- TikTok ha recurrido la multa de 530 millones de Irlanda por enviar datos del EEE a China y el bloqueo está suspendido temporalmente.
- Las autoridades europeas consideran que las transferencias a China no cumplen el RGPD por el riesgo de acceso de las autoridades chinas.
- La AEPD alerta a los usuarios españoles y recomienda revisar permisos, limitar datos compartidos y plantearse seguir usando la app.
- TikTok defiende su Proyecto Clover y asegura fuertes inversiones para proteger los datos europeos, pero los reguladores siguen desconfiando.
En las últimas semanas, millones de usuarios europeos se han topado con un aviso nada habitual al abrir TikTok: un mensaje en pantalla que habla de una investigación en Irlanda y de la transferencia de datos de usuarios del Espacio Económico Europeo (EEE) a China. No es un fallo de la app ni un mensaje fraudulento, sino una comunicación oficial ligada a un procedimiento sancionador real.
Ese aviso resume una batalla que se libra entre la red social y los reguladores europeos. Irlanda, como país donde TikTok tiene su sede comunitaria, impuso a la plataforma una multa de 530 millones de euros por no cumplir el Reglamento General de Protección de Datos (RGPD) en relación con el envío de datos a China. Pese a ello, y gracias a un recurso en los tribunales irlandeses, la compañía puede seguir transfiriendo información mientras se decide el caso.
Cómo empezó el choque: la sanción de Irlanda y el RGPD
El origen del conflicto se sitúa en una investigación que la Comisión de Protección de Datos de Irlanda (DPC) culminó en abril de 2025. Tras analizar durante años los flujos de información de la app, el regulador concluyó que TikTok había permitido que empleados en China accedieran remotamente a datos de usuarios del EEE entre 2020 y 2023 sin garantizar un nivel de protección equiparable al europeo.
Para la DPC, TikTok no logró demostrar que, una vez que esos datos eran accesibles desde China, seguían sometidos a salvaguardas equivalentes a las exigidas por el RGPD. El problema no era solo el acceso remoto en sí, sino el marco legal chino, que permite a las autoridades reclamar información a las empresas tecnológicas cuando lo consideren necesario para los intereses del Estado.
Como consecuencia, la autoridad irlandesa impuso una multa de 530 millones de euros y un paquete de medidas correctoras. Entre ellas, ordenó detener las transferencias de datos personales a China en un plazo de seis meses salvo que la compañía acreditara que cumplía plenamente el RGPD en esas operaciones internacionales.
El mensaje que ahora aparece sobreimpresionado en la app, titulado “Transferencia de datos de usuarios del EEE a China mediante acceso remoto”, recoge precisamente la decisión del regulador, las obligaciones impuestas y la respuesta de TikTok. En él se recuerda que la DPC determinó el incumplimiento del RGPD y fijó un calendario para que la empresa se ajustara a la normativa.
Graham Doyle, portavoz de la autoridad irlandesa, ha explicado que la plataforma no ha podido acreditar un nivel de protección adecuado mientras los datos son accesibles desde China. Esa falta de garantías es la que ha llevado a Irlanda, en coordinación con el resto de autoridades europeas, a adoptar una de las sanciones más elevadas impuestas a una red social en Europa.
El recurso de TikTok y la suspensión del bloqueo de datos
Lejos de asumir la resolución, TikTok decidió recurrir la decisión de la DPC ante el Tribunal Superior de Irlanda. Ese movimiento judicial ha cambiado por completo la situación práctica, al menos de momento, tanto para la compañía como para los usuarios europeos.
En noviembre de 2025, el tribunal acordó dejar en suspenso la orden de bloquear las transferencias de datos a China mientras se tramita el recurso. La sanción económica y la valoración jurídica de la autoridad de protección de datos siguen sobre la mesa, pero la parte más contundente de la resolución —la prohibición de enviar datos— está, por ahora, paralizada cautelarmente.
En términos sencillos, esto significa que TikTok puede continuar transfiriendo datos personales de usuarios del EEE a China mientras el litigio se resuelve en los tribunales. No hay un corte técnico del flujo de información, aunque sí una fuerte discusión legal en paralelo.
El propio aviso que aparece dentro de la aplicación lo reconoce. La empresa explica que, tras la decisión del 14 de noviembre de 2025, el tribunal ha suspendido la ejecución de la resolución irlandesa, permitiendo que sigan las transferencias durante el procedimiento. Eso sí, la compañía está obligada a cumplir ciertas exigencias extra de transparencia.
Para ajustarse a esas condiciones, TikTok ha empezado a informar de forma más visible a los usuarios europeos sobre el tratamiento de sus datos, el alcance del acceso remoto desde China y el estado del recurso judicial. Ese es el motivo por el que tantos usuarios en España y el resto de Europa están viendo el nuevo mensaje nada más abrir la app.
Desde la compañía recalcan que están “en total desacuerdo” con la decisión de la DPC y que consideran que su modelo se ajusta al RGPD. La empresa celebra que el tribunal haya frenado provisionalmente el bloqueo, pero asume que la última palabra la tendrán los jueces irlandeses cuando dicten sentencia firme.
Qué datos pueden ir a China y por qué Europa está en guardia
El núcleo de la controversia no es solo si hay o no acceso remoto desde China, sino el hecho de que la legislación del país permite a las autoridades exigir datos a las empresas tecnológicas. Las leyes de seguridad nacional, antiterrorismo o contraespionaje chinas dan un amplio margen al Gobierno y al Ejército Popular de Liberación para requerir información en función de los intereses del Estado.
El RGPD, por su parte, obliga a que cualquier transferencia internacional asegure un nivel de protección esencialmente equivalente al europeo. Cuando se envían datos personales fuera de la UE o del EEE, el país de destino debe ofrecer garantías jurídicas sólidas que eviten accesos desproporcionados por parte de las autoridades locales.
Durante la investigación, TikTok sostuvo inicialmente que no almacenaba datos de usuarios europeos en servidores ubicados en China. Sin embargo, a medida que avanzó el proceso, la compañía tuvo que reconocer que una cantidad limitada de información sí había terminado en sistemas chinos por un fallo interno, lo que alimentó las dudas de los reguladores.
Las autoridades europeas admiten que no hay pruebas de accesos concretos del Gobierno chino a los datos de TikTok. Pero insisten en que el marco jurídico chino, en sí mismo, hace prácticamente imposible garantizar que esa puerta no pueda abrirse en el futuro, algo que choca con el estándar de protección exigido por el RGPD.
Para el usuario medio, toda esta discusión legal se resume en algo más terrenal: si utilizas TikTok en Europa, parte de tus datos puede seguir siendo accesible desde China mientras el recurso judicial esté en curso y la suspensión del bloqueo continúe vigente.
La respuesta de la AEPD y de los reguladores europeos
La Agencia Española de Protección de Datos (AEPD) ha querido aclarar la situación y ha emitido un comunicado en el que advierte de que TikTok sigue transfiriendo datos personales de usuarios europeos a terceros países, entre los que se encuentra China, en las mismas condiciones que antes de la sanción.
La AEPD recuerda que la multa de 530 millones y las medidas correctoras ordenadas por Irlanda son el resultado de un trabajo coordinado entre varias autoridades nacionales de protección de datos bajo el paraguas del Comité Europeo de Protección de Datos. La conclusión común fue que esas transferencias no cumplían el RGPD.
Aunque el tribunal irlandés haya dejado en suspenso de forma cautelar parte de la resolución, la Agencia española subraya que la valoración jurídica de los reguladores europeos “sigue vigente”. Es decir, la legalidad de las transferencias de datos a China continúa siendo cuestionada y el asunto permanece bajo revisión judicial.
Conviene tener en cuenta que TikTok ha designado Irlanda como su establecimiento principal en la Unión Europea. Eso hace que la DPC actúe como autoridad de control principal, pero siempre en colaboración con el resto de organismos europeos, incluida la AEPD, que participa en los mecanismos de cooperación y sigue de cerca el caso.
La postura pública de la AEPD tiene un mensaje de fondo claro para la ciudadanía: la situación no está resuelta y persisten riesgos en la forma en que TikTok gestiona los datos, pese a la apariencia de normalidad en el funcionamiento de la app.
Lo que dice TikTok: Proyecto Clover e inversiones en seguridad
Ante la presión regulatoria, la compañía ha sacado pecho de sus esfuerzos en materia de privacidad. TikTok insiste en que se toma muy en serio la protección de los datos y la privacidad de los usuarios europeos y señala que ha puesto en marcha un ambicioso plan de inversión denominado Proyecto Clover.
Según la empresa, este proyecto supone una inversión de alrededor de 12.000 millones de euros en seguridad de datos. El objetivo es alojar por defecto la información de los usuarios del EEE en centros de datos ubicados en Europa y otros territorios considerados más seguros, con controles de acceso estrictos y auditorías independientes realizadas por terceros.
La plataforma sostiene que, gracias a este modelo, los empleados con sede en China no pueden acceder a determinados datos sensibles, como números de teléfono o direcciones IP, y que parte de la información se trata de forma seudonimizada o con medidas técnicas adicionales para reducir los riesgos cuando se requiere un acceso global.
TikTok recalca que ha utilizado los mecanismos jurídicos previstos por la propia UE para las transferencias internacionales, como las cláusulas contractuales tipo, con el fin de permitir accesos remotos limitados para tareas como soporte técnico, mantenimiento del servicio o moderación de contenidos.
La compañía defiende que estas inversiones ofrecen “garantías inigualables” para los usuarios europeos y que su modelo puede encajar dentro de las exigencias del RGPD. Sin embargo, los reguladores mantienen una posición prudente y consideran que, aunque las medidas van en la buena dirección, no eliminan del todo los riesgos derivados de la legislación china.
Advertencias a los usuarios: revisar permisos y plantearse seguir en la plataforma
Más allá de la batalla entre la red social y las autoridades, la AEPD ha aprovechado el foco mediático para lanzar una serie de recomendaciones dirigidas a quienes utilizan TikTok y otros servicios digitales, con especial atención a los menores y jóvenes, que son quienes más tiempo pasan en estas apps.
El organismo aconseja leer con calma las notificaciones y las políticas de privacidad que aparecen al registrarse o al aceptar nuevas condiciones de uso. Aunque muchas veces resulten densas y aburridas, son el documento en el que las plataformas explican qué datos recogen, con qué fines y a qué países podrían viajar.
Otra recomendación clave es revisar la configuración de privacidad y los permisos concedidos en el móvil. Es conveniente comprobar si la app necesita realmente tener acceso continuo a la cámara, el micrófono, la ubicación o la agenda de contactos, y desactivar aquellos permisos que no sean imprescindibles para el uso cotidiano.
La AEPD también invita a actuar con prudencia respecto a la información que se comparte a través de redes sociales y aplicaciones, evitando difundir datos especialmente sensibles, como detalles de salud, información financiera, orientación sexual o documentos personales que puedan generar riesgos añadidos.
Por último, la agencia va un paso más allá y sugiere a los ciudadanos valorar si desean seguir utilizando servicios que envían datos a países sin una protección equiparable a la europea. En la práctica, eso significa plantearse seriamente dejar de usar TikTok si no se está cómodo con la posibilidad de que cierta información se gestione bajo jurisdicciones más intrusivas.
Un caso clave en el debate europeo sobre transferencias internacionales
La polémica sobre TikTok no se produce en el vacío. Llega en un momento en el que la Unión Europea lleva años cuestionando las transferencias de datos a países con marcos legales muy diferentes, incluso cuando se trata de socios cercanos como Estados Unidos.
El Tribunal de Justicia de la UE ya ha anulado en dos ocasiones los acuerdos que regulaban el flujo de datos entre Europa y Estados Unidos por considerar que no ofrecían protección suficiente frente al acceso de las agencias de inteligencia. El marco actual también está siendo revisado judicialmente, impulsado por el mismo abogado que logró tumbar los dos sistemas anteriores.
En ese contexto, el caso de TikTok se ha convertido en otro punto de fricción sobre cómo y con quién se comparten los datos personales de los europeos. Si ya hay dudas con un país aliado como Estados Unidos, la preocupación se dispara cuando el destino es una potencia como China, con un modelo político y legal mucho más intervencionista.
Los reguladores recuerdan que, una vez que los datos personales se almacenan o se hacen accesibles desde países situados fuera del bloque comunitario, quedan sometidos a las leyes locales. En el caso de China, eso puede traducirse, al menos sobre el papel, en un amplio margen de maniobra para que las autoridades accedan a los sistemas de las empresas tecnológicas si lo consideran oportuno.
Al mismo tiempo, organizaciones de defensa de la privacidad en Europa han señalado posibles riesgos adicionales relacionados con el rastreo publicitario y el cruce de datos entre aplicaciones, más allá del uso que se hace dentro de la propia plataforma de vídeos. Este tipo de prácticas, si no se controlan, pueden dibujar perfiles muy detallados de los usuarios a partir de su actividad digital.
Todo ello se da mientras varios gobiernos occidentales endurecen el escrutinio sobre TikTok y valoran medidas más drásticas, como restricciones en el uso institucional o incluso prohibiciones parciales. Este clima político hace que cualquier decisión sobre el modelo de datos de la plataforma, como el plan B de la compañía, tenga implicaciones que van más allá de la simple privacidad individual.
A día de hoy, el escenario es claro: TikTok sigue operando con normalidad en España y en el resto de Europa, y continúa transfiriendo información a China gracias a la suspensión provisional del bloqueo ordenada por los tribunales irlandeses. Mientras tanto, la multa de 530 millones, las dudas sobre el encaje con el RGPD y las advertencias de autoridades como la AEPD siguen ahí, recordando que los usuarios no son meros espectadores y que tienen margen para ajustar la privacidad, limitar los permisos y decidir si les compensa seguir utilizando una app cuyo tratamiento de datos continúa bajo la lupa.
Editor profesional de Tecnología y Software