Irlanda multa a TikTok con 530 millones de euros por incumplir la ley al transferir datos de usuarios a China

RegulaciónMultaPrivacidadData
Escrito por Berta Jiménez

La Comisión de Protección de Datos de Irlanda (CPC) ha impuesto una multa a TikTok de 530 millones de euros tras examinar la legalidad de las transferencias de datos personales de usuarios de la plataforma en el Espacio Económico Europeo (EEE). La investigación ha determinado que dichas transferencias no cumplían con los requisitos de transparencia que exige el GDPR. Así, la Comisión de Protección de Datos de Irlanda ha concluido que TikTok infringió el GDPR en relación con sus transferencias de datos de usuarios del EEE a China y en sus obligaciones de transparencia, tal y como informó el organismo en su web el pasado fin de semana.

La decisión impone multas administrativas por un total de 530 millones de euros y una orden que exige a TikTok adecuar su procesamiento a las normativas en un plazo de seis meses. También incluye una orden de suspensión de las transferencias de datos a China si no se cumple con dicha adecuación en ese plazo.

El Artículo 13 del GDPR requiere que los responsables del tratamiento informen a los interesados sobre las transferencias de datos a terceros países. La política de privacidad de TikTok de octubre de 2021 no nombraba los países a los que se transferían datos, incluida China, ni explicaba la naturaleza de las operaciones de procesamiento, como el acceso remoto a datos almacenados en Singapur y EE. UU. por personal en China.

Posteriormente TikTok actualizó su política de privacidad en diciembre de 2022, identificando los países receptores y especificando que los datos eran almacenados en EE. UU. y Singapur, con acceso remoto por parte de personal en Brasil, China, Malasia, Filipinas, Singapur y EE. UU.

La DPC consideró que la política de diciembre de 2022 cumplía con el Artículo 13 del GDPR. Por lo tanto, la infracción de transparencia se limitó al periodo del 29 de julio de 2020 al 1 de diciembre de 2022.

Infracción del GDPR

El comisario Graham Doyle, comentó: "El RGPD exige que el alto nivel de protección proporcionado dentro de la Unión Europea continúe aplicándose cuando los datos personales se transfieren a otros países. Las transferencias de datos personales de TikTok a China infringieron el GDPR porque TikTok no verificó, garantizó ni demostró que los datos personales de los usuarios del EEE, a los que accedía remotamente personal en China, recibían un nivel de protección esencialmente equivalente al garantizado dentro de la UE”.

“Como resultado de la falta de evaluaciones necesarias por parte de TikTok, la empresa no abordó el posible acceso de las autoridades chinas a los datos personales del EEE bajo leyes chinas contra el terrorismo, contra el espionaje y otras normativas que la propia TikTok identificó como divergentes de los estándares de la UE."

Además, la DPC ha concluido que las transferencias de TikTok infringían el Artículo 46 del GDPR porque no verificó ni demostró que las medidas suplementarias y las Cláusulas Contractuales Tipo eran eficaces para garantizar esa protección. Aunque TikTok sostuvo que las transferencias mediante acceso remoto no estaban sujetas a las leyes y prácticas en cuestión, su propia evaluación de la legislación china, proporcionada durante la investigación, reconocía que ciertos aspectos del marco jurídico chino impedían encontrar una equivalencia esencial con el derecho de la UE, citando leyes como la Ley Antiterrorista, la Ley contra el Espionaje, la Ley de Ciberseguridad y la Ley de Inteligencia Nacional.

TikTok dio información errónea

Durante la investigación, TikTok dijo a la DPC que no almacenaba datos de usuarios europeos en servidores ubicados en China. Sin embargo, en abril de 2025, se descubrió en febrero de 2025 que ciertos datos limitados de usuarios del EEE sí se habían almacenado en servidores en China, en contradicción con la información previamente proporcionada en la investigación. TikTok indicó que este hallazgo significaba que había proporcionado información inexacta.

"La DPC se toma muy en serio estos recientes acontecimientos relacionados con el almacenamiento de datos de usuarios del EEE en servidores en China. Aunque TikTok ha informado que los datos ya han sido eliminados, estamos considerando qué acciones regulatorias adicionales pueden ser necesarias, en consulta con nuestras autoridades de protección de datos homólogas de la UE”, dijo Doyle.

Puntos clave:

  • TikTok multada con 530 millones € por transferencias indebidas de datos del EEE a China y falta de transparencia.

  • Plazo de 6 meses para que TikTok adapte su tratamiento de datos o suspenda las transferencias a China.

  • Reconocimiento de errores: TikTok admitió haber almacenado datos en China pese a haberlo negado inicialmente.

Este resumen lo ha creado una herramienta de IA basándose en el texto del artículo, y ha sido chequeado por un editor de PROGRAMMATIC SPAIN.

Berta Jiménez
Anterior

El plan de desmembramiento de Google Ad Manager ya tiene hoja de ruta (y es más complejo de lo que parece)
Siguiente

Ganadores y perdedores tras el anuncio de Google sobre las third-party cookies