Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

TikTok y Protección de datos

TikTok se ha consolidado como una de las redes sociales más populares del mundo, pero lleva años bajo la lupa de las autoridades de varios países.

India, Afganistán, Pakistán, Irán, Somalia, Taiwán, Nepal, entre otros, han prohibido la descarga de la aplicación con carácter general. Otros países han vetado parcialmente a la plataforma, prohibiendo su uso entre autoridades y funcionarios, por ejemplo, Estados Unidos, Canadá, Australia, Nueva Zelanda, Noruega, Reino Unido, Dinamarca, Bélgica, Países Bajos. Estas medidas se han tomado principalmente por preocupaciones sobre la privacidad de los datos y la seguridad nacional. 

La cantidad de información que se puede extraer de los vídeos es abrumadora. Cada vídeo puede contener metadatos que incluyen detalles como la fecha y hora de la grabación, la marca y modelo del dispositivo, la versión del sistema operativo y, en muchos casos, las coordenadas GPS que indican el lugar exacto donde se realizó la grabación. A mayores, se puede recopilar información del usuario sobre los vídeos que ve, los comentarios que escribe, los mensajes privados que envía y, si acepta conceder este nivel de acceso, su geolocalización exacta y listas de contactos.

TikTok en Estados Unidos

Durante su primer mandato presidencial, Donald Trump impulsó la posibilidad de que Microsoft adquiriera TikTok en Estados Unidos, Canadá, Australia y Nueva Zelanda. Microsoft se comprometía a garantizar que «todos los datos privados de los usuarios estadounidenses de TikTok se transfirieran y permanecieran en Estados Unidos», además, la compañía se aseguraría «de que los datos se eliminen de los servidores situados fuera del país, después de que se transfieran».

Las negociaciones entre Microsoft y ByteDance no fructificaron. No se conocen las razones, pero que el gobierno de China tenga la posibilidad de vetar la exportación de tecnologías de inteligencia artificial puede ser una razón. 

Tras el rotundo fracaso de la operación con Microsoft, Larry Ellison, CEO de Oracle, consiguió convertir a su empresa en «socio tecnológico de confianza» de TikTok en Estados Unidos. Este acuerdo no se estructuró como una venta directa, sino como una asociación en la que Oracle se encargaría de la infraestructura tecnológica y la seguridad de los datos de TikTok en Estados Unidos.

A pesar de la división política entre el Partido Republicano y el Partido Demócrata, ambos partidos han unido sus fuerzas contra TikTok, así, consiguieron que el CEO de TikTok, Shou Chew, testificara el 23 de marzo de 2023 ante el Comité de Energía y Comercio de la Cámara de Representantes. No solo eso, también aprobaron la Ley de Protección de los Estadounidenses frente a Aplicaciones Controladas por Adversarios Extranjeros (Protecting Americans from Foreign Adversary Controlled Applications Act) que obliga a ByteDance a vender la división de TikTok en Estados Unidos. La fecha límite era el 19 de enero de 2025.

Para que TikTok pudiera seguir operando en Estados Unidos, según la norma referenciada, debía cumplir las siguientes condiciones:

  1. La división de TikTok en Estados Unidos debe ser vendida antes del 19 de enero de 2025.
  2. La nueva propiedad no puede mantener vínculos operativos ni de infraestructura con ByteDance.
  3. Los datos personales de los usuarios estadounidenses deben almacenarse y gestionarse en servidores dentro de Estados Unidos.
  4.  TikTok deberá someterse a auditorías de seguridad independientes para garantizar que no comparte datos con el Gobierno chino. También se requiere que implemente sistemas de transparencia para supervisar sus algoritmos y prácticas de recopilación de datos.
  5. El acuerdo de venta debe ser aprobado por el Comité de Inversiones Extranjeras en los Estados Unidos (CFIUS) y la nueva estructura de propiedad deberá cumplir con los estándares de ciberseguridad establecidos por el Gobierno federal.

Antes las dudas que suscitaba la norma, la Corte Suprema de Estados Unidos se pronunció al respecto, en la sentencia que dejo enlazada aquí, en la que por unanimidad avaló la legalidad de la norma por razones de seguridad nacional.

El 19 de enero de 2024, los usuarios de TikTok vieron como el servicio se suspendía con el siguiente mensaje: «Se ha promulgado una ley que prohíbe TikTok en Estados Unidos. Desafortunadamente, eso significa que no puedes usar TikTok por ahora. Tenemos la suerte de que el presidente Trump haya indicado que trabajará con nosotros en una solución para restablecer TikTok una vez que asuma el cargo. Por favor, permanezcan atentos». A las pocas horas, el servicio se restablecía, tras la concesión de una prórroga de 75 días para vender, al menos, el 50 % de la división de TikTok a empresas estadounidenses, concedida por el presidente Donald Trump.

TikTok en Europa

Estados Unidos ya sabemos que libra sus propias batallas, pero ¿qué pasa con los datos personales de los ciudadanos europeos que son usuarios de TikTok?

Tiktok niega que los datos personales de sus usuarios estén en riesgo y afirman que siguen mejorando su enfoque en cuanto a la seguridad de los datos recabados. La compañía china tiene proyectado construir dos centros de datos en Irlanda y uno en Noruega para almacenar localmente los datos de los usuarios europeos que superan los 150 millones de usuarios. Completados los tres centros, los datos personales almacenados en servidores de Estados Unidos migrarán a estos tres centros. El proyecto se conoce como Project Clover y representa una inversión de 12.000 millones de euros.

Para respaldar su estrategia, ByteDance ha contratado a la firma británica NCC Group con el objetivo de que pueda auditar y supervisar sus prácticas de seguridad y protección de datos. NCC Group monitorizará el tráfico de datos y verificará la efectividad de las medidas implementadas.

ByteDance presentó una iniciativa similar, llamada Project Texas, que consiste en una infraestructura cien por cien en la nube gestionada por ORACLE para almacenar los datos de los usuarios norteamericanos con una inversión que supera los 1.500 millones de dólares. En este caso, de la supervisión se encargará el Comité de Inversiones Extranjeras en los Estados Unidos (CFIUS).

Conclusión

The Washington Post investigó a TikTok y concluyó que la aplicación no parece recopilar más datos personales que cualquier otra red social. El Citizen Lab de la Universidad de Toronto realizó otro análisis técnico que llegó a conclusiones similares. La cuestión es: ¿Quién le pone el cascabel a otras redes sociales como X o Facebook? Recordemos el escándalo de Cambridge Analytica.

El problema no es que una gran compañía recopile datos personales masivamente, el problema es que esta compañía no colabora con el gobierno norteamericano pasándole información.

Más información

La AEPD ha elaborado una guía, en forma de vídeo, para configurar la privacidad en TikTok.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).