La Comisión de Protección de Datos de Irlanda (DPC) tiene otra investigación GDPR de ‘Big Tech’ para agregar a su pila: el regulador dijo ayer que abrió dos investigaciones sobre la plataforma para compartir videos TikTok.
El primero cubre cómo TikTok maneja los datos de los niños y si cumple con el Reglamento general de protección de datos de Europa.
El DPC también dijo que examinará las transferencias de datos personales de TikTok a China, donde se encuentra su entidad matriz, para ver si la empresa cumple con los requisitos establecidos en la regulación que cubre las transferencias de datos personales a terceros países.
Se contactó a TikTok para comentar sobre la investigación del DPC.
Un portavoz nos dijo:
“La privacidad y seguridad de la comunidad de TikTok, particularmente de nuestros miembros más jóvenes, es una prioridad absoluta. Hemos implementado amplias políticas y controles para proteger los datos del usuario y depender de métodos aprobados para la transferencia de datos desde Europa, como las cláusulas contractuales estándar. Tenemos la intención de cooperar plenamente con el DPC “.
El anuncio del regulador irlandés de dos consultas de “voluntad propia” sigue la presión de otras autoridades de protección de datos de la UE y grupos de protección de los consumidores que han expresado su preocupación sobre cómo TikTok maneja los datos de los usuarios en general y la información de los niños en particular.
En enero, en Italia, se ordenó a TikTok que volviera a verificar la edad de cada usuario en el país después de que el organismo de control de protección de datos instigó un procedimiento de emergencia, utilizando los poderes de GDPR, siguiendo las preocupaciones de seguridad infantil.
TikTok cumplió con la orden, eliminando más de medio millón de cuentas en las que no podía verificar que los usuarios no fueran niños.
Este año, los grupos europeos de protección del consumidor también han planteado una serie de preocupaciones sobre la seguridad y la privacidad de los niños sobre la plataforma. Y, en mayo, los legisladores de la UE dijeron que revisarían los términos de servicio de la compañía.
Sobre los datos de los niños, el RGPD establece límites sobre cómo se puede procesar la información de los niños, poniendo un límite de edad a la capacidad de los niños para dar su consentimiento para que se utilicen sus datos. El límite de edad varía según el estado miembro de la UE, pero hay un límite estricto para la capacidad de los niños para dar su consentimiento a los 13 años (algunos países de la UE establecen el límite de edad en 16).
En respuesta al anuncio de la consulta del DPC, TikTok señaló su uso de la tecnología de control de edad y otras estrategias que dijo que usa para detectar y eliminar a los usuarios menores de edad de su plataforma.
También marcó una serie de cambios recientes que se realizaron en las cuentas y los datos de los niños, como cambiar la configuración predeterminada para hacer que sus cuentas sean privadas de forma predeterminada y limitar su exposición a ciertas funciones que fomentan intencionalmente la interacción con otros usuarios de TikTok si esos usuarios tienen más de 16 años. .
En las transferencias internacionales de datos, afirma utilizar “métodos aprobados”. Sin embargo, la imagen es bastante más complicada de lo que implica la declaración de TikTok. Las transferencias de datos de europeos a China se complican porque no existe un acuerdo de adecuación de datos de la UE con China.
En el caso de TikTok, eso significa que, para que cualquier transferencia de datos personales a China sea legal, necesita tener “salvaguardas apropiadas” adicionales para proteger la información según el estándar requerido de la UE.
Cuando no existe un acuerdo de adecuación, los controladores de datos pueden, potencialmente, confiar en mecanismos como Cláusulas Contractuales Estándar (SCC) o reglas corporativas vinculantes (BCR), y la declaración de TikTok señala que utiliza SCC.
Pero, de manera crucial, las transferencias de datos personales fuera de la UE a terceros países se han enfrentado a una inseguridad jurídica significativa y a un mayor escrutinio desde un fallo histórico del TJUE el año pasado que invalidaba un acuerdo emblemático de transferencia de datos entre los EE. UU. Y la UE y dejó en claro que las APD (como el DPC de Irlanda) tienen el deber de intervenir y suspender las transferencias si sospechan que los datos de las personas fluyen a un tercer país donde podrían estar en riesgo.
Entonces, aunque el TJUE no invalida mecanismos como los SCC por completo, esencialmente dijo que todas las transferencias internacionales a terceros países deben evaluarse caso por caso y, cuando una DPA tiene inquietudes, debe intervenir y suspender esos datos no seguros. fluye.
La sentencia del TJUE significa que el simple hecho de utilizar un mecanismo como los SCC no significa nada en sí mismo: la legalidad de una transferencia de datos en particular. También aumenta la presión sobre las agencias de la UE como el DPC de Irlanda para que sean proactivos en la evaluación de los flujos de datos riesgosos.
La guía final publicada por la Junta Europea de Protección de Datos, a principios de este año, proporciona detalles sobre las llamadas ‘medidas especiales’ que un controlador de datos puede aplicar para aumentar el nivel de protección en torno a su transferencia específica, por lo que la información puede ser llevado legalmente a un tercer país.
Pero estos pasos pueden incluir medidas técnicas como un cifrado sólido, y no está claro cómo una empresa de redes sociales como TikTok podría aplicar una solución de este tipo, dado que su plataforma y algoritmos extraen continuamente los datos de los usuarios para personalizar el contenido que ven y para mantenerlos comprometidos con la plataforma publicitaria de TikTok.
En otro acontecimiento reciente, China acaba de aprobar su primera ley de protección de datos.
Pero, nuevamente, es poco probable que esto cambie mucho para las transferencias de la UE. La apropiación continua de datos personales por parte del régimen del Partido Comunista, a través de la aplicación de amplias leyes de vigilancia digital, significa que sería casi imposible para China cumplir con los estrictos requisitos de la UE para la adecuación de los datos. (Y si EE. UU. No puede lograr la adecuación de la UE, sería una óptica geopolítica ‘interesante’, para decirlo cortésmente, si el codiciado estatus se otorgara a China …)
Un factor del que TikTok puede animarse es que es probable que tenga tiempo de su lado cuando se trata de la aplicación de las normas de protección de datos por parte de la UE.
El DPC irlandés tiene una gran acumulación de investigaciones transfronterizas de GDPR sobre varios gigantes tecnológicos.
Fue solo a principios de este mes que el regulador irlandés finalmente emitió su primera decisión contra una empresa propiedad de Facebook, anunciando una multa de $ 267 millones contra WhatsApp por violar las reglas de transparencia del GDPR (pero solo lo hizo años después de que se presentaron las primeras quejas).
La primera decisión del DPC en un caso de GDPR transfronterizo relacionado con Big Tech se produjo a fines del año pasado, cuando multó a Twitter con 550 mil dólares por una violación de datos que se remonta a 2018, el año en que técnicamente comenzó a aplicarse GDPR.
El regulador irlandés todavía tiene decenas de casos indecisos en su escritorio, contra gigantes tecnológicos como Apple y Facebook. Eso significa que las nuevas sondas de TikTok se unen a un cuello de botella muy criticado. Y no es probable que se tome una decisión sobre estas sondas en años.
En cuanto a los datos de los niños, TikTok puede enfrentar un escrutinio más rápido en otras partes de Europa: el Reino Unido agregó algo de “ trenzado de oro ” a su versión del RGPD de la UE en el área de los datos de los niños y, a partir de este mes, ha dicho que espera que las plataformas cumplan con lo recomendado. normas.
Ha advertido que las plataformas que no se comprometan plenamente con su Código de diseño apropiado para la edad podrían enfrentar sanciones en virtud del GDPR del Reino Unido. El código del Reino Unido ha recibido el crédito de alentar una serie de cambios recientes por parte de las plataformas de redes sociales sobre cómo manejan los datos y las cuentas de los niños.