Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Los riesgos de TikTok

La Cámara de Representantes de los Estados Unidos ha prohibido a su personal que se descargue TikTok en los teléfonos de trabajo, ordenando que desinstalen la aplicación si la han descargado, ante la sospecha de espionaje por parte del gobierno chino.

La cantidad de información que proporciona nuestro teléfono móvil y que viaja escondida digitalmente en los vídeos que grabamos es abrumadora: Datos EXIF, metadatos, marca y modelo del dispositivo móvil, unidades de medida (país), versión de sistema operativo o firmware (dispositivo), fecha y hora (cuándo), valores de zoom (distancia) y… en ocasiones, incluso coordenadas GPS del momento de captura/filmación (dónde). Los archivos pueden incluir hasta información sobre la ruta de guardado (nombres de las carpetas). Brutal, ¿no?

TikToK en los Estados Unidos

El tema no es nuevo. Viene de bastante lejos. Durante el mandato presidencial de Donald Trump se impulsó la posibilidad de que Microsoft comprara a ByteDance el servicio de TikTok en Estados Unidos, Canadá, Australia y Nueva Zelanda.

Según el comunicado oficial de Microsoft, la compañía se aseguraría que «todos los datos privados de los usuarios estadounidenses de TikTok se transfieran y permanezcan en los Estados Unidos». En la medida en que dichos datos estén almacenados fuera de los Estados Unidos, Microsoft se aseguraría «de que estos datos se eliminen de los servidores fuera del país después de que se transfieran».

Las negociaciones entre Microsoft y ByteDance no llegaron a buen puerto. No se conocen las razones por las que la operación de compra y venta fracasó, pero que el gobierno de China tenga la posibilidad de vetar la exportación de tecnologías de Inteligencia Artificial, puede ser una razón. 

Si bien los partidos republicano y demócrata están enfrentados en los Estados Unidos en numerosos temas, contra TikTok ambos partidos han unido sus fuerzas.

El 13 de diciembre de 2022 el Senador republicano por Florida, Marco Rubio, presentó en el Senado de los Estados Unidos, con el apoyo de representantes del Partido Republicado y el Partido Demócrata, un proyecto de ley con el objetivo de «proteger a los estadounidenses de la amenaza que representan ciertos adversarios extranjeros que utilizan compañías de redes sociales actuales o futuras que esos adversarios extranjeros controlan para vigilar a los estadounidenses, conocer datos confidenciales sobre los estadounidenses o difundir campañas de influencia, propaganda y censura». Un momento, ¿no les recuerda al escándalo de Cambridge Analytica que implicó la compra de datos de millones de usuarios de Facebook sin su consentimiento para su uso en publicidad política?.  

El referido proyecto –que dejo enlazado aquí— es conocido como Ley ANTISOCIAL del PCCh (Averting the National Threat of Internet Surveillance, Oppressive Censorship and Influence, and Algorithmic Learning by the Chinese Communist Party Act o, en español, Ley para Evitar la Amenaza Nacional de la Vigilancia en Internet, la Censura e Influencia Opresiva y Aprendizaje Algorítmico por parte del Partido Comunista Chino»).

La ley facultaría al Presidente de los Estados Unidos para bloquear y prohibir todas las transacciones, bienes e intereses ubicados en los Estados Unidos de empresas que cumplan alguna de las siguientes condiciones:

En caso de ser aprobada, la ley se aplicaría a cualquier «compañía de medios de comunicación social» que opere, directa o indirectamente, un sitio web, una aplicación de escritorio o móvil a través de su empresa matriz, subsidiarias o afiliadas, que:

  • Permita que una persona o entidad cree una cuenta o perfil con el fin de generar, compartir y ver contenido generado por el usuario a través de dicha cuenta o perfil.
  • Permita que otros usuarios del sitio web o aplicación puedan ver dicho contenido.
  • Venda espacios publicitarios digitales.
  • Permita a los usuarios publicar reseñas de productos, comerciales o información y reseñas. 
  • Proporcione servicios de alerta de emergencia.
  • Tenga más de 1.000.000 de usuarios activos mensuales durante los 12 meses anteriores.

El 13 de marzo de 2024, la Cámara de Representantes volvió a la carga contra ByteDance para que venda la división de TikTok en Estados Unidos. El proyecto de ley fue respaldado por una amplia mayoría: 352 votos a favor y 65 en contra (50 demócratas y 15 republicanos). Posteriormente fue aprobada en el Senado

El Presidente de la Cámara de Representantes –Mike Johnson– argumentó que «aplicaciones como TikTok permiten al Partido Comunista chino enviar contenido dañino a nuestros jóvenes y recopilar datos de ubicación, hábitos de compra, contactos y otras informaciones y datos confidenciales de los estadounidenses. La votación bipartidista de hoy demuestra la oposición de la Cámara de Representantes a los intentos de la China comunista de espionaje y manipulación, y señala nuestra determinación de disuadir a nuestros enemigos. Insto al Senado a aprobar este proyecto de ley y enviarlo al Presidente para que pueda promulgarlo y convertirlo en ley».

ByteDance tendrá nueve meses para vender la división de TikTok en Estados Unidos, aunque el plazo podrá ampliarse tres meses más por el presidente de Estados Unidos. En caso contrario, la aplicación quedaría prohibida. 

En marzo de 2024, la Cámara de Representantes de Estados Unidos aprobó un proyecto de ley con el que pretenden impedir la venta, divulgación, concesión, alquiler o transferencia de datos personales de estadounidenses a sus adversarios extranjeros, como China, Rusia, Corea del Norte e Irán. El proyecto pretende, claramente, poner freno a TikTok en Estados Unidos. 

TikTok en la Unión Europea

Si vive en el Espacio Económico Europeo, Reino Unido o Suiza y es usuario de TikTok debe saber que sus datos personales, vinculados a esta red social, se almacenan en servidores de Estados Unidos, según la política de privacidad de la compañía. Esto se traduce en un pérdida de control de dichos datos.

Conscientes del problema, en febrero de 2023, la Comisión Europea y el Consejo prohibieron la instalación de TikTok en los dispositivos corporativos de sus empleados/funcionarios y en los dispositivos personales afiliados, como medida de protección frente a las acciones y amenazas de ciberseguridad.

Días después del comunicado de las autoridades comunitarias, la Presidenta de la Junta del Tesoro de Canadá, Mona Fortier, emitió un comunicado anunciando la prohibición del uso de la aplicación TikTok en dispositivos móviles del gobierno canadiense.

No son los únicos que han vetado a la plataforma entre sus funcionarios, así, tenemos a Francia, Australia, Nueva Zelanda, Reino Unido, Francia y Países Bajos.

Otros países han ido más allá, prohibiendo la descarga de la aplicación con carácter general, como India, Afganistán, Pakistán, Irán, Azerbaiyán, entre otros, argumentando que TikTok contradice sus valores sociales.

Reacción de TikTok

Tiktok niega que los datos personales de sus usuarios estén en riesgo y afirman que siguen mejorando su enfoque en cuanto a la seguridad de los datos, mediante el establecimiento de tres centros de datos en Europa para almacenar localmente los datos de sus usuarios, minimizando así los flujos de datos fuera de la Unión Europa.

La promesa hecha por los responsables de la plataforma es que los datos personales de todos los usuarios europeos de TikTik estén en suelo europeo antes de 2024. El proyecto de ByteDance, conocido como Project Clover, consiste en construir dos centros de datos en Irlanda y uno en Noruega, para que los datos de los usuarios se encuentren dentro de la órbita local. Completados los tres centros, los datos personales almacenados en servidores de Estados Unidos migraran a éstos tres centros.

Para respaldar su estrategia, ByteDance ha contratado a la firma británica NCC Group con el objetivo de que pueda auditar sus prácticas. La red social afirma que NCC Group monitorizará el tráfico de datos en tiempo real para identificar y responder a cualquier acceso sospechoso. Asimismo, colaborarán para que los datos de los usuarios europeos sólo puedan estar disponibles para empleados autorizados.

Conclusión

Está muy bien que el Gobierno de los Estados Unidos, los Senadores y los Congresistas se preocupen por la seguridad y privacidad de los datos personales de los ciudadanos de los Estados Unidos, si bien cabría esperar la misma preocupación por los datos del resto de ciudadanos del mundo cuando estos se transfieren a los Estados Unidos.

Recordemos el precario sistema de transferencia de datos personales que tenemos, en la actualidad, entre los Estados Unidos y la Unión Europea, que explico aquí, y el hecho de que el Tribunal de Justicia de la Unión Europea anulara la «Decisión de Puerto Seguro» en la Sentencia Schrem I y el «Escudo de la privacidad UE–EEUU» en la Sentencia Schrem II.

En dichas sentencias, el TJUE censura que las autoridades norteamericanas, incluidos los servicios de inteligencia, puedan acceder a los datos personales de ciudadanos no estadounidenses, amparándose en razones de seguridad nacional, con el añadido de que los ciudadanos de la Unión no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de sus datos personales por parte de las autoridades estadounidenses, ya que la Cuarta IV Enmienda de la Constitución de los Estados Unidos, que ampara a los ciudadanos de la vigilancia ilegal, no es aplicable a los ciudadanos de la Unión Europea.

TikTok se encuentra bajo la lupa de muchos países. La posible intervención del gobierno chino sobre la aplicación no la deja en buen lugar. Para sus críticos, TikTok es una suerte de «caballo de Troya» que, aunque parece inofensiva, podría convertirse en una arma poderosa en tiempos de conflicto. Los ciudadanos sólo conocemos la punta del iceberg, así que todo puede ser.

Más información

La AEPD ha elaborado una guía, en forma de vídeo, para configurar la privacidad en TikTok.

Actualización (23.03.2023)

El CEO de ByteDance, Shou Zi Chew, compareció el 23 de marzo de 2023 ante el Comité de Energía y Comercio de la Cámara de Representantes de Estados Unidos.

La compañía presentó una iniciativa llamada Project Texas que consiste en una infraestructura cien por cien en la nube gestionada por la compañía de Texas ORACLE para almacenar los datos de sus usuarios norteamericanos. De esta forma, la red social asegura que cualquier tipo de interferencia por parte del gobierno chino sería imposible. La iniciativa no convenció a las autoridades norteamericanos, que insisten en la venta del negocio en Estados Unidos a una empresa norteamericana.

Actualización (02.09.2023)

La Comisión de Protección de Datos de Irlanda decide sancionar a TikTok por el tratamiento de datos personales de menores efectuado en el período comprendido entre el 31 de julio y el 31 de diciembre de 2020.

La decisión, que dejo enlazada aquí, fue adoptada el 1 de septiembre de 2023, tras constatarse la infracción de los artículos 5.1.c), 5.1.f), 24.1), 25.1), 25.2, 12.1, 13.1.e) y 5.1.a) del RGPD, obligando a la compañía a adaptar el tratamiento a la normativa en el plazo de tres meses con multa de 345 millones de euros.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).