Multan a TikTok por problemas de seguridad
Hace tiempo que se venía esperando, pero finalmente TikTok ha sido encontrada en violación del Reglamento General de Protección de Datos (GDPR) de la Unión Europea en relación con su manejo de los datos de los niños.
Según la decisión emitida hoy por la Comisión de Protección de Datos de Irlanda (DPC), la plataforma de intercambio de videos ha sido reprendida y multada con 345 millones de euros (unos 379 millones de dólares). También se le ha ordenado que lleve sus procesos de manejo de datos en infracción a la conformidad en un plazo de tres meses.
En total, TikTok ha sido encontrada en violación de los siguientes ocho artículos del GDPR: 5(1)(a); 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); y 13(1)(e) —también conocidos como violaciones de la legalidad, la equidad y la transparencia del procesamiento de datos; minimización de datos; seguridad de datos; responsabilidad del controlador; protección de datos por diseño y por defecto; y los derechos del sujeto de datos (incluyendo a los menores) de recibir comunicaciones claras sobre el procesamiento de datos y de recibir información sobre los destinatarios de sus datos personales. Así que es una lista bastante larga de fallos.
La decisión no encontró una violación en relación con los métodos utilizados por TikTok para la verificación de la edad, que ha sido un punto de conflicto con varios reguladores regionales, pero el organismo de control irlandés señala que la decisión sí registra una violación del Artículo 24(1) del GDPR, ya que encontró que TikTok no implementó medidas técnicas y organizativas adecuadas, ya que no consideró adecuadamente ciertos riesgos planteados a menores de 13 años que accedieron a la plataforma, ya que la configuración de la cuenta por defecto permitía a cualquiera (en o fuera de TikTok) ver el contenido de las redes sociales publicado por esos usuarios.
Se encontró que las configuraciones que TikTok había implementado en ese momento permitieron a los usuarios menores de edad avanzar en el proceso de registro de tal manera que sus cuentas se configuraron como públicas por defecto. «Esto también significaba que, por ejemplo, los videos que se publicaron en las cuentas de los usuarios menores de edad eran públicos por defecto, los comentarios estaban habilitados públicamente por defecto, las funciones de ‘Duet’ y ‘Stitch’ estaban habilitadas por defecto», señala la DPC.
La cuenta de un niño también podía ser «emparejada» con un usuario no verificado que no fuera un niño, a través de una función llamada «Emparejamiento familiar», pero TikTok no verificó si el usuario era realmente el padre o tutor del niño. El usuario no niño podía utilizar la función para habilitar mensajes directos para los usuarios menores de edad mayores de 16 años, «lo que hacía que esta función fuera menos estricta para el usuario menor de edad», según las conclusiones de la DPC.
En respuesta a la decisión, un portavoz de TikTok nos envió la siguiente declaración:
«Respetuosamente, no estamos de acuerdo con la decisión, especialmente con el nivel de la multa impuesta. Las críticas de la DPC se centran en características y configuraciones que estaban en vigor hace tres años y que cambiamos mucho antes de que comenzara la investigación, como configurar todas las cuentas de menores de 16 años como privadas por defecto».
TikTok también nos dijo que está considerando sus próximos pasos a la luz de la sanción. Por lo tanto, la plataforma podría buscar presentar una apelación legal en Irlanda.
En una respuesta más larga publicada en su sitio web, Elaine Fox, directora de privacidad de TikTok en Europa, detalló las medidas que dijo que la empresa tomó para abordar las preocupaciones de seguridad antes de que comenzara la investigación de la DPC, como configurar las cuentas de usuarios de 13 a 15 años como privadas por defecto.
También afirmó que en 2021 TikTok se convirtió en la primera («y sigue siendo la única») plataforma importante en divulgar públicamente el número de cuentas sospechosas de menores que elimina. «Publicamos esto en nuestros informes trimestrales sobre la aplicación de las pautas de la comunidad y durante los primeros tres meses de 2023, eliminamos casi 17 millones de dichas cuentas en todo el mundo», escribió, añadiendo:
«La garantía de edad es un desafío que afecta a toda la industria. Seguiremos colaborando con los reguladores y otros expertos para identificar nuevas soluciones que mejoren aún más nuestros esfuerzos para mantener a los usuarios menores de edad fuera de la plataforma».
Según la publicación en el blog, TikTok tiene más de 134 millones de usuarios activos mensuales en la Unión Europea.
Inseguro por defecto
La investigación de datos de niños de la DPC sobre TikTok se centró en un período de cinco meses (del 31 de julio de 2020 al 31 de diciembre de 2020), examinando si TikTok cumplió con sus obligaciones en virtud del GDPR en relación con el procesamiento de datos personales relacionados con usuarios menores de la plataforma en el contexto de ciertas configuraciones de la plataforma (incluyendo configuraciones por defecto públicas y configuraciones asociadas con la mencionada función de «Emparejamiento familiar»), así como la verificación de edad como parte del proceso de registro.
La DPC también examinó «ciertas» obligaciones de transparencia, incluyendo cómo se proporcionaba información a los usuarios menores en relación con las configuraciones por defecto.
Sus hallazgos preliminares (decisión preliminar) encontraron ligeramente menos violaciones del GDPR de las que se confirmaron en la decisión final de hoy. Pero se presentaron objeciones a su decisión preliminar por parte de dos autoridades adicionales (la Agencia de Protección de Datos de Italia y la autoridad de Berlín) y la disputa se trasladó a la Junta Europea de Protección de Datos (EDPB) para tomar una decisión vinculante, que acordó que también debería haber una violación del principio de equidad del GDPR. La Junta también ordenó a Irlanda que ampliara el alcance de la orden para llevar el procesamiento a la conformidad para hacer referencia al trabajo de reparación necesario para abordar la violación de la equidad.
La decisión final de la DPC se adoptó el 1 de septiembre de 2023, lo que sugiere que TikTok tiene hasta principios de diciembre para rectificar su cumplimiento del GDPR o arriesgarse a una sanción adicional.
Aunque la empresa sostiene que ya ha resuelto la mayoría de los problemas por los que se le sanciona hoy, de ahí su objeción «particular» al nivel de la multa.
El regulador de privacidad del Reino Unido, la ICO, emitió su propia sanción a TikTok a principios de este año, también en relación con su manejo de los datos de los niños, imponiendo una multa de aproximadamente 15,7 millones de dólares por violar el régimen de protección de datos del Reino Unido entre mayo de 2018 y julio de 2020, incluyendo por no evitar que un estimado de 1,4 millones de usuarios menores de edad accedieran a su plataforma.
El año pasado, la UE impuso una multa más sustancial de GDPR a Instagram, propiedad de Meta, también en relación con violaciones de la protección de datos que afectan a los niños. En ese caso, la gigante tecnológica fue sancionada con 405 millones de euros al final de una investigación de la DPC que comenzó en octubre de 2020.
Las sanciones relacionadas con preocupaciones de protección infantil siguen siendo algunas de las multas más grandes impuestas por los reguladores de privacidad europeos en los últimos años. Aunque las sumas involucradas aún están lejos de la mayor sanción del GDPR hasta la fecha: una multa de 1,2 mil millones de euros por las transferencias ilegales de datos de Meta.
Eso puede no ser un consuelo para TikTok, sin embargo, dado que sus propias exportaciones de datos aún están bajo investigación en la UE. El subcomisionado de la DPC, Graham Doyle, dijo a TechCrunch que espera poder presentar una decisión preliminar sobre esta segunda investigación de TikTok, centrada en las transferencias de datos, a otras autoridades regionales de protección de datos para su revisión a finales de año. (Por lo tanto, una decisión final debería llegar en 2024, dependiendo del momento en que otras autoridades estén en desacuerdo con las conclusiones preliminares de Irlanda).
La EDPB ha sido llamada a tomar decisiones vinculantes en varias investigaciones del GDPR lideradas por Irlanda sobre las principales empresas tecnológicas desde que la regulación entró en vigor. En todos los casos, las sanciones resultantes han aumentado a través de la intervención de la Junta, a veces sustancialmente y tanto en términos del tamaño de las multas financieras emitidas como en el alcance de las conclusiones de violación.
Presión para actuar
El regulador irlandés abrió las dos investigaciones mencionadas anteriormente de TikTok, sobre transferencias de datos y la relacionada con la decisión de hoy sobre el procesamiento de datos de menores, hace dos años. La decisión se produjo después de la presión de otras autoridades de protección de datos de la UE y grupos de protección de consumidores que habían planteado preocupaciones sobre cómo la plataforma maneja los datos de los usuarios en general y la información de los niños en particular.
A principios del mismo año, la autoridad de protección de datos de Italia tomó medidas de emergencia contra TikTok debido a preocupaciones sobre la seguridad infantil. Sus intervenciones llevaron a la plataforma a volver a verificar la edad de cada usuario en el país y eliminar más de medio millón de cuentas que no podía verificar que no pertenecieran a menores de 13 años.
En ese momento, las autoridades de protección de consumidores de la UE también plantearon una serie de preocupaciones sobre la privacidad y la seguridad infantil. Pero aún pasaron varios meses antes de que el regulador irlandés anunciara su investigación.
La lenta respuesta a las preocupaciones de seguridad infantil relacionadas con el uso de TikTok por parte de los niños contribuyó a que la comisionada de la DPC, Helen Dixon, recibiera preguntas hostiles por parte de los eurodiputados durante una audiencia en el Parlamento Europeo a principios de este año. Los legisladores de la UE también plantearon preocupaciones más amplias sobre el enfoque del regulador, preguntándose si la autoridad irlandesa está a la altura de hacer cumplir el GDPR en las principales plataformas tecnológicas.
Dixon respondió con una defensa sólida de lo que afirmó es una «enérgica aplicación del GDPR» por parte de la autoridad irlandesa. En relación con TikTok en particular, afirmó que la DPC está trabajando tan rápido como puede dada la gran cantidad de material que se está examinando.
Vía: Techcrunch.
