TikTok se enfrenta a una multa de 27 millones de libras en el Reino Unido por violación de la privacidad
El lunes 26 de septiembre de 2022, se informó de que el servicio chino de alojamiento de vídeos cortos y plataforma de redes sociales TikTok se enfrentaba a una multa de 27 millones de libras (29 millones de dólares) por violar la ley de protección de datos del Reino Unido. Más específicamente, TikTok está acusada de recopilar y procesar la información personal de niños menores de 13 años entre mayo de 2018 y julio de 2020, una clara violación del emblemático Reglamento General de Protección de Datos (GDPR) de la UE. Como referencia, a pesar de que el Reino Unido abandonó la UE en enero de 2020, las disposiciones del GDPR todavía estaban en pleno vigor dentro de la nación antes de la salida del país de la unión política y económica supranacional.
En virtud de las disposiciones del GDPR, las empresas y organizaciones que atienden a clientes dentro de los estados miembros de la UE tienen prohibido recopilar datos personales de niños menores de 13 años sin el consentimiento de los padres o tutores de dichos niños. Sin embargo, la naturaleza inherente de las redes sociales puede dificultar el cumplimiento de estas normas, ya que prácticamente todos los sitios web de redes sociales permiten a los usuarios introducir su propia edad al crear una cuenta. A pesar de ello, muchos países europeos se han propuesto sancionar a las empresas de redes sociales que no cumplan las disposiciones del RGPD, como demuestran las recientes decisiones de aplicación adoptadas en Irlanda y Luxemburgo, respectivamente, solo en el último año natural.
La Oficina del Comisario de Información del Reino Unido (ICO)
En cuanto a las acusaciones que se han presentado contra TikTok esta semana, un artículo del diario británico The Guardian afirma que “la ICO emitió a TikTok una “notificación de intención”, precursora de una posible multa que podría ascender a 27 millones de libras”. La “opinión provisional” del regulador es que TikTok podría haber procesado los datos de niños menores de 13 años sin el consentimiento paterno, y no haber proporcionado la información adecuada a sus usuarios de forma “concisa, transparente y fácilmente comprensible”.”
Es más, la ICO también ha acusado a TikTok de recopilar y procesar los datos de categoría especial de niños dentro del Reino Unido. Para contextualizar, el GDPR también establece varias categorías de datos personales que se supone que están protegidos por un estándar más alto que el que se concede a formas menos sensibles de datos personales. Ejemplos de información personal que se consideran datos de categoría especial en virtud del GDPR incluyen datos relativos a creencias religiosas, opiniones políticas, datos biométricos y sanitarios, datos genéticos y afiliación sindical, entre otros.
Notificación de intenciones
En relación con este último punto, la notificación de intenciones que la ICO británica ha remitido esta semana a TikTok sienta las bases para una cuantiosa multa. Asimismo, John Edwards, actual comisario de la ICO, fue citado diciendo que “Las empresas que prestan servicios digitales tienen la obligación legal de establecer esas protecciones, pero nuestra opinión provisional es que TikTok no cumplió ese requisito”. Posteriormente, aunque se informa que la ICO aún está determinando si TikTok violó o no, de hecho, el GDPR entre mayo de 2018 y julio de 2020, una sanción monetaria de £ 27m sería la multa más alta que se haya impuesto contra una empresa en la historia de la ICO, ya que la multa más alta a partir de 2022 fue una multa récord de £ 20m que se impuso a British Airlines en respuesta a una violación de datos de 2018.
Las prácticas de recopilación de datos de TikTok
Las acusaciones dirigidas esta semana contra TikTok por la ICO británica son una más de las muchas violaciones de la privacidad que se imputan a la empresa de redes sociales en los últimos años. Para ilustrar aún más este punto, un informe publicado por la empresa de ciberseguridad australiano-estadounidense Internet 2.0 en julio de este año expuso varias incoherencias en la forma en que TikTok recopila datos personales de sus millones de usuarios. Según Robert Potter, codirector ejecutivo de Internet 2.0 y uno de los redactores del informe, “cuando la aplicación está en uso, tiene muchos más permisos de los que realmente necesita. Concede esos permisos por defecto. Cuando un usuario no le da permiso… [TikTok] se lo pide insistentemente”.
Teniendo en cuenta esta información de fondo, la idea de que TikTok recopile información personal de usuarios menores de edad de su plataforma sin el nivel adecuado de orientación o consentimiento de los padres no es difícil de imaginar. Dicho esto, Potter continúa afirmando que “la aplicación puede funcionar y funcionará correctamente sin que se recopile ninguno de estos datos”. Esto nos lleva a creer que la única razón por la que se ha recopilado esta información es para la recolección de datos.” Aunque las acusaciones de que TikTok está recopilando información personal de los usuarios en línea superarían incluso las que impuso la ICO esta semana, está claro que TikTok está recopilando y procesando datos personales de una forma que no es coherente con la legislación sobre privacidad de datos.
Además de las reclamaciones presentadas contra TikTok en el Reino Unido esta semana, la empresa de redes sociales también fue acusada de cambiar su política de privacidad el año pasado, después de que tanto consumidores como defensores de la privacidad expresaran su preocupación por la forma en que la plataforma de redes sociales había estado recopilando los datos biométricos de sus usuarios. Además, las grabaciones de audio filtradas que salieron a la luz en junio de este año también confirmaron que se había permitido a empleados de TikTok con sede en China acceder a datos personales de ciudadanos estadounidenses, de acuerdo con las acusaciones realizadas por varios políticos en los últimos años, incluido el expresidente de Estados Unidos Donald Trump, entre otros. Por estas razones, TikTok tendrá que reexaminar la forma en que la plataforma de medios sociales recopila datos personales, o enfrentarse a las consecuencias de incumplir las diversas leyes de privacidad de datos del mundo.