(011) 15-5117-1073
Irlanda impuesó una multa histórica bajo el RGPD a TikTok. Puede aplicar las correcciones
Buenos Aires-(Nomyc)-TikTok fue sancionada con una multa de 530 millones de euros por violar el Reglamento General de Protección de Datos (RGPD), ya que la red social, propiedad de ByteDance, permitió el acceso remoto desde China a datos de usuarios europeos, sin garantizar un nivel de protección equivalente al de la Unión Europea.
Además, en febrero de 2025 se descubrió que parte de esos datos sí se había almacenado en servidores chinos, contradiciendo lo que la propia compañía había declarado durante la investigación.
Más consecuencias: junto a la sanción económica, la Comisión de Protección de Datos de Irlanda (DPC) dio a TikTok un plazo de seis meses para adecuar el tratamiento de datos a los requisitos del RGPD y si no lo cumple, se suspenderán todas las transferencias de datos al país asiático.
Qué pasó: según la investigación liderada por la DPC, autoridad principal al tener sede TikTok Technology Limited en Irlanda, TikTok no garantizó un nivel de protección equivalente al europeo en las transferencias de datos, y no evaluó adecuadamente el riesgo de acceso por parte de las autoridades chinas.
Graham Doyle, comisionado adjunto de la DPC, lo resumió así: “TikTok no realizó las evaluaciones necesarias y no abordó el riesgo de acceso a los datos personales por parte de las autoridades chinas conforme a leyes antiterroristas, de contraespionaje y otras normas identificadas por la propia compañía como materialmente divergentes de los estándares de la UE”.
Desglose de la sanción: la multa impuesta se descompone en dos conceptos que responden a dos artículos distintos del RGPD:
· 485 millones de euros por infringir el artículo 46(1), al realizar transferencias de datos entre el Espacio Económico Europeo (EEE) y China sin salvaguardias adecuadas ni garantías de protección equivalente.
· 45 millones de euros por infringir el artículo 13(1)(f), al no informar adecuadamente en su política de privacidad de octubre de 2021 sobre los países destinatarios de los datos, entre ellos China. Esta infracción se extiende desde el 29 de julio de 2020 hasta el 1 de diciembre de 2022, momento en el que TikTok actualizó su política.
Antecedentes: una sospecha de 2021: la investigación se remonta a 2021, cuando surgieron dudas sobre si ingenieros en China podían acceder a datos de usuarios europeos y la DPC abrió una investigación formal para comprobar la legalidad de las transferencias de datos fuera del EEE y en ese momento, TikTok aseguraba que no almacenaba datos europeos en China, aunque reconocía que sí podía haber acceso remoto desde el país.
Cambios de versión y contradicciones: en abril de 2025, TikTok notificó a la DPC que había descubierto, dos meses antes, un caso en el que una cantidad limitada de datos de usuarios europeos sí había sido almacenada en servidores chinos, contradiciendo sus declaraciones anteriores. La compañía indicó que esos datos ya han sido eliminados, pero este hallazgo ha pesado en la decisión final del regulador.
Imortancia: el RGPD establece que los datos personales solo pueden transferirse fuera del EEE si el país receptor garantiza un nivel de protección esencialmente equivalente. En ausencia de una “decisión de adecuación” por parte de la Comisión Europea (que China no tiene), deben aplicarse medidas adicionales, como cláusulas contractuales estándar y evaluaciones de riesgos. TikTok no cumplió con estos requisitos.
TikTok se defiende: la compañía anunció que recurrirá la decisión y según Bloomberg, TikTok afirma que nunca recibió una solicitud de datos de usuarios europeos por parte de las autoridades chinas, y que tampoco les ha proporcionado información alguna.
El papel de Irlanda en todo esto: aunque el Comité Europeo de Protección de Datos (CEPD) incluye una veintena de autoridades, la DPC irlandesa lidera este caso por ser el regulador principal de TikTok en Europa. No es la primera vez que lo hace: en 2023, multó a la red social con 345 millones de euros por no proteger adecuadamente la privacidad de los menores.
Nomyc-5-5-25
