La Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés) ha impuesto una multa histórica de 530 millones de euros (equivalentes a 601 millones de dólares) a TikTok, por infringir el Reglamento General de Protección de Datos (RGPD) al transferir datos personales de usuarios europeos a servidores ubicados en China.
Esta sanción se convierte en una de las más altas impuestas bajo el marco del RGPD, lo que refleja la creciente preocupación de las autoridades europeas por la privacidad digital y la seguridad de los datos en el entorno digital global.
Transferencias ilegales de datos desde Europa hacia China
Según el comunicado oficial del DPC, TikTok vulneró el artículo 46(1) del RGPD, que exige garantías adecuadas para la transferencia de datos personales a terceros países fuera del Espacio Económico Europeo (EEE). En este caso, la plataforma no ofreció evidencia suficiente de que los datos de los usuarios europeos estuvieran protegidos con los mismos estándares de privacidad que rigen dentro de la Unión Europea.
El comisionado adjunto Graham Doyle explicó que TikTok no demostró que los datos personales estuvieran resguardados contra posibles accesos indebidos, especialmente por parte de las autoridades chinas bajo el amparo de las leyes nacionales de contraespionaje y antiterrorismo.
“Las leyes chinas en materia de vigilancia son sustancialmente divergentes de las normas europeas, lo que representa un riesgo claro para la privacidad de los usuarios”, afirmó Doyle.
Un fallo que obliga a suspender transferencias de datos en seis meses
Además de la multa económica, la resolución obliga a TikTok a suspender todas las transferencias de datos personales a China en un plazo de seis meses. La plataforma deberá ajustar sus prácticas de procesamiento de datos para cumplir con los requisitos del RGPD.
Esta acción se basa en una investigación iniciada en septiembre de 2021, que evaluó las transferencias internacionales de datos realizadas por la compañía, así como su nivel de transparencia con respecto al tratamiento de información sensible.
TikTok admitió almacenamiento no autorizado en servidores chinos
Durante el curso de la investigación, TikTok inicialmente negó que los datos de usuarios del EEE se almacenaran en China. Sin embargo, en febrero de 2025, la empresa reveló al regulador irlandés que había identificado un «problema técnico» por el cual se almacenó una cantidad limitada de datos en servidores ubicados en territorio chino.
Aunque la compañía afirmó que estos datos ya fueron eliminados, el DPC señaló que podría tomar nuevas acciones regulatorias, en coordinación con otras autoridades de protección de datos de la Unión Europea.
Respuesta de TikTok: defensa basada en Project Clover
En defensa de sus acciones, Christine Grahn, jefa de políticas públicas de TikTok para Europa, sostuvo que la decisión del DPC no tomó en cuenta los avances en materia de seguridad de datos implementados por la empresa, como parte del Project Clover. Esta iniciativa, presentada como un compromiso con la privacidad de los usuarios europeos, busca establecer centros de datos regionales y medidas adicionales de control de acceso.
“TikTok nunca ha recibido solicitudes de datos de usuarios europeos por parte del gobierno chino, y nunca ha proporcionado dicha información”, declaró Grahn.
Sin embargo, el fallo del DPC se centra en la ausencia de garantías legales adecuadas, independientemente de que se hayan producido o no solicitudes de datos por parte del gobierno chino.
Segunda multa significativa contra TikTok en la UE
Esta no es la primera vez que TikTok enfrenta sanciones severas por parte de las autoridades europeas. En septiembre de 2023, la misma Comisión de Protección de Datos irlandesa impuso una multa de 345 millones de euros por violaciones relacionadas con el tratamiento de datos personales de menores de edad, especialmente en lo que respecta a la configuración predeterminada de privacidad de sus cuentas.
Con esta nueva multa de 530 millones de euros, TikTok acumula casi 900 millones de euros en sanciones en menos de dos años, consolidándose como uno de los casos más notorios de incumplimiento del RGPD por parte de una empresa tecnológica global.
La UE endurece su postura frente a la protección de datos
La decisión del DPC refleja una clara señal de endurecimiento en la aplicación del RGPD frente a gigantes tecnológicos que operan en múltiples jurisdicciones. La protección de datos personales se ha convertido en un eje central de la legislación europea, y el tratamiento transfronterizo sin garantías adecuadas ya no será tolerado.
TikTok, propiedad de la empresa china ByteDance, deberá ahora revisar a fondo su arquitectura de transferencia de datos, y adaptarse a los principios fundamentales de privacidad, transparencia y control exigidos por el RGPD.
Fuente: The Hacker News
