- La AEPD advierte de que TikTok reanuda las transferencias de datos de usuarios europeos a China pese a un dictamen contrario al RGPD.
- Irlanda impuso una multa de 530 millones de euros y ordenó frenar los envíos, pero los tribunales han suspendido cautelarmente esa prohibición.
- Las autoridades europeas mantienen que el marco legal chino no garantiza una protección equivalente a la europea.
- La AEPD recomienda revisar la privacidad e incluso valorar dejar de usar TikTok ante los riesgos para la privacidad, sobre todo en menores.
La Agencia Española de Protección de Datos (AEPD) ha encendido de nuevo las alarmas sobre TikTok al advertir de que la plataforma sigue enviando datos personales de usuarios europeos a China y a otros países fuera de la Unión Europea. Pese a una sanción millonaria y a un dictamen claro de los reguladores comunitarios, el flujo de información hacia el gigante asiático se ha reanudado mientras los tribunales resuelven el pulso legal.
Para la AEPD y el resto de autoridades de privacidad europeas, este escenario genera una zona de incertidumbre jurídica que no es menor, sobre todo teniendo en cuenta que TikTok concentra a más de 200 millones de usuarios en Europa y alrededor de 23,5 millones en España. En su último aviso, el organismo español da un paso más y anima a los ciudadanos, especialmente a los más jóvenes, a plantearse si compensa seguir usando la red social en estas condiciones.
Una multa histórica y un veto a las transferencias… de momento en pausa
El origen del conflicto se sitúa en la investigación coordinada por las autoridades europeas de protección de datos y liderada por la Comisión de Protección de Datos de Irlanda (DPC), que actúa como regulador principal de TikTok en la UE al estar su sede europea en Dublín. Tras años de análisis, la DPC concluyó que las transferencias de datos de usuarios del Espacio Económico Europeo a China vulneraban el Reglamento General de Protección de Datos (RGPD).
Como consecuencia, Irlanda impuso a TikTok una multa de 530 millones de euros y ordenó la aplicación de medidas correctoras, entre ellas frenar el envío de datos a terceros países donde no exista una protección equiparable a la europea. Los reguladores consideraron que la compañía no había demostrado que, al ser accesible la información desde China, se ofreciera un nivel de seguridad y garantías similares a los exigidos dentro de la UE.
El problema no se limita a la existencia de acceso remoto desde China, sino al marco legal bajo el que ese acceso tiene lugar. Las autoridades comunitarias han insistido en que las leyes chinas de seguridad nacional, contraespionaje o antiterrorismo permiten al Gobierno reclamar datos a las empresas tecnológicas cuando lo considere oportuno, algo que choca frontalmente con los estándares europeos de privacidad.
La resolución irlandesa incluía, además de la sanción económica, una orden de suspensión de las transferencias si en un plazo determinado TikTok no acreditaba que sus prácticas se ajustaban al RGPD. Sobre el papel, el golpe regulatorio era contundente: multa récord, obligación de corregir procedimientos y amenaza de bloqueo de los flujos de datos hacia China.
Sin embargo, la compañía presentó un recurso ante los tribunales irlandeses. En noviembre, el Tribunal Superior de Irlanda acordó levantar temporalmente la prohibición de transferir datos mientras se dirime el litigio, lo que en la práctica permite a TikTok mantener la operativa casi como antes, al menos hasta que haya una sentencia firme.
Transferencias reanudadas y un permiso judicial con condiciones
El levantamiento cautelar del veto no supone que Bruselas haya cambiado de postura ni que se considere que la red social cumple plenamente con las exigencias del RGPD. Lo que ha hecho el tribunal es permitir que las transferencias de datos a China continúen mientras se resuelve el recurso, pero imponiendo a TikTok obligaciones adicionales de transparencia hacia sus usuarios.
A raíz de esta decisión, la compañía ha empezado a mostrar dentro de la propia aplicación avisos informativos a millones de usuarios europeos en los que explica, de forma más o menos detallada, cómo se tratan sus datos, qué tipo de transferencias internacionales se realizan y que existe un procedimiento judicial abierto en Irlanda. Según la propia plataforma, este mensaje ha pasado bastante desapercibido, pero su contenido es mucho más relevante de lo que podría parecer a simple vista.
En la notificación, TikTok reconoce que, mientras dure el proceso ante el Tribunal Superior, seguirá transfiriendo datos de usuarios del EEE a China con normalidad. No hay un bloqueo efectivo del flujo de información, más allá de las exigencias de transparencia reforzada y de las restricciones internas que la empresa asegura haber implantado.
La firma, propiedad del grupo chino ByteDance, insiste en que está “en total desacuerdo” con el criterio de la autoridad irlandesa y celebra que el tribunal haya suspendido temporalmente la resolución. En paralelo, defiende que se toma “muy en serio” la protección de datos y la privacidad, y destaca que ha realizado una inversión de alrededor de 12.000 millones de euros en lo que presenta como un gran programa de blindaje de la información de los usuarios europeos.
Dentro de ese plan, conocido como Proyecto Clover, TikTok asegura que los datos de los ciudadanos del Espacio Económico Europeo se almacenan ahora por defecto en centros de datos en Europa y Estados Unidos, con controles de acceso estrictos y auditorías independientes efectuadas por terceros. Además, afirma que los empleados en China ya no pueden acceder a información especialmente sensible, como números de teléfono o direcciones IP, y que solo una parte limitada de los datos circula globalmente bajo mecanismos de protección adicionales.
Una valoración legal que sigue intacta y dudas sobre China
La AEPD y sus homólogas europeas insisten en que, pese a esta reconfiguración técnica y al relato de la empresa, la valoración jurídica que dio lugar a la multa y a la orden de suspensión sigue plenamente vigente. Es decir, para los reguladores, el hecho de que se hayan reanudado las transferencias en virtud de una medida cautelar no cambia el diagnóstico de fondo: enviar datos a China, en las condiciones actuales, no se ajusta al RGPD.
El núcleo del conflicto está en que la legislación china permite a las autoridades acceder a los activos y bases de datos de las compañías tecnológicas en función de los intereses del Estado, incluidas razones de seguridad nacional. En la práctica, esto significa que, si la información de usuarios europeos es accesible desde China, no puede descartarse que el Gobierno o incluso el Ejército Popular de Liberación puedan solicitar su entrega.
Los reguladores europeos subrayan que no hay pruebas públicas de que se haya producido un acceso gubernamental concreto a las bases de datos de TikTok. Sin embargo, recuerdan que el marco legal chino hace imposible ofrecer una protección “esencialmente equivalente” a la europea, requisito clave para que una transferencia internacional sea legal bajo el RGPD.
Durante la investigación, la propia TikTok se vio en apuros. En un primer momento sostuvo que no almacenaba datos de usuarios europeos en servidores ubicados en China, pero, con el avance del procedimiento, terminó reconociendo que una cantidad limitada de información había acabado allí debido a un “fallo interno”. Para las autoridades, este episodio refuerza la percepción de que las salvaguardas técnicas y organizativas de la compañía no son suficientes.
Este tipo de riesgos no son nuevos en la escena comunitaria. Precisamente la preocupación por accesos no controlados a datos europeos desde terceros países llevó al Tribunal de Justicia de la UE a tumbar en dos ocasiones los grandes acuerdos de transferencia de datos con Estados Unidos (Safe Harbor y Privacy Shield). El nuevo marco transatlántico también está bajo la lupa judicial, a raíz de otra denuncia planteada por el mismo activista que logró anular los dos anteriores.
Advertencia de la AEPD: revisar la privacidad y pensar si merece la pena seguir en TikTok
En este contexto, la Agencia Española de Protección de Datos ha optado por un mensaje inusualmente claro para el gran público. Además de recordar que TikTok mantiene transferencias de datos personales de usuarios europeos a terceros países, incluida China, el organismo considera “esencial” que los ciudadanos dispongan de información comprensible sobre qué ocurre con su información cuando usan la aplicación.
La AEPD pone el foco especialmente en menores y jóvenes, que son quienes más tiempo pasan en redes sociales y aplicaciones de vídeo corto. El uso intensivo de estas plataformas implica un tratamiento masivo de datos: historiales de visualización, interacciones, gustos, ubicación aproximada, identificadores del dispositivo, hábitos de consumo y un largo etcétera.
Por ello, la Agencia ha publicado una serie de recomendaciones prácticas dirigidas a cualquier persona que utilice servicios digitales, pero muy especialmente a los usuarios de TikTok:
- Leer con calma las notificaciones y políticas de privacidad de las plataformas, en lugar de aceptarlas de forma automática.
- Revisar la configuración de privacidad de cada app y comprobar los permisos concedidos (cámara, micrófono, contactos, fotos, ubicación…), retirando aquellos que no sean estrictamente necesarios.
- Actuar con prudencia respecto a lo que se comparte en redes sociales, evitando difundir datos sensibles como información de salud, orientación sexual, situación financiera o documentos identificativos.
- Valorar seriamente si se desea seguir usando un servicio cuando existen transferencias de datos a países que no ofrecen un nivel de protección similar al europeo.
La postura del regulador español no supone una prohibición formal, pero sí se traduce en una recomendación explícita de plantearse abandonar la plataforma en caso de duda. El mensaje es sencillo: si el tratamiento de datos implica que la información pueda quedar bajo jurisdicciones donde las autoridades europeas no tienen margen de control efectivo, el usuario debe decidir si el entretenimiento que ofrece la app compensa ese riesgo.
El papel de Irlanda y la cooperación europea en el caso TikTok
TikTok ha designado Irlanda como su “establecimiento principal” en Europa, lo que significa que la Comisión de Protección de Datos irlandesa actúa como autoridad de control líder para la empresa dentro de la UE. Este diseño encaja con el mecanismo de “ventanilla única” previsto por el RGPD, según el cual un gran grupo multinacional se somete a un regulador principal que coordina con el resto de autoridades nacionales.
En la práctica, eso implica que la DPC irlandesa dirige las investigaciones y sanciones clave sobre TikTok, mientras que organismos como la AEPD participan en el proceso a través del Comité Europeo de Protección de Datos. Fue precisamente en este marco de cooperación donde se consensuó el dictamen que consideraba ilegales las transferencias de datos a China y avalaba la multa de 530 millones.
La AEPD ha recordado que sigue involucrada en los mecanismos de cooperación y coherencia previstos por el RGPD, y que continúa realizando el seguimiento del procedimiento dentro de sus competencias. Aunque la batalla jurídica se concentre en los tribunales irlandeses, el desenlace tendrá repercusiones en toda la Unión, tanto para TikTok como para otras plataformas que operan con modelos de negocio basados en el tratamiento intensivo de datos.
Al mismo tiempo, distintos reguladores europeos y la propia Comisión Europea han intensificado la presión sobre la plataforma para que aporte pruebas verificables de que los datos de los usuarios europeos no son accesibles desde China, o de que, si existe algún tipo de acceso remoto, se hace bajo condiciones compatibles con el RGPD. Hasta que estos extremos no se aclaren por completo, el mensaje oficial invita a extremar las precauciones.
Conviene enmarcar este caso en un contexto más amplio: el creciente escrutinio sobre aplicaciones y redes sociales que exigen crear una cuenta y aceptar el uso de datos personales como requisito para acceder al servicio. Lo que durante años fue un gesto casi automático -pulsar “aceptar” sin leer- genera ahora más recelo, tanto entre los usuarios como entre las instituciones, ante la dificultad de saber con exactitud qué información se recoge, con quién se comparte y en qué país acaba almacenada.
La evolución de este conflicto entre TikTok y los reguladores europeos se ha convertido, así, en una especie de caso de estudio sobre la capacidad real de la UE para imponer sus reglas de protección de datos frente a grandes plataformas globales con raíces fuera del entorno comunitario. Lo que se resuelva en los tribunales irlandeses marcará la pauta para futuros choques entre privacidad, intereses comerciales y marcos legales tan distintos como el europeo y el chino.
Mientras tanto, los usuarios europeos se encuentran ante una situación incómoda: continúan disfrutando de una aplicación enormemente popular, pero sabiendo que parte de sus datos puede seguir siendo accesible desde China durante el tiempo que dure el proceso judicial. Entre la comodidad de seguir deslizando vídeos y las advertencias de las autoridades, cada persona tendrá que decidir dónde coloca el listón de su propia privacidad.
