TikTok multado con 530 millones de euros por transferencias de datos ilegales a China

La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa histórica de 530 millones de euros (aproximadamente 600 millones de dólares) a TikTok Technology Limited (TTL) tras una extensa investigación sobre el manejo de datos personales de los usuarios de la plataforma TikTok en el EEE hacia la República Popular de China (“China”).

La sanción impuesta, una de las más grandes jamás impuestas bajo el Reglamento General de Protección de Datos (GDPR), sigue a una investigación de cuatro años por parte de la Comisión de Protección de Datos de Irlanda (DPC), la Autoridad Supervisora Principal de la UE para TikTok debido a su sede europea en Dublín.

Tabla de Contenidos

• Plazo para el Cumplimiento
• La Empresa Apelará

Plazo para el Cumplimiento

La decisión también impone un plazo de seis meses para que la popular aplicación de intercambio de videos cortos lleve su procesamiento a plena conformidad con la ley de la UE. Si la empresa no cumple con este plazo, podría enfrentar una suspensión de todas las transferencias de datos de usuarios del EEE a China.

“TikTok infringió el GDPR respecto a sus transferencias de datos de usuarios del EEE [Espacio Económico Europeo] a China y sus requisitos de transparencia. La decisión incluye multas administrativas por un total de 530 millones de euros y una orden que requiere que TikTok lleve su procesamiento a cumplimiento dentro de 6 meses”, dijo la DPC en un comunicado el viernes.

Según la investigación de la DPC, TikTok, propiedad del gigante tecnológico chino ByteDance, no logró proteger adecuadamente los datos personales de los usuarios de la UE a los que accedieron empleados en China, como se requiere dentro de la UE.

Específicamente, TikTok violó disposiciones clave del reglamento, a saber, el Artículo 46(1) del GDPR, al no validar adecuadamente que las leyes y prácticas chinas ofrecían una protección “esencialmente equivalente” dentro de la UE. También violó el Artículo 13(1)(f) al no informar adecuadamente a los usuarios sobre las transferencias de datos y la naturaleza del procesamiento involucrado.

“Las transferencias de datos personales de TikTok a China infringieron el GDPR porque TikTok no verificó, garantizó ni demostró que los datos personales de los usuarios del EEE, a los que el personal en China accedió de forma remota, contaban con un nivel de protección esencialmente equivalente al garantizado dentro de la UE”, dijo Graham Doyle, Comisionado Adjunto, mientras enfatizaba la gravedad de los hallazgos.

TikTok había identificado leyes chinas—incluida la Ley Antiterrorista, la Ley de Contraespionaje, la Ley de Ciberseguridad y la Ley de Inteligencia Nacional—como materialmente divergentes de los estándares de protección de datos de la UE. A pesar de esto, la DPC dijo que la empresa no implementó medidas suplementarias efectivas ni realizó un análisis legal completo, como lo exige el GDPR. Tal legislación podría permitir el acceso del gobierno a datos personales, socavando así las protecciones de privacidad de la UE.

La DPC agregó que TikTok afirmó durante toda la investigación que no almacenaba datos de usuarios del EEE en servidores ubicados en China. Sin embargo, en abril de 2025, TikTok reveló que había descubierto en febrero de 2025 que algunos datos del EEE habían sido, de hecho, almacenados en servidores chinos, contradiciendo las declaraciones anteriores de la empresa.

“La DPC está tomando muy en serio estos desarrollos recientes respecto al almacenamiento de datos de usuarios del EEE en servidores en China. Si bien TikTok ha informado a la DPC que los datos han sido eliminados, estamos considerando qué acciones regulatorias adicionales pueden ser necesarias, en consulta con nuestras autoridades de protección de datos de la UE”, agregó Doyle.

Christine Grahn, Jefa de Políticas Públicas y Relaciones Gubernamentales de TikTok para Europa, respondió afirmando que la empresa no está de acuerdo con la decisión de la DPC y que nunca ha proporcionado datos de usuarios europeos a las autoridades chinas y utilizó mecanismos legales estándar para las transferencias de datos.

La Empresa Apelará

La empresa también planea apelar la decisión, argumentando que no toma adecuadamente en cuenta las importantes mejoras en la seguridad de los datos introducidas a través del nuevo “Proyecto Clover” de TikTok, una iniciativa de gobernanza de datos destinada a mejorar el cumplimiento.

Esta no es la primera vez que TikTok enfrenta un escrutinio sobre la privacidad de los datos. En 2023, la DPC multó a TikTok con 345 millones de euros por no proteger la privacidad de los niños, incluida la configuración de cuentas de usuarios de 13 a 17 años como públicas por defecto, y por no proporcionar suficiente información de transparencia sobre la configuración de privacidad a los usuarios infantiles, bajo las reglas del GDPR de la UE.