El eje del caso es el presunto seguimiento de usuarios entre aplicaciones sin consentimiento y el tratamiento de datos especialmente protegidos, como la orientación sexual, en posible vulneración del Reglamento General de Protección de Datos (RGPD).
La investigación parte de un ejercicio de derecho de acceso a los datos personales por parte de un usuario, que permitió descubrir que TikTok recopilaba información generada dentro de su propia plataforma, así como datos procedentes de otras aplicaciones instaladas en el dispositivo. Entre ellos figuraban referencias explícitas al uso de Grindr, una app de citas dirigida al colectivo LGBTQ+, así como información sobre otras aplicaciones y acciones realizadas fuera del entorno de TikTok.
Rastreo cruzado más allá de TikTok
Según Noyb, este caso pone de manifiesto un nivel de integración entre aplicaciones que va más allá de lo que la mayoría de los usuarios percibe. TikTok habría recibido información sobre la actividad del usuario en aplicaciones de terceros, lo que le permitiría construir un perfil digital mucho más amplio y detallado, no limitado al consumo de contenidos dentro de su propia plataforma.
La organización sostiene que esta transferencia de datos se habría producido a través de AppsFlyer, una compañía especializada en atribución publicitaria y medición de campañas móviles, cuyos sistemas suelen integrarse en múltiples aplicaciones mediante kits de desarrollo de software (SDK). En este contexto, AppsFlyer actuaría como intermediario técnico en el flujo de datos entre Grindr y TikTok.
El problema, desde el punto de vista regulatorio, reside en el intercambio de datos y en su propia naturaleza. El uso de Grindr permite inferir información relacionada con la orientación sexual del usuario, una categoría considerada dato especialmente sensible por el RGPD. El artículo 9 del reglamento prohíbe, como norma general, el tratamiento de este tipo de datos salvo en supuestos muy concretos y con garantías reforzadas, entre ellas el consentimiento explícito.
Ni Grindr ni AppsFlyer disponían de una base jurídica válida para compartir estos datos con TikTok
La asociación Noyb sostiene que ni Grindr ni AppsFlyer disponían de una base jurídica válida para compartir estos datos con TikTok, ni en virtud del artículo 6 del RGPD, que regula la licitud del tratamiento, ni, mucho menos, en relación con el artículo 9, que protege las categorías especiales de datos personales.
Desde la organización subrayan que el usuario nunca otorgó consentimiento para que su actividad en Grindr fuera utilizada con fines publicitarios, analíticos o de personalización por parte de terceros. A su juicio, el caso ilustra cómo determinadas prácticas habituales en la economía digital pueden derivar en tratamientos de alto riesgo para los derechos fundamentales, especialmente cuando se combinan datos procedentes de múltiples fuentes.
Además, Noyb advierte de que este tipo de inferencias pueden tener consecuencias graves en términos de discriminación, perfilado o exposición involuntaria de aspectos íntimos de la vida de las personas, algo que el marco legal europeo trata de evitar de forma expresa.
Transparencia y derecho de acceso bajo el RGPD
La segunda denuncia presentada ante la autoridad austriaca se centra en la respuesta de TikTok a la solicitud de acceso del usuario. Según Noyb, la compañía remitió inicialmente a su herramienta estándar de descarga de datos, pero esta no incluía toda la información personal que la plataforma estaba procesando.
Solo tras múltiples reclamaciones, TikTok habría admitido que almacenaba datos relacionados con el uso de aplicaciones externas
De acuerdo con la documentación aportada, TikTok reconoció posteriormente que dicha herramienta solo proporciona los datos que la empresa considera “relevantes”, excluyendo otros conjuntos de información. Solo tras múltiples reclamaciones, TikTok habría admitido que almacenaba datos relacionados con el uso de aplicaciones externas, aunque sin ofrecer una explicación completa sobre su origen, finalidad o destinatarios.
Para Noyb, este comportamiento vulnera los artículos 12 y 15 del RGPD, que obligan a las empresas a facilitar información completa, transparente y comprensible sobre el tratamiento de los datos personales. La organización considera que la existencia de herramientas de acceso incompletas supone un problema estructural que podría afectar a un gran número de usuarios en la Unión Europea.
Las denuncias llegan en un contexto de creciente presión regulatoria sobre TikTok en Europa. En mayo, la plataforma fue sancionada en Irlanda con 530 millones de euros por irregularidades relacionadas con transferencias internacionales de datos. Grindr, por su parte, se enfrenta a una demanda colectiva en el Reino Unido por la presunta cesión de información médica a terceros sin consentimiento.
Desde Noyb se ha solicitado a la autoridad austriaca que obligue a TikTok a facilitar al denunciante una copia completa de todos sus datos personales, que ordene el cese de las prácticas de rastreo entre aplicaciones y que imponga sanciones “efectivas, proporcionadas y disuasorias”, tal y como prevé el RGPD.
Si (
No(
