TikTok, sancionada por incumplir el RGPD en China
La UE impone 530 millones de euros por transferencias de datos sin garantías adecuadas
El 2 de mayo de 2025, la Comisión de Protección de Datos de Irlanda (DPC), autoridad líder para TikTok en la Unión Europea, anunció la imposición de una multa histórica de 530 millones de euros a la plataforma por infringir el Reglamento General de Protección de Datos (RGPD). La sanción responde al traslado sistemático de datos personales de usuarios europeos a servidores ubicados en China, sin las garantías legales exigidas por el marco normativo europeo.
Este caso refuerza el principio de responsabilidad proactiva establecido en el artículo 24 del RGPD, que obliga a los responsables del tratamiento a garantizar —y poder demostrar— que sus operaciones cumplen con la normativa aplicable. La infracción se enmarca en la creciente preocupación institucional por el control de los flujos transfronterizos de datos personales, especialmente cuando el país de destino no ofrece un nivel de protección equiparable al del Espacio Económico Europeo.
Según la investigación de la DPC, TikTok no implementó mecanismos suficientes para asegurar que las transferencias internacionales de datos contaran con garantías adecuadas conforme al artículo 46 del RGPD. Esta falta de diligencia representa una violación directa de los deberes del responsable del tratamiento, tanto en relación con la evaluación de impacto (artículo 35) como con la adopción de medidas técnicas y organizativas apropiadas.
La decisión también pone de relieve las limitaciones estructurales de la efectividad extraterritorial del RGPD, en un contexto en el que las grandes plataformas digitales operan con arquitecturas distribuidas y jurisdicciones múltiples. Aunque la normativa europea tiene alcance internacional (artículo 3), el cumplimiento real depende de mecanismos de cooperación institucional y de la capacidad de ejecución transfronteriza.
Desde una perspectiva comparada, este caso se suma a precedentes como el de Meta (2023) y a las consecuencias del fallo Schrems II (TJUE, C-311/18), que invalidó el Escudo de Privacidad UE-EE.UU. por no ofrecer protección suficiente frente a la vigilancia gubernamental. En todos estos casos, la posición de las autoridades europeas es clara: la transferencia de datos a terceros países debe estar respaldada por medidas jurídicas y técnicas sólidas que garanticen los derechos fundamentales de las personas.
Esta resolución reafirma la centralidad del RGPD como norma de referencia global, pero también plantea preguntas cruciales sobre su aplicabilidad efectiva en un ecosistema digital dominado por actores extracomunitarios. El debate sobre soberanía tecnológica y gobernanza digital queda así reabierto.
Referencia
Te puede interesar
Una experiencia preuniversitaria que combina formación académica, simulación institucional y contacto directo con las instituciones europeas
Diecinueve alumnos de los programas EDUCADEMOS y TECNODEMOS culminan su formación en una ceremonia que refuerza el compromiso con la inclusión educativa y el desarrollo profesional
La ponente ofreció una conferencia sobre los desafíos y oportunidades que enfrenta actualmente la industria del automóvil