La popular plataforma de vídeos cortos TikTok ha recibido una multa histórica de 530 millones de euros (aproximadamente 601,3 millones de dólares) por parte del regulador de privacidad irlandés. El motivo: transferir datos de usuarios europeos a China sin las garantías adecuadas, infringiendo así la normativa de protección de datos de la Unión Europea.
La Comisión de Protección de Datos de Irlanda (DPC), que lidera la supervisión de privacidad para TikTok en la UE, anunció este viernes que la plataforma ha incumplido el Reglamento General de Protección de Datos (GDPR) europeo en sus prácticas de transferencia de información.
La infracción del GDPR y sus consecuencias
El regulador irlandés no solo ha impuesto la cuantiosa multa, sino que además ha ordenado a TikTok que regularice sus prácticas de procesamiento de datos en un plazo máximo de seis meses. La comisión advirtió que suspenderá las transferencias de datos a China si la plataforma no cumple con las exigencias dentro del plazo establecido.
"Las transferencias de datos personales de TikTok a China infringieron el GDPR porque TikTok no logró verificar, garantizar y demostrar que los datos personales de los usuarios del Espacio Económico Europeo, a los que accedía remotamente el personal en China, contaban con un nivel de protección esencialmente equivalente al garantizado dentro de la UE", declaró Graham Doyle, comisario adjunto de la DPC, según informó CNBC.
Doyle añadió que "como resultado del fracaso de TikTok para realizar las evaluaciones necesarias, la compañía no abordó el potencial acceso por parte de las autoridades chinas a los datos personales europeos bajo las leyes chinas antiterroristas, de contraespionaje y otras que TikTok identificó como materialmente divergentes de los estándares de la UE".
Uno de los aspectos más graves destacados por la autoridad irlandesa es que TikTok proporcionó información inexacta durante la investigación. La plataforma había afirmado que no almacenaba datos de usuarios europeos en servidores ubicados en China, pero este mes informó al regulador de que en febrero descubrió un problema donde datos limitados de usuarios europeos habían sido almacenados en servidores chinos, contradiciendo sus declaraciones anteriores.
La DPC ha señalado que se toma el asunto "muy en serio" y está considerando qué acciones regulatorias adicionales podrían ser necesarias, en consulta con otras autoridades de protección de datos de la UE.
TikTok apela la decisión y defiende sus prácticas
La respuesta de TikTok no se ha hecho esperar. La compañía ha anunciado que discrepa con la decisión del regulador irlandés y que planea apelarla en su totalidad.
Christine Grahn, jefa de política pública y relaciones gubernamentales de TikTok para Europa, publicó un comunicado defendiendo la posición de la empresa: "La decisión no tiene en cuenta el Project Clover, una iniciativa de seguridad de datos de 12.000 millones de euros destinada a proteger los datos de los usuarios europeos. En su lugar, se centra en un período específico de hace años, anterior a la implementación de Clover en 2023, y no refleja las salvaguardias ahora vigentes".
Grahn también destacó que "la propia DPC registró en su informe lo que TikTok ha dicho constantemente: nunca ha recibido una solicitud de datos de usuarios europeos por parte de las autoridades chinas, y nunca les ha proporcionado datos de usuarios europeos".
Es importante señalar que TikTok ha reconocido previamente que el personal en China puede acceder a datos de usuarios. En 2022, actualizó su política de privacidad indicando que los empleados en países donde opera —incluidos China, Brasil, Canadá e Israel— tienen permitido el acceso a los datos de los usuarios para garantizar que su experiencia sea "consistente, agradable y segura".
Preocupaciones sobre la seguridad de los datos en Occidente
Esta sanción se enmarca en un contexto más amplio de preocupaciones por parte de legisladores y reguladores occidentales. El temor principal es que las transferencias de datos de TikTok a China puedan permitir a Pekín acceder a esa información para vigilar a los usuarios de la aplicación.
Estas inquietudes tienen base en la legislación china, que obliga a las empresas tecnológicas a entregar datos de usuarios al gobierno chino si se les solicita para ayudar en "trabajos de inteligencia" definidos de manera vaga.
Por su parte, TikTok ha insistido en que nunca ha enviado datos de usuarios al gobierno chino. En 2023, el CEO de TikTok, Shou Zi Chew, afirmó en un testimonio escrito para una audiencia del Congreso de EE.UU. que la aplicación "nunca ha compartido, ni recibido una solicitud para compartir, datos de usuarios estadounidenses con el gobierno chino".
El conflicto entre las leyes chinas y las normas europeas
El caso de TikTok ilustra la creciente tensión entre las normativas de privacidad occidentales y las prácticas empresariales de compañías con vínculos en China. La multa irlandesa representa uno de los casos más significativos de aplicación del GDPR contra una plataforma tecnológica global, y podría sentar un precedente importante para futuras decisiones regulatorias.
Para hacer frente a estas preocupaciones, TikTok lanzó en 2023 el Project Clover, iniciativa que implica una inversión de 12.000 millones de euros para mejorar la seguridad de los datos de los usuarios europeos. Sin embargo, el regulador irlandés ha considerado que estas medidas no son suficientes o llegaron demasiado tarde.
La decisión de la DPC irlandesa muestra la determinación de los reguladores europeos para hacer cumplir estrictamente las normas de protección de datos, incluso frente a gigantes tecnológicos globales. Para TikTok, el desafío será reconciliar las exigencias regulatorias europeas con su estructura empresarial global y sus obligaciones bajo la ley china.
El caso continuará desarrollándose mientras TikTok avanza con su apelación y busca demostrar que sus prácticas actuales cumplen con los estándares europeos de protección de datos.
