Ha tardado mucho en llegar, pero finalmente se ha descubierto que TikTok infringe el Reglamento General de Protección de Datos (GDPR) de la Unión Europea en relación con su manejo de datos infantiles. Según la decisión emitida hoy por la Comisión Irlandesa de Protección de Datos (DPC), la plataforma para compartir vídeos ha sido amonestada y multada con 345 millones de euros (~379 millones de dólares). También se le ha ordenado que cumpla con el procesamiento de datos infractores en un plazo de tres meses.
En total, se ha determinado que TikTok ha violado los siguientes ocho artículos del RGPD: 5(1)(a); 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); y 13(1)(e), también conocido como violaciones de la legalidad, la equidad y la transparencia del procesamiento de datos; minimización de datos; seguridad de datos; responsabilidad del responsable del tratamiento; protección de datos por diseño y por defecto; y los derechos del interesado (incluidos los menores) a recibir comunicaciones claras sobre el tratamiento de datos; y recibir información sobre los destinatarios de sus datos personales. Así que es una larga lista de fracasos.
La decisión no encontró una violación en relación con los métodos utilizados por TikTok para la verificación de la edad, lo que ha sido un punto de conflicto para varios reguladores regionales, pero el organismo de control irlandés señala que la decisión sí registra una violación del artículo 24 (1) del RGPD, ya que descubrió que TikTok no implementó medidas técnicas y organizativas apropiadas, ya que no consideró adecuadamente ciertos riesgos planteados a los menores de 13 años que obtuvieron acceso a la plataforma, ya que la configuración predeterminada de la cuenta permitía que cualquier persona (dentro o fuera de TikTok) ver redes sociales. contenido multimedia publicado por esos usuarios.
Se descubrió que la configuración que TikTok había implementado en ese momento permitía a los usuarios infantiles avanzar en el proceso de registro de tal manera que sus cuentas estaban configuradas como públicas de forma predeterminada. “Esto también significaba que, por ejemplo, los vídeos que se publicaban en cuentas de usuarios infantiles eran públicos de forma predeterminada, los comentarios se habilitaban públicamente de forma predeterminada, las funciones ‘Duet’ y ‘Stitch’ estaban habilitadas de forma predeterminada”, señala el DPC. .
La cuenta de un niño también podría “emparejarse” con un usuario no infantil no verificado, a través de la función llamada “Emparejamiento familiar”, pero TikTok no verificó si el usuario era en realidad el padre o tutor del niño. El usuario que no sea un niño podría utilizar la función para habilitar mensajes directos para los usuarios niños mayores de 16 años, “haciendo así que esta función sea menos estricta para el usuario infantil”, según las conclusiones del DPC.
En respuesta a la decisión, un portavoz de TikTok nos envió este comunicado:
Respetuosamente discrepamos de la decisión, en particular del nivel de la multa impuesta. Las críticas del DPC se centran en características y configuraciones que estaban implementadas hace tres años, y en las que hicimos cambios mucho antes de que comenzara la investigación, como configurar todas las cuentas menores de 16 años como privadas de forma predeterminada.
TikTok también nos dijo que está considerando sus próximos pasos a la luz de la sanción. Por lo que la plataforma podría intentar presentar un recurso legal en Irlanda.
En una respuesta más larga publicada en su sitio web, Elaine Fox, directora de privacidad de TikTok en Europa, explicó las medidas que, según ella, tomó la compañía para abordar las preocupaciones de seguridad antes del comienzo de la investigación del DPC, como establecer cuentas privadas de usuarios de entre 13 y 15 años mediante por defecto.
También afirmó que en 2021 TikTok se convirtió en el primero (“y seguirá siendo[s] la única”) plataforma importante para revelar públicamente la cantidad de cuentas sospechosas de menores de edad que elimina. “Publicamos esto en nuestro informe trimestral Informes de cumplimiento de las directrices comunitarias y durante los primeros tres meses de 2023, eliminamos casi 17 millones cuentas de este tipo a nivel mundial”, escribió, y agregó: “La garantía de la edad es un desafío que afecta a toda la industria. Continuaremos colaborando con reguladores y otros expertos para identificar nuevas soluciones que mejoren aún más nuestros esfuerzos para mantener a los usuarios menores de edad fuera de la plataforma”.
Según la publicación del blog, TikTok tiene más de 134 millones Usuarios activos mensuales en toda la Unión Europea.
Inseguro por defecto
La investigación de TikTok sobre datos infantiles de la DPC se centró en un período de cinco meses (del 31 de julio de 2020 al 31 de diciembre de 2020), analizando si TikTok cumplió con sus obligaciones en virtud del RGPD en relación con el procesamiento de datos personales relacionados con los usuarios infantiles de la plataforma. en el contexto de determinadas configuraciones de la plataforma (incluidas las configuraciones públicas predeterminadas y las configuraciones asociadas con la función “Emparejamiento familiar” antes mencionada); así como examinar la verificación de edad como parte del proceso de registro.
La DPC también analizó “ciertas” obligaciones de transparencia, incluida la forma en que se proporcionaba información a los niños usuarios en relación con la configuración predeterminada.
Sus conclusiones preliminares (proyecto de decisión) encontraron un número ligeramente menor de infracciones del RGPD de las que se han confirmado en la decisión final de hoy. Pero otras dos autoridades (la DPA de Italia y la autoridad de Berlín) plantearon objeciones a su proyecto de decisión y el desacuerdo fue aprobado por el Consejo Europeo de Protección de Datos (EDPB) para tomar una decisión vinculante, que acordó que también debería haber una conclusión de violación. del principio de equidad del RGPD. La Junta también ordenó a Irlanda ampliar el alcance de la orden para hacer que el procesamiento sea conforme para hacer referencia al trabajo de reparación necesario para abordar la violación de la equidad.
La decisión final del DPC se adoptó el 1 de septiembre de 2023, lo que sugiere que TikTok tiene hasta principios de diciembre para rectificar su cumplimiento del RGPD o correr el riesgo de recibir más sanciones.
Aunque el argumento de la empresa es que ya ha solucionado la mayor parte de los problemas por los que está siendo sancionada hoy, de ahí su “particular” objeción al nivel de la multa.
El regulador de privacidad del Reino Unido, la ICO, emitió su propia sanción a TikTok a principios de este año, también en relación con su manejo de datos de niños, imponiendo una multa de ~15,7 millones de dólares por violar el régimen de protección de datos del Reino Unido entre mayo de 2018 y julio de 2020. incluso por no impedir que aproximadamente 1,4 millones de usuarios menores de edad accedan a su plataforma.
El año pasado se impuso en la UE una multa mayor conforme al RGPD a Instagram, propiedad de Meta, también en relación con violaciones de la protección de datos que afectan a niños. En ese caso, el gigante tecnológico recibió una sanción de 405 millones de euros al final de una investigación del DPC que comenzó en octubre de 2020.
Las sanciones relacionadas con preocupaciones de protección infantil siguen representando algunas de las mayores sanciones impuestas por los reguladores europeos de privacidad en los últimos años. Aunque las sumas involucradas aún están lejos de la mayor sanción del RGPD hasta la fecha: una multa de 1.200 millones de euros por las transferencias ilegales de datos de Meta.
Sin embargo, esto puede no ser de mucho consuelo para TikTok, dado que sus propias exportaciones de datos siguen bajo investigación en la UE. El comisionado adjunto del DPC, Graham Doyle, dijo a TechCrunch que espera poder presentar un proyecto de decisión sobre esta segunda investigación de TikTok, centrada en las transferencias de datos, a otras autoridades regionales de protección de datos para su revisión antes de fin de año. (Por lo tanto, una decisión final debería llegar en 2024, y el momento exacto dependerá de si otras autoridades no están de acuerdo con las conclusiones preliminares de Irlanda).
El CEPD ha sido llamado a tomar decisiones vinculantes sobre una serie de investigaciones del RGPD dirigidas por Irlanda sobre las grandes tecnologías desde que el reglamento entró en vigor. En todos los casos, las sanciones resultantes se han intensificado gracias a la intervención de la Junta, a veces sustancialmente y a menudo tanto en términos del tamaño de las sanciones financieras impuestas como del alcance de las conclusiones de infracción.
Presión para actuar
El regulador irlandés abrió las dos investigaciones sobre TikTok antes mencionadas, sobre las transferencias de datos y la relacionada con la decisión de hoy sobre el tratamiento de datos de menores, hace dos años. La medida se produjo tras la presión de otras autoridades de protección de datos de la UE y grupos de protección de los consumidores que habían expresado su preocupación sobre cómo la plataforma maneja los datos de los usuarios en general y la información de los niños en particular.
A principios de ese mismo año, la autoridad de protección de datos de Italia tomó medidas de emergencia contra TikTok por motivos de seguridad infantil. Sus intervenciones llevaron a que la plataforma volviera a verificar la edad de todos los usuarios del país y eliminara más de medio millón de cuentas que no pudo verificar que no pertenecían a menores de 13 años.
Por esta época, las autoridades de protección del consumidor de la UE también levantaron una serie de señales de alerta sobre preocupaciones sobre la privacidad y la seguridad infantil. Pero aún pasaron varios meses más antes de que el regulador irlandés anunciara su investigación.
La lenta respuesta a las preocupaciones de seguridad infantil derivadas del uso de TikTok por parte de los niños contribuyó a que la comisionada del DPC, Helen Dixon, fuera objeto de algunos cuestionamientos hostiles por parte de los eurodiputados durante una audiencia en el Parlamento Europeo a principios de este año. Los legisladores de la UE también expresaron preocupaciones más amplias sobre el enfoque del regulador, preguntándose si el regulador irlandés está a la altura de la tarea de hacer cumplir el RGPD en las principales plataformas tecnológicas.
Dixon respondió con una sólida defensa de lo que, según ella, es una “aplicación intensa del RGPD” por parte de las autoridades irlandesas. Específicamente en TikTok, afirmó que el DPC está trabajando lo más rápido posible dados los grandes volúmenes de material que se examinan.