fbpx

Multa de 530 millones de euros a TikTok en Irlanda por transferencias de datos a China: ¿Privacidad estratégica o señal geopolítica?

Legal - mayo 30, 2025 by Martin Lynch
Irlanda Datos Protección Comisión (DPC) sujeta el crítico responsabilidad de hacer cumplir el Europea Unión General Datos Protección Reglamento (GDPR) para numerosos Con sede en EE.UU. tecnología gigantes con sede en en Irlanda, a papel que tiene empuje el regulador en el global foco de atención. En reciente años, el CPD’s estricto aplicación Acércate a tiene dibujado generalizada atención, posicionamiento Irlanda como a pivote jugador en regulando el datos prácticas de algunos de el del mundo mayor tecnología empresas.
El 2 de mayo, el CPD anunció una importante sentencia, por la que se imponía a TikTok Technology Limited una multa de 530 millones de euros por infracciones del RGPD. La decisión incluía una directiva para que TikTok ajustara su tratamiento de datos a la normativa en un plazo de seis meses y una orden condicional de suspender las transferencias de datos a China si la empresa no cumplía este plazo. Aunque sustancial, esta sanción es menor que la multa de 1.200 millones de euros impuesta a Meta en 2023, que se derivó de la conclusión del CPD de que Meta Ireland infringió el artículo 46.1 del RGPD al seguir transfiriendo datos personales de la UE/EEE a Estados Unidos tras la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto Comisario de Protección de Datos contra Facebook Ireland Limited y Maximillian Schrems.

Tampoco es el primer enfrentamiento de TikTok con el CPD. En septiembre de 2023, el regulador multó a la plataforma con 345 millones de euros por infracciones del GDPR relacionadas con los datos de menores, citando la configuración de cuentas públicas por defecto para usuarios de 13 a 17 años y la inadecuada verificación de la edad. TikTok recurrió esta decisión ante el Tribunal Superior irlandés, alegando que la multa era desproporcionada, pero el resultado sigue pendiente.

Al pronunciarse sobre la decisión, el Comisario Adjunto del CPD, Graham Doyle, destacó que las transferencias de datos personales de TikTok a China infringían el RGPD porque TikTok no verificaba, garantizaba ni demostraba que los datos personales de los usuarios del EEE, a los que accedía remotamente el personal en China, gozaban de un nivel de protección esencialmente equivalente al garantizado en la UE.

Estos fallos se vieron agravados por lo que, según el CPD, fue información errónea presentada durante sus indagaciones. El CPD señaló además que, a lo largo de su investigación, TikTok informó al CPD de que no almacenaba Datos de Usuario del EEE en servidores situados en China.

Sin embargo, en abril de 2025, se supo que TikTok informó al CPD de que había descubierto en febrero de 2025 casos en los que, de hecho, se habían almacenado Datos de Usuario del EEE limitados en servidores de China, contrariamente a las pruebas aportadas por TikTok a la investigación del CPD.

Es probable que la medida del CPD intensifique las tensiones geopolíticas existentes entre la UE y China. Aunque la decisión se basa oficialmente en infracciones técnicas del RGPD, su momento y el hecho de que se centre en los riesgos de acceso chinos refuerzan la percepción de que la aplicación de la ley está cada vez más determinada por consideraciones estratégicas que van más allá de la legislación sobre privacidad. Los críticos sostienen que la protección de datos, aunque es una preocupación normativa legítima, se está esgrimiendo como un instrumento indirecto en una contienda más amplia por la soberanía y la influencia tecnológicas.

La reacción política del partido de la oposición irlandesa, los Socialdemócratas, no se ha hecho esperar. Su portavoz en materia de digitalización, que también es ex directora de la Comisión de Derechos Humanos e Igualdad de Irlanda, Sinead Gibney, acogió con satisfacción la sentencia del CPD. Según Gibney, la sanción es un recordatorio a las empresas de redes sociales de que pagarán un precio muy alto por vulnerar los derechos de sus usuarios en virtud del GDPR. Gibney también señaló que es vital que las leyes y normativas de Irlanda defiendan firmemente los derechos a la privacidad y a la protección de datos. El eurodiputado irlandés del partido Fianna Fail, Billy Kelleher, también se apresuró a defender el CPD. En un post en X, el eurodiputado utilizó el resultado para rebatir a los políticos que afirman que la Ley de Servicios Digitales y la normativa de Protección de Datos Personales de la UE son onerosas. Las grandes plataformas online deben regularse, dijo, para proteger a las personas y a la sociedad, y la UE protegerá a los ciudadanos.

Sin embargo, también existe la sensación de que la extraordinaria cuantía de la sanción impuesta por el CPD y los motivos en los que basa su decisión pueden resultar ser un arma de doble filo. Tampoco hay indicios claros de que el enfoque del CPD y las multas que imponga vayan a alterar materialmente las prácticas de TikTok, dados los abultados bolsillos de su empresa matriz, ByteDance. Se prevé que los ingresos publicitarios de TikTok en todo el mundo alcancen los 33.100 millones de dólares en 2025, lo que representa un aumento del 40,5% respecto a 2024. Esto le permitirá llevar el caso ante los tribunales irlandeses durante años, retrasando así el cumplimiento, de forma muy similar a las actuales batallas legales de Meta por su multa de 1.200 millones de euros.

Esto ha provocado malestar en los círculos políticos de la UE. Varios analistas de política digital han advertido de que el enfoque fragmentado de la UE respecto a la aplicación, con un trato más duro a TikTok y respuestas más indulgentes a los infractores con sede en la UE, corre el riesgo de politizar el propio RGPD. Si la aplicación parece incoherente u orientada en función de líneas geopolíticas, el reglamento puede perder su credibilidad como instrumento jurídico neutral y empezar a funcionar, en cambio, como herramienta de presión económica. Para las multinacionales, esto introduce una incertidumbre normativa que va mucho más allá de la legislación sobre datos.

Además, el hecho de que el CPD se centre en TikTok plantea dudas sobre su coherencia. Miles de empresas confían en mecanismos similares de transferencia de datos, pero la propiedad china de TikTok la convierte en un pararrayos para el escrutinio, exponiendo potencialmente a la UE a acusaciones de aplicación selectiva.

Mientras tanto, crece la frustración entre los juristas por el hecho de que siga sin resolverse la doble postura del CPD como ejecutor y regulador de acogida de muchas empresas tecnológicas mundiales. La posición de Irlanda como regulador de facto de los datos de las mayores plataformas de la UE, debido a que las empresas tienen su sede en Dublín, la coloca en un papel estructuralmente conflictivo, equilibrando una aplicación agresiva con la necesidad de mantener su atractivo como centro de inversión extranjera. Los juristas sostienen que esta tensión, si no se resuelve, podría exponer a Irlanda a acusaciones de captura reguladora o de extralimitación, según el caso. Mientras la DPC sigue persiguiendo celosamente el cumplimiento del RGPD, el delicado equilibrio entre la protección de los derechos de privacidad y el mantenimiento de la competitividad económica de Irlanda sigue en tensión.

También hay que tener en cuenta que la economía de Irlanda ha prosperado como centro de gigantes tecnológicos como Meta, Google y TikTok, en gran parte debido a su régimen fiscal favorable, su mano de obra anglófona y un entorno normativo históricamente favorable a las empresas.

Sin embargo, puede que no pase mucho tiempo antes de que la celosa persecución del cumplimiento del RGPD por parte del CPD amenace con erosionar esta ventaja competitiva.

Los críticos, incluidas voces del sector, llevan tiempo argumentando que unas multas y un escrutinio normativo excesivos podrían disuadir de futuras inversiones. Por ejemplo, en 2014, Sheryl Sandberg, de Facebook, advirtió a las autoridades irlandesas de que una regulación demasiado estricta podría hacer que las empresas revisaran sus estrategias de inversión en la UE.

Por último, cabe señalar que TikTok emitió inmediatamente un enérgico rechazo de las conclusiones del CPD. Al hacerlo, destacó que la sentencia podría tener consecuencias en toda la UE, ya que, en opinión de la empresa, corre el riesgo de sentar un precedente para empresas e industrias enteras de toda Europa que operan a escala mundial. La declaración también transmitía la opinión de TikTok de que la sentencia supone un golpe a la competitividad de la Unión Europea.

Christine Grahn, Directora de Política Pública y Relaciones Gubernamentales de TikTok en Europa, atacó específicamente la sentencia del CPD alegando que no tenía plenamente en cuenta el Proyecto Clover, la iniciativa de seguridad de datos de TikTok de 12.000 millones de euros líder en el sector que, según la empresa, incluye algunas de las protecciones de datos más estrictas que existen.

TikTok acusó al CPD de centrarse en cambio en un periodo selecto de hace años, anterior a la implantación del Trébol en 2023, un enfoque que no refleja las salvaguardias ahora en vigor.

Otros puntos de crítica contra el CPD de Irlanda incluyen el hecho de que el propio CPD hizo constar en su informe lo que TikTok ha dicho sistemáticamente: nunca ha recibido una solicitud de datos de usuarios europeos por parte de las autoridades chinas y nunca les ha proporcionado datos de usuarios europeos.

Con 175 millones de usuarios en toda Europa, más de 6.000 empleados y un impacto económico que incluye 4.800 millones de euros en contribuciones al PIB y el apoyo a 51.000 puestos de trabajo, TikTok está profundamente arraigada en la economía europea. La empresa anunció su intención de recurrir la decisión del CPD en su totalidad, argumentando que la sentencia no tiene en cuenta sus actuales medidas de protección de datos y apunta injustamente a sus operaciones.

TikTok dice que no está de acuerdo con la decisión y que planea recurrirla en su totalidad.