La Comisión de Protección de Datos (DPC, pos sus siglas en inglés) de Irlanda ha multado a TikTok con una sanción de 530 millones de euros por haber transferido datos personales de usuarios europeos a servidores en China, incumpliendo con las pautas de seguridad marcadas por el Reglamento General de Protección de Datos (RGPD), y cuenta con seis meses para adecuar el tratamiento de dichos datos a la normativa europea.

El RGPD requiere, entre otras cuestiones, un alto nivel de protección con respecto a los datos personales de los usuarios y su tratamiento, una exigencia que se mantiene cuando estos datos se transfieren a otros países.

Sin embargo, según la investigación llevada a cabo por la DPC, la red social propiedad de ByteDance ha infringido estas obligaciones sobre el tratamiento de datos personales planteadas en el RGPD y, por tanto, se le ha impuesto una sanción de 530 millones de euros, acompañada de una orden que exige que la red social adecue su tratamiento a la normativa en un plazo de seis meses.

En concreto, según ha detallado la DPC en un comunicado en su web, durante la investigación se ha examinado tanto la legalidad de la transferencia de datos personales de usuarios del Espacio Económico Europeo (EEE) por parte de TikTok a China, como sus requisitos de transparencia.

Así, según ha podido concluir el organismo durante la investigación, TikTok infringió el RGPD porque "no verificó, garantizó ni demostró" que los datos personales de los usuarios europeos, a los que accedía de forma remota el personal de la compañía en China, recibían un nivel de protección equivalente al garantizado dentro de la Unión Europea.

Datos personales

Por tanto, se acusa a TikTok de no realizar las evaluaciones necesarias para mantener la seguridad de estos datos durante su transferencia a China, así como de no abordar el "posible acceso por parte de las autoridades chinas a datos personales".

En relación a este último punto, el Comisionado Adjunto del DPC, Graham Doyle, ha puntualizado que se han de tener en cuenta las leyes chinas antiterroristas, contraespionaje y otras leyes identificadas por TikTok como "materialmente divergentes de los estándares de la Unión Europea".

Además de la multa impuesta, se ha de tener en cuenta que la decisión de la DPC también incluye una orden que suspende las transferencias de TikTok a China si el tratamiento de los datos no se adecua a la normativa en los seis meses de plazo.

Por otra parte, la DPC también ha señalado que, durante la investigación, TikTok ofreció información errónea al indicar inicialmente que no almacenaba datos de usuarios del EEE en servidores ubicados en China, mientras que, durante el pasado mes de abril, acabó informando de un problema por el que "una cantidad limitada de datos" personales de usuarios europeos se habían almacenado en servidores de China.

Tras informar de este fallo, TikTok reconoció que implicaba que había estado proporcionando información inexacta a la investigación. Con todo ello, Doyle ha concluido que, si bien TikTok ya ha informado al DPC de que los datos de usuarios europeos han sido eliminados, están considerando "qué otras medidas regulatorias podrían justificarse", en colaboración con las autoridades de protección de datos de la Unión Europea.