Comentario de la sancionzaca de la DPC a TikTok (530 millones)
...Y cinco enlaces de postre.
oct 09, 2025
Hoy tenemos como plato principal un largo resumen de la sanción de la DPC a TikTok, porque la ocasión lo merece, y de postre variado a compartir, cinco: sólo cinco enlaces imprescindibles esta semana.
Si pasas de lo de TikTok, escrollea hasta ahí abajillo.
(ii) (ii) las prohibiciones de seguir transfiriendo datos de usuarios UE a China y de seguir tratándolos allí (más correctamente “desde allí”, porque mayoritariamente los almacena fuera de China).
Pero como suele pasar en estos casos, a los demás también nos va a salpicar la cosa.
Esta resolución desbarata el 99% de las “Transfer Impact Assessments” o TIAs que uno se encuentra por ahí y de las “medidas adicionales” que se suelen aportar como suficientes para compensar las “minusvalías” apreciadas en las normativas de inteligencia frente al estándar de protección europeo.
Es decir, esta resolución pone en solfa TODAS las transferencias basadas en Cláusulas Internacionales Tipo (SCCs) y Normas Corporativas Vinculantes (BCRs). Y también muestra la pauta limitada de los famosos informes encargado por el EDPS sobre China, Rusia e India; y sobre México y Turquía (Mileu I y II), en tanto que la DPC decide asumir los que presenta TikTok de gran despacho y especialistas de por allí.
Y nos recuerda que, para el gusto de las autoridades, el interesado no es libre para consentir aquello que guste.
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad tecnológica desde el punto de vista del derecho de protección de datos e IA de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! Apúntate!
Contexto
Esta decisión (con la participación del EDPB y las autoridades de Países Bajos, CNIL y Alemania (Berlín) tiene derivadas para todos:
ByteDance hizo un esfuerzo por almacenar los datos de europeos fuera de China (su famoso “Project Clover”), pero ¡AH! si el acceso y lectura es posible desde China, ese país, no se puede garantizar la “protección de derechos equivalente a la europea”.
El problema de legitimación con China está, no en las SCCs utilizadas, sino en la TIA (evaluación de impacto de la transferencia) que era tan bondadosa y posibilista como cualquier otra que cualquiera lee en su día a día: se centraba en los argumentos más sólidos y pasaba de puntillas por todo lo demás: en concreto, nunca explicó la posibilidad de acceso y lectura remota desde China de los datos de usuarios almacenados en USA, Malasia y Singapur.
Las “diferencias” entre las “normativas de inteligencia” China y europeas pueden ser un “bug” o un “feature”, dependiendo de la importancia que cada cual dé al respeto a los derechos fundamentales de los ciudadanos.
Pero este post pretende hablar de otra cosa.
El resultado para la DPC es que China no cumple la “equivalencia de protección europea” (y ningún país lo hace, sólo que hay algunos de ellos bendecidos con la “declaración de adecuación de la Comisión”)
Para cumplir haría falta…
Medidas adicionales: TikTok aporta medidas de gran plataforma que alcanzan en estado de la técnica, pero claro, frente a terceros, no frente a sus propios trabajadores en China. (Recuerden: el problema es el acceso remoto desde China a datos almacenados donde sea).
Así que estas medidas no arreglan nada.
Y always remember:
La insuficiencia de la TIA y de las medidas adicionales, no sólo afectan a las organizaciones que confían en SCCs para sus transferencias: también a las que utilizan Binding Corporate Rules o Normas Corporativas Vinculantes.
Excepciones del art 49 RGPD. Como guinda del pastel, la DPC declara -con el EDPB detrás- que un solo consentimiento del interesado no puede legitimar transferencias de datos recurrentes y constantes en un caso como éste.
Pero vamos con el detalle de la Resolución:
Alcance y Contexto de la Investigación
La investigación de la DPC comprende desde el 29 de julio de 2020 (justo después de la sentencia Schrems II) hasta el 17 de mayo de 2023 (justo antes, aunque no tiene nada que ver, de la aprobación del DPF USA).
Perímetro material:
Incumplimientos vinculados a transferencias de datos de Usuarios UE a China consistentes en el acceso remoto por parte del personal de empresas del Grupo ByteDance ubicadas en China, aunque los datos personales se almacenaban en servidores fuera de China.
“Bolas chinas” (podía haber caído mucho más)
Tenían que haberle puesto el triple de multa: La DPC basa su resolución en las afirmaciones de TikTok Ireland de que los datos no se almacenaban en China (la transferencia sancionada es el acceso remoto desde China a servidores fuera de dicho país).
Sin embargo, TikTok Ireland reveló posteriormente (en abril de 2025) que SÍ almacenaba datos de usuarios europeos en servidores en China. Estas revelaciones no fueron tomadas en cuenta en esta sanción.
AUTOPROMO: Formación Doctrina Scania vs RGPD
A petición popular, desde el 21 de octubre haremos una formación corta y al grano con la aplicación de la Doctrina Scania como protagonista.
Ya sabéis: basada en casos prácticos reales y al jamón, zero bullshit.
Plazas limitadas (y ya tengo varias cubiertas). Información aquí e inscripciones escribiendo a formación(arroba)jorgegarciaherrero.com
Disculpen estos segundos de publicidad, y sigamos con el jamón:
Cuestiones revisadas por la DPC:
1. ¿Era lícita la acogida a las Cláusulas Contractuales Tipo (SCC) de 2010 y, posteriormente, las de 2021? A estos efectos…
2. ¿Evaluó correctamente TikTok Ireland el nivel de protección de datos personales en China (la “equivalencia esencial” al nivel de protección europeo: esa entelequia)? Adivinen.
3. Eficacia de las, ja, medidas suplementarias;
4. ¿Podría acogerse TikTok a las excepciones del Artículo 49 RGPD?
5. Cumplimiento de las obligaciones de transparencia del Artículo 13.1.f) RGPD.
Equivalencia Esencial y Artículo 46 (Cuestiones 1 y 2)
Recordemos que para que las transferencias de datos a un tercer país cumplan el Artículo 46 del RGPD (en ausencia de una decisión de adecuación, que ni está, ni se espera), el exportador debe verificar, garantizar y poder demostrar que el nivel de protección de los datos personales sea esencialmente equivalente al garantizado por el RGPD dentro de la Unión Europea.
TikTok Ireland utilizó las SCC (Cláusulas Contractuales Tipo) -las de 2010 y luego las de 2021, en cuanto se publicaron- como la herramienta de transferencia relevante. En sus Evaluaciones de Transferencia (TIAs), TikTok Ireland reconoció que el marco legal chino no alcanzaba el estándar europeo en múltiples puntos y que, “en sí mismas consideradas”, las SCC no garantizarían la equivalencia esencial.
El caballo de Troya chino, o ideaca base para lubricar su pretensión de cumplimiento, y compensar estas deficiencias fue el principio de territorialidad:
China exige respeto (en el sentido de no intromisión en sus propios asuntos nacionales y, recíprocamente respeta el mismo principio en sus relaciones internacionales, públicas y privadas).
Como consecuencia de lo anterior, las autoridades chinas no están legalmente facultadas para obligar a la divulgación de datos que no se almacenan domésticamente en China, o no lo hacen de facto.
La DPC rechazó esta conclusión.
A pesar de tres informes legales de despachos chinos y un cuarto de Clifford Chance -Oficina China-, (al que luego volveremos, porque válgame Dios bendito), que incidían en la falta de jurisdicción extraterritorial de China para acceder a datos almacenados en el extranjero, la DPC sostuvo que TikTok Ireland no respondió a las reiteradas solicitudes de clarificación sobre la posibilidad de acceso remoto (y tratamiento jurídico de) el personal de Bytedance ubicado en China a los datos personales de europeos alojados en Singapur, Malasia y EEUU.
Lo de Clifford Chance
La DPC documenta sólo dos detalles de este informe. El segundo es oro:
El primero: juzguen ustedes:
El segundo: un informe firmado por Nadie:
Medidas Suplementarias (Cuestión 3)
TikTok Ireland: “He implementado las más modernas y avanzadas medidas técnicas (como el cifrado de datos en tránsito y en reposo), contractuales y organizativas”.
DPC: “Sí mi Ciela, has implementado las medidas propias de cualquier plataforma de estas dimensiones. Estas medidas garantizan la protección de los datos frente a terceros atacantes, sí, pero no impiden a tus currelas chinos el acceso remoto a los datos alojados fuera de China. Estos currelas podían acceder a los datos en texto plano (descifrado) para poder realizar operaciones de mantenimiento y soporte.
Y si las autoridades chinas ordenan en China a tus muchachos el acceso remoto a datos de europeos, accederán a ellos sin incumplir ese principio de territorialidad tan cuqui del que ustedes me hablan. “
Excepciones del Artículo 49 (Cuestión 4):
TikTok Ireland no se amparó en las derogaciones del Artículo 49 durante la investigación, pero muy al estilo de Meta, se reservó explícitamente su derecho a hacerlo si, como tenía toda la pinta, la DPC les acababa rompiendo la cresta con su resolución.
Así que la DPC analizó su potencial uso futuro y alcanza dos conclusiones.
De entrada, nos recuerda que el Artículo 49 no puede legitimar las Transferencias de Datos objeto de investigación, porque tienen naturaleza sistemática, repetitiva y continua.
Y es que las excepciones, como la de necesidad contractual (Artículo 49.1.b) o intereses legítimos imperiosos (Artículo 49(1) II), deben interpretarse de manera estricta y están destinadas a transferencias ocasionales o no repetitivas. EL EDPB lo ha dicho muchas veces.
Pero ojo a lo que dice del consentimiento:
Consent must be specific for the particular data transfer/set of transfers. One of the requirements of valid consent is that it must be specific. In order to constitute a valid ground for a data transfer pursuant to Article 49.1.a), hence, consent needs to be specifically given for the particular data transfer or set of transfers
Since consent must be specific, it is sometimes impossible to obtain the data subject’s prior consent for a future transfer at the time of the collection of the data, e.g. if the occurrence and specific circumstances of a transfer are not known at the time consent is requested, the impact on the data subject cannot be assessed.
Nada nuevo bajo el sol: Esto ya lo había dicho el EDPB en sus guidelines precisamente sobre el art. 49. Y en su época de WP, con recordatorio en nota a pie en las directrices 5/2020 de consentimiento:
According to Article 49 (1)(a) GDPR, explicit consent can lift the ban on data transfers to countries without adequate levels of data protection law. Also note Working document on a common interpretation of Article 26(1) of Directive 95/46/EC of 24 October 1995 (WP 114), p. 11, where WP29 has indicated that consent for data transfers that occur periodically or on an on-going basis is inappropriate.
Lo que IMHO no se había aplicado de facto aún era que, consideradas las circunstancias del caso TikTok y aplicando lo anterior:
The DPC finds that the requirement that consent be “explicit” and that it relate to “the proposed transfer” precludes a single consent being obtained for continuous and ongoing data transfers and/or different sets of transfers. The DPC is also of the view that seeking a single open-ended consent for continuous and ongoing data transfers and/or different sets of transfers is not compatible with the obligation to inform the data subject of the possible risks of the transfers being made.
Transparencia y Artículo 13.1.f (Cuestión 5)
El Artículo 13.1.f RGPD obliga al responsable a informar al interesado sobre la transferencia a un tercer país, el mecanismo de transferencia utilizado y la forma de obtener una copia de las salvaguardas.
Según la DPC, la Política de Privacidad aplicable a la UE de octubre de 2021
1. No identificaba explícitamente a China como el tercer país receptor de datos a través de SCCs; y
2. No describía adecuadamente que la transferencia consistía en acceso remoto desde China a datos almacenados en Singapur y Estados Unidos.
La Política de Privacidad actualizada en diciembre de 2022 sí era conforme, cosa que se tuvo en cuenta para mitigar la sanción por este incumplimiento.
Sanciones:
Orden de Suspensión de Transferencia de Datos personales de usuarios UE a China (Artículo 58.2.j): Se considera una medida necesaria y proporcionada al no conseguir TikTok verificar ni garantizar la protección equivalente de los datos de los usuarios europeos.
Orden de cese del tratamiento ilegal de datos en China (Artículo 58.2.d): Se ordenó a TikTok Ireland poner fin al tratamiento ilegal en China de los Datos de Usuarios de la UE transferidos en violación del RGPD.
Multas Administrativas (Artículo 58.2.i): Se impusieron multas en adición a las órdenes.
· Infracción del Artículo 46(1) (transferencia de datos sin garantizar la equivalencia esencial): €485 millones.
· Infracción del Artículo 13(1)(f) (incumplimiento de obligaciones de transparencia): €45 millones.
El total de las multas impuestas es de €530 millones.
Plazos de Cumplimiento:
Las dos órdenes -suspensión de transferencias y regularización de tratamientos de datos en China) serán aplicables seis meses después de (i) la fecha en que expire el plazo para recurrir la decisión final de la DPC o (ii) solicitar la anulación de cualquier decisión del EDPB, lo que ocurra más tarde.
Bonus clip
Siempre hay algún argumento que en la cabeza de alguien era espectacular, pero que luego no es tal puñetazo en la mesa (o no lo das tú).
En aquella sanción enorme de La Caixa tuvimos lo del experto lingüístico que había validado el texto informativo, y aquí se juega al tenor literal del diccionario Collins sobre almacenamiento. Muy Lionel Hutz todo.
TikTok Ireland’s position is that it does not consider that the use of its Remote Access Solution results in any “storage” of EEA User Data in China. TikTok Ireland’s definition of “storage” is premised on providing “a location for data when it is not being used, so that it can be later retrieved for any purpose.” It relies on definitions of “storage” in the Oxford English Dictionary “the action of storing or laying up in reserve” or store “a stock of anything… laid up for future use”; and the (ii) Collins Dictionary “If you refer to the storage of something, you mean that it is kept in a special place until it is needed”. On that basis, TikTok Ireland does not consider that the processing carried out in China in connection with the Remote Access Solution is storage or a storage solution.
Y de postre… cinco enlaces
1.- No se equivoquen: la cagada de Deloitte con el Gobierno Australiano no es un problema con la tecnología: es un problema de gobernanza típico de esos sitios que cobran a precio de socio lo que hace un junior con ChatGPT. Tontos serían los de Deloitte (y tú) si no utilizaras IA en tu trabajo. Lo importante es otra cosa.
2.- La lectura larga que me alegró el domingo por la mañana, Tim Berners Lee (el que nos regaló la world wide web, tiene un par de cosas que decirsobre estos tiempos que corren).
3.- ¿Buscan unos cuantos ejemplos eficaces de storytelling eficaces para que su audiencia entienda (y no olvide) exactamente qué debe ser la supervisión humana dirimente que predican RGPD y el RIA? Buscaban. Katalina Hernández tiene algo para ustedes.
