En una decisión que está dando mucho que hablar en el mundo de la protección de datos personales, las autoridades europeas han sancionado a TikTok con 602 millones de dólares por transferir información de usuarios europeos a China sin las garantías necesarias. Esta sanción no es un simple tirón de orejas: es la tercera multa más grande en la historia del Reglamento General de Protección de Datos (GDPR). Pero ¿qué ocurrió exactamente, y cómo afecta esto a quienes usamos plataformas digitales?
Vamos paso a paso.
¿Quién impone la multa y por qué?
La multa fue impuesta por la Comisión de Protección de Datos de Irlanda (DPC). Este organismo es el principal responsable de hacer cumplir el GDPR para TikTok, ya que la sede europea de la compañía está en Irlanda.
Según el informe, TikTok transfirió datos de usuarios europeos a China entre 2020 y 2022, sin informar claramente a los usuarios y sin ofrecer garantías suficientes de que esa información estuviera protegida frente a posibles accesos por parte del gobierno chino.
Imagina que dejas tus llaves de casa a un vecino para que riegue tus plantas, y luego descubres que ese vecino a veces deja la puerta abierta. Algo similar ocurrió aquí: TikTok aseguró que los datos no estaban en China, pero luego admitió que sí lo estaban, al menos en parte, lo cual contradice sus propias declaraciones previas.
¿Qué tipo de datos estaban en riesgo?
TikTok no especificó públicamente todos los tipos de información que fueron transferidos, pero hablamos de datos personales, que pueden incluir desde nombres y direcciones IP, hasta información de ubicación, historial de visualizaciones, y otros detalles sobre cómo los usuarios interactúan con la app.
Lo más preocupante es que estos datos podrían haber sido accesibles para las autoridades chinas, ya que las leyes de ese país obligan a las empresas a colaborar con los servicios de inteligencia en ciertos casos, como investigaciones por terrorismo o espionaje. Aunque TikTok insiste en que nunca recibió solicitudes de datos por parte del gobierno chino, los reguladores europeos no consideran que eso sea garantía suficiente.
¿Qué dijo TikTok al respecto?
TikTok ha respondido que no está de acuerdo con la sanción y que apelará la decisión. Argumenta que los datos que llegaron a estar almacenados en China fueron «limitados» y que ya han sido eliminados. También critica que la DPC no tomó en cuenta las medidas de seguridad más recientes, como el proyecto Project Clover.
Este proyecto, lanzado en 2023, busca alojar los datos de usuarios europeos en centros de datos dentro de Europa, limitando así el acceso desde fuera del continente. Además, promete una supervisión externa para verificar que los datos no se compartan indebidamente.
Pero el regulador irlandés sostiene que, aunque se han hecho avances, la investigación se centró en el periodo entre 2020 y 2022, y que los errores cometidos durante esos años siguen teniendo consecuencias.
¿Esta es la primera vez que TikTok es sancionada en Europa?
No. En 2023, la misma DPC ya había multado a TikTok con 368 millones de dólares por no proteger adecuadamente los datos de usuarios menores de edad. Y hay más investigaciones en curso:
Una sobre si TikTok cumple sus obligaciones para prevenir la interferencia extranjera en elecciones.
Otra relacionada con la verificación de edad de sus usuarios.
Y una más sobre el lanzamiento de TikTok Lite en Francia y España, sin evaluar previamente los posibles riesgos.
En resumen, TikTok está bajo la lupa en Europa, y no es por una sola razón.
¿Qué significa esto para los usuarios?
Para los usuarios comunes, esta noticia puede parecer lejana, pero tiene implicaciones muy concretas. Cuando usas una app como TikTok, estás compartiendo datos constantemente: desde tus gustos y preferencias, hasta tu ubicación, edad o hábitos de consumo.
El problema es que si esos datos salen del territorio europeo y van a países donde las leyes de privacidad no son tan estrictas, se pierde el control sobre lo que puede hacerse con esa información. Puede ser usada con fines publicitarios, pero también podría estar expuesta a formas de vigilancia no deseadas.
La buena noticia es que, gracias a normas como el GDPR, las empresas están obligadas a rendir cuentas y los usuarios tienen derechos concretos sobre sus datos: saber cómo se usan, pedir su eliminación, o evitar su transferencia fuera de Europa.
¿Y ahora qué?
La DPC ha dado a TikTok seis meses para detener todas las transferencias ilegales de datos fuera del Espacio Económico Europeo. Esto obliga a la empresa a cambiar sus sistemas, reforzar su infraestructura europea y ser mucho más transparente con los usuarios.
Además, se espera que esta sanción sirva como advertencia para otras plataformas, que deben tener especial cuidado al manejar información personal, especialmente en un entorno geopolítico donde los flujos de datos se han vuelto un tema sensible.
¿Qué podemos hacer como usuarios?
Aunque la responsabilidad principal recae en las plataformas, hay varias cosas que podemos hacer para protegernos:
Revisar las políticas de privacidad de las apps que usamos.
Activar configuraciones de privacidad más estrictas dentro de las plataformas.
Limitar el tipo de información que compartimos, como ubicación o número de teléfono.
Usar herramientas como VPNs o navegadores centrados en la privacidad si nos preocupa el rastreo.
En definitiva, esta sanción a TikTok nos recuerda que los datos personales son valiosos, y que cada clic, cada vídeo que miramos, cada preferencia que marcamos, forma parte de un perfil que puede ser usado —o mal usado—. Informarnos y ejercer nuestros derechos digitales es más importante que nunca.