La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 530 millones de euros a TikTok por transferir datos personales de usuarios europeos a China sin garantizar un nivel de protección equivalente al exigido por el Reglamento General de Protección de Datos (RGPD).
¿Qué ha determinado la DPC?
La investigación, iniciada en septiembre de 2021, concluyó que TikTok infringió el RGPD al:
- No verificar ni garantizar que los datos personales de usuarios del Espacio Económico Europeo (EEE), accedidos remotamente por personal en China, recibieran un nivel de protección equivalente al garantizado dentro de la UE.
- Proporcionar información incorrecta durante la investigación, al afirmar inicialmente que no almacenaba datos europeos en servidores chinos, para luego admitir que algunos datos sí se habían almacenado en China .
Además de la multa, la DPC ha ordenado a TikTok que adapte sus sistemas de procesamiento de datos a las normativas comunitarias en un plazo de seis meses. En caso de incumplir ese calendario, TikTok deberá suspender todas las transferencias de datos a China.
¿Qué implica esta sanción?
Esta decisión subraya la importancia de que las empresas tecnológicas que operan en la UE cumplan estrictamente con el RGPD, especialmente en lo que respecta a las transferencias internacionales de datos. La falta de garantías adecuadas y la transparencia en el tratamiento de datos personales pueden resultar en sanciones significativas y restricciones operativas.
TikTok ha anunciado su intención de apelar la decisión, argumentando que la investigación se centró en prácticas anteriores a 2023 y que desde entonces ha implementado medidas de seguridad más estrictas bajo su iniciativa “Project Clover” . La empresa también sostiene que nunca ha recibido solicitudes de datos de usuarios europeos por parte de las autoridades chinas ni ha proporcionado dichos datos .
La multa impuesta a TikTok por la DPC irlandesa destaca la creciente vigilancia de las autoridades europeas sobre las prácticas de privacidad de las grandes plataformas tecnológicas. Este caso refuerza la necesidad de que las empresas que manejan datos personales de ciudadanos europeos aseguren el cumplimiento del RGPD, especialmente en lo que respecta a las transferencias internacionales de datos y la transparencia en sus operaciones.
