La Comisión de Protección de Datos de Irlanda sancionó a la red social por violaciones a la norma del RGPD y exigió cambios urgentes para garantizar la seguridad de los datos de la comunidad europea.
La popular red social TikTok enfrenta un nuevo revés en Europa tras recibir una multa de 530 millones de euros por parte de la Comisión de Protección de Datos de Irlanda (DPC), organismo que actúa como principal regulador del Reglamento General de Protección de Datos (RGPD) en la Unión Europea debido a la ubicación de la sede europea de la compañía en ese país.
La sanción impuesta a TikTok se debe a transferencias no autorizadas de datos personales de usuarios del Espacio Económico Europeo (EEE) a China y por no cumplir con los requisitos de transparencia exigidos por la normativa europea.
De ese total, 485 millones de euros corresponden a la violación del artículo 46(1) del RGPD, relacionado con la legalidad de las transferencias internacionales de datos, y 45 millones de euros a la infracción del artículo 13(1)(f), que exige informar de manera clara a los usuarios sobre el destino y uso de sus datos personales.
Según explicó el Comisionado Adjunto del DPC, Graham Doyle, “las transferencias de datos personales de TikTok a China infringieron el RGPD porque TikTok no verificó, garantizó ni demostró que los datos personales de los usuarios del EEE, a los que accedía remotamente el personal en China, contaban con un nivel de protección esencialmente equivalente al garantizado dentro de la UE”.
La investigación reveló que, aunque TikTok aseguraba no almacenar datos europeos en servidores chinos, en febrero de 2025 se descubrió que cierta información sí se encontraba alojada allí. La empresa lo reconoció en abril, en contradicción con lo que había declarado anteriormente al regulador. Aunque TikTok aseguró que esos datos fueron eliminados, Doyle afirmó que “la DPC se está tomando muy en serio estos recientes avances en relación con el almacenamiento de datos de usuarios del EEE en servidores en China” y que se estudian nuevas medidas regulatorias.
Además, la DPC cuestionó la falta de transparencia en las políticas de privacidad de TikTok. Hasta 2022, durante buena parte del proceso de investigación, la red social no especificaba en qué países se podían transferir los datos, ni aclaraba que el personal en China, entre otros lugares, tenía acceso remoto a información almacenada en servidores ubicados en Singapur y los Estados Unidos.
Como parte de la resolución, la DPC ordenó a TikTok corregir sus prácticas de transferencia de datos en un plazo de seis meses. De no cumplir con esta exigencia, la empresa podría enfrentar la suspensión total de cualquier transferencia de datos personales a China, lo que afectaría gravemente su operación en Europa.
TikTok, propiedad de la empresa china ByteDance, ha respondido a la sanción anunciando que apelará la decisión, alegando que no se ha tenido en cuenta su nueva estrategia de protección de datos, denominada Proyecto Clover. Según explicó Christine Grahn, directora de Políticas Públicas y Relaciones Gubernamentales de TikTok para Europa, la plataforma ha implementado tecnologías avanzadas para proteger los datos sensibles, como el cifrado en el acceso y técnicas de privacidad diferencial. “Es crucial que expertos independientes en ciberseguridad de NCC Group hayan verificado que estas medidas de seguridad funcionan según lo previsto”, declaró Grahn.
Esta no es la primera vez que TikTok es sancionada en la región. En 2023, la misma comisión irlandesa impuso una multa de 345 millones de euros por prácticas que comprometían la privacidad de menores. Ese mismo año, la autoridad de protección de datos de Francia también multó a la empresa por cuestiones relacionadas con el uso de cookies y la falta de información clara a los usuarios. La actual sanción se convierte en la tercera más alta impuesta por el DPC, solo por detrás de las que afectaron a Amazon (746 millones de euros) y a Meta (1.200 millones de euros), ambas también por cuestiones relacionadas con el tratamiento de datos personales.