Fundamentales de la Unión Europea, art. 47, párr. 2.o; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art. 45, ap. 2]
7. Derechos fundamentales — Derecho a la tutela judicial efectiva — Consagración en los artículos 47, párrafo segundo, de la Carta de los Derechos Fundamentales y 6, apartado 1, del Convenio Europeo de Derechos Humanos — Sentido y alcance idénticos — Nivel de protección garantizado por la Carta que respete el garantizado por dicho Convenio(véanse los apartados 27 a 30)
8. (Art. 6 TUE, ap. 3; Carta de los Derechos Fundamentales de la Unión Europea, arts. 47, párr. 2.o, y 52, ap. 3)
9. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Transferencia de datos personales a países terceros — Adopción por la Comisión de una decisión mediante la que se constata un nivel de protección adecuado en un país tercero — Decisión de Ejecución (UE) 2023/1795 mediante la que se constata un nivel de protección adecuado garantizado por los Estados Unidos — Recogida masiva de datos personales en tránsito a partir de la Unión por las agencias de inteligencia de los Estados Unidos — Vulneración de los derechos al respeto de la vida privada y a la protección de los datos personales — Inexistencia — Requisitos(véanse los apartados 83, 92, 98, 105 a 108, 113, 117, 119, 122, 123, 128, 137 a 146, 148 y 150 a 153)
10. [Carta de los Derechos Fundamentales de la Unión Europea, arts. 7 y 8; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art. 45]

Resumen

Mediante su sentencia, el Tribunal General, en formación ampliada, desestima el recurso de anulación presentado por un ciudadano francés y dirigido contra la decisión de adecuación adoptada por la Comisión Europea que establece el nuevo marco transatlántico de flujo de datos personales entre la Unión y los Estados Unidos. ( 1 ) De este modo, siguiendo la estela de la jurisprudencia del Tribunal de Justicia en la materia, ( 2 ) el Tribunal General aporta aclaraciones acerca de la apreciación de la imparcialidad e independencia del Data Protection Review Court ( 3 ) (tribunal encargado de supervisar la protección de los datos, Estados Unidos de América; en lo sucesivo, «DPRC»), y del examen de la legalidad de la actividad de las agencias de inteligencia consistente en recopilar masivamente datos personales en tránsito a partir de la Unión.

En las sentencias Schrems I y Schrems II, el Tribunal de Justicia invalidó las dos decisiones de adecuación anteriores basándose en que los sistemas de «puerto seguro» y de «escudo de la privacidad» que regulan la transferencia de datos personales desde la Unión a los Estados Unidos no garantizaban un nivel de protección de las libertades y de los derechos fundamentales sustancialmente equivalente al garantizado por el Derecho de la Unión. Posteriormente, la Comisión entabló negociaciones con el Gobierno de los Estados Unidos para adoptar una nueva decisión de adecuación que cumpliera los requisitos del Reglamento General de Protección de Datos, ( 4 ) tal como han sido interpretados por el Tribunal de Justicia.

El 7 de octubre de 2022, los Estados Unidos de América aprobaron el Executive Order 14086 (Decreto Presidencial n.o 14086; en lo sucesivo, «E.O. 14086»), que refuerza las medidas de protección de la vida privada aplicables a las actividades de inteligencia de origen electromagnético llevadas a cabo por las agencias de inteligencia de los Estados Unidos. Ese Decreto fue completado por el Attorney General Order 28 CFR Part 201 (Reglamento del Fiscal General 28 CFR Part 201; en lo sucesivo, «Reglamento AG»), que modificó las disposiciones que regulan la creación y el funcionamiento del DPRC.

El 10 de julio de 2023, tras analizar estos cambios normativos, la Comisión adoptó la Decisión impugnada. El Tribunal General, ante el que se presentó un recurso de anulación, debió examinar la legalidad de dicha Decisión, en particular, a la luz del RGPD y de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

Apreciación del Tribunal General

El Tribunal General comienza pronunciándose sobre la cuestión de si la Comisión infringió el artículo 47, párrafo segundo, de la Carta y el artículo 45, apartado 2, del RGPD, dado que, en la Decisión impugnada, consideró que el DPRC ofrecía un «nivel de protección adecuado» en lo que respecta al derecho de los ciudadanos de la Unión a un juez independiente e imparcial establecido previamente por la ley.

En este contexto, rechaza, en primer lugar, la imputación basada en que el DPRC no es un tribunal independiente e imparcial, sino un órgano dependiente del poder ejecutivo.

Para ello, rechaza en primer término la alegación de que el DPRC no es un tribunal independiente e imparcial, dado que su misión consiste en revisar las decisiones del Civil Liberties Protection Officer of the Director of National Intelligence (responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional; en lo sucesivo, «CLPO»), adscrito a la Oficina del Director de Inteligencia Nacional de los Estados Unidos.

A este respecto, señala que el examen de las garantías relativas a la independencia del CLPO carece de pertinencia para apreciar si el DPRC constituye un tribunal independiente e imparcial. En efecto, el DPRC fue creado como órgano de control independiente del CLPO y en el E. O. 14086 se establecieron varias garantías para que las decisiones del CLPO pudieran ser revisadas y, en su caso, modificadas por el DPRC de manera independiente e imparcial.

Por lo tanto, el demandante no puede sostener fundadamente que una insuficiencia de las garantías aplicables al CLPO afecta a la independencia y a la imparcialidad del DPRC.

En segundo término, el Tribunal General rechaza la alegación de que el DPRC no es un tribunal independiente e imparcial, dado que está integrado por jueces nombrados por el Fiscal General tras consultar al Privacy and Civil Liberties Oversight Board (Consejo de Vigilancia de la Vida Privada y de las Libertades Civiles; en lo sucesivo, «PCLOB»), que es un órgano dependiente del poder ejecutivo.

El Tribunal General comienza señalando que, aunque el PCLOB se creó en el seno del poder ejecutivo, es, habida cuenta de su composición, una agencia independiente, cuya misión consiste en supervisar, de manera imparcial, el trabajo realizado por el poder ejecutivo con el fin de proteger, en particular, la vida privada y las libertades civiles.

Así pues, el hecho de que el PCLOB se haya creado en el seno del poder ejecutivo no permite por sí solo concluir que, debido a su consulta antes del nombramiento de los jueces del DPRC, este último no sea un tribunal independiente e imparcial.

A continuación, el Tribunal precisa, por una parte, que, para garantizar que los jueces del DPRC sean independientes del poder ejecutivo, el E.O. 14086 establece que, en el momento de su nombramiento, el Fiscal General debe respetar una serie de criterios y requisitos.

Por otra parte, los jueces del DPRC únicamente pueden ser destituidos por el Fiscal General y solo si media causa justa y tras haber tenido debidamente en cuenta el régimen aplicable a los jueces federales, establecido en las normas relativas a la deontología judicial y al procedimiento de incapacidad de jueces.

El Tribunal General deduce de ello que las normas relativas al nombramiento y a la destitución de los jueces del DPRC no permiten cuestionar su independencia e imparcialidad.

Por último, el Tribunal General señala que la Comisión está obligada a hacer un seguimiento permanente de la aplicación del marco jurídico en el que se basa la Decisión impugnada, con el fin de determinar si los Estados Unidos de América siguen garantizando un nivel de protección adecuado. De este modo, si el marco jurídico vigente en los Estados Unidos en el momento de la adopción de la Decisión impugnada cambia, la Comisión puede decidir, si fuera necesario, suspender, modificar o derogar la Decisión impugnada o limitar su ámbito de aplicación.

En tercer término, el Tribunal General rechaza la alegación de que el DPRC no es un tribunal independiente e imparcial, dado que el Reglamento AG no excluye la posibilidad de que sus jueces queden expuestos a formas de supervisión distintas de las cotidianas por parte del poder ejecutivo.

El Tribunal General observa a este respecto que de los autos se desprende que los jueces del DPRC no deben estar sujetos a la supervisión cotidiana del Fiscal General y que la Decisión impugnada indica también que, con arreglo al E.O. 14086, las agencias de inteligencia y el Fiscal General no pueden entorpecer o ejercer una influencia indebida sobre la labor del DPRC. Además, de los autos se desprende que ese Decreto Presidencial y el Reglamento AG limitan la posibilidad de que el poder ejecutivo influya en el trabajo del DPRC al establecer que sus jueces solo pueden ser destituidos por el Fiscal General y únicamente por un motivo válido.

En segundo lugar, el Tribunal General desestima la imputación basada en que el DPRC no fue establecido previamente por la ley, en la medida en que no fue creado por una ley aprobada por el Congreso de los Estados Unidos, sino por un acto del ejecutivo, a saber, una decisión del Fiscal General.

El Tribunal General comienza recordando que, para apreciar si se cumplen las exigencias derivadas del artículo 47, párrafo segundo, de la Carta, no hay que limitarse a apreciar la naturaleza formal del texto jurídico por el que se establece un tribunal y por el que se definen sus normas de funcionamiento, sino que es preciso comprobar si dicho texto jurídico establece garantías suficientes para asegurar su independencia e imparcialidad frente a los demás poderes, en particular, frente al poder ejecutivo.

A continuación, el Tribunal General señala que, como declaró el Tribunal de Justicia en las sentencias Schrems I y Schrems II, en el marco de una decisión de adecuación, la Comisión no está obligada a asegurarse de que las disposiciones pertinentes del tercer país sean idénticas a las vigentes en la Unión, sino que sean sustancialmente equivalentes a las garantizadas por el Derecho de la Unión en virtud del RGPD, interpretado a la luz de la Carta. De ello se deduce que, en el presente asunto, el Tribunal General está obligado a comprobar si es fundada la apreciación realizada por la Comisión en la Decisión impugnada, según la cual las disposiciones del Derecho de los Estados Unidos relativas a la creación y al funcionamiento del DPRC ofrecen garantías sustancialmente equivalentes a las previstas por el Derecho de la Unión en el artículo 47, párrafo segundo, de la Carta. Tales garantías se ofrecen, en particular, cuando el texto jurídico por el que se crea dicho tribunal y por el que se definen sus normas de funcionamiento tiene por objeto garantizar su independencia e imparcialidad respecto de los demás poderes, en particular del poder ejecutivo, y ello a pesar de que dicho texto no constituye, desde un punto de vista formal, una ley.

En el presente asunto, de la Decisión impugnada se desprende que el DPRC no fue creado por una ley adoptada por el poder legislativo, esto es, el Congreso de los Estados Unidos, sino por un acto emanado del poder ejecutivo.

En este contexto, el Tribunal General comprueba si, de manera sustancialmente equivalente al Derecho de la Unión, el E.O. 14086 y el Reglamento AG establecen garantías dirigidas a garantizar la independencia y la imparcialidad del DPRC.

Tras haber examinado, en particular, las condiciones en que fue creado el DPRC como órgano independiente dotado de facultades decisorias, las condiciones de nombramiento y de destitución de sus jueces, así como las garantías procedimentales inherentes al cumplimiento de sus funciones, el Tribunal General observa que se han subsanado las deficiencias señaladas por el Tribunal de Justicia en la sentencia Schrems II.

Habida cuenta de todas las consideraciones anteriores, el Tribunal General desestima el motivo basado en la infracción del artículo 47, párrafo segundo, de la Carta y del artículo 45, apartado 2, del RGPD en su totalidad.

En un segundo momento, el Tribunal General se pronuncia sobre la cuestión de si la Comisión infringió los artículos 7 y 8 de la Carta, relativos, respectivamente, al respeto de la vida privada y a la protección de los datos personales, en la medida en que consideró que los Estados Unidos de América garantizaban un nivel de protección adecuado en lo que respecta a la recogida masiva, por parte de las agencias de inteligencia de ese país, de datos personales, a pesar de que la E.O. 14086 no obliga a estas agencias de inteligencia a obtener, antes de la recogida masiva de datos personales, la autorización previa de una autoridad judicial o administrativa.

En este contexto, el Tribunal General desestima, en primer lugar, la alegación basada en que la recogida masiva de datos personales, llevada a cabo por las agencias de inteligencia de Estados Unidos, no es objeto de control judicial y no está sujeta a normas suficientemente claras y precisas.

En primer término, el Tribunal General subraya que ningún elemento de la sentencia Schrems II sugiere que la recogida masiva de datos personales deba obligatoriamente ser objeto de una autorización previa expedida por una autoridad independiente. Por el contrario, de dicha sentencia se desprende que la decisión por la que se autoriza tal recogida debe, como mínimo, ser objeto de un control judicial a posteriori.

En el presente asunto, el E.O. 14086 y el Reglamento AG someten las actividades de inteligencia de origen electromagnético llevadas a cabo por las agencias de inteligencia de los Estados Unidos al control judicial a posteriori del DPRC. Por consiguiente, no puede considerarse que la recogida masiva de datos personales efectuada por las agencias de inteligencia sobre la base de la Decisión impugnada no cumple las exigencias derivadas de la sentencia Schrems II a este respecto.

En segundo término, el Tribunal General observa que el E.O. 14086 establece que la recogida masiva solo está autorizada para obtener unos avances en una prioridad de inteligencia validada que no puedan lograrse razonablemente mediante una recogida selectiva, fija requisitos fundamentales que se aplican a todas las actividades de inteligencia de origen electromagnético y establece garantías específicas aplicables a la recogida masiva de datos personales.

En estas circunstancias, el Tribunal General considera que no cabe sostener fundadamente que la realización de la recogida masiva no esté regulada de manera suficientemente clara y precisa.

En segundo lugar, el Tribunal General rechaza la alegación según la cual la recogida masiva, por parte de las agencias de inteligencia de los Estados Unidos, de datos personales en tránsito a partir de la Unión debe ser objeto de autorización previa, con arreglo a la sentencia La Quadrature du Net y otros. ( 5 )

El Tribunal General observa, a este respecto, que el supuesto controvertido en el asunto que dio lugar a la sentencia La Quadrature du Net y otros difiere del que constituye el objeto del presente asunto y deduce de ello que la referencia a dicha sentencia carece de pertinencia.

En tercer lugar, el Tribunal General rechaza la alegación de que la recogida masiva, por parte de las agencias de inteligencia de los Estados Unidos, de datos personales en tránsito a partir de la Unión debe ser objeto de autorización previa, en virtud de la sentencia del TEDH Big Brother Watch. ( 6 )

El Tribunal General, tras constatar que una operación de recogida masiva de datos personales, como la que es objeto de la Decisión impugnada, está comprendida en el perímetro de la primera de las fases de la interceptación identificadas por el Tribunal Europeo de Derechos Humanos en la sentencia Big Brother Watch, en la medida en que consiste en recoger, con fines de protección de la seguridad nacional, los datos personales en tránsito a partir de la Unión de un gran número de personas, extrae las consecuencias de dicha sentencia a efectos de apreciar la legalidad de la Decisión impugnada.

Así, el Tribunal General señala que el Tribunal Europeo de Derechos Humanos indicó, en la sentencia Big Brother Watch, que la interceptación masiva de datos personales debía estar sujeta a varias garantías, como la obtención de la autorización de una autoridad independiente desde la definición del objeto y del alcance de la operación de vigilancia en cuestión, el establecimiento de un sistema de supervisión y de un control judicial independiente a posteriori y la aprobación de normas jurídicas que permitan garantizar, para cada una de las fases de la interceptación, la necesidad y la proporcionalidad de las medidas adoptadas.

Por otra parte, el Tribunal Europeo de Derechos Humanos ha sostenido que la necesidad de prever garantías se incrementa a medida que el proceso atraviesa esas distintas fases y, por consiguiente, aumenta la intensidad de la injerencia en el derecho al respeto de la vida privada.

En este contexto, el Tribunal General recuerda que la Comisión no está obligada, en el marco de una decisión de adecuación, a asegurarse de que las disposiciones pertinentes del tercer país sean idénticas a las vigentes en la Unión, sino que sean sustancialmente equivalentes.

Así, el Tribunal General considera, en el presente asunto, que la necesidad de prever, para esta fase específica de la recogida masiva, garantías que limiten la facultad discrecional de las agencias de inteligencia es más limitada, habida cuenta del contexto en el que se efectúa la interceptación. En efecto, en el presente asunto únicamente se aborda la interceptación inicial masiva de datos personales por parte de agencias de inteligencia, quedando excluidas las actividades posteriores.

Asimismo, el Tribunal General recuerda que el hecho de prever una autorización previa no es la única garantía que debe rodear la interceptación masiva de datos personales, sino que constituye uno de los elementos que, considerados conjuntamente, constituyen la piedra angular de todo régimen de interceptación masiva. A este respecto, el Derecho de los Estados Unidos en vigor establece normas jurídicas que regulan de manera suficientemente clara y precisa la realización, por parte de las agencias de inteligencia estadounidenses, de la recogida masiva de datos personales y concede a las personas afectadas por la transferencia de sus datos el derecho a la tutela judicial efectiva ante el DPRC. Además, los considerandos 162 a 169 de la Decisión impugnada indican, sin que el demandante lo discuta, que las actividades de inteligencia llevadas a cabo por las agencias correspondientes están controladas por el PCLOB, que fue concebido por su estatuto fundador como una agencia independiente. Asimismo, dichas actividades son objeto de supervisión, en primer lugar, por parte de los responsables jurídicos y de los delegados que, dentro de cada agencia de inteligencia, tienen encomendados la vigilancia y el respeto de dicho Derecho; en segundo lugar, por el inspector general independiente encargado, para cada agencia de inteligencia, de controlar las actividades de inteligencia exterior realizadas por la agencia en cuestión; en tercer lugar, por el Intelligence Oversight Board (Consejo de Vigilancia de la Inteligencia, Estados Unidos), creado en el seno del President’s Intelligence Advisory Board (Consejo Consultivo de Inteligencia del Presidente de los EE. UU., Estados Unidos) y encargado de supervisar el cumplimiento de la ley por parte de las autoridades de los Estados Unidos, y, en cuarto lugar, por las comisiones especiales creadas en el seno del Congreso de los Estados Unidos que ejercen funciones de vigilancia de todas las actividades de inteligencia exterior de ese país.

Habida cuenta de estas consideraciones, el Tribunal General declara que el hecho de no prever una autorización previa aplicable a la recogida inicial masiva, por parte de las agencias de inteligencia de los Estados Unidos, de datos personales en tránsito a partir de la Unión no basta para considerar que el Derecho estadounidense no ofrece garantías sustancialmente equivalentes a las previstas por el Derecho de la Unión.

En cuarto y último lugar, el Tribunal General desestima la alegación de que la recogida masiva, por parte de las agencias de inteligencia de los Estados Unidos, de datos personales en tránsito a partir de la Unión debe ser objeto de autorización previa con arreglo al dictamen 5/2023, emitido por el Comité Europeo de Protección de Datos (CEPD). ( 7 )

El Tribunal General señala, a este respecto, que el Dictamen 5/2023 se emitió sobre la base del artículo 70, apartado 1, letra s), del RGPD. Pues bien, cuando actúa con este fundamento, el CEPD se limita a ejercer una función de asesoramiento. Así pues, este dictamen no vincula a la Comisión.

En cualquier caso, el Tribunal General constata que, en dicho dictamen, el CEPD no indicó que la falta de establecimiento de un control previo relativo a la recogida masiva de datos personales repercutía necesariamente de forma desfavorable sobre la evaluación positiva, por parte de la Comisión, del carácter adecuado del nivel de protección de los datos personales ofrecido por el Marco de Privacidad de Datos UE-EE. UU.

Por lo tanto, el Tribunal General desestima el motivo basado en la infracción de los artículos 7 y 8 de la Carta, así como el presente recurso en su totalidad.

( 1 ) Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023, relativa a la adecuación del nivel de protección de los datos personales en el Marco de Privacidad de Datos UE-EE. UU. con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (DO 2023, L 231, p. 118; en lo sucesivo, «Decisión impugnada»).

( 2 ) Sentencias de 6 de octubre de 2015, Schrems (C‑362/14; en lo sucesivo, «sentencia Schrems I, EU:C:2015:650), y de 16 de julio de 2020, Facebook Ireland y Schrems (C‑311/18; en lo sucesivo, «sentencia Schrems II, EU:C:2020:559).

( 3 ) Se trata del órgano encargado, en los Estados Unidos, de controlar la legalidad de la transferencia de datos personales desde la Unión Europea.

( 4 ) Artículo 45, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1, corrección de errores en DO 2018, L 127, p. 3, y DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»).

( 5 ) Sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18; en lo sucesivo, «sentencia La Quadrature du Net y otros, EU:C:2020:791).

( 6 ) Sentencia del Tribunal Europeo de Derechos Humanos de 25 de mayo de 2021, Big Brother Watch y otros c. Reino Unido (CE:ECHR:2021:0525JUD 005817013; en lo sucesivo, «sentencia Big Brother Watch»).

( 7 ) Dictamen 5/2023, de 28 de febrero de 2023, sobre el Proyecto de Decisión de Ejecución de la Comisión Europea relativa a la adecuación de la protección de los datos personales de acuerdo con el marco de privacidad de datos UE-EE. UU (en lo sucesivo, «Dictamen 5/2023»).