1 puntos por GN⁺ 2025-05-04 | 1 comentarios | Compartir por WhatsApp
  • En un momento en que las reglas de transferencia internacional de datos de la UE vuelven a surgir como un riesgo operativo para las plataformas, la Data Protection Commission de Irlanda impuso a TikTok una multa de 530 millones de euros (unos 600 millones de dólares) tras una investigación de 4 años
  • El punto en disputa es si TikTok verificó, garantizó y demostró que los datos personales de usuarios europeos a los que accedieron de forma remota empleados en China recibían una protección esencialmente equivalente a la de la UE
  • La política de privacidad de entonces no informaba suficientemente a qué terceros países se transferían los datos, ni explicaba con claridad el acceso remoto por parte de personal con base en China
  • TikTok no está de acuerdo con la decisión y planea apelar; responde que el período cuestionado corresponde a una etapa específica que terminó en mayo de 2023 y que después introdujo centros de datos europeos y supervisión independiente con Project Clover
  • El GDPR permite transferir datos de usuarios europeos fuera de la UE, pero exige un nivel de protección equivalente, y la notificación tardía de que algunos datos se almacenaron en servidores en China podría derivar en medidas regulatorias adicionales

Multa de 530 millones de euros y orden de corrección en 6 meses

  • La Data Protection Commission de Irlanda impuso a TikTok una multa de 530 millones de euros, unos 600 millones de dólares, al considerar que sus transferencias de datos a China violaron las reglas de privacidad de la UE
  • La decisión es el resultado de una investigación de 4 años iniciada en septiembre de 2021, y TikTok también recibió la orden de cumplir con las reglas en un plazo de 6 meses
  • El regulador concluyó que las transferencias de datos a China expusieron a los usuarios europeos a riesgos de vigilancia
  • Como la sede europea de TikTok está en Dublín, el organismo irlandés actúa como su principal autoridad de privacidad dentro de los 27 países de la UE

Acceso remoto desde China y disputa sobre la protección al nivel de la UE

  • El Deputy Commissioner Graham Doyle consideró que TikTok no logró verificar, garantizar y demostrar que los datos personales de usuarios europeos a los que accedieron de forma remota empleados en China contaban con un nivel de protección esencialmente equivalente al de la UE
  • En la investigación, uno de los puntos en disputa fue la posibilidad de que las autoridades chinas accedieran a datos personales de usuarios europeos debido a leyes chinas relacionadas con antiterrorismo, contraespionaje, ciberseguridad e inteligencia nacional
  • El regulador irlandés concluyó que esas leyes chinas son materialmente diferentes de los estándares de la UE

Problemas de transparencia en la política de privacidad

  • TikTok también fue sancionada por no informar suficientemente a los usuarios a dónde se enviaban sus datos personales
  • La política de privacidad de TikTok vigente durante la investigación no especificaba los terceros países a los que se transferían los datos de los usuarios, y entre ellos China ni siquiera aparecía mencionada por nombre
  • Esa política fue actualizada después, pero en ese momento tampoco explicaba que personal con base en China accedía de forma remota y procesaba datos personales almacenados en Singapore y United States

Plan de apelación de TikTok y Project Clover

  • TikTok no está de acuerdo con esta decisión y planea apelar
  • La empresa respondió que la decisión se enfoca en un período específico que terminó en mayo de 2023 y que después impulsó Project Clover, un proyecto de localización de datos
  • Project Clover incluye un plan para construir 3 centros de datos en Europa
  • Christine Grahn, responsable de políticas públicas y relaciones gubernamentales de TikTok en Europa, explicó que Project Clover incorpora algunas de las protecciones de datos más estrictas de la industria e incluye supervisión independiente de la empresa europea de ciberseguridad NCC Group
  • Grahn afirmó que TikTok nunca ha recibido solicitudes de las autoridades chinas por datos de usuarios europeos y que tampoco ha entregado datos de usuarios europeos a las autoridades chinas

Criterios del GDPR para transferencias internacionales y la respuesta de TikTok

  • Bajo el General Data Protection Regulation de la UE, los datos de usuarios europeos pueden transferirse fuera de la UE, pero se requieren salvaguardas que garanticen el mismo nivel de protección
  • Grahn rechazó con firmeza la conclusión del regulador irlandés de que TikTok no realizó las evaluaciones necesarias para las transferencias de datos
  • TikTok sostiene que buscó asesoría de despachos legales y expertos, utilizó los mismos mecanismos legales que emplean miles de empresas en Europa y que su enfoque cumplía con las reglas de la UE
  • Grahn afirmó que TikTok está siendo singled out

Notificación sobre almacenamiento en servidores chinos y revisión de medidas adicionales

  • TikTok ha estado bajo investigación por cómo maneja los datos personales de usuarios en Europa debido a que su empresa matriz, ByteDance, tiene base en China
  • Funcionarios occidentales han expresado preocupaciones de que TikTok representa un riesgo de seguridad en relación con los datos de usuarios transferidos a China
  • El regulador irlandés ya había impuesto en 2023 a TikTok otra multa de cientos de millones de euros en una investigación separada sobre datos personales de menores
  • Durante esta investigación, TikTok dijo que no almacenaba datos de usuarios europeos en servidores en China, pero no fue sino hasta abril, tras un hallazgo detectado en febrero, que informó al regulador que algunos datos sí habían sido almacenados en servidores en China
  • Graham Doyle dijo que considera los acontecimientos recientes como algo muy serio y que está evaluando si se necesitan medidas regulatorias adicionales

1 comentarios

 
GN⁺ 2025-05-04
Opiniones de Hacker News
  • ¿“Masiva”? ¿Según qué criterio?
    Ya es hora de acostumbrarnos a multar a las empresas con una proporción razonable de sus ingresos
    Solo los ingresos globales de TikTok del año pasado se estiman en 20.000 a 26.000 millones de dólares https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...

    • Para que una multa duela lo suficiente como para que una empresa cambie su conducta, no necesariamente tiene que ser una parte de sus ingresos globales; debe ser bastante mayor que las ganancias obtenidas por la conducta ilegal
      Según ese artículo, TikTok ganó 10.000 millones de esos 20.000 millones de dólares solo en EE. UU., por lo que el límite superior de sus ingresos en Europa es de 10.000 millones de dólares
      Ese cálculo excluye grandes mercados como Brasil e Indonesia, así que es muy probable que los ingresos reales en Europa sean mucho menores
      530 millones de euros son unos 600 millones de dólares, por lo que equivalen al menos al 6% de los ingresos relevantes de 2024, y en realidad podrían ser mucho más
      No sé si eso es lo bastante grande como para compensar las ganancias obtenidas con la mala conducta, pero definitivamente no es un castigo simbólico
    • Bastaría con compararla con otras multas
      Por monto, parece estar más o menos entre las 20 mayores multas de la historia por un solo caso, y entre las 3 mayores si solo se consideran multas europeas de privacidad
      Acostumbrarse a montos así no cambia su clasificación
      Aunque cifras como estas se vuelvan más comunes, siguen siendo enormes, sobre todo porque en principio no deberían volverse comunes
    • Como detalle menor, habría que verla como una parte de las ganancias netas, no de los ingresos
      La mayor parte de los ingresos se va en costos, así que si se multa con una proporción razonable de los ingresos, se puede llevar a una empresa directamente a la quiebra
      Si el objetivo es cambiar conductas, ese no es el resultado deseado
      Si los ingresos globales son de 20.000 millones de dólares y asumimos un margen de ganancia del 20%, la ganancia neta sería de 4.000 millones de dólares, así que esta multa equivale al 15% de la ganancia neta global
      Es una multa enorme
      Además, estas regulaciones son ambiguas y dejan mucho margen de interpretación, de modo que aunque las empresas y sus abogados crean sinceramente que cumplen, un juez puede opinar distinto
      Si cada país impone multas basadas en los ingresos globales, también existe el riesgo de multas duplicadas por el mismo acto, y al final eso puede llevar no a un cambio de conducta, sino a la quiebra de empresas
    • Peor que el monto bajo es el tiempo que tomó
      Si aceptamos las acusaciones tal como están, China vigiló a una parte considerable de los ciudadanos de la UE durante 4 años y puede seguir haciéndolo 6 meses más
      Incluso después de eso, es poco probable que realmente se detenga, y al final todo terminará en una multa de apenas unos dólares por víctima
      EE. UU. tampoco actúa más rápido, y la mayoría de los demás países ni siquiera actúa
      En consecuencia, si un adversario potencial le agrega videos graciosos y bandas sonoras molestas, puede operar una enorme campaña de vigilancia durante mucho tiempo sin pagar un precio significativo
    • Existía la idea de que, en lugar de una multa, el gobierno debería quedarse con una participación accionaria de la empresa
      Sería una forma de castigar el mal comportamiento diluyendo la participación de los dueños existentes
      Si el gobierno se vuelve copropietario, entra al interior de la empresa y obtiene mucha más visibilidad y capacidad para solicitar información
      Si el mal comportamiento continúa, con el tiempo el gobierno obtiene el control
      En una empresa como Tesla, con una acción muy cara pero pocas ganancias, una multa proporcional a las ganancias puede no significar mucho
      Pero el control gubernamental mediante acciones captaría rápidamente la atención tanto de la empresa como de los accionistas
  • La Є del título enviado a HN no es el símbolo del euro
    El símbolo del euro es

    • El símbolo se agregó cuando cambiaron el título, pero ya no puedo editarlo
      Espero que Dang lo corrija
    • Hoy aprendí: Є es U+0404 Cyrillic Capital Letter Ukrainian Ie
      https://codepoints.net/U+0404
    • Además, el símbolo € no va como prefijo antes del monto, como $, sino como sufijo después del monto
  • Hay mucha frustración y cinismo en este hilo, pero parece que algunos malentendidos los alimentan
    Para empezar, Irlanda forma parte de la UE, y en el esquema de ventanilla única del GDPR, el país donde está la sede de la UE lidera la aplicación para toda la UE
    Como muchas grandes tecnológicas tienen su sede de la UE en Irlanda, cuando el regulador irlandés impone una multa bajo el GDPR, en la práctica está actuando en nombre de toda la UE
    Las multas del GDPR pueden ser muy grandes y pueden imponerse tomando como base el porcentaje de los ingresos globales o una cifra fija alta, lo que sea mayor
    Por eso incluso las grandes empresas sienten el impacto
    Estas multas se anuncian de forma pública y transparente, de modo que además del golpe financiero también hay un golpe reputacional
    Esa publicidad es intencional, para que la multa no sea un costo operativo silencioso sino un verdadero elemento disuasorio
    También conviene aclarar a dónde va la multa
    No va simplemente al bolsillo de Irlanda; en la práctica entra al presupuesto de la UE y se compensa contra la contribución que Irlanda normalmente tendría que aportar al presupuesto de la UE
    Si personas de otros países de la UE fueron afectadas, esos países también pueden solicitar una parte de la multa
    En última instancia, no es una estructura en la que Irlanda se beneficie sola, sino que se convierte en el punto de recaudación porque las empresas están radicadas allí
    Curiosamente, algunos dicen que la multa es demasiado dura y otros que es demasiado débil
    En realidad, estas sanciones están diseñadas para sentirse significativas y, al mismo tiempo, ser proporcionales al tamaño de la empresa y al grado de la infracción; no buscan destruir a la empresa, pero tampoco son algo insignificante

    • El criterio de tomar el porcentaje de los ingresos globales de la empresa o una cifra fija alta, lo que sea mayor, sirve para fijar la multa máxima
      Luego el regulador puede imponer como multa real un X% de ese máximo
      También es un mecanismo para evitar que cada Estado miembro de la UE fije multas demasiado bajas con tal de atraer negocios
      Es un contexto similar al problema que hubo con Irlanda al fijar impuestos demasiado bajos
    • Que Irlanda pague x menos de contribución es, en la práctica, casi lo mismo que ganar x de dinero
      En la parte que otros países de la UE no soliciten, al final termina entrando al bolsillo de Irlanda
    • Sería realmente útil contar con fuentes sobre los detalles del flujo de las multas
      Cada vez que se habla del GDPR aparecen decenas de publicaciones aquí, y siempre se repite la discusión sobre este punto
  • Puede que esté actuando dentro de la ley, pero creo que la amenaza más grande no es que los datos salgan, sino que entre influencia en el algoritmo de la app y, como resultado, se influya en los usuarios

  • @dang ¿puedes poner este símbolo en el título?

    • Hay que quitar ese Є
  • Tengo curiosidad por dos cosas
    Primero, si este tipo de multas realmente se ejecutan o si terminan en apelaciones indefinidas
    Segundo, a dónde va la multa
    Si la estructura es que TikTok recibe una multa en Irlanda, suena como si la multa fuera al gobierno de Irlanda, y eso es raro
    Si se calcula la multa en el contexto de toda la UE, pero solo Irlanda se queda con los ingresos, la estructura está rota

    • En el Reino Unido, el regulador que impone la multa entrega casi todo al Fondo Consolidado, salvo una parte para recuperar algunos costos
      Es decir, entra en la misma gran bolsa que los impuestos
      Como la UE casi no aplica la ley directamente y la mayoría de la ejecución la realizan reguladores nacionales, en general es una forma previsible
      Es lo contrario del caso de Apple, cuando la UE multó al gobierno de Irlanda porque no había recaudado suficientes impuestos de Apple
    • Corríjanme si me equivoco, pero ese dinero al final fluye al presupuesto de la UE, lo que es parecido a que los residentes de la UE reciban una devolución minúscula en sus impuestos
      Aunque parece variar según el país, y España parece tener una estructura algo peculiar en la que la autoridad de protección de datos lo conserva directamente
    • Si de verdad fuera una multa solo de Irlanda, TikTok podría simplemente retirarse de ese país y no pagar la multa
      Tal vez eso sea incluso lo que quiere Irlanda
      Irlanda es un mercado pequeño, así que a TikTok le tomaría muchísimo tiempo generar 530 millones de euros de ganancias en Irlanda
    • https://www.enforcementtracker.com/
  • El 100% del dinero recuperado con este tipo de multas debería destinarse a la investigación y divulgación de violaciones de privacidad de esas empresas
    En la práctica, habría que hacer que ellas mismas paguen el costo de supervisarse
    No sabemos cómo los datos que recopilan a gran escala podrían ser abusados por la IA en el futuro, y da bastante miedo

  • Espero que ese dinero se use para mejorar la situación de la gente local

  • Me salgo un poco del tema, pero me da curiosidad cómo usa ese dinero el gobierno que impuso la multa
    Por ejemplo, ¿se destina a financiar actividades o trabajos relacionados con la privacidad de datos?

    • Los impuestos rara vez están atados a un propósito específico
      En la mayoría de los países, pagar un “impuesto a los osos” no significa que ese dinero vaya a una gran alcancía dedicada exclusivamente a exterminar osos
      Por eso, estas multas normalmente entran como recursos generales para el gasto público
      En el Reino Unido, las multas por filtraciones de datos se usan para financiar los costos operativos del organismo de aplicación, y el resto vuelve al Estado https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
    • En la UE, significa que los Estados miembros aportarán un poco menos al presupuesto el año siguiente
      El presupuesto de la UE en sí no cambia realmente, así que en la práctica no es una estructura en la que “aparezca más dinero”
      Parece que me salté un paso, pero esta multa no es específica de Irlanda, sino una multa de toda la UE, y, según recuerdo, se paga a la UE
  • Mientras no se multe personalmente a los responsables, estas multas son inútiles y no tienen impacto

    • Además, si la multa es menor que el dinero ganado, entonces no es una multa, sino un costo de hacer negocios