Imagina que es lunes. Abres el portátil, echas un vistazo a tus dashboards y ves que el CRM —ese que os da la vida en ventas— ha lanzado una actualización. “Mejoras de seguridad y privacidad”, dice el aviso. Dos minutos después, te escribe el equipo de marketing: “¿Podemos seguir usando las audiencias en la plataforma X sin meternos en líos con el RGPD?”. Y, como si el universo quisiera rematar la jugada, te llega por WhatsApp el artículo que nuestro socio Jorge del Valle ha publicado en El Español: El culebrón de los datos personales transatlánticos. No es casualidad; es el tema que separa a las empresas que duermen tranquilas de las que viven con el susto en el cuerpo.
¿Por qué ahora? Porque el tablero se ha movido
En septiembre de 2025, el Tribunal General de la UE respaldó la validez del EU–US Data Privacy Framework (DPF), el acuerdo que permite transferir datos personales desde la UE a EE. UU. con garantías “equivalentes” a las europeas. Para las empresas, el mensaje es simple: hay marco estable… siempre que se use bien. Es la primera buena noticia en años de idas y venidas tras Safe Harbor y Privacy Shield.
El artículo de Jorge, publicado el 18 de septiembre de 2025, llega justo en ese momento en el que todos nos preguntamos qué cambia de verdad en la práctica y cómo se aterriza en contratos, cookies, analítica, IA y soporte técnico. Que lo cuente en un medio generalista y de referencia como El Español no es solo una mención honrosa: es una señal de relevancia pública de un asunto que suele quedarse en jerga legal. Y es, también, una forma de trasladar un debate jurídico complejo al lenguaje de negocio que cualquier directivo puede entender.
Pongamos cara al problema: la historia de Lucía
Lucía dirige un ecommerce en Málaga. Usa un CRM estadounidense, una plataforma de email marketing y un servicio de analítica con servidores en varios países. Nada raro. Su duda es la tuya: “¿Puedo seguir operando igual sin exponer a mi empresa a sanciones o titulares incómodos?”
Con el DPF en vigor, si el proveedor está adherido al marco, las transferencias pueden ampararse en la decisión de adecuación de la Comisión Europea. ¿Y si no lo está? Entra en escena la alternativa de siempre: Cláusulas Contractuales Tipo (SCC) con su análisis de transferencia (TIA) y medidas técnicas (cifrado, seudonimización, minimización). Lo importante es no confundir estabilidad con barra libre: la ruta existe, pero exige comprobar, documentar y —sobre todo— entender.
Lo que realmente aporta el DPF (y lo que no)
El valor del DPF no es mágico. Es seguridad jurídica razonable donde antes había incertidumbre: establece salvaguardas sobre el acceso gubernamental a datos y un mecanismo de recurso independiente —el Data Protection Review Court (DPRC)— al que los ciudadanos de la UE pueden acudir si creen que ha habido un acceso indebido. Esto, para Lucía, significa que no está sola: hay un circuito de garantías pensado para casos extremos. Pero el DPF no sustituye tu gobernanza: si tu proveedor no está adherido o si tú mismo recoges más datos de los necesarios, la pelota vuelve a tu tejado.
El ángulo que a menudo se pasa por alto: operación y reputación
Lo más caro no suele ser la multa, sino el tiempo de gestión y la reputación. A nadie le gusta salir en prensa por un incidente de datos. En cambio, aparecer con una postura clara, bien comunicada y verificable —“trabajamos con proveedores adheridos al DPF, el resto va con SCC + TIA y cifrado end-to-end”— genera confianza. Es tu manera de decir: “sabemos lo que hacemos”. Y ahí es donde la conversación que Jorge abre en El Español encaja con lo que hacemos en Certus: traducir el marco legal a decisiones de producto, marketing y tecnología que se pueden explicar en dos frases sin perder rigor.
¿Y la IA? La nueva frontera de las transferencias
Otro punto caliente que Jorge viene analizando desde hace tiempo: la IA generativa. Cuando subes datos reales a un servicio de IA alojado fuera de la UE, no solo transfieres; puedes estar creando dependencia de un proveedor con reglas distintas a las tuyas. Con DPF hay camino, sí, pero debes acordar no reuso de datos, ubicación del tratamiento y tiempos de retención. La lección es nítida: la IA multiplica el valor del dato… y también tus obligaciones.
Málaga, tecnología y una conversación que va a más
Que este debate salga de los foros especializados y llegue a El Español es buena señal: Málaga y Andalucía están viviendo un momento potente en tecnología, inversión e internacionalización. Si tu empresa está creciendo, el orden es: primero la estrategia, luego la tecnología, y de fondo un marco legal claro para no frenarte cuando más impulso llevas. La presencia de Jorge en prensa refuerza lo que llevamos años haciendo en Certus Legal Firm: acompañar a compañías que operan con datos y quieren hacerlo bien y sin fricciones.
