La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto este viernes una multa de 530 millones de euros a TikTok por vulnerar el Reglamento General de Protección de Datos (RGPD) al transferir datos personales de usuarios europeos a China sin garantizar un nivel de protección equivalente al europeo.
La empresa tiene seis meses para adaptarse a la normativa o se expone a nuevas sanciones.
TikTok, cuya empresa matriz, ByteDance, tiene su sede en China, ha estado bajo escrutinio en Europa por su gestión de la información personal de sus usuarios, ante la preocupación de funcionarios occidentales de que represente un riesgo para la seguridad de los datos de los usuarios enviados a China.
Según el comisionado adjunto Graham Doyle, ha sido claro: “TikTok no verificó, garantizó ni demostró que los datos personales de los usuarios (europeos), a los que accedía remotamente su personal en China, recibieran un nivel de protección esencialmente equivalente al garantizado en la UE”.
Además, la DPC acusa a TikTok de falta de transparencia, ya que hasta diciembre de 2022 su política de privacidad no informaba que los datos se transferían a terceros países, incluida China, ni que personal chino podía acceder a ellos remotamente desde servidores en Singapur y Estados Unidos.
TikTok recurrirá la sanción
TikTok ha anunciado que recurrirá la sanción. Alega que esta se basa en un «periodo selecto» anterior a mayo de 2023 y defiende su nuevo programa Proyecto Clover, con tres centros de datos en Europa y auditoría externa.
“Proyecto Clover cuenta con algunas de las protecciones de datos más estrictas del sector”, ha asegurado Christine Grahn, directora europea de políticas públicas.
No obstante, la DPC advierte que TikTok ocultó durante la investigación que, en febrero de 2025, descubrió que algunos datos de usuarios europeos sí se habían almacenado en servidores en China, contradiciendo sus afirmaciones previas.
“Estamos considerando qué otras medidas regulatorias podrían estar justificadas”, ha asegurado Doyle.
La UE solo permite transferencias de datos a países con garantías equivalentes a las europeas, y China no está entre ellos.
TikTok admitió que leyes como la de inteligencia nacional china difieren sustancialmente de los estándares europeos, pero la DPC concluye que no adoptó medidas suficientes para mitigar el riesgo.
Esta es la segunda gran sanción que TikTok recibe en la UE tras la impuesta en 2023 por deficiencias en la protección de menores. La decisión refuerza el mensaje de que el RGPD se aplica con firmeza, incluso frente a gigantes tecnológicos con sede en regímenes autoritarios.
