La Comisión de Protección de Datos de Irlanda (DPC), el máximo regulador de privacidad de la Unión Europea, ha impuesto una multa de 530 millones de euros a TikTok. Esto ha sido por enviar información personal de usuarios europeos a China sin cumplir con las garantías legales requeridas por el Reglamento General de Protección de Datos (RGPD).
La investigación reveló que los trabajadores de TikTok en China accedieron remotamente a datos de usuarios europeos. Se trata de una acción que, de acuerdo con la Comisión de Protección de Datos de Irlanda, se llevó a cabo sin cumplir con las garantías requeridas por la legislación europea. Durante el proceso, la compañía negó reiteradamente que los datos personales de los usuarios europeos fueran almacenados o tratados en China. No obstante, en febrero de 2025, TikTok admitió que algunos datos si fueron procesados en servidores de China, aunque garantizó que más tarde fueron eliminados.
TikTok ha manifestado su propósito de apelar la decisión. Ha argumentado que desde 2023 ha estado trabajando en implementar medidas de protección de datos. Estas incluyen la vigilancia independiente del acceso remoto y el almacenamiento de información en centros de datos específicos en Europa y EE.UU. Además, la compañía sostiene que nunca ha recibido peticiones de información de usuarios de la UE de las autoridades de China.
Antecedentes y medidas correctivas
No es la primera vez que TikTok recibe castigos por infracciones en la privacidad en la UE. En septiembre de 2023, la DPC sancionó a la plataforma con 345 millones de euros. Esto ocurrió por no proteger adecuadamente los datos personales de niños de 13 a 17 años. El estudio mostró que por defecto, las cuentas de estos usuarios eran públicas y que el modo «familiar» facilitaba que adultos no confirmados se relacionaran con menores a través de mensajes directos. Esto suponía un peligro considerable para su privacidad.
Como respuesta a las inquietudes regulatorias, TikTok puso en marcha el Proyecto Clover. Esto surge de un esfuerzo enfocado en fortalecer la protección y privacidad de la información de los usuarios europeos. Como un componente de este proyecto, la empresa ha comenzado a edificar tres centros de datos en Europa, dos en Irlanda y uno en Noruega. El primer centro en Dublín ya está en funcionamiento y ha iniciado la transferencia de información de los usuarios europeos. El centro de Noruega también ha puesto en marcha sus operaciones, y se anticipa que el segundo centro en Irlanda esté operativo en un futuro.
Además, TikTok ha incorporado a la compañía europea de ciberseguridad NCC Group con el objetivo de supervisar y auditar de manera autónoma los controles y protecciones de datos. Además, supervisarán los flujos de información e informarán sobre cualquier suceso.
A pesar de estas acciones, la DPC ha concedido a TikTok un periodo de seis meses para acatar las regulaciones europeas de protección de datos. Ha alertado que, en caso contrario, se dictará la interrupción de todas las transacciones de datos hacia China.
Este caso resalta la creciente inquietud de las autoridades europeas respecto a la protección de la información personal y la claridad en las transferencias internacionales de datos, particularmente hacia naciones con regulaciones de privacidad distintas a las de la UE.
