Blog

La justicia irlandesa confirma las infracciones de TikTok por el acceso remoto a datos desde China

lunes, 22 de junio de 2026

El Tribunal Supremo de Irlanda ha confirmado las infracciones cometidas por TikTok en relación con el acceso remoto desde China a datos de usuarios europeos. No obstante, ha estimado parcialmente su recurso en lo relativo a las medidas correctivas impuestas por la Data Protection Commission irlandesa (DPC), autoridad principal de supervisión de TikTok en la Unión Europea.

Decisión de la autoridad de control irlandesa

En abril de 2025, tras una investigación iniciada en 2021, la autoridad irlandesa de protección de datos concluyó que TikTok vulneró el artículo 46 del Reglamento General de Protección de Datos (RGPD) al realizar transferencias internacionales de datos personales a China sin comprobar ni asegurar que dichos datos de usuarios europeos contaran con un nivel de protección equivalente al exigido en la Unión Europea.

Asimismo, la DPC determinó que TikTok no informó de manera adecuada a los usuarios sobre estas transferencias internacionales, incumpliendo lo dispuesto en el artículo 13 del RGPD relativo al deber de transparencia.

Como consecuencia, impuso a la compañía dos sanciones que ascienden a un total de 530 millones de euros y ordenó tanto la suspensión de las transferencias como la adaptación de sus operaciones al RGPD.

Posteriormente, el 27 de mayo de 2025, TikTok interpuso recurso contra esta decisión ante el Tribunal Supremo de Irlanda.

Decisión del Tribunal Supremo de Irlanda

El Tribunal confirmó que, aunque los datos de usuarios europeos se almacenaban en servidores situados en Europa, empleados de TikTok en China podían acceder remotamente a ellos para tareas operativas. TikTok sostenía que esto no suponía un riesgo relevante al no almacenarse los datos en China, pero el Tribunal rechazó este argumento, señalando que el acceso remoto implica un tratamiento efectivo en ese país, aunque sea temporal. Por ello, la empresa debía evaluar también el riesgo de acceso por parte de las autoridades chinas durante ese tratamiento.

Asimismo, el Tribunal confirmó el incumplimiento del deber de transparencia, al considerar que la política de privacidad de 2021 no informaba adecuadamente sobre las transferencias internacionales ni sobre los países de destino.

No obstante, concluyó que la DPC no justificó suficientemente las medidas correctivas impuestas, al no valorar adecuadamente ni el programa “Project Clover” ni un dictamen sobre derecho chino presentado por TikTok. En particular, Project Clover es una iniciativa destinada a reforzar la protección de los datos europeos mediante su almacenamiento en centros ubicados en Europa, la implementación de mayores controles de acceso, supervisión independiente y técnicas de seudonimización. Por su parte, el dictamen jurídico sostenía que los datos de ciudadanos europeos tratados temporalmente en China debían considerarse extraterritoriales, por lo que las autoridades chinas no podrían exigir su acceso en las mismas condiciones que a datos almacenados en su territorio.

En consecuencia, el Tribunal anuló las medidas correctivas impuestas por la DPC y devolvió el asunto a esta autoridad para que reevalúe el caso y motive adecuadamente su decisión. Por su parte, la cuantía de las sanciones será objeto de análisis en una resolución judicial posterior.

Ver en medio original