La UE impone una multa de 530 millones a TikTok por transferir a China datos de sus usuarios europeos
La UE impone una multa de 530 millones a TikTok por transferir a China datos de sus usuarios europeos
La red social no ha examinado adecuadamente los riesgos de que el régimen de Pekín acceda a los datos personales de sus clientes comunitarios.
Más información: Bruselas lanza un expediente sancionador contra TikTok por no garantizar la protección de los menores
La Comisión de Protección de Datos de Irlanda, que actúa en nombre de la Unión Europea, ha impuesto este viernes una multa de 530 millones de euros a TikTok por transferir a China datos personales de sus usuarios europeos sin garantizar un nivel de seguridad suficiente, lo que vulnera las normas comunitarias. La red social de vídeos china dispone ahora de un plazo de seis meses para ajustar su procesamiento de datos a la normativa europea o de lo contrario se arriesga a nuevas sanciones europeas.
"No estamos de acuerdo con esta decisión y tenemos la intención de recurrirla en su totalidad", ha anunciado la compañía en un comunicado. TikTok sostiene que nunca ha recibido de las autoridades chinas una solicitud de datos de sus usuarios europeos ni se los ha proporcionado. Además, alega que la decisión de Bruselas no tiene en cuenta Project Clover, su iniciativa de seguridad de datos que ha costado 12.000 millones de euros e incluye "algunas de las protecciones más estrictas del mercado".
"El Reglamento General de Protección de Datos (RGPD) exige que el alto nivel de protección brindado dentro de la UE continúe cuando los datos personales se transfieren a otros países. Las transferencias de datos personales de TikTok a China infringieron el RGPD porque TikTok no verificó, garantizó ni demostró que los datos personales de los usuarios europeos, a los que accedía de forma remota el personal de China, recibían un nivel de protección equivalente al garantizado dentro de la UE", ha explicado el responsable de la Comisión de Protección de Datos de Irlanda, Graham Doyle.
"Como resultado de que TikTok incumplió su obligación de realizar las evaluaciones necesarias, TikTok no examinó el posible acceso por parte de las autoridades chinas a datos personales del Espacio Económico Europeo en virtud de las leyes chinas antiterroristas, de contraespionaje y otras normas identificadas por TikTok como materialmente divergentes de los estándares de la UE", ha señalado Doyle.
Durante la investigación, TikTok aseguró a la Comisión de Protección de Datos de Irlanda que no almacenaba datos de usuarios del espacio económico europeo en servidores ubicados en China. Sin embargo, en abril de 2025, Tiktok informó a Dublín de un "problema" que había descubierto en febrero de 2025, por el que "datos limitados" de clientes europeos sí se habían almacenado en servidores en China, contrariamente a los argumentos presentados por la compañía durante la investigación.
La Comisión de Protección de Datos de Irlanda ha señalado que se está tomando "muy en serio" esta información reciente sobre el almacenamiento de datos de usuarios europeos en servidores en China y sopesa imponer una multa adicional por este motivo. "Si bien TikTok ha informado de que los datos han sido eliminados, estamos considerando qué otras medidas regulatorias podrían estar justificadas, en consulta con las autoridades de protección de datos de la UE", ha explicado Doyle.
Según el Reglamento de Protección de Datos, la transferencia a países extracomunitarios puede ser autorizada mediante una decisión de la Comisión Europea tras verificar que la normativa allí garantiza un "nivel adecuado de protección". Hasta la fecha, Bruselas ha adoptado decisiones de adecuación respecto de Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Corea del Sur, Suiza, Reino Unido, Estados Unidos y Uruguay.
China no figura en esta lista y tampoco hay ninguna previsión de que el Ejecutivo comunitario negocie un acuerdo de este tipo con Pekín por tratarse de un régimen autoritario que no respeta los derechos humanos.
En esta investigación, TikTok Irlanda debía evaluar si la legislación china garantizaba un nivel de protección esencialmente equivalente al de la legislación de la UE. La propia compañía admitió que hay toda una serie de leyes chinas que divergen de los estándares de la UE, como la Ley Antiterrorista, la Ley de Contraespionaje, la Ley de Ciberseguridad y la Ley de Inteligencia Nacional.
Aunque TikTok sostiene que las transferencias mediante acceso remoto no están sujetas a estas normas, la Comisión de Protección de Datos de Irlanda discrepa y sostiene que la red social no ha dado las garantías necesarias.
Finalmente, Dublín considera que TikTok también incumplió su obligación de informar a los usuarios de que sus datos se transfieren a China. La política de privacidad de TikTok de 2021 no mencionaba los países terceros, incluida China, a los que se enviaron los datos personales. Tampoco especificó que el tratamiento incluía el acceso remoto a datos personales almacenados en Singapur y EEUU por parte de personal con sede en China.
La compañía actualizó su política de privacidad en diciembre de 2022, durante el curso de la investigación. La Comisión de Protección de Datos de Irlanda considera que los cambios realizados en ese momento sí se ajustan al Reglamento de Protección de Datos. Por tanto, la duración de la infracción de esta obligación se limita al periodo comprendido entre el 29 de julio de 2020 y el 1 de diciembre de 2022.
