TikTok ha sido multado con 530 millones de euros por la Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés) por transferencias ilegales de datos a China y falta de transparencia.
El 2 de mayo de 2025, la DPC irlandesa, actuando como autoridad de control principal en virtud del RGPD, publicó su decisión final en una investigación sobre las transferencias de datos desde el Espacio Económico Europeo (EEE) a China realizadas por TikTok Technology Limited. La DPC concluyó que TikTok incumplió tanto los requisitos internacionales de transferencia de datos como las obligaciones de transparencia bajo el RGPD. Además de la multa, se le ha concedido a TikTok un plazo de seis meses para adecuar sus actividades de tratamiento a la normativa o enfrentar la suspensión de sus transferencias de datos a China.
TikTok no demostró que sus transferencias a China garantizaran un nivel de protección esencialmente equivalente.
La investigación evaluó la dependencia de TikTok en las Cláusulas Contractuales Tipo (SCC, por sus siglas en inglés) y en medidas complementarias para legitimar las transferencias de datos. La DPC concluyó que TikTok incumplió el Artículo 46(1) del RGPD, al no verificar ni demostrar adecuadamente que los datos personales de los usuarios del EEE accedidos remotamente desde China estuvieran protegidos con un nivel de seguridad esencialmente equivalente al garantizado en la UE.
Las propias presentaciones de TikTok reconocieron que leyes chinas, como la Ley Antiterrorista, la Ley Contra el Espionaje, la Ley de Ciberseguridad y la Ley de Inteligencia Nacional, divergen sustancialmente de los estándares europeos. No obstante, TikTok continuó con las transferencias sin implementar salvaguardias adecuadas. La DPC determinó que esta omisión afectó la capacidad de TikTok para evaluar apropiadamente los riesgos y aplicar protecciones adecuadas.
TikTok no proporcionó a los usuarios del EEE información clara y suficiente sobre las transferencias de datos a terceros países.
La DPC también concluyó que la Política de Privacidad del EEE de TikTok de octubre de 2021 no cumplía con los requisitos de transparencia del Artículo 13(1)(f) del RGPD. La política no identificaba los países terceros específicos a los que se transferían datos personales, incluyendo China, ni revelaba la naturaleza del tratamiento, es decir, el acceso remoto a datos almacenados en Estados Unidos y Singapur por parte de personal ubicado en China.
Aunque TikTok actualizó su política en diciembre de 2022 para abordar estos problemas, la DPC determinó que la infracción de transparencia tuvo lugar entre el 29 de julio de 2020 y el 1 de diciembre de 2022. La multa de 530 millones de euros incluye 45 millones por la infracción de transparencia y 485 millones por las transferencias ilegales.
TikTok reveló haber proporcionado información incorrecta durante la investigación sobre el almacenamiento de datos en China.
En un desarrollo posterior, TikTok informó a la DPC en abril de 2025 que, contrariamente a declaraciones anteriores, una cantidad limitada de datos de usuarios del EEE había sido almacenada en servidores en China. La empresa declaró que dichos datos ya fueron eliminados, pero la DPC está considerando si se requiere una acción regulatoria adicional.
TikTok ha anunciado su intención de apelar.
En una declaración reciente, TikTok expresó su desacuerdo con las conclusiones de la DPC, alegando que la decisión se enfoca en prácticas pasadas que preceden al lanzamiento en 2023 de “Project Clover”, su iniciativa de seguridad de datos valorada en 12.000 millones de euros. Según TikTok, la DPC no consideró adecuadamente las amplias salvaguardias que ahora están en vigor.
TikTok defiende sus medidas de seguridad destacando el “Project Clover”, un marco pionero en la industria con supervisión independiente del grupo NCC, localización de datos en Europa y tecnologías avanzadas de privacidad. La compañía enfatiza que los datos de usuarios europeos se almacenan por defecto en un enclave de datos europeo, el acceso remoto está estrictamente controlado y monitoreado, los datos restringidos son inaccesibles para empleados en China, y expertos independientes en ciberseguridad han validado estas salvaguardias.
Este caso subraya el enfoque regulador continuo sobre las transferencias internacionales de datos y la transparencia significativa bajo el RGPD.
La decisión de la DPC refuerza la importancia de alinear los mecanismos de transferencia de datos con las normas legales de la UE, especialmente cuando se transfieren datos personales a jurisdicciones sin una decisión de adecuación. Asimismo, destaca las crecientes expectativas que enfrentan las organizaciones para realizar evaluaciones legales y técnicas exhaustivas y proporcionar información clara y precisa a los titulares de los datos.
Descubre cómo puede ayudarte Aphaia a diseñar tu estrategia de protección de datos e IA. Ofrecemos servicios de cumplimiento con el RGPD y el UK GDPR, así como DPO externo, que ahora puede complementarse con nuestro paquete de privacidad para leyes de Estados Unidos. Nos especializamos en ayudar a empresas como la tuya con soluciones innovadoras que cumplan y superen los requisitos del mercado y del panorama regulatorio actual. Contacta con Aphaia hoy.
