Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

TikTok y protección de datos

TikTok se ha consolidado como una de las redes sociales más populares del mundo, con más de 1.500 millones de usuarios, pero lleva años bajo la lupa de las autoridades de varios países, debido a preocupaciones relacionadas con la sobre privacidad de datos, seguridad nacional y sus vínculos con el gobierno chino. Curiosamente, en China, la versión global de TikTok no está disponible, ya que se usa Douyin, una variante local operada por ByteDance, la empresa matriz de TikTok. 

Varios países han vetado completamente la descarga y el uso de TikTok: India (desde 2020), Afganistán (desde 2022), Irán (desde 2022), Uzbekistán (desde 2023), Nepal (desde 2023), Somalia (desde 2023), Albania (desde 2025) y Bangladesh (parcial, con restricciones en contenido). Otros han implementado vetos parciales, prohibiendo su uso en dispositivos gubernamentales o de funcionarios públicos, como Estados Unidos, Canadá, Australia, Nueva Zelanda, Reino Unido, Noruega, Dinamarca, Bélgica, Países Bajos, Taiwán, Estonia, Francia, Polonia, Bulgaria y Hungría, así como en instituciones como la Comisión Europea y la OTAN.

La cantidad de información que se puede extraer de los vídeos es abrumadora. Cada vídeo puede contener metadatos que incluyen detalles como la fecha y hora de la grabación, la marca y modelo del dispositivo, la versión del sistema operativo y, en muchos casos, las coordenadas GPS que indican el lugar exacto donde se realizó la grabación. A mayores, se puede recopilar información del usuario sobre los vídeos que ve, los comentarios que escribe, los mensajes privados que envía y, si acepta conceder este nivel de acceso, su geolocalización exacta y listas de contactos. 

TikTok en Estados Unidos

Durante su primer mandato presidencial, Trump impulsó la posibilidad de que Microsoft adquiriera las operaciones de TikTok en Estados Unidos, Canadá, Australia y Nueva Zelanda. Las negociaciones entre Microsoft y ByteDance no prosperaron. Tras el fracaso de la operación, Larry Ellison, CEO de Oracle, logró que su empresa se convirtiera en el «socio tecnológico de confianza» de TikTok en Estados Unidos. Este acuerdo no implicaba una venta directa, sino una asociación en la que Oracle asumía la gestión de la infraestructura tecnológica y la seguridad de los datos de TikTok en el país.

A pesar de las diferencias partidistas, republicanos y demócratas unieron fuerzas contra TikTok. El CEO de ByteDance, Shou Zi Chew, testificó el 23 de marzo de 2023 ante el Comité de Energía y Comercio de la Cámara de Representantes. Además, aprobaron la Ley de Protección de los Estadounidenses frente a Aplicaciones Controladas por Adversarios Extranjeros (Protecting Americans from Foreign Adversary Controlled Applications Act) que obliga a ByteDance a vender, al menos, el 80 % de la división de TikTok en Estados Unidos o enfrentar una prohibición total. La fecha límite inicial era el 19 de enero de 2025, aunque ha sido prorrogada en varias ocasiones.

El 17 de enero de 2025, la Corte Suprema de Estados Unidos, en el caso TikTok Inc. vs. Garland, avaló por unanimidad la legalidad de la norma, citando razones de seguridad nacional.

Para que TikTok pueda seguir operando en Estados Unidos, según la mencionada ley, debe cumplir las siguientes condiciones:

  1. Un mínimo del 80 % de la división de TikTok en Estados Unidos debe ser vendida antes del 19 de enero de 2025 (o las fechas extendidas) a inversores no vinculados a adversarios extranjeros. 
  2. La nueva propiedad no puede mantener vínculos operativos ni de infraestructura con ByteDance.
  3. Los datos personales de los usuarios estadounidenses deben almacenarse y gestionarse en servidores dentro de Estados Unidos.
  4. TikTok debe someterse a auditorías de seguridad independientes para garantizar que no comparte datos con el gobierno chino y debe implementar sistemas de transparencia para supervisar sus algoritmos y prácticas de recopilación de datos.
  5. La nueva estructura de propiedad debe cumplir con los estándares de ciberseguridad establecidos por el gobierno federal.
  6. El acuerdo de venta debe ser aprobado por el Comité de Inversiones Extranjeras en los Estados Unidos (CFIUS).

El 19 de enero de 2025, los usuarios de TikTok en Estados Unidos sufrieron una breve suspensión del servicio, acompañada del mensaje: «Se ha promulgado una ley que prohíbe TikTok en Estados Unidos. Desafortunadamente, eso significa que no puedes usar TikTok por ahora. Tenemos la suerte de que el presidente Trump haya indicado que trabajará con nosotros en una solución para restablecer TikTok una vez que asuma el cargo. Por favor, permanezcan atentos».

Pocas horas después, el servicio se restableció, tras la concesión de una prórroga de 75 días. Esta prórroga se ha extendido varias veces, con la última fijada hasta el 23 de enero de 2026, mientras se finaliza un acuerdo liderado por Oracle para adquirir el 80 % de TikTok en Estados Unidos. Otros implicados en la compra incluyen la firma de capital privado Silver Lake y MGX de Emiratos Árabes Unidos, con participación de Rupert Murdoch y su hijo Lachlan y Michael Dell, entre otros.

Para muchos, detrás de esta operación no se esconde la protección de los datos de los ciudadanos estadounidenses, sino el interés por controlar una red social con un poder enorme para influir en la opinión pública. Como antecedente, basta recordar el caso Cambridge Analytica.

TikTok en Europa

La Comisión de Protección de Datos de Irlanda sancionó a TikTok en dos ocasiones por incumplimientos del RGPD:

  • En septiembre de 2023, TikTok recibió una multa de 345 millones de euros por no proteger adecuadamente los datos de menores y por configuraciones de privacidad inadecuadas.

  • En mayo de 2025, la DPC impuso una multa de 530 millones de euros por transferencias no autorizadas de datos personales de usuarios europeos a China, sin garantizar un nivel de protección equivalente al exigido por el RGPD. 

ByteDance ha afirmado que los datos personales de sus usuarios europeos no están en riesgo y que continúa fortaleciendo su enfoque en la seguridad de datos. Como respuesta, lanzó Project Clover, un plan que incluye una inversión de 12.000 millones de euros para construir infraestructuras locales y garantizar el cumplimiento del RGPD. Como parte de ese proyecto, TikTok está desarrollando tres centros de datos principales: dos en Irlanda (uno operativo en Dublín desde septiembre de 2023 y otro en construcción) y uno en Noruega (Hamar, con tres edificios, completado en abril de 2025). Además, en abril de 2025, TikTok anunció un cuarto centro en Finlandia, con una inversión adicional de 1.000 millones de euros. Estos centros tienen como objetivo almacenar localmente los datos de los usuarios europeos, con migración completa desde sus servidores en Estados Unidos y otros países.

ByteDance contrató a la firma británica NCC Group para auditar y supervisar de forma independiente las prácticas de protección de datos de TikTok. NCC Group monitorea el tráfico de datos y verifica la efectividad de las medidas de seguridad implementadas, asegurando que los datos europeos no sean accesibles por entidades no autorizadas, incluido el gobierno chino.

Conclusión

The Washington Post investigó a TikTok y concluyó que la aplicación no parece recopilar más datos personales que cualquier otra red social. Citizen Lab de la Universidad de Toronto realizó otro análisis técnico que llegó a conclusiones similares. 

Más información

La AEPD ha elaborado una guía, en formato vídeo, para configurar la privacidad en TikTok.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es