TikTok recibe una multa de 345 millones de euros por infringir la ley de datos de la UE en cuentas de menores
(theguardian.com)- La Comisión de Protección de Datos de Irlanda (DPC) impuso a TikTok una multa de 345 millones de euros por considerar que la forma en que gestionaba las cuentas de menores violaba el GDPR de la UE
- El punto central fue que las cuentas de usuarios de 13 a 17 años quedaban por defecto con configuración pública durante el registro, y que no se entregaba información suficientemente transparente a los usuarios menores
- “family pairing” no verificaba si el adulto que controlaba la cuenta era realmente el padre, madre o tutor, por lo que incluso podía abrir la configuración de mensajes directos de usuarios de 16 años o más
- La DPC consideró que TikTok no tuvo suficientemente en cuenta el riesgo de que usuarios menores de 13 años entraran a la plataforma y quedaran con configuración pública, pero no vio el método de verificación de edad en sí como una infracción del GDPR
- TikTok respondió que la investigación se refería a configuraciones del 31 de julio al 31 de diciembre de 2020, y que ya había corregido los problemas, por ejemplo haciendo que desde 2021 las cuentas de 13 a 15 años fueran privadas por defecto
Fundamento de la multa de 345 millones de euros
- TikTok recibió una multa de 345 millones de euros, unos 296 millones de libras, por infringir la ley de protección de datos de la UE en relación con el tratamiento de cuentas de menores
- La Comisión de Protección de Datos de Irlanda (DPC), encargada de regular a TikTok dentro de la UE, determinó que TikTok violó en varias ocasiones las reglas del GDPR
- El punto central fue que no protegió lo suficiente a los usuarios menores de edad para evitar que su contenido quedara expuesto públicamente
El riesgo de exposición creado por la configuración pública por defecto
- La DPC consideró que, durante el proceso de registro, se inducía a los usuarios de 13 a 17 años a que sus cuentas quedaran configuradas como públicas por defecto
- En una cuenta pública, cualquiera puede ver el contenido de la cuenta o comentar
- La conclusión fue que, debido a esta configuración, cualquier persona podía ver el contenido de redes sociales publicado por esos usuarios
- La edad mínima para usar TikTok es 13 años
- También se señaló que no se tuvo suficientemente en cuenta el riesgo de que usuarios menores de 13 años accedieran a la plataforma y quedaran con configuración pública
Falta de transparencia y problema de family pairing
- La falta de información transparente suficiente para los usuarios menores también se incluyó entre las infracciones del GDPR
- “family pairing” permite que un adulto controle la configuración de la cuenta de un menor, pero no verificaba si el adulto vinculado era realmente su padre, madre o tutor
- A través de esta configuración, el adulto que accediera a la cuenta del menor podía activar la función de mensajes directos para usuarios de 16 años o más
Duet, Stitch y la evaluación de la verificación de edad
- Duet y Stitch son funciones que permiten a los usuarios combinar contenido con el de otros usuarios de TikTok
- La DPC señaló que estas funciones estaban activadas por defecto para usuarios menores de 17 años
- Sin embargo, respecto del método de verificación de edad de TikTok en sí, no consideró que hubiera una infracción del GDPR
Mayor presión regulatoria tras la sanción en Reino Unido
- Esta decisión llega después de que TikTok recibiera en abril de 2023 una multa de 12,7 millones de libras por parte del regulador de datos de Reino Unido
- El regulador británico determinó que TikTok había tratado ilegalmente los datos de 1,4 millones de menores de 13 años que usaron la plataforma sin consentimiento parental
- En ese momento, la Oficina del Comisionado de Información consideró que TikTok no había hecho “casi nada” para verificar quién usaba la plataforma
- TikTok afirmó que esta investigación se centró en la configuración de privacidad vigente entre el 31 de julio y el 31 de diciembre de 2020, y que ya había resuelto los problemas planteados
- Desde 2021, las cuentas existentes y nuevas de usuarios de 13 a 15 años se configuran como privadas por defecto
- En una cuenta privada, solo las personas aprobadas por el usuario pueden ver el contenido
- TikTok no está de acuerdo con el monto de la multa ni con la decisión, y respondió que las críticas de la DPC se centran en funciones y configuraciones de hace tres años
- También sostuvo que, antes de que comenzara la investigación, ya había realizado cambios para que las cuentas de menores de 16 años fueran privadas por defecto
Intervención del Comité Europeo de Protección de Datos
- La DPC reconoció que parte de su posición en la decisión fue revertida por el European Data Protection Board
- Como resultado, tuvo que incluir una conclusión propuesta por el regulador alemán
- Esa conclusión señalaba que el uso de dark patterns, diseños engañosos de sitios web o apps que inducen a los usuarios a determinadas acciones o elecciones, infringía las disposiciones del GDPR sobre el tratamiento leal de los datos personales
1 comentarios
Opiniones de Hacker News
Dicen que, en la función “Family Pairing”, no verificaron si el adulto que controla la configuración de la cuenta de un niño era realmente su padre, madre o tutor, pero no sé exactamente cómo se supone que TikTok debería comprobarlo.
¿A otras empresas tecnológicas también se les exige verificar a los padres? Parece que TikTok es la única que recibe multas por este motivo.
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
Si aplaudimos este tipo de precedentes, creo que terminaremos yendo por el camino de necesitar identificación gubernamental y verificación remota para usar sitios web populares.
Desde los 90 existía la idea de que el internet anónimo y la amplificación de señales tenían un efecto neto positivo, pero cada vez parece menos cierto.
Si quieres autopublicarte de forma anónima, puedes hacerlo, pero eso no significa que también tengas garantizado el derecho a usar una de las cinco grandes plataformas.
Si esto hace que las grandes plataformas se fragmenten, también lo veo como un efecto neto positivo.
Empecé a usar TikTok hace poco, y aunque dice que para hacer transmisiones en vivo necesitas 1000 seguidores y tener al menos 18 años, en la práctica vi a muchos niños transmitiendo en vivo.
Me preguntaba por qué no hacen cumplir sus propias reglas. Puede ser porque hay demasiados streamers, pero incluso con una sola persona dedicada a eso sería posible encontrar suficientes adolescentes o niños haciendo directos.
Por eso este fallo llega en buen momento.
Dicho eso, me pregunto por qué se debería prohibir hacer streaming a personas de 13 a 18 años. Si es por “pervertidos escondidos”, esa lógica no funciona para controlar el chat, así que no veo por qué aplicaría solo aquí. En TikTok no se permite contenido sexual, y aunque puedes ver mujeres en bikini, también las ves en una playa pública real, incluso en topless. ¿Cuál sería la otra razón?
Es un buen comienzo, pero me pregunto si la ley de datos de la UE empezará a aplicarse a gran escala también contra empresas europeas, y no solo contra compañías internacionales.
Desde antes del GDPR, las empresas de la UE suelen mirar la protección de datos con más cuidado y tomársela en serio, así que también es menos común encontrar infractores graves.
Al menos cuando trato con servicios de la UE, sus políticas de privacidad caben en unas pocas páginas A4, lo importante está al principio y están escritas de forma fácil de entender. Incluso los bancos no esconden qué recopilan y explican por qué lo recopilan.
En cambio, las empresas extranjeras tienden a insistir en políticas de privacidad enormes y difíciles de entender, y a intentar esquivar la ley con eso. Por ejemplo, la página de privacidad de Google es casi una enorme página que repite que “Google puede recopilar información sobre ti”; no queda claro para qué se usan los datos y depende mucho de otras páginas para las explicaciones detalladas. Es muy probable que una persona promedio ya haya perdido el hilo.
En definitiva, las empresas extranjeras parecen pensar que pueden violar la ley y salirse con la suya, y hacen que sea difícil rastrear cómo se usan los datos. Las empresas europeas, en general, sí tienden a cumplir la ley en la práctica, por eso los casos importantes salen contra grandes tecnológicas extranjeras.
Solo que, en general, las empresas europeas se lo tomaron mucho más en serio que las multinacionales. A veces incluso demasiado: aunque hoy se ha calmado un poco, todavía se ven de vez en cuando compañías que imponen políticas de datos absurdas porque creen equivocadamente que son necesarias para cumplir.
Por otro lado, las empresas europeas suelen ser más pequeñas, así que las multas también son más bajas y por eso no llegan tanto a los titulares. Esa es la razón por la que no escuchamos hablar tan seguido de multas a empresas europeas, aunque siguen existiendo. Sinceramente, casi siempre nos enteramos solo de las sanciones gigantescas.
Para tratarse de un fallo de un solo país, la multa es bastante grande. Aproximadamente 2.6% de los ingresos anuales, es decir, unos 10 días.
Digo Twitter a propósito, no X Corp, porque Musk, en una decisión infame, despidió a todas las personas de Twitter Ireland que se encargaban del cumplimiento. Al parecer, entre los requisitos estaba que el equipo de Irlanda revisara todos los lanzamientos de funciones para evitar infracciones de la ley de datos de la UE, y Musk no hizo eso con ninguno de los cambios introducidos después de la compra apalancada.
¿Cuándo dejarán los CEO de sillón de decir cosas como “jaja, x no es nada comparado con los ingresos y”? ¿Creen que 345 millones de euros crecen en los árboles?
Además de la multa, deberían meterlos unos meses en una caja de penalización. Algo como prohibirles operar en esa jurisdicción durante un período determinado.
Como multa inicial en vez de una prohibición, es un buen comienzo, y es justamente el enfoque que vengo pidiendo.
Si reinciden en violar la privacidad de los usuarios, las multas deberían subir hasta miles de millones de dólares. Ya hubo precedentes con Facebook.
No hay excusa para que una gran empresa haga esto y se salga con la suya, y cualquier compañía de redes sociales con cientos de millones de usuarios o más que viole la privacidad de sus usuarios como TikTok debería recibir multas. No debería haber más excepciones ni excusas.
Al final, cuando TikTok arruina la privacidad de sus usuarios, no es distinto de Meta.
Viendo la escala total, no parece tanto dinero. Una multa relativamente más fuerte también habría estado bien, aunque quizá no conozco todos los detalles.
Para cuando termine la pelea legal, parece muy probable que incluso se reduzca a una cifra mucho menor.
¿A dónde va ese dinero?
Si no saben la respuesta, no deberían inventar algo y decirlo como si fuera un hecho.