Christine Grahn, directora de Políticas Públicas y Relaciones Gubernamentales para Europa

  • La decisión no tiene plenamente en cuenta el Proyecto Clover, nuestra iniciativa de seguridad de datos de 12.000 millones de euros, líder en el sector, que incluye algunas de las protecciones de datos más estrictas del mundo. En su lugar, se centra en un periodo concreto de hace años, anterior a la implantación de Clover en 2023, y no refleja las salvaguardas que se aplican ahora.
  • La propia DPC dejó constancia en su informe de lo que TikTok ha dicho sistemáticamente: nunca ha recibido una solicitud de datos de usuarios europeos por parte de las autoridades chinas, y nunca les ha proporcionado datos de usuarios europeos.
  • Con 175 millones de usuarios en toda Europa, más de 6.000 empleados y una plataforma que ha ayudado a las pequeñas empresas a aportar 4.800 millones de euros al PIB y más de 51.000 puestos de trabajo, TikTok está profundamente integrada en la economía europea.
  • No estamos de acuerdo con la decisión y tenemos previsto recurrirla en su totalidad.

Hoy, la Comisión de Protección de Datos (DPC) de Irlanda ha publicado su decisión definitiva sobre la investigación relativa al cumplimiento por parte de TikTok de los requisitos del Reglamento General (RGPD) para la transferencia de datos personales a China.

La decisión se centra principalmente en un periodo concreto de hace años, anterior a la implementación en 2023 del Proyecto Clover, nuestra iniciativa de seguridad de datos de 12.000 millones de euros. La propia DPC ha dejado constancia en su informe de lo que TikTok ha afirmado en todo momento: nunca ha recibido una solicitud de datos de usuarios europeos por parte de las autoridades chinas, ni les ha facilitado dichos datos.

La realidad es que el Proyecto Clover cuenta con algunas de las medidas de protección de datos más estrictas del sector, incluida una supervisión independiente sin precedentes por parte de NCC Group, una empresa europea líder en ciberseguridad. La decisión no tiene plenamente en cuenta estas importantes medidas de seguridad de los datos.

Con 175 millones de usuarios en toda Europa, más de 6000 empleados en la región y una plataforma que ha ayudado a las pequeñas empresas a aportar 4.800 millones de euros al PIB y más de 51.000 puestos de trabajo, TikTok está profundamente integrada en la economía europea. Esta decisión tiene implicaciones no solo para TikTok, sino para cualquier empresa europea que opere a nivel mundial. No estamos de acuerdo con esta decisión y tenemos la intención de recurrirla en su totalidad.

TikTok ha cumplido las propias normas de la UE

Esta no es la primera resolución de la DPC sobre transferencias de datos fuera de Europa. La autoridad impuso una multa récord de 1200 millones de euros a Meta en 2023, ordenándole suspender las transferencias de datos a EE. UU., con la conclusión de que este país no ofrecía una protección «adecuada» de los datos personales europeos.

Solo 15 países tienen acuerdos de adecuación de datos con la UE, que permiten el flujo libre y fiable de datos a través de las fronteras. Como resultado, innumerables empresas dependen de las denominadas cláusulas contractuales tipo: marcos jurídicos preaprobados para el intercambio internacional de datos, para facilitar el acceso remoto a los datos —lo que se denomina transferencia de datos— a empleados con sede en países que no tienen ese estatus.

La DPC sostiene que no realizamos las evaluaciones necesarias. Lo refutamos enérgicamente, ya que hemos llevado a cabo evaluaciones detalladas con el asesoramiento de bufetes de abogados y expertos externos.

Más allá del hecho de que la DPC no haya considerado de manera sustantiva las amplias garantías implementadas en el marco del Proyecto Clover, nos decepciona haber sido señalados a pesar de basarnos en el mismo mecanismo legal empleado por miles de otras empresas que prestan servicios en Europa. Al igual que muchas organizaciones que operan a nivel mundial, TikTok ha utilizado el propio marco legal de la UE, concretamente las cláusulas contractuales tipo, para conceder un acceso estrictamente controlado y limitado a los empleados de países que no cuentan con acuerdos de adecuación de datos.

Este enfoque se ajusta plenamente a las normas establecidas por la Unión Europea y siempre hemos sido transparentes sobre nuestras prácticas. A diferencia de otras empresas, explicamos claramente estos mecanismos en nuestra política de privacidad y en nuestras comunicaciones con nuestra comunidad europea, que ya cuenta con más de 175 millones de personas.

El Proyecto Clover ya ofrece una protección sin precedentes para los datos de los usuarios europeos

En 2023, TikTok comenzó a implementar el Proyecto Clover en Europa, una inversión de 12.000 millones de euros que proporciona garantías sin precedentes para los datos de los usuarios europeos. Recientemente anunciamos un importante hito en nuestro compromiso permanente con la seguridad de los datos en Europa: una inversión de 1.000 millones de euros para establecer nuestro primer centro de datos en Finlandia. Muchas empresas globales que operan en Europa tienen empleados en China, incluidos nuestros competidores. Pero ninguna ha tomado las medidas que ha tomado TikTok. A través del Proyecto Clover, hemos ido más allá que nadie a la hora de abordar riesgos hipotéticos con garantías reales y concretas:

  • Nuestras medidas de seguridad de datos en Europa en el marco del Proyecto Clover, incluidos los protocolos de acceso remoto y transferencia de datos, ahora son supervisadas, verificadas y validadas de forma independiente las 24 horas del día por la prestigiosa empresa europea de ciberseguridad NCC Group, lo que supone un nivel de supervisión independiente y transparencia sin igual entre las plataformas en línea.
  • Los datos de nuestros usuarios europeos ahora se almacenan de forma predeterminada en un enclave de datos europeo dedicado, alojado actualmente en centros de datos de Europa y Estados Unidos.
  • Hemos puesto en marcha barreras de seguridad digital adicionales, conocidas como puertas de seguridad (security gateways). Supervisadas de forma independiente por NCC Group, estas puertas forman parte de un sistema integral de protocolos técnicos que garantizan que únicamente los empleados autorizados puedan acceder a tipos específicos de datos, lo que restringe aún más el acceso interno, incluido el acceso a datos restringidos, como números de teléfono, direcciones de correo electrónico y direcciones IP, almacenados en el enclave por parte de los empleados en China.
  • En el marco del Proyecto Clover, TikTok ha implementado tecnologías avanzadas de mejora de la privacidad (PET), como el cifrado en el acceso y la privacidad diferencial, para garantizar que los datos no restringidos se desidentifiquen antes de que puedan ser accedidos por empleados en China. Es fundamental destacar que expertos independientes en ciberseguridad de NCC Group han verificado que estas medidas de seguridad funcionan según lo previsto.

Si las amplias medidas implementadas en el marco del Proyecto Clover, que son las medidas de protección de datos más sólidas y estrictas de nuestro sector y de otros, así como la supervisión independiente por parte de terceros realizada por NCC Group, se consideran insuficientes, es razonable preguntarse: ¿qué se consideraría suficiente? Es lamentable que la DPC no parezca haber prestado a estas amplias medidas de protección la consideración sustantiva que merecen.

Repercusiones de gran alcance

Esta decisión corre el riesgo de sentar un precedente con consecuencias de gran alcance para empresas e industrias enteras de toda Europa que operan a escala global. Supone un duro golpe para la competitividad de la Unión Europea. A través del Proyecto Clover, una iniciativa voluntaria de varios miles de millones de euros, TikTok ha implementado una solución integral que ofrece una protección inigualable para los datos y la privacidad de los usuarios europeos, al tiempo que salvaguarda los flujos de datos globales y apoya la innovación continua.

En un momento en que las empresas y las economías europeas necesitan innovación, crecimiento y empleo, creemos que la UE debería acoger y apoyar soluciones como el Proyecto Clover, como forma de facilitar los flujos de datos seguros entre la UE y los países sin adecuación, al tiempo que se garantiza la protección más sólida para la seguridad y la privacidad de los datos europeos.