La autoridad de control irlandesa ha anunciado, tras llevar a cabo las actuaciones de investigación correspondientes y en su condición de autoridad de control principal, la resolución del procedimiento sancionador incoado contra la compañía TIKTOK (en este sentido, se debe hacer constar que no se plantearon objeciones a su propuesta de resolución por el resto de las autoridades de control). Este procedimiento se ha centrado en analizar la licitud de las transferencias internacionales de datos personales de usuarios del Espacio Económico Europeo a China, así como en verificar el cumplimiento de las obligaciones de transparencia impuestas por el RGPD al facilitar información sobre dicho tratamiento.
Durante la investigación, TikTok indicó en un primer momento que no se conservaban datos de estos usuarios en servidores ubicados en China. No obstante, posteriormente, informó de que había detectado que cierta información sí había sido almacenada en estos servidores, contradiciendo su declaración anterior. Es por ello por lo que se considera que la compañía ocultó determinada información durante la investigación, por lo que, en la actualidad, la autoridad de control está evaluando qué nuevas medidas se pueden implementar.
Con independencia de lo anterior, en relación con la licitud de las transferencias internacionales, la autoridad de control ha señalado que la normativa europea impone un nivel de protección de los datos transferidos notablemente elevado, de modo que estas solo pueden tener lugar si se cumplen los requisitos regulados en el RGPD, garantizándose que la protección también se observa incluso cuando los datos salen de la esfera del Espacio Económico Europeo. En el presente supuesto, debido a que no existe decisión de adecuación con China, la transferencia internacional sólo podría llevarse a cabo si se ofrecen garantías adecuadas (normas corporativas vinculantes, cláusulas tipo, etc.).
No obstante, la compañía no evaluó adecuadamente si el marco jurídico del país chino ofrecía garantías de un nivel equivalente de protección. En particular, se ha destacado que leyes como la Ley de Ciberseguridad, la Ley de Inteligencia Nacional y las normas contra el terrorismo y el espionaje difieren notablemente del estándar europeo, lo que fue admitido por TikTok que, a pesar de ello, no implementó medidas suficientes para reducir el riesgo. La ausencia de una evaluación adecuada impidió que TikTok adoptara garantías adecuadas para la realización de transferencias internacionales, tal y como exige el artículo 46.1 del RGPD.
Adicionalmente, respecto al cumplimiento del principio de transparencia, se declara por la autoridad de control que el artículo 13.1.f) del RGPD establece la obligación del responsable de informar a los titulares sobre las transferencias internacionales que se van a llevar a cabo. No obstante, la política de privacidad de TikTok no identificaba los países destinatarios de los datos, ni explicaba adecuadamente el tipo de operaciones de tratamiento involucradas (en este sentido, no se hacía referencia a que el tratamiento incluía el acceso remoto a datos almacenados en Singapur y Estados Unidos por parte de personal ubicado en China). Así, si bien la empresa actualizó dicha política con posterioridad, en diciembre de 2022, incluyendo información más detallada y corrigiendo los defectos señalados, se ha declarado la comisión de una infracción hasta ese momento.
De este modo, se ha concluido que la compañía ha infringido la normativa vigente de protección de datos, por cuanto no verificó, ni garantizó que las medidas aplicadas fueran eficaces, por lo que no se comprobó adecuadamente que los datos personales a los que su personal ubicado en China tuvo acceso recibieran un nivel de protección equivalente al de la Unión Europea. Además, se identificaron deficiencias en la información proporcionada a los usuarios sobre dichas transferencias internacionales, vulnerando el citado principio de transparencia regulado en el artículo 13.1.f) del RGPD.
Habida cuenta de lo anterior, se ha impuesto una sanción de 485 millones de euros por infringir el artículo 46.1) del RGPD (transferencias efectuadas mediante garantías adecuadas) y de 45 millones de euros por incumplir el artículo 13 del mismo cuerpo normativo. Adicionalmente, la compañía dispone de un plazo de seismeses para adecuar sus operaciones de tratamiento a lo dispuesto en el RGPD. En caso contrario, se suspenderán las transferencias internacionales de datos a China.
La resolución sancionadora completa, así como la documentación relacionada con la investigación, serán publicadas por la autoridad de control irlandesa.
