La Comisión de Protección de Datos (DPC, por sus siglas en inglés) de Irlanda multó a TikTok con 530 millones de euros por transferir datos de usuarios del Espacio Económico Europeo a China.

La DPC, quien hizo la investigación, reveló que examinó si la información proporcionada a los usuarios en relación con dichas transferencias cumplía con los requisitos de transparencia de TikTok, según lo exige el Reglamento General de Protección de Datos (RGPD).

La Comisión acusó que TikTok infringió el RGPD en relación con sus transferencias de datos de usuarios y sus requisitos de transparencia.

La decisión de la DPC incluye multas administrativas por un total de 530 millones de euros y una orden que exige a TikTok que adecue su tratamiento a la normativa en un plazo de seis meses.

Además, se incluyó una orden que suspende las transferencias de TikTok a China si el tratamiento no se ajusta a la normativa en este plazo.

“Las transferencias de datos personales de TikTok a China infringieron el RGPD porque TikTok no verificó, garantizó, ni demostró que los datos personales de los usuarios, a los que accedía de forma remota el personal en China, recibían un nivel de protección esencialmente equivalente al garantizado dentro de la Unión Europea (UE).

“Como resultado de que TikTok no realizó las evaluaciones necesarias, TikTok no abordó el posible acceso por parte de las autoridades chinas a datos personales en virtud de las leyes chinas antiterroristas, contraespionaje y otras leyes identificadas por TikTok como materialmente divergentes de los estándares de la UE”, comentó Graham Doyle, comisionado adjunto de la DPC.

La Comisión detalló que durante la investigación, TikTok informó que no almacenaba datos de usuarios en servidores ubicados en China. Sin embargo, en abril de 2025, la compañía informó a la DPC de un problema descubierto en febrero de 2025, según el cual una cantidad limitada de datos de usuarios se había almacenado en servidores en China, contrariamente a lo que había declarado ante la investigación.

TikTok informó a la DPC que este descubrimiento implicaba que la plataforma había proporcionado información inexacta a la investigación.

Forbes México

El principal regulador de privacidad de la Unión Europea (UE) dijo este jueves que había impuesto una multa de 310 millones de euros (335 millones de dólares) a la plataforma de redes profesionales LinkedIn de Microsoft por sus prácticas de publicidad dirigida.

El Comisionado de Protección de Datos de Irlanda (DPC) es el principal regulador de privacidad de la UE para la mayoría de las principales empresas de Internet de Estados Unidos debido a la ubicación de sus operaciones en el país.

“El procesamiento de datos personales sin una base legal apropiada es una violación clara y grave del derecho fundamental de los interesados ​​a la protección de datos”, dijo el Comisionado Adjunto de la DPC, Graham Doyle, en un comunicado.

Leer más.

ABC-Rodrigo Alonso

La autoridad regulatoria de protección de datos de Países Bajos, DPA, por sus siglas, ha impuesto una multa de 30,5 millones de euros ampliables en cinco más a la empresa norteamericana de reconocimiento facial Clearview AI por crear una base de datos ilegal con miles de millones de fotografías de los rostros de usuarios e infringir el Reglamento General de Protección de Datos, imperante en territorio de la Unión Europea.

«El reconocimiento facial es una tecnología muy intrusiva, que no se puede emplear sin más con cualquier persona en el mundo», afirmó el presidente de la DPA, Aleid Wolfsen, que, además, advirtió a las empresas asentadas en el país que utilizan la tecnología de reconocimiento facial acuñada por la tecnológica: «Clearview infringe la ley, y esto hace que utilizar los servicios de Clearview sea ilegal. Por tanto, las organizaciones neerlandesas que utilicen Clearview pueden esperar fuertes multas de la DPA».

Leer más.

Euronews-Ana Desmarais

Uber ha sido multada en Países Bajos con 290 millones de euros por transferir datos personales de conductores europeos a EE.UU. La Autoridad Neerlandesa de Protección de Datos (DPA, por sus siglas en inglés) descubrió que Uber recopilaba “información sensible” sobre sus conductores europeos, como licencias de taxi, datos de localización e incluso datos médicos, y la conservaba en servidores estadounidenses.

Uber realizó las transferencias a sus bases de datos estadounidenses sin “salvaguardar adecuadamente los datos en relación con esas transferencias”, apuntó la autoridad. La DPA considera esta transferencia una “violación grave” del Reglamento General de Protección de Datos (RGPD) europeo.

Estas leyes exigen que “las empresas y los gobiernos manejen los datos personales con el debido cuidado”, señaló Aleid Wolsen, presidente de la DPA, en un comunicado en su página web. “Lamentablemente, esto no es evidente fuera de Europa. Pensemos en gobiernos que pueden intervenir datos a gran escala”.

Multa “totalmente injustificada”

“Esta decisión equivocada y esta multa extraordinaria son completamente injustificadas”, dijo un portavoz de Uber a ‘Euronews Next’ en un correo electrónico. Uber mantiene que cumplió con el RGPD durante tres años de “inmensa incertidumbre” entre EE.UU. y la UE sobre cómo se aplicaría la normativa.

Leer más.

Este año, Meta expandirá AI at Meta, su colección de funciones y experiencias de Inteligencia Artificial (IA) Generativa y los modelos que las impulsan, a sus usuarios en Europa.

Por ahora, AI at Meta, que incluye su modelo de lenguaje grande (LLM) de código abierto, Llama, y su asistente de IA, los cuales pueden usarse de forma gratuita, ya está disponible en otras regiones del mundo.

Regionalización para Europa

La matriz de Meta informó que, para servir adecuadamente a sus comunidades europeas, sus modelos de IA deberán entrenarse con información relevante que refleje los diversos idiomas, geografías y referencias culturales de los usuarios europeos.

Para ello los entrenará con el contenido que los ciudadanos de la Unión Europea (UE) han compartido públicamente en los productos y servicios de Meta, que incluyen Facebook, Instagram y WhatsApp.

Recomendamos: La IA no habla español: 95% de los datos que la alimentan están en inglés

“Si no entrenamos nuestros modelos con el contenido público que los europeos comparten en nuestros servicios, como publicaciones o comentarios públicos, los modelos y las funciones de IA que utilizan no comprenderán con precisión idiomas regionales, culturas o temas de actualidad importantes en las redes sociales”, advirtió la compañía.

Meta anunció que seguirá el ejemplo de otras empresas estadounidenses, como Google y OpenAI, que ya han utilizado datos de usuarios europeos mayores de 18 años disponibles públicamente para entrenar sus modelos de IA, aunque aseguró que su “enfoque es más transparente y ofrece controles más sencillos que muchos de sus homólogos de la industria”.

IA responsable y transparente

Meta informó que consultó a la Comisión de Protección de Datos de Irlanda e incorporó sus comentarios para garantizar que la forma en que entrena a sus modelos de IA cumpla con las leyes de privacidad de la UE. La empresa dijo que se sustentará en una base legal de “Intereses legítimos” para cumplir con el Reglamento General de Protección de Datos (RGPD) de la UE.

La compañía detalló que, en aras de ser transparentes con los usuarios para que conozcan sus derechos y los controles que tienen a su disposición, desde el 22 de mayo envió más de 2 mil millones de correos electrónicos y notificaciones para explicarles el proceso a las personas.

También lee: El nuevo reto de Cisco: proteger y aprovechar datos para la IA

Esas notificaciones incluyen el enlace a un formulario de objeción que permite a los usuarios oponerse a que sus datos se utilicen para el entrenamiento de la IA de Meta.

Advertencia sobre la ‘encrucijada’ europea

Finalmente, Meta advirtió que Europa se encuentra en una ‘encrucijada’. Dijo que, en el ‘umbral de la próxima gran evolución tecnológica de la sociedad’, algunos activistas están abogando por ‘enfoques extremos en relación con los datos y la IA’.

“Esas posiciones no reflejan la legislación europea y equivalen a un argumento de que los europeos no deberían tener acceso a la IA —ni a recibir los servicios adecuados— que tiene el resto del mundo. Estamos profundamente en desacuerdo con ese resultado”, espetó.

TikTok tendrá que pagar una multa de 345 millones de euros (alrededor de 379 millones de dólares) por violar el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, al no proteger la información personal de los usuarios que son menores de edad.

La multa fue impuesta por la Comisión de Protección de Datos (DPC, por sus siglas en inglés) de Irlanda y avalada por la Junta Europea de Protección de Datos. Las autoridades determinaron que la popular plataforma de videos cortos infringió ocho artículos del reglamento en relación con la equidad, transparencia y seguridad del procesamiento de los datos de los menores.

Según la decisión final de los reguladores europeos, que fue emitida el 15 de septiembre, TikTok falló al no implementar medidas para evitar que la configuración de la plataforma mostrara de forma predeterminada las cuentas de los usuarios menores de 13 años como públicas en vez de privadas.

La investigación realizada por la DPC también descubrió que la configuración de TikTok permitía a los usuarios adultos emparejar sus cuentas con un usuario infantil para habilitar los mensajes directos. Sin embargo, TikTok no contaba con un control para verificar si esas cuentas realmente pertenecían a un padre o tutor autorizado, lo que representaba un riesgo potencial para los niños y adolescentes.

Relacionado: Facebook, Google, TikTok y Apple son las primeras en adoptar la ley europea de Servicios Digitales

Además de la multa, la autoridad irlandesa le dio tres meses a TikTok para solucionar sus fallas en el procesamiento de los datos de niños que usan la red social. Se espera que la plataforma china presente un recurso legal para apelar la decisión de la autoridad irlandesa.

En respuesta a la infracción, TikTok dijo que no estaba de acuerdo con la decisión del regulador europeo y mucho menos con el calibre de la multa. La plataforma aseguró que se encargó de solucionar ese problema en su configuración mucho antes de que la DPC comenzara su investigación, según informó Techcrunch.

En un comunicado, la Directora de Privacidad de TikTok en Europa, Elaine Fox, señaló que la compañía abordó dichas preocupaciones de seguridad al establecer cuentas de usuarios menores de 16 años de edad como privadas por defecto.

Asimismo, destacó que TikTok es la primera plataforma en revelar públicamente la cantidad de cuentas que elimina usadas por menores de 13 años sin autorización. “Eliminamos casi 17 millones de cuentas de este tipo en todo el mundo, durante el primer trimestre de 2023”, aclaró.

El Mundo

El grupo de defensa de los derechos Noyb presentó este jueves denuncias contra Fitbit, propiedad de Google, en Austria, Países Bajos e Italia, acusando a la empresa de violar el régimen de privacidad del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Con sede en Viena, Noyb (None Of Your Business), el grupo de derechos digitales fundado por el activista de la privacidad Max Schrems, ya ha presentado cientos de denuncias contra grandes empresas tecnológicas, desde Google de Alphabet Inc hasta Meta, por violaciones de la privacidad, algunas de las cuales han dado lugar a importantes multas.

Fitbit obliga a sus usuarios a consentir la transferencia de datos fuera de la UE y no ofrece la posibilidad de retirar su consentimiento, violando los requisitos del GDPR, dijo Noyb.

Lee más.

La Autoridad Irlandesa de Protección de Datos (IDPC, por sus siglas en inglés) impuso una multa de mil 200 millones de euros a Meta, tras una investigación sobre su red social Facebook.

Esto luego de la decisión vinculante de resolución de disputas que el Comité Europeo de Protección de Datos (EDPB) tomó el 13 de abril de 2023.

Esta multa, la más grande del Reglamento Europeo para la Protección de Datos (RGPD) hasta la fecha, se impuso por las transferencias de datos personales de Meta a Estados Unidos sobre la base de las cláusulas contractuales estándar (SCC) desde el 16 de julio de 2020.

Y, adicionalmente, se ordenó a Meta a obedecer con sus transferencias de datos en cumplimiento con el RGPD.

“El EDPB encontró que la infracción de Meta es muy grave, ya que se trata de transferencias que son sistemáticas, repetitivas y continuas. Facebook tiene millones de usuarios en Europa, por lo que el volumen de datos personales transferidos es enorme. La multa sin precedentes es una fuerte señal para las organizaciones de que las infracciones graves tienen consecuencias de largo alcance”, dijo la presidenta del Comité, Andrea Jelinek.

En su decisión vinculante del 13 de abril de 2023, el Comité instruyó a la autoridad irlandesa modificar su proyecto de decisión e imponer una multa a Meta. Debido a la gravedad de la infracción, consideró que el punto de partida para el cálculo de la multa debería estar entre el 20 y el 100 por ciento del máximo legal aplicable.

Y también instruyó a Irlanda ordenar a Meta a hacer que las operaciones de procesamiento cumplan con el Capítulo V del RGPD, y cesar el procesamiento ilegal, incluido el almacenamiento de datos personales europeos transferidos a EE. UU. en violación al RGPD, en los próximos seis meses tras la decisión final de la autoridad irlandesa.

Este jueves 19 de enero, la Comisión de Protección de Datos (DPC, por sus siglas en inglés) de la Unión Europea (UE) anunció la conclusión de una investigación sobre el procesamiento de datos realizado por WhatsApp Ireland.

La decisión final, adoptada por el DPC el pasado 12 de enero, resolvió que WhatsApp no tiene derecho a sustentarse en la base legal del contrato para la prestación de servicios de mejora y seguridad y condicionar así el acceso a su plataforma; al tiempo que su procesamiento de datos constituye una infracción del artículo 6 del Reglamento de Protección de Datos Personales (RGPD). 

Por ello, le impuso una multa administrativa de 5.5 millones de euros a la filial de Meta. Y también le ordenó hacer que sus operaciones de procesamiento de datos cumplan con el RGPD dentro de un periodo de seis meses.

Recomendamos: Los algoritmos pueden propagar la desinformación: Foro Davos

Antecedentes

La consulta se refería a una queja interpuesta el 25 de mayo de 2018 por un alemán sobre el servicio de WhatsApp. Previo a esa fecha, cuando entró en vigor el RGPD, la empresa actualizó sus Términos de servicio e informó a los usuarios que, si deseaban seguir teniendo acceso a su servicio de mensajería, aceptaran los términos y condiciones, pues de lo contrario se les denegaría.

El denunciante explicó que, de esta forma, WhatsApp buscaba sentar una base legal para el procesamiento de los datos de los usuarios y los obligaba de facto a aceptar los términos y dar su consentimiento para obtener su información sensible, por lo que argumentó que infringía el RGPD.

Y, tras una investigación exhaustiva, el DPC preparó un proyecto de decisión, en el que encontró que:

• WhatsApp incumplió sus obligaciones de transparencia debido a que no explicó claramente a los usuarios la información relacionada con la base legal, lo que dio como resultado que no tuvieran claridad sobre qué operaciones de procesamiento se estaban llevando a cabo con sus datos personales, con qué finalidad(es) y en referencia a cuál de las seis bases jurídicas identificadas en el artículo 6 del RGPD.
• WhatsApp no sé basó en el consentimiento de los usuarios como base legal para el procesamiento de sus datos personales, por lo que el aspecto de ‘consentimiento forzado’ de las quejas no pudo sostenerse.
• Con base en ello, el DPC determinó que la empresa no estaba obligada a basarse en el consentimiento como base legal en relación con la prestación del servicio, incluso con fines de seguridad y optimización del servicio.

El Tribunal del Mercado de Bruselas desestimó la apelación de IAB Europa, la asociación que agrupa el ecosistema de empresas de publicidad y marketing digital en la Unión Europea (UE), en torno al caso de violación al Reglamento General de Protección de Datos (RGPD) por parte de su Marco de Transparencia y Consentimiento (TCF, por sus siglas en inglés).

Asimismo, Bruselas acordó remitir otras cuestiones legales que fueron motivo de la apelación de IAB al Tribunal Supremo de Justicia de la UE. Las preguntas se centran en el papel de la organización como controlador de datos conjunto y si la llamada “cadena TC” (una cadena de caracteres numéricos que reflejan las preferencias de los usuarios) puede considerarse como información personal. La IAB argumenta que no.

“Que el Tribunal de Apelación de Bruselas haya remitido nuestras preguntas al Tribunal de Justicia de la Unión Europea muestra la importancia de este caso”, dijo Johnny Ryan, miembro principal del Consejo Irlandés para las Libertades Civiles y denunciante principal.

“La sentencia de hoy es el siguiente paso en nuestro esfuerzo por poner fin a las ventanas emergentes de consentimiento que han acosado a los usuarios de Internet en Europa durante años. Ahora esperamos las respuestas del Tribunal de Justicia”.

Entérate: Instagram recibe multa récord en Europa por no proteger datos de adolescentes

IAB Europa fue multada con 250 mil euros a principios de este año por la Autoridad de Protección de Datos de Bélgica, tras una larga investigación que determinó que el TCF infringe de múltiples formas el RGPD. Bajo el dictamen del regulador belga, la IAB también estaba obligada a presentar un plan para mejorar el TCF bajo un estándar “transparente, comprensible y de fácil acceso”.

En esencia, el TCF es un mecanismo que usa la industria publicitaria en forma de ventanas emergentes en sitios Web para obtener el consentimiento de los usuarios europeos con el objetivo de justificar la recopilación y procesamiento de sus datos, que a la vez son compartidos con una serie de “socios” para subastarse en anuncios dirigidos en línea.

Ahora queda esperar el fallo del Tribunal de Justicia de la UE, el cual puede tardar fácilmente hasta dos años. Por su parte, la autoridad belga dijo que analizará más a fondo el caso pero declaró estar “satisfecho con la decisión”, en especial porque permitirá aclarar conceptos claves del RGPD como la definición de controlador de datos y su aplicabilidad en el diseño de marcos regulatorios.