- TikTok continúa transfiriendo datos personales de usuarios europeos a terceros países, incluida China, pese a las objeciones de los reguladores.
- La autoridad irlandesa (DPC) impuso una multa de 530 millones de euros y ordenó frenar las transferencias por incumplir el RGPD.
- Un tribunal irlandés ha levantado de forma provisional la suspensión, permitiendo que las transferencias sigan mientras se resuelve el recurso.
- La AEPD aconseja a los usuarios revisar su privacidad y valorar si seguir usando TikTok cuando sus datos viajan a países sin garantías equivalentes a las europeas.
La polémica en torno a TikTok y el envío de datos personales de europeos a terceros países, con China en el centro de todas las miradas, vuelve a encender las alarmas en los organismos de control de la privacidad. A pesar de una sanción histórica y de las advertencias de las autoridades, la red social sigue operando con un modelo de transferencias que los reguladores europeos consideran incompatible con el Reglamento General de Protección de Datos (RGPD).
En las últimas semanas, la Agencia Española de Protección de Datos (AEPD) ha reiterado públicamente su preocupación por estas prácticas y ha llamado a los usuarios, especialmente a los más jóvenes, a revisar con lupa qué aceptan cuando usan la plataforma. El mensaje de fondo es claro: mientras la justicia irlandesa no se pronuncie de forma definitiva, las transferencias internacionales de datos de TikTok continúan y su encaje legal sigue en entredicho.
Origen del conflicto: la sanción de 530 millones y el papel de Irlanda
El choque entre TikTok y los reguladores europeos arranca con una investigación coordinada por la Comisión de Protección de Datos de Irlanda (DPC), autoridad principal para la plataforma en la Unión Europea al tener su sede europea en Dublín. Tras varios años de análisis sobre cómo se gestionaban los datos de los usuarios del Espacio Económico Europeo (EEE), la DPC concluyó que las transferencias de información hacia China y otros terceros países no garantizaban un nivel de protección equivalente al europeo.
Como consecuencia, en abril se impuso a TikTok una multa de 530 millones de euros y se ordenó detener el envío de datos personales de ciudadanos europeos a China, así como corregir las deficiencias detectadas en un plazo determinado. Esta decisión no se tomó en solitario: fue el resultado de un trabajo conjunto con el resto de autoridades nacionales, incluida la AEPD española, en el marco del Comité Europeo de Protección de Datos.
El núcleo del problema, según los reguladores, es que la compañía no pudo demostrar que, cuando los datos de usuarios europeos eran accesibles desde China, se les aplicaba una protección equiparable a la del RGPD. Las leyes chinas de seguridad, contraespionaje o antiterrorismo permiten a las autoridades exigir información a las empresas tecnológicas, lo que para las agencias de protección de datos es incompatible con las garantías exigidas por la normativa comunitaria.
Durante la investigación, TikTok llegó a reconocer que, pese a asegurar inicialmente lo contrario, cierta cantidad de información de usuarios del EEE había acabado en servidores chinos por fallos internos. Para los reguladores, este punto reforzaba la idea de que el acceso remoto desde China entraña riesgos que la plataforma no había conseguido mitigar de forma suficiente.
Además de la sanción económica, la resolución irlandesa incluía medidas correctoras y la suspensión de las transferencias si TikTok no se ajustaba al RGPD. Sin embargo, la compañía decidió recurrir la decisión ante los tribunales, abriendo una nueva fase en la que la batalla se traslada al terreno judicial.
El recurso de TikTok y el levantamiento temporal de la suspensión
Tras recibir la resolución de la DPC, TikTok presentó un recurso ante el Tribunal Superior de Irlanda. En el marco de ese procedimiento, el tribunal acordó en noviembre levantar de forma provisional la suspensión de las transferencias internacionales de datos, a la espera de una sentencia definitiva sobre el fondo del asunto.
En la práctica, esto significa que la red social puede seguir transfiriendo datos de usuarios del EEE a China y otros terceros países mientras dure el proceso judicial. No se ha restablecido todavía la prohibición de enviar la información fuera del entorno que los reguladores consideran seguro, aunque la valoración legal de las autoridades de protección de datos se mantiene intacta.
La AEPD recuerda que, aun cuando la ejecución de las medidas se encuentre suspendida de forma cautelar, el análisis jurídico que concluyó que estas transferencias no se ajustan al RGPD sigue siendo válido. Es decir, la legalidad de la operativa de TikTok continúa bajo revisión judicial y las dudas sobre el nivel de protección real permanecen.
Como parte de las condiciones impuestas para conceder este respiro provisional, el tribunal irlandés exige a TikTok obligaciones específicas de transparencia. De ahí que muchos usuarios en España y en el resto de Europa hayan empezado a recibir dentro de la app mensajes titulados, por ejemplo, “Transferencia de datos de usuarios del EEE a China mediante acceso remoto”, en los que se explica la existencia del recurso y la situación actual del caso.
En esos avisos, la empresa indica que “se permite que continúen las transferencias de datos de los usuarios del EEE a China” mientras el procedimiento judicial esté en marcha. El contenido, que ha pasado algo desapercibido para parte del público, deja claro que, al menos a corto plazo, el flujo de datos no se interrumpe.
Qué dice TikTok: Proyecto Clover e inversiones en seguridad
Frente a las críticas de los reguladores europeos, TikTok sostiene que discrepa por completo de la resolución irlandesa y defiende que ha utilizado los instrumentos jurídicos de la propia UE para organizar el acceso remoto a los datos. La compañía asegura que ese acceso está limitado, estrictamente controlado y sometido a auditorías externas.
Para reforzar ese mensaje, la plataforma presume de su Proyecto Clover, una iniciativa con la que afirma haber invertido alrededor de 12.000 millones de euros en la protección de los datos de los usuarios europeos. Según la versión de la empresa, los datos del EEE se almacenan ahora por defecto en centros de datos situados en Europa (como Irlanda y Noruega) y en Estados Unidos, bajo un modelo diseñado para reducir la exposición a riesgos externos.
TikTok subraya que los empleados en China no pueden acceder a información especialmente sensible, como números de teléfono o direcciones IP, y que la información que sí circula globalmente lo hace con medidas técnicas adicionales. Desde su punto de vista, el sistema ofrece “garantías inigualables” para los usuarios europeos, aunque las autoridades de protección de datos se muestran todavía escépticas.
La DPC y otros reguladores nacionales recalcan que las medidas técnicas y organizativas anunciadas por TikTok no bastan para compensar los riesgos derivados del marco legal chino. El punto de fricción es que, incluso con más controles internos, la legislación del país asiático sigue permitiendo que las autoridades reclamen datos si consideran que existe un interés estatal, algo difícilmente compatible con el estándar europeo.
Mientras tanto, la plataforma continúa creciendo en número de usuarios. TikTok afirma contar con más de 200 millones de usuarios en Europa, de los cuales alrededor de 23,5 millones estarían en España. A escala global, la cifra supera los 1.500 millones de cuentas, un alcance que hace que cualquier duda sobre el uso de datos tenga una repercusión considerable.
La posición de la AEPD y las autoridades europeas
Desde España, la AEPD ha querido dejar claro que, pese al levantamiento temporal acordado en Irlanda, las conclusiones del Comité Europeo de Protección de Datos siguen plenamente vigentes. En coordinación con sus homólogas, la agencia española insiste en que las transferencias de TikTok a terceros países, incluida China, no alcanzan el nivel de protección exigido por el RGPD.
La AEPD participa en los mecanismos de cooperación y coherencia previstos en la normativa europea, por lo que continúa siguiendo de cerca el procedimiento y ejerciendo sus competencias en el ámbito nacional. En sus comunicaciones públicas, recalca que la legalidad de estas transferencias sigue cuestionada y que el caso permanece abierto a la espera de la decisión judicial definitiva.
Además, la agencia española recuerda un aspecto jurídico clave: cuando los datos personales se almacenan o se hacen accesibles desde un país tercero que no ofrece garantías equivalentes a las europeas, esa información pasa a estar sometida a la jurisdicción local. En el caso concreto de China, esto implicaría que el Gobierno o el Ejército Popular de Liberación podrían solicitar acceso a los datos en función de los intereses del Estado.
Por ahora no hay pruebas de que se hayan producido accesos de este tipo a las bases de datos de TikTok, pero los reguladores insisten en que el simple hecho de que el marco legal lo permita supone un riesgo que debe tomarse en serio. Este mismo razonamiento ya llevó al Tribunal de Justicia de la UE a tumbar en dos ocasiones acuerdos de transferencia de datos con Estados Unidos que consideraba insuficientes.
En este contexto, las autoridades europeas subrayan que no están ante un caso aislado, sino ante un ejemplo más de las tensiones entre la normativa de protección de datos de la UE y las legislaciones de potencias como China o EE.UU.. El resultado es un escenario complejo en el que los usuarios se ven atrapados entre la comodidad de los servicios digitales y las dudas sobre qué ocurre realmente con su información.
Recomendaciones para los usuarios: revisar, ajustar y decidir
Ante esta situación, la AEPD ha puesto el foco en la ciudadanía. El organismo insiste en que es fundamental que los usuarios, especialmente menores y jóvenes, entiendan cómo se tratan sus datos cuando usan TikTok u otras aplicaciones similares. No se trata solo de aceptar o rechazar una casilla, sino de comprender qué implica que la información viaje fuera de Europa.
Entre las recomendaciones difundidas por la agencia, destaca la llamada a leer con atención las notificaciones y políticas de privacidad que aparecen en la app. Aunque muchas personas suelen pasar estas pantallas rápidamente, en el contexto actual contienen detalles relevantes sobre transferencias internacionales, accesos remotos y decisiones judiciales en curso.
La AEPD también anima a revisar la configuración de privacidad de las aplicaciones y comprobar los permisos concedidos: desde el acceso a la cámara y el micrófono hasta los contactos, la ubicación o el almacenamiento. Ajustar estos parámetros puede reducir la cantidad de información que la plataforma recopila y envía a sus servidores.
Otro punto clave de las recomendaciones es que los usuarios se planteen si quieren seguir usando un servicio cuando sus datos se transfieren a países sin un nivel de protección equiparable al europeo. Sin decirlo de forma explícita, este mensaje apunta directamente a TikTok y su situación actual, invitando a quienes tengan dudas a abandonar la plataforma o limitar su uso.
Por último, la agencia aconseja actuar con prudencia en relación con la información que se comparte en redes sociales y aplicaciones. Evitar publicar datos sensibles, reducir la exposición de la vida privada y pensarse dos veces qué se sube y con quién se comparte se presentan como medidas básicas para mitigar riesgos, especialmente en un contexto en el que parte del tratamiento se realiza en jurisdicciones menos garantistas.
Un debate que va más allá de TikTok
Aunque el caso de TikTok está en el centro de la conversación, el conflicto sobre transferencias internacionales de datos afecta a un abanico más amplio de servicios digitales. El enfrentamiento entre el estándar europeo de privacidad y las leyes de otros países ya ha provocado la anulación de varios acuerdos de transferencia con Estados Unidos, y el actual marco también se está revisando en los tribunales.
En el caso concreto de China, las sospechas se agravan por el contexto geopolítico y por las dudas de algunos gobiernos occidentales sobre el posible uso de datos con fines de espionaje o influencia. Varios países han impuesto restricciones a TikTok en dispositivos oficiales o han estudiado medidas similares, argumentando riesgos para la seguridad nacional.
Desde el lado de las plataformas, la respuesta suele pasar por anunciar inversiones multimillonarias en infraestructura y seguridad, como el mencionado Proyecto Clover. Sin embargo, para los reguladores europeos, estas iniciativas no bastan mientras la legislación de los países de destino permita, en teoría, accesos que chocarían con el RGPD.
Mientras todos estos elementos se dirimen en despachos, tribunales y organismos internacionales, los usuarios siguen utilizando a diario la aplicación, muchas veces sin tener una imagen completa de qué ocurre con la información que generan al hacer scroll, subir vídeos o interactuar con contenidos.
El resultado es un escenario en el que, al menos por ahora, TikTok continúa transfiriendo datos personales de usuarios europeos a terceros países bajo la atenta mirada de las autoridades de protección de datos. La decisión de seguir o no en la plataforma, y de cómo configurarla, queda en manos de cada usuario, pero las instituciones insisten en que conviene tomarla con la máxima información posible.
