El 1 de julio, la oficina del presidente del gobierno español envió una instrucción a un grupo de empresas estatales: nada de nuevos contratos con la compañía estadounidense de análisis de datos Palantir. Una semana antes, el Tribunal Supremo de los Estados Unidos falló por 6 a 3 en el caso Trump v. Slaughter que la «independencia» de la Comisión Federal de Comercio (FTC) es inconstitucional. Desde Viena, la organización de defensa de la privacidad noyb anunció de inmediato: el acuerdo de transferencia de datos entre la UE y EE.UU., que lleva 23 años dando tumbos, «ha perdido toda su base jurídica».
Dos hechos ocurridos a ambos lados del Atlántico, aparentemente sin relación. Pero al ponerlos juntos emerge una línea narrativa nítida: Europa ya no se conforma con escribir leyes, emitir declaraciones y expresar «preocupación». Ha empezado a actuar.
Imagen: La empresa de software estadounidense Palantir en Davos, mayo de 2022. Fuente: AFP / Clash Report
Una orden tajante: ¿por qué España le dijo 「no」 a Palantir?
Empecemos por España. Según la exclusiva del medio español El Confidencial, Moncloa canalizó a través de la Sociedad Estatal de Participaciones Industriales (SEPI) una instrucción clara dirigida a Telefónica, Indra, Navantia y otras empresas públicas estratégicas: cortar toda colaboración futura con Palantir.
No hablamos de empresas cualesquiera. Telefónica es la mayor operadora de telecomunicaciones de España, dueña de las arterias de comunicación del país. Indra es una tecnológica de defensa con contratos de sistemas de mando militar. Navantia es el astillero militar que construye buques de guerra y submarinos. En plata: son las «tuberías» de la seguridad nacional española. Y Palantir es una empresa que ha hecho negocio con el análisis de datos — su capacidad central es excavar patrones, correlaciones y predicciones en cantidades masivas de información. Conectar esas «tuberías» a una empresa estadounidense implica algo que el gobierno español evidentemente ha entendido.
El veto ya produce daños reales. Un proyecto de colaboración entre Navantia y Palantir que estaba a punto de cerrarse se ha suspendido; el acuerdo de colaboración entre la Guardia Civil y Palantir fue vetado personalmente por el ministro del Interior; el ex primer ministro francés Sébastien Lecornu manifestó públicamente el 10 de junio que Francia también dejará de trabajar con esta empresa. Dentro de Alemania crece la preferencia por el competidor francés ChaosVision.
Las fuerzas armadas españolas no están contentas. Palantir aún mantiene un contrato con el Centro de Inteligencia de las Fuerzas Armadas (CIFAS) por valor de 16,5 millones de euros hasta noviembre de este año. Los jefes de Estado Mayor del Ejército y de la Armada presionan al Ministerio de Defensa para renovarlo. El argumento es directo: el sistema funciona. Pero Moncloa, por ahora, no cede.
¿Por qué España da este volantazo justo ahora? La investigación original aporta dos pistas. Primera: el cofundador de Palantir, Peter Thiel, y su CEO, Alex Karp, mantienen lazos políticos y financieros profundos con la administración Trump, mientras que el presidente Sánchez y el nuevo gobierno estadounidense están en posiciones opuestas en varios frentes. Segunda: el gobierno español ya está invirtiendo fuerte en alternativas tecnológicas propias — ha aprobado 115 millones de euros para la empresa catalana de chips Openchip, parte de un megaproyecto de 5.000 millones. El veto no es un gesto aislado: está despejando espacio para la «sustitución nacional».
Imagen: noyb compara el acuerdo de transferencia de datos UE-EE.UU. con un «castillo de naipes». Fuente: noyb.eu
Una sentencia judicial: cómo el Supremo de EE.UU. derribó por accidente la soberanía digital europea
Giremos la vista hacia Washington. Para calibrar el impacto de esta sentencia hay que entender un antecedente: desde 1995, la legislación europea prohíbe transferir datos personales de ciudadanos de la UE a terceros países con protección «insuficiente». Dicho de otro modo: el correo que envías desde París con Gmail, el Airbnb que reservas desde Milán, el Salesforce que usas desde Berlín — que esos datos puedan almacenarse legalmente en servidores estadounidenses depende de que la UE considere que la protección de datos de EE.UU. «da la talla».
Para sortear esta barrera, Bruselas y Washington han tendido tres «puentes» sucesivos: «Safe Harbour» (2000), «Privacy Shield» (2016) y «Data Privacy Framework» (2023). Los dos primeros fueron tumbados por el Tribunal de Justicia de la Unión Europea (TJUE) por considerar que las leyes de vigilancia estadounidenses son demasiado amplias y carecen de mecanismos independientes de recurso judicial. El tercer puente sigue en pie, pero sujeto por un pilar letal: la independencia de la FTC.
En el documento de decisión del Data Privacy Framework, la Comisión Europea invoca a la FTC como «autoridad supervisora independiente» nada menos que 259 veces. Es una cifra asombrosa. La legislación europea de rango constitucional (artículo 16.2 del TFUE y artículo 8.3 de la Carta de Derechos Fundamentales) exige con todas las letras que el organismo supervisor de la protección de datos sea independiente. En ausencia de una ley integral de privacidad en EE.UU., la independencia de la FTC constituye prácticamente la totalidad del argumentario para aceptar que el nivel de protección estadounidense es «suficiente».
Y entonces actuó el Tribunal Supremo. El 29 de junio, la mayoría conservadora adoptó la llamada «teoría del ejecutivo unitario» en Trump v. Slaughter y declaró inconstitucional la independencia de la FTC: el presidente puede destituir a los comisionados en cualquier momento y sin necesidad de justificación. Significa que la FTC ha dejado de ser un órgano «independiente» para convertirse en una agencia ejecutiva que el presidente dirige a voluntad. Para la UE, aquellas 259 invocaciones se transformaron de golpe en 259 agujeros.
Max Schrems — el austriaco que con dos demandas judiciales derribó los dos puentes anteriores — declaró tras la sentencia: «Incluso según la propia lógica de la Comisión Europea, la base de cualquier acuerdo de transferencia de datos con EE.UU. ha muerto. Instamos a la Comisión a iniciar un proceso ordenado de salida de los servicios de nube estadounidenses. No es sencillo, pero es inevitable.»
Más letal aún: la lógica del Supremo no afecta solo a la FTC. Si la doctrina de que «los organismos independientes son inconstitucionales» se aplica con carácter general — que es exactamente lo que pretenden los jueces conservadores — entonces el «Data Protection Review Court» (que pese a llamarse «tribunal» es un órgano interno del Departamento de Justicia) y la Privacy and Civil Liberties Oversight Board (PCLOB) enfrentan exactamente la misma objeción de legitimidad. Toda la arquitectura de confianza en la protección de datos estadounidense es una hilera de fichas de dominó.
Imagen: Sede del Tribunal de Justicia de la Unión Europea (TJUE) en Luxemburgo, que ha anulado dos veces los acuerdos de transferencia de datos UE-EE.UU. Fuente: noyb.eu
De la ansiedad a la acción: punto de inflexión en la guerra fría digital transatlántica
Superpongan los dos episodios y verán emerger un cambio de patrón.
Durante la última década, la postura europea en materia de soberanía digital podría resumirse como «ansiedad legislativa»: se aprobó el GDPR, se adoptó la Ley de Mercados Digitales, avanza la Ley de Inteligencia Artificial. Las leyes engordan año a año, pero la ejecución va siempre un paso por detrás. Las grandes tecnológicas estadounidenses siguen dominando el mercado europeo, los datos de los ciudadanos comunitarios siguen fluyendo a servidores de EE.UU., y la tan mentada «soberanía» se queda mayoritariamente sobre el papel.
Pero la primera semana de julio de 2026 cambió el tono. España no emitió un comunicado expresando «preocupación por la seguridad de los datos». Cortó directamente los lazos comerciales con una tecnológica clave de EE.UU. — y no solo a nivel gubernamental, sino arrastrando también a las empresas privadas de titularidad pública. Noyb envió una carta formal a la Comisión Europea exigiendo que inicie el proceso de salida; no se limitó a escribir otro artículo analizando «las deficiencias del marco».
No creo que sea casualidad. Hay tres fuerzas empujando al mismo tiempo:
Primera: la «imprevisibilidad» de la administración Trump se ha convertido en certidumbre. Si entre 2016 y 2020 Europa aún observaba, con el regreso de Trump a la Casa Blanca en 2025 la espera ha terminado. Cuando un presidente estadounidense puede cesar a discreción a los responsables de las agencias de enforcement, tumbar compromisos políticos previos mediante orden ejecutiva, y el Tribunal Supremo le da cobertura constitucional a todo ello, los decisores europeos ya no pueden contar con que «EE.UU. se corregirá solo».
Segunda: la frontera entre seguridad de datos y seguridad nacional se está borrando. El motivo central para vetar a Palantir no es la violación de la privacidad, es la «seguridad nacional». A España le preocupa el destino de la inteligencia militar, los datos de comunicaciones y la información policial. Cuando la capacidad de analizar datos es en sí misma un arma, externalizar esa capacidad equivale a externalizar parte de la defensa nacional. Esto ya no es un problema de cumplimiento del GDPR: es una cuestión de soberanía.
Tercera: Europa está construyendo alternativas de verdad. La inversión de España en Openchip, la adopción de ChaosVision en Alemania, la estrategia francesa de «nube soberana» — Europa finalmente se está gastando dinero en serio en soluciones «propias», en lugar de limitarse a decir «no queremos las americanas». Cuando empieza a formarse un mercado de alternativas, el «veto» deja de ser una pose política y se convierte en una opción empresarial viable.
¿Quién es el antagonista?
Esta guerra fría digital no tiene un villano único, pero sí una oposición nítida: a un lado, la expansión del poder presidencial bajo la «teoría del ejecutivo unitario» — un presidente que puede controlar a voluntad todos los órganos de enforcement y supervisión, precisamente aquellos que la UE necesita que sean «independientes» para poder confiar en EE.UU. Al otro lado, una Europa que pasa del cumplimiento pasivo al bloqueo activo — cortando dependencias mediante decisiones administrativas y políticas, sin esperar al lento avance de los litigios judiciales.
Hay un detalle revelador en el veto español: se cursó «en silencio». El gobierno no emitió nota de prensa ni convocó rueda informativa; la instrucción se transmitió en cascada por los canales internos de la SEPI. Lo cual demuestra que una acción de verdad no necesita montar un espectáculo.
¿Qué viene ahora?
A corto plazo, no veremos un «apagón» digital ni una desvinculación total de datos. Aunque noyb exija a la Comisión Europea que retire el reconocimiento de adecuación a EE.UU., lo previsible es que la Comisión gane tiempo, negocie y busque parches técnicos. El artículo 49 del GDPR permite las transferencias necesarias para ejecutar un contrato (una reserva de hotel, un pago transfronterizo), así que la mayoría de las actividades comerciales cotidianas no se detendrán de la noche a la mañana.
Pero a medio plazo — de uno a tres años — el cambio será irreversible. Las empresas europeas ya están recibiendo asesoramiento jurídico: aunque uses «cláusulas contractuales tipo» (SCC) en lugar del Data Privacy Framework, la «evaluación de impacto» de la transferencia internacional de datos suele apoyarse en la premisa de que la FTC y la PCLOB son independientes. Esas evaluaciones deben reescribirse ya, y la conclusión reescrita probablemente será: no se puede.
Max Schrems lo dijo sin rodeos: «Instamos a la Comisión a iniciar un proceso ordenado de salida de los servicios de nube estadounidenses.» Habló de «la nube» — y más del 70 % del mercado europeo de nube está en manos de empresas estadounidenses. No es un giro fácil, pero las palabras de Schrems representan un consenso europeo cada vez más mayoritario: mejor construir lo propio que remendar la confianza en un socio que no la merece.
El veto español a Palantir y la anulación de la independencia de la FTC son, en el fondo, dos caras de la misma moneda a ambos lados del Atlántico: el control de la infraestructura digital se ha convertido, igual que el territorio, el poder militar y la moneda, en un atributo irrenunciable de la soberanía nacional. En julio de 2026, esa certeza saltó de los textos legales a las órdenes ejecutivas.
Enlaces de referencia:
- https://clashreport.com/world/articles/spain-orders-blacklist-of-us-tech-giant-palantir-from-public-and-private-companies-fsnc2z17gjv
- https://noyb.eu/en/us-supreme-court-just-blew-eu-us-data-transfers
- https://news.ycombinator.com/item?id=48762725
- https://lobste.rs/s/thkwcf
- https://therecord.media/supreme-court-decision-threatens-eu-us-data-sharing
- https://cybernews.com/security/trumps-ftc-eu-us-data-transfer-risk/