La Agencia Española de Protección de Datos (AEPD) ha vuelto a encender las alarmas sobre la popular red social de vídeos cortos TikTok: la plataforma sigue enviando datos personales de usuarios europeos a terceros países, entre ellos China, a pesar de que los reguladores comunitarios ya habían concluido que estas prácticas chocan con el Reglamento General de Protección de Datos (RGPD).
Esta situación coloca a millones de usuarios en España y en el resto de Europa ante un escenario delicado: sus datos continúan saliendo del Espacio Económico Europeo mientras la batalla legal entre TikTok y las autoridades de protección de datos se dirime en los tribunales irlandeses. El servicio funciona con normalidad, pero el modelo de tratamiento de datos está bajo una lupa cada vez más potente.
Una sanción histórica de 530 millones y un expediente abierto
El origen del conflicto se remonta a una investigación coordinada por las autoridades de protección de datos de la UE, encabezada por la Comisión de Protección de Datos de Irlanda (DPC), que actúa como regulador principal de TikTok en Europa al tener la empresa su sede comunitaria en Dublín. Tras analizar durante años los flujos internacionales de información, las autoridades concluyeron que las transferencias a terceros países no respetaban las exigencias del RGPD.
Como resultado, en abril de 2025 la DPC impuso a la plataforma una multa de 530 millones de euros y ordenó una serie de medidas correctoras. Entre ellas, se incluía la obligación de suspender las transferencias de datos de usuarios europeos a China y a otros territorios fuera del Espacio Económico Europeo si TikTok no garantizaba un nivel de protección equiparable al europeo en un plazo determinado.
La AEPD, que participó activamente en este procedimiento a través del Comité Europeo de Protección de Datos, recuerda que la decisión irlandesa no fue aislada, sino fruto de un análisis conjunto. Los reguladores coincidieron en que las salvaguardas ofrecidas por la compañía no neutralizaban adecuadamente los riesgos asociados a la legislación de países como China.
En la resolución se señalaba principalmente el acceso remoto desde China a información de usuarios del Espacio Económico Europeo durante varios años, sin un marco de garantías considerado suficiente por los reguladores europeos. Ese acceso potencial por parte de empleados situados fuera de la UE está en el núcleo del choque con el RGPD.
El recurso ante los tribunales irlandeses y la suspensión temporal del bloqueo
Lejos de acatar sin más la resolución de la DPC, TikTok decidió recurrir la sanción y las medidas impuestas ante los tribunales irlandeses. La compañía sostiene que ha utilizado los propios mecanismos legales de la UE para habilitar accesos remotos limitados y controlados a los datos, y que su sistema ofrece garantías suficientes.
En noviembre de 2025, el tribunal competente en Irlanda acordó un levantamiento provisional de la orden que bloqueaba las transferencias mientras se resuelve el procedimiento judicial. En la práctica, eso significa que, aunque la valoración de las autoridades de control se mantiene, TikTok puede seguir enviando datos a terceros países, incluida China, hasta que haya una sentencia firme.
Esta suspensión cautelar no anula la resolución de la DPC ni la posición del resto de reguladores, pero sí deja en pausa algunas de las medidas más contundentes, como el bloqueo de las transferencias. La AEPD subraya que la legalidad de estos flujos de datos continúa siendo objeto de revisión judicial y que la decisión irlandesa sigue plenamente vigente en cuanto a su diagnóstico.
Como contrapartida, el levantamiento temporal está condicionado a que la empresa cumpla obligaciones adicionales de transparencia. En respuesta a esta exigencia, TikTok ha comenzado a mostrar en la propia aplicación avisos específicos a los usuarios europeos explicando que existe un procedimiento abierto y que las transferencias de datos hacia China pueden continuar mientras se tramita el recurso.
En España y en el resto del Espacio Económico Europeo, muchos internautas han visto ya un mensaje bajo epígrafes como “Transferencia de datos de usuarios del EEE a China mediante acceso remoto”, que resume la multa de 530 millones, la orden de suspensión y el recurso ante el tribunal irlandés. La propia plataforma ha confirmado que estas notificaciones forman parte del cumplimiento de sus compromisos de transparencia.
Qué datos pueden salir de Europa y por qué preocupa a los reguladores
El núcleo del problema no reside sólo en que exista un acceso remoto desde China o desde otros países, sino en el marco legal al que quedan sometidos los datos una vez salen del entorno europeo. El RGPD obliga a que, cuando se transfieren datos personales a terceros países, estos ofrezcan un nivel de protección esencialmente equivalente al europeo o se establezcan garantías sólidas mediante cláusulas y mecanismos específicos.
En el caso de China, las autoridades de protección de datos de la UE remarcan que las leyes de seguridad nacional, antiterrorismo y contraespionaje permiten a las autoridades exigir a las empresas tecnológicas el acceso a la información que gestionan si lo consideran necesario. Esta capacidad legal potencial es la que, en opinión de los reguladores, choca de frente con el marco europeo y dificulta garantizar la confidencialidad de los datos de los ciudadanos del bloque comunitario.
Durante la investigación, TikTok defendió que no almacenaba de forma sistemática datos de usuarios del Espacio Económico Europeo en servidores físicos ubicados en China. No obstante, con el avance del expediente, la compañía tuvo que reconocer que ciertos datos habían llegado a sistemas chinos por errores internos o situaciones puntuales, un hecho que reforzó las preocupaciones de los reguladores.
Las autoridades europeas insisten en que no han aportado pruebas públicas de que el Gobierno chino haya accedido efectivamente a la información de usuarios de TikTok en Europa. Sin embargo, recuerdan que el riesgo no depende sólo de accesos ya producidos, sino del marco jurídico que permitiría que esos accesos se dieran sin un control equiparable al exigido por el RGPD.
Para el usuario medio, todo este entramado jurídico se traduce en algo más sencillo de entender: si utiliza TikTok en Europa, parte de sus datos puede ser accesible desde China y desde otros países fuera del EEE mientras continúe la suspensión cautelar del bloqueo y el recurso judicial siga en marcha. Esto incluye información técnica, datos sobre el uso de la app y, según los permisos otorgados, datos potencialmente sensibles.
La respuesta de la AEPD y del resto de autoridades europeas
Ante las dudas generadas por los avisos dentro de la app, la AEPD ha publicado varios comunicados para recordar que la valoración jurídica de las autoridades europeas no ha cambiado. A su juicio, TikTok continúa transfiriendo datos personales de usuarios europeos a terceros países, incluida China, en condiciones que no se ajustan al RGPD.
El organismo español subraya que las medidas correctoras acordadas por la DPC, aunque se encuentren suspendidas de forma provisional por decisión judicial, siguen basándose en una investigación y un análisis conjunto del Comité Europeo de Protección de Datos. Es decir, la base de la sanción y de las restricciones propuestas continúa siendo válida a ojos de los reguladores.
Además, la AEPD insiste en que TikTok designó Irlanda como su establecimiento principal en Europa, lo que convierte a la DPC en la autoridad de control principal, pero siempre en coordinación con el resto de homólogas nacionales. La agencia española participa en los mecanismos de cooperación y coherencia previstos por el RGPD y asegura que sigue de cerca la evolución del caso dentro de sus competencias.
Una de las preocupaciones centrales manifestadas por la AEPD es el impacto de estas prácticas sobre los usuarios más jóvenes, que constituyen una parte muy importante de la audiencia de TikTok. El regulador considera imprescindible que menores y adolescentes reciban información clara y comprensible sobre qué se hace con sus datos, en un lenguaje adaptado y sin tecnicismos innecesarios.
En paralelo, la agencia española ha querido lanzar un mensaje directo: aunque la suspensión de algunas medidas sea temporal, la situación de riesgo no ha desaparecido. Por ello, considera clave que los ciudadanos europeos no se limiten a esperar la resolución judicial, sino que adopten medidas prácticas para proteger mejor su privacidad.
El discurso de TikTok: proyectos de seguridad y promesas de cumplimiento
Mientras los reguladores remarcan las carencias, TikTok ha optado por reforzar su mensaje público en materia de privacidad. La empresa afirma que se toma muy en serio la protección de los datos de los usuarios europeos y que, en los últimos años, ha puesto en marcha importantes inversiones en infraestructuras y controles.
Entre esas iniciativas destaca su conocido Proyecto Clover, un plan que, según la compañía, moviliza miles de millones de euros para localizar y securizar los datos de los usuarios del Espacio Económico Europeo en centros de datos situados en Irlanda, Noruega, otros países europeos y algunos centros externos como Brasil o Estados Unidos, bajo esquemas de acceso restringido y supervisado.
La plataforma asegura que los empleados con sede en China no pueden acceder a determinados tipos de datos sensibles, como números de teléfono o direcciones IP completas, y que se utilizan técnicas como la seudonimización y el control estricto de permisos para limitar al máximo el riesgo de accesos indebidos.
Desde el punto de vista de la compañía, estas medidas ofrecen garantías sólidas y compatibles con el marco europeo. TikTok sostiene que se ha apoyado en las herramientas legales del propio RGPD —como las cláusulas contractuales tipo y las evaluaciones de impacto— para autorizar accesos remotos concretos y justificados para tareas como soporte técnico, moderación de contenidos o mantenimiento del servicio global.
Aun así, los reguladores mantienen una postura de cautela. La AEPD y otras autoridades reconocen que estos pasos van en una dirección más responsable, pero advierten de que, mientras la legislación china siga permitiendo potenciales requerimientos amplios de acceso, las salvaguardas internas de una empresa no son suficientes para descartar por completo los riesgos para los derechos y libertades de los usuarios europeos.
Consejos de la AEPD: revisar permisos y plantearse seguir usando la app
Más allá del caso concreto de TikTok, la AEPD ha aprovechado la notoriedad del asunto para recordar una serie de recomendaciones que pueden aplicarse a cualquier servicio digital, pero que resultan especialmente relevantes en plataformas con un uso intensivo de datos personales y una base de usuarios muy joven.
En primer lugar, el organismo aconseja leer con calma las notificaciones y políticas de privacidad que aparecen al registrarse o al aceptar cambios en las condiciones de uso. Aunque puedan resultar farragosas, contienen información clave sobre qué datos se recogen, con qué fines y a qué países pueden transferirse. En el caso de TikTok, estas notificaciones incluyen ya mención expresa a la situación con China y al procedimiento judicial en curso.
En segundo lugar, la agencia insiste en la importancia de revisar con frecuencia la configuración de privacidad de las aplicaciones. Esto implica comprobar qué permisos se han concedido —acceso a cámara, micrófono, contactos, ubicación, almacenamiento, etc.— y valorar si todos ellos son realmente necesarios para el uso que se hace del servicio. Reducir al mínimo esos accesos puede ayudar a limitar la cantidad de información que se envía a los servidores de la plataforma.
La AEPD anima también a actuar con prudencia respecto a los contenidos que se comparten en redes sociales y apps de vídeo. Recomienda evitar la difusión de datos especialmente delicados, como información médica, detalles financieros, documentos oficiales o aspectos íntimos de la vida personal, que podrían resultar problemáticos si llegaran a manos equivocadas o se reutilizaran fuera de contexto.
Por último, el regulador lanza un mensaje claro aunque no lo exprese de forma tan tajante: invita a los usuarios a valorar seriamente si desean seguir utilizando servicios que trasladan información a países cuyo nivel de protección no es equiparable al europeo. En la práctica, esto equivale a plantearse dejar de usar TikTok u otras aplicaciones similares si la persona no se siente cómoda con la posibilidad de que sus datos queden sometidos a legislaciones más intrusivas.
Todo este debate se enmarca en una controversia europea más amplia sobre las transferencias internacionales de datos a jurisdicciones como Estados Unidos o China, donde las garantías ofrecidas por las leyes locales no siempre se consideran suficientes por parte del Tribunal de Justicia de la UE y de los reguladores de privacidad.
El caso de TikTok se ha convertido así en un ejemplo especialmente visible de las tensiones entre plataformas globales, autoridades europeas y marcos legales de terceros países. Mientras los tribunales irlandeses deciden si confirman la multa y las restricciones, la red social continúa operando con normalidad en España y en el resto de Europa, manteniendo las transferencias de datos a terceros países bajo un fuerte escrutinio público y regulatorio. En este contexto, la AEPD recuerda que los usuarios no son meros espectadores: tienen margen para ajustar la configuración de sus cuentas, restringir permisos y decidir si compensa seguir utilizando un servicio cuya forma de gestionar los datos personales sigue cuestionada.
