TikTok se enfrenta a una multa de 29 millones de dólares en el Reino Unido por "no proteger la privacidad de los niños"

La actualización de privacidad de TikTok en Europa confirma el acceso del personal de China a los datos mientras continúa la investigación de GDPR

Un cambio de política de privacidad entrante Anunciado por TikTok ayer para usuarios en Europa, que, por primera vez, nombra a China como uno de varios terceros países donde “ciertos” empleados de la compañía pueden acceder de forma remota a los datos de los usuarios para realizar lo que afirma que son funciones “importantes”: ha aterrizado meses antes del movimiento esperado en una investigación de más de un año sobre las exportaciones de datos de la plataforma a China bajo el Reglamento General de Protección de Datos del bloque. (RGPD).

La investigación de GDPR sobre la legalidad de las transferencias de datos de la plataforma para compartir videos a China está dirigida por la Comisión de Protección de Datos (DPC) de Irlanda, el principal regulador de privacidad de TikTok en la región, que abrió la investigación hace poco más de un año. El DPC le dijo a TechCrunch hoy que espera que su consulta de transferencias de datos de TikTok avance a la siguiente etapa en los próximos meses, con un borrador de decisión programado para enviarse a otras DPA de la UE para su revisión en el primer trimestre del próximo año.

Este proceso de revisión del ‘Artículo 60’ podría conducir a la confirmación del proyecto de decisión de Irlanda, lo que luego, en un tiempo relativamente corto, permitiría que se emitiera una decisión final (potencialmente antes de mediados del próximo año, a juzgar por los plazos de investigación anteriores) . Sin embargo, si otros reguladores de la UE presentan objeciones al proyecto de decisión de Irlanda, la investigación tendría que pasar a un proceso de resolución de disputas del ‘Artículo 65’, lo que podría agregar muchos meses más al proceso antes de que se pueda emitir una decisión final mientras los reguladores del bloque buscan consenso.

No está claro si el anuncio de TikTok sobre la modificación de la política de privacidad se relaciona con esta investigación general del RGPD. Los cambios entrantes, que se aplicarán a partir del 2 de diciembre, también incluyen una actualización sobre cómo la plataforma recopila la información de ubicación de los usuarios para que no se centren completamente en las transferencias de datos.

Pero la revelación de que los empleados de China acceden a los datos de los usuarios europeos también podría ser un intento no muy sutil de adelantarse a la aplicación de las normas sobre sus transferencias de datos, y tratar de suavizar un golpe futuro al poder señalar los pasos que ya se han tomado para mejorar su transparencia con los usuarios europeos. (Sin embargo, no es que ese sea el único problema potencial de preocupación regulatoria con respecto a las exportaciones de datos).

Un portavoz de TikTok se negó a comentar si su política de privacidad actualizada está relacionada de alguna manera con la investigación de GDPR y dijo que no podía hacerlo ya que la investigación sigue en curso.

Sin embargo en un entrada en el blog Al anunciar la actualización, la compañía afirmó que los cambios “incluyen una mayor transparencia sobre cómo compartimos la información de los usuarios fuera de Europa”.

Eso es notable porque la transparencia es un principio clave del RGPD, mientras que las infracciones del principio de transparencia pueden dar lugar a sanciones severas (como la multa de $ 267 millones para WhatsApp, propiedad de Meta, el año pasado, después de que una investigación dirigida por Irlanda encontró una serie de infracciones de transparencia). ).

Afirmar que está siendo transparente y ser realmente transparente no es necesariamente lo mismo, por supuesto. Por lo tanto, vale la pena señalar que la política de privacidad actualizada de TikTok parece atomizar partes clave de información, como la lista completa de países terceros donde los empleados pueden acceder de forma remota a los datos de los usuarios europeos y por qué razones específicas, a través de una serie de menús contraíbles e hipervínculos repartidos. a lo largo de la política, lo que requiere que un usuario haga clic, siga múltiples enlaces y básicamente busque información relevante en medio de una gran cantidad de datos para armar una visión integral de lo que está sucediendo con sus datos (en lugar de articular y cotejar todo claramente en una vista única y fácil de digerir…).

Entonces, si TikTok realmente está apuntando a la transparencia aquí, todavía parece que tiene trabajo por hacer.

También sigue siendo un trabajo en curso para TikTok: un proyecto de localización de datos para almacenar los datos de los usuarios europeos en la región, que, a principios de este año, anunció que se había retrasado nuevamente (hasta 2023).

La cuestión es que, si TikTok tiene la intención de seguir permitiendo que los empleados ubicados en terceros países sin un acuerdo de adecuación de la UE que afirme que tienen estándares de protección de datos esencialmente equivalentes a los del bloque tengan acceso remoto a la información de los usuarios europeos, entonces se cuestiona la legalidad de sus transferencias internacionales de datos. es probable que persistan.

Además de China, la política de privacidad de TikTok nombra a Brasil, Malasia, Filipinas, Singapur y los EE. UU. (que solo tiene un acuerdo preliminar con la UE para un nuevo acuerdo de transferencia de datos atm) como países donde los empleados tienen acceso remoto a los datos de usuarios europeos sin la cobertura de un acuerdo de adecuación, diciendo que se basa en cláusulas contractuales estándar (SCC) para estas transferencias.

Pero, como señala la guía del EDPB sobre transferencias de datos, cada transferencia a un tercer país debe evaluarse individualmente y algunas pueden no ser posibles legalmente, incluso con la aplicación de medidas complementarias. Por lo tanto, cada una de estas transferencias deberá resistir el escrutinio regulatorio.

Dadas tantas transferencias a terceros países, el proyecto de localización de datos europeos de TikTok solo puede, al menos por ahora, considerarse un ejercicio de relaciones públicas. Y/o un intento de ganarse el favor de los reguladores locales con la esperanza de que tengan una visión más amable de las exportaciones de datos en curso. A menos o hasta que cese las exportaciones de datos a terceros países y encuentre una manera de proteger completamente a su entidad matriz en China para que no pueda acceder a los datos de los usuarios europeos sin problemas.

El portavoz de TikTok se negó a comentar sobre los planes futuros que pueda tener para adaptar aún más sus transferencias de datos a la luz de estos desafíos, pero señaló su entrada en el blog – que describe su enfoque de la gobernanza de datos en Europa como “centrado en limitar el número de empleados con acceso a los datos de los usuarios europeos, minimizar los flujos de datos fuera de la región y almacenar los datos de los usuarios europeos localmente”.

El problema más amplio de TikTok es que enfrenta un escrutinio regulatorio marcado en todo el mundo occidental en general como resultado de las preocupaciones de seguridad relacionadas con la capacidad del estado chino para obtener acceso a los datos de las plataformas/servicios comerciales de sus usuarios, con leyes de seguridad nacional en su hogar. país anulando las protecciones contractuales estándar habituales.

Su plataforma también recopila una gran cantidad de datos de los usuarios, lo que solo alimenta las preocupaciones sobre su capacidad para ser reutilizado como un señuelo de datos para la vigilancia estatal o incluso para operaciones de influencia extranjera de ‘poder blando’.

Si bien su seguimiento y creación de perfiles de usuarios invita a más dolores de cabeza regulatorios específicos en Europa, en el lado de la privacidad y la protección del consumidor, que están aplicando algunos límites sobre cómo puede operar.

Por ejemplo, TikTok acordó recientemente congelar un cambio controvertido en la base legal en la que se basa para ejecutar publicidad dirigida después de una advertencia formal del DPA italiano, y algún “compromiso” de seguimiento del DPC, sobre un plan para eliminar el consentimiento ( y reclamar un interés legítimo para publicar anuncios dirigidos). Por lo tanto, su modelo de creación de perfiles y orientación de anuncios enfrenta desafíos en varios frentes, incluso cuando intenta defender su negocio contra preocupaciones de seguridad más amplias relacionadas con la geopolítica.


Source link