El regulador de privacidad de Irlanda multa a TikTok con 530 millones de euros por transferencias de datos a China
(apnews.com)- En un momento en que las reglas de transferencia internacional de datos de la UE vuelven a surgir como un riesgo operativo para las plataformas, la Data Protection Commission de Irlanda impuso a TikTok una multa de 530 millones de euros (unos 600 millones de dólares) tras una investigación de 4 años
- El punto en disputa es si TikTok verificó, garantizó y demostró que los datos personales de usuarios europeos a los que accedieron de forma remota empleados en China recibían una protección esencialmente equivalente a la de la UE
- La política de privacidad de entonces no informaba suficientemente a qué terceros países se transferían los datos, ni explicaba con claridad el acceso remoto por parte de personal con base en China
- TikTok no está de acuerdo con la decisión y planea apelar; responde que el período cuestionado corresponde a una etapa específica que terminó en mayo de 2023 y que después introdujo centros de datos europeos y supervisión independiente con Project Clover
- El GDPR permite transferir datos de usuarios europeos fuera de la UE, pero exige un nivel de protección equivalente, y la notificación tardía de que algunos datos se almacenaron en servidores en China podría derivar en medidas regulatorias adicionales
Multa de 530 millones de euros y orden de corrección en 6 meses
- La Data Protection Commission de Irlanda impuso a TikTok una multa de 530 millones de euros, unos 600 millones de dólares, al considerar que sus transferencias de datos a China violaron las reglas de privacidad de la UE
- La decisión es el resultado de una investigación de 4 años iniciada en septiembre de 2021, y TikTok también recibió la orden de cumplir con las reglas en un plazo de 6 meses
- El regulador concluyó que las transferencias de datos a China expusieron a los usuarios europeos a riesgos de vigilancia
- Como la sede europea de TikTok está en Dublín, el organismo irlandés actúa como su principal autoridad de privacidad dentro de los 27 países de la UE
Acceso remoto desde China y disputa sobre la protección al nivel de la UE
- El Deputy Commissioner Graham Doyle consideró que TikTok no logró verificar, garantizar y demostrar que los datos personales de usuarios europeos a los que accedieron de forma remota empleados en China contaban con un nivel de protección esencialmente equivalente al de la UE
- En la investigación, uno de los puntos en disputa fue la posibilidad de que las autoridades chinas accedieran a datos personales de usuarios europeos debido a leyes chinas relacionadas con antiterrorismo, contraespionaje, ciberseguridad e inteligencia nacional
- El regulador irlandés concluyó que esas leyes chinas son materialmente diferentes de los estándares de la UE
Problemas de transparencia en la política de privacidad
- TikTok también fue sancionada por no informar suficientemente a los usuarios a dónde se enviaban sus datos personales
- La política de privacidad de TikTok vigente durante la investigación no especificaba los terceros países a los que se transferían los datos de los usuarios, y entre ellos China ni siquiera aparecía mencionada por nombre
- Esa política fue actualizada después, pero en ese momento tampoco explicaba que personal con base en China accedía de forma remota y procesaba datos personales almacenados en Singapore y United States
Plan de apelación de TikTok y Project Clover
- TikTok no está de acuerdo con esta decisión y planea apelar
- La empresa respondió que la decisión se enfoca en un período específico que terminó en mayo de 2023 y que después impulsó Project Clover, un proyecto de localización de datos
- Project Clover incluye un plan para construir 3 centros de datos en Europa
- Christine Grahn, responsable de políticas públicas y relaciones gubernamentales de TikTok en Europa, explicó que Project Clover incorpora algunas de las protecciones de datos más estrictas de la industria e incluye supervisión independiente de la empresa europea de ciberseguridad NCC Group
- Grahn afirmó que TikTok nunca ha recibido solicitudes de las autoridades chinas por datos de usuarios europeos y que tampoco ha entregado datos de usuarios europeos a las autoridades chinas
Criterios del GDPR para transferencias internacionales y la respuesta de TikTok
- Bajo el General Data Protection Regulation de la UE, los datos de usuarios europeos pueden transferirse fuera de la UE, pero se requieren salvaguardas que garanticen el mismo nivel de protección
- Grahn rechazó con firmeza la conclusión del regulador irlandés de que TikTok no realizó las evaluaciones necesarias para las transferencias de datos
- TikTok sostiene que buscó asesoría de despachos legales y expertos, utilizó los mismos mecanismos legales que emplean miles de empresas en Europa y que su enfoque cumplía con las reglas de la UE
- Grahn afirmó que TikTok está siendo singled out
Notificación sobre almacenamiento en servidores chinos y revisión de medidas adicionales
- TikTok ha estado bajo investigación por cómo maneja los datos personales de usuarios en Europa debido a que su empresa matriz, ByteDance, tiene base en China
- Funcionarios occidentales han expresado preocupaciones de que TikTok representa un riesgo de seguridad en relación con los datos de usuarios transferidos a China
- El regulador irlandés ya había impuesto en 2023 a TikTok otra multa de cientos de millones de euros en una investigación separada sobre datos personales de menores
- Durante esta investigación, TikTok dijo que no almacenaba datos de usuarios europeos en servidores en China, pero no fue sino hasta abril, tras un hallazgo detectado en febrero, que informó al regulador que algunos datos sí habían sido almacenados en servidores en China
- Graham Doyle dijo que considera los acontecimientos recientes como algo muy serio y que está evaluando si se necesitan medidas regulatorias adicionales
1 comentarios
Opiniones de Hacker News
¿“Masiva”? ¿Según qué criterio?
Ya es hora de acostumbrarnos a multar a las empresas con una proporción razonable de sus ingresos
Solo los ingresos globales de TikTok del año pasado se estiman en 20.000 a 26.000 millones de dólares https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...
Según ese artículo, TikTok ganó 10.000 millones de esos 20.000 millones de dólares solo en EE. UU., por lo que el límite superior de sus ingresos en Europa es de 10.000 millones de dólares
Ese cálculo excluye grandes mercados como Brasil e Indonesia, así que es muy probable que los ingresos reales en Europa sean mucho menores
530 millones de euros son unos 600 millones de dólares, por lo que equivalen al menos al 6% de los ingresos relevantes de 2024, y en realidad podrían ser mucho más
No sé si eso es lo bastante grande como para compensar las ganancias obtenidas con la mala conducta, pero definitivamente no es un castigo simbólico
Por monto, parece estar más o menos entre las 20 mayores multas de la historia por un solo caso, y entre las 3 mayores si solo se consideran multas europeas de privacidad
Acostumbrarse a montos así no cambia su clasificación
Aunque cifras como estas se vuelvan más comunes, siguen siendo enormes, sobre todo porque en principio no deberían volverse comunes
La mayor parte de los ingresos se va en costos, así que si se multa con una proporción razonable de los ingresos, se puede llevar a una empresa directamente a la quiebra
Si el objetivo es cambiar conductas, ese no es el resultado deseado
Si los ingresos globales son de 20.000 millones de dólares y asumimos un margen de ganancia del 20%, la ganancia neta sería de 4.000 millones de dólares, así que esta multa equivale al 15% de la ganancia neta global
Es una multa enorme
Además, estas regulaciones son ambiguas y dejan mucho margen de interpretación, de modo que aunque las empresas y sus abogados crean sinceramente que cumplen, un juez puede opinar distinto
Si cada país impone multas basadas en los ingresos globales, también existe el riesgo de multas duplicadas por el mismo acto, y al final eso puede llevar no a un cambio de conducta, sino a la quiebra de empresas
Si aceptamos las acusaciones tal como están, China vigiló a una parte considerable de los ciudadanos de la UE durante 4 años y puede seguir haciéndolo 6 meses más
Incluso después de eso, es poco probable que realmente se detenga, y al final todo terminará en una multa de apenas unos dólares por víctima
EE. UU. tampoco actúa más rápido, y la mayoría de los demás países ni siquiera actúa
En consecuencia, si un adversario potencial le agrega videos graciosos y bandas sonoras molestas, puede operar una enorme campaña de vigilancia durante mucho tiempo sin pagar un precio significativo
Sería una forma de castigar el mal comportamiento diluyendo la participación de los dueños existentes
Si el gobierno se vuelve copropietario, entra al interior de la empresa y obtiene mucha más visibilidad y capacidad para solicitar información
Si el mal comportamiento continúa, con el tiempo el gobierno obtiene el control
En una empresa como Tesla, con una acción muy cara pero pocas ganancias, una multa proporcional a las ganancias puede no significar mucho
Pero el control gubernamental mediante acciones captaría rápidamente la atención tanto de la empresa como de los accionistas
La Є del título enviado a HN no es el símbolo del euro
El símbolo del euro es €
Espero que Dang lo corrija
https://codepoints.net/U+0404
Hay mucha frustración y cinismo en este hilo, pero parece que algunos malentendidos los alimentan
Para empezar, Irlanda forma parte de la UE, y en el esquema de ventanilla única del GDPR, el país donde está la sede de la UE lidera la aplicación para toda la UE
Como muchas grandes tecnológicas tienen su sede de la UE en Irlanda, cuando el regulador irlandés impone una multa bajo el GDPR, en la práctica está actuando en nombre de toda la UE
Las multas del GDPR pueden ser muy grandes y pueden imponerse tomando como base el porcentaje de los ingresos globales o una cifra fija alta, lo que sea mayor
Por eso incluso las grandes empresas sienten el impacto
Estas multas se anuncian de forma pública y transparente, de modo que además del golpe financiero también hay un golpe reputacional
Esa publicidad es intencional, para que la multa no sea un costo operativo silencioso sino un verdadero elemento disuasorio
También conviene aclarar a dónde va la multa
No va simplemente al bolsillo de Irlanda; en la práctica entra al presupuesto de la UE y se compensa contra la contribución que Irlanda normalmente tendría que aportar al presupuesto de la UE
Si personas de otros países de la UE fueron afectadas, esos países también pueden solicitar una parte de la multa
En última instancia, no es una estructura en la que Irlanda se beneficie sola, sino que se convierte en el punto de recaudación porque las empresas están radicadas allí
Curiosamente, algunos dicen que la multa es demasiado dura y otros que es demasiado débil
En realidad, estas sanciones están diseñadas para sentirse significativas y, al mismo tiempo, ser proporcionales al tamaño de la empresa y al grado de la infracción; no buscan destruir a la empresa, pero tampoco son algo insignificante
Luego el regulador puede imponer como multa real un X% de ese máximo
También es un mecanismo para evitar que cada Estado miembro de la UE fije multas demasiado bajas con tal de atraer negocios
Es un contexto similar al problema que hubo con Irlanda al fijar impuestos demasiado bajos
En la parte que otros países de la UE no soliciten, al final termina entrando al bolsillo de Irlanda
Cada vez que se habla del GDPR aparecen decenas de publicaciones aquí, y siempre se repite la discusión sobre este punto
Puede que esté actuando dentro de la ley, pero creo que la amenaza más grande no es que los datos salgan, sino que entre influencia en el algoritmo de la app y, como resultado, se influya en los usuarios
@dang ¿puedes poner este símbolo en el título? €
Tengo curiosidad por dos cosas
Primero, si este tipo de multas realmente se ejecutan o si terminan en apelaciones indefinidas
Segundo, a dónde va la multa
Si la estructura es que TikTok recibe una multa en Irlanda, suena como si la multa fuera al gobierno de Irlanda, y eso es raro
Si se calcula la multa en el contexto de toda la UE, pero solo Irlanda se queda con los ingresos, la estructura está rota
Es decir, entra en la misma gran bolsa que los impuestos
Como la UE casi no aplica la ley directamente y la mayoría de la ejecución la realizan reguladores nacionales, en general es una forma previsible
Es lo contrario del caso de Apple, cuando la UE multó al gobierno de Irlanda porque no había recaudado suficientes impuestos de Apple
Aunque parece variar según el país, y España parece tener una estructura algo peculiar en la que la autoridad de protección de datos lo conserva directamente
Tal vez eso sea incluso lo que quiere Irlanda
Irlanda es un mercado pequeño, así que a TikTok le tomaría muchísimo tiempo generar 530 millones de euros de ganancias en Irlanda
El 100% del dinero recuperado con este tipo de multas debería destinarse a la investigación y divulgación de violaciones de privacidad de esas empresas
En la práctica, habría que hacer que ellas mismas paguen el costo de supervisarse
No sabemos cómo los datos que recopilan a gran escala podrían ser abusados por la IA en el futuro, y da bastante miedo
Espero que ese dinero se use para mejorar la situación de la gente local
Me salgo un poco del tema, pero me da curiosidad cómo usa ese dinero el gobierno que impuso la multa
Por ejemplo, ¿se destina a financiar actividades o trabajos relacionados con la privacidad de datos?
En la mayoría de los países, pagar un “impuesto a los osos” no significa que ese dinero vaya a una gran alcancía dedicada exclusivamente a exterminar osos
Por eso, estas multas normalmente entran como recursos generales para el gasto público
En el Reino Unido, las multas por filtraciones de datos se usan para financiar los costos operativos del organismo de aplicación, y el resto vuelve al Estado https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
El presupuesto de la UE en sí no cambia realmente, así que en la práctica no es una estructura en la que “aparezca más dinero”
Parece que me salté un paso, pero esta multa no es específica de Irlanda, sino una multa de toda la UE, y, según recuerdo, se paga a la UE
Mientras no se multe personalmente a los responsables, estas multas son inútiles y no tienen impacto