La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 530 millones de euros a TikTok por transferencias ilegales de datos personales de usuarios del Espacio Económico Europeo (EEE) a China.
La investigación, iniciada en 2021, concluye que la plataforma no cumplió con el Reglamento General de Protección de Datos (RGPD), ni en materia de garantías legales ni en transparencia hacia los usuarios.
La sanción se convierte en la tercera más alta dictada hasta ahora en el marco del RGPD, tras las impuestas a Meta y Amazon. Además, el organismo ha dado a TikTok un plazo de seis meses para corregir el tratamiento de datos y suspender esas transferencias si no logra adecuarse a la normativa europea.
Falta de garantías en el acceso a datos desde China
El núcleo del caso está en las transferencias de datos personales a países que no cuentan con un nivel de protección equivalente al europeo. Según el RGPD, estas transferencias solo pueden hacerse si existen mecanismos legales que aseguren esa equivalencia, como las cláusulas contractuales estándar o una decisión de adecuación por parte de la Comisión Europea.
En este caso, TikTok permitió el acceso remoto a datos de usuarios europeos por parte de personal ubicado en China. Aunque la empresa argumentó que ese acceso no estaba sujeto a la legislación china, la propia documentación presentada durante la investigación reconocía que leyes como la de Inteligencia Nacional o la de Ciberseguridad podrían facilitar el acceso a esa información por parte de las autoridades chinas.
El DPC concluye que TikTok no hizo una evaluación adecuada del riesgo ni implementó medidas suficientes para proteger esos datos. “TikTok no verificó ni garantizó que los datos personales de usuarios europeos, accedidos desde China, estuvieran protegidos al nivel que exige la normativa de la UE”, advierte Graham Doyle, subcomisario del organismo.
Por ello, el regulador irlandés impone una sanción de 485 millones de euros por la transferencia ilícita de datos personales a China sin garantías suficientes durante el periodo investigado (antes de la implementación de Project Clover).
Información errónea y falta de transparencia
Otro de los aspectos clave en la resolución es que TikTok proporcionó información inexacta durante el proceso. Aunque inicialmente aseguró que no almacenaba datos europeos en servidores chinos, en abril de 2025 admitió que parte de esa información sí había sido guardada en China por error. La compañía indicó que los datos ya fueron eliminados, pero el DPC estudia si deben tomarse medidas adicionales por este incumplimiento.
Además, entre julio de 2020 y diciembre de 2022, la política de privacidad de TikTok no indicaba con claridad a qué países se transferían los datos ni explicaba cómo se accedía a ellos. Esta falta de transparencia vulneró el artículo 13 del RGPD, que obliga a informar con precisión sobre el destino y tratamiento de los datos personales.
TikTok corrigió estos puntos en una versión posterior de su política, que ya incluye referencias específicas a los países implicados y al acceso remoto. Sin embargo, la infracción durante el periodo anterior se traduce en una multa adicional de 45 millones de euros.
TikTok se defiende y apelará la sanción
TikTok ha expresado su desacuerdo con la decisión del regulador. Según Christine Grahn, responsable de Asuntos Públicos de TikTok en Europa, la resolución “ignora las medidas de protección que ya están en vigor” tras la implementación de Project Clover, una iniciativa de seguridad de datos lanzada en 2023 con una inversión de 12.000 millones de euros.
La plataforma de vídeos cortos sostiene que nunca ha recibido solicitudes de datos por parte del gobierno chino ni ha facilitado acceso a ellos. Además, asegura que el acceso remoto a datos por empleados en países sin acuerdo de adecuación, como China, se realiza bajo cláusulas contractuales estándar, conforme al marco legal europeo. TikTok defiende que estas prácticas se aplican también en otras compañías tecnológicas y lamenta haber sido “singularizada injustamente”.
Asimismo, destacan que Project Clover incluye supervisión independiente por parte de la firma europea NCC Group y el establecimiento de un centro de datos en Finlandia. TikTok planea apelar la resolución al considerar que “no refleja las garantías actualmente vigentes ni el nivel de protección que ofrece la plataforma en Europa”.
Si (
No(
