En las últimas semanas, millones de usuarios europeos han empezado a ver en TikTok un aviso sobre la transferencia de datos personales a China. El mensaje, que ha sembrado bastantes dudas entre quienes usan la red social a diario, hace referencia directa a una investigación abierta por las autoridades de protección de datos en Irlanda.
El texto que aparece sobreimpresionado en la aplicación no es ningún bulo: la notificación es oficial y ha sido confirmada por la propia plataforma. En ella, TikTok informa de que está recurriendo una sanción millonaria impuesta por el regulador irlandés por enviar datos de usuarios del Espacio Económico Europeo (EEE) a China mediante acceso remoto, al tiempo que explica que, de momento, puede seguir haciéndolo.
La multa de 530 millones de Irlanda y el papel del RGPD
El origen del conflicto se sitúa en abril de 2025, cuando la Comisión de Protección de Datos de Irlanda (DPC), autoridad principal que supervisa a TikTok en Europa por tener su sede comunitaria en Dublín, concluyó una amplia investigación sobre los flujos internacionales de datos de la plataforma.
Tras ese análisis conjunto con otros reguladores europeos, la DPC determinó que TikTok no había cumplido con los requisitos del Reglamento General de Protección de Datos (RGPD) al permitir el acceso remoto desde China a información de usuarios del EEE entre 2020 y 2023, sin garantizar un nivel de protección equivalente al exigido dentro de la Unión Europea.
El regulador irlandés impuso una multa de 530 millones de euros y ordenó aplicar medidas correctoras, entre ellas detener las transferencias de datos a China en un plazo de seis meses si la compañía no se ajustaba plenamente al RGPD. La resolución iba acompañada de la advertencia de que, si no se garantizaban salvaguardas sólidas, el acceso desde China seguiría siendo incompatible con la normativa europea.
El mensaje que aparece ahora en la app, bajo el título “Transferencia de datos de usuarios del EEE a China mediante acceso remoto”, resume justamente ese procedimiento: la decisión de Irlanda, la orden de detener los envíos y el recurso presentado por TikTok ante los tribunales del país.
El recurso de TikTok y la suspensión temporal del bloqueo
Tras recibir la resolución irlandesa, TikTok decidió recurrirla ante el Tribunal Superior de Irlanda. Ese paso judicial ha cambiado por completo el escenario a corto plazo: el tribunal acordó dejar en suspenso, de forma provisional, la decisión de la DPC mientras se tramita el recurso.
En la práctica, esto significa que, aunque la sanción económica y la valoración jurídica del regulador siguen vigentes, la orden de bloquear las transferencias de datos a China está paralizada cautelarmente. Hasta que no haya una sentencia firme, la compañía puede continuar con su modelo de tratamiento internacional de datos.
La propia plataforma lo explica en la notificación que está mostrando dentro de la app. En ese texto se indica que, desde el 14 de noviembre de 2025, y como consecuencia directa de la decisión del tribunal irlandés, las transferencias de datos de usuarios del EEE a China pueden seguir llevándose a cabo mientras dure el procedimiento judicial.
Este levantamiento temporal del bloqueo está sujeto a que TikTok cumpla ciertas obligaciones adicionales de transparencia. Por eso, la empresa ha empezado a informar de forma más visible a los usuarios europeos sobre cómo maneja sus datos, qué tipo de información puede ser accesible desde China y cuál es el estado del litigio con el regulador irlandés.
TikTok insiste en que está “en total desacuerdo” con la decisión de Irlanda y que, en su opinión, las medidas que ha implantado ofrecen suficientes garantías. Sin embargo, la legalidad de esas transferencias sigue bajo revisión judicial y el debate con las autoridades europeas está lejos de cerrarse.
Qué datos pueden viajar a China y por qué preocupa a Europa
El problema de fondo no es tanto la existencia de un acceso remoto desde China en sí misma, sino el marco legal bajo el que se produce ese acceso. El RGPD exige que, cuando se envían datos personales fuera de la UE o del EEE, el país de destino garantice un nivel de protección esencialmente equivalente al europeo.
En el caso de China, las autoridades de protección de datos europeas consideran que las leyes de seguridad nacional, antiterrorismo y contraespionaje permiten a las autoridades locales reclamar a las empresas tecnológicas cualquier información que gestionen en función de los intereses del Estado. Eso hace muy difícil asegurar que los datos de un usuario europeo no puedan terminar en manos del Gobierno o del Ejército Popular de Liberación.
Durante la investigación irlandesa, TikTok aseguró inicialmente que no almacenaba datos de usuarios del EEE en servidores ubicados en China. Sin embargo, con el avance del procedimiento, la compañía tuvo que admitir que una cantidad limitada de información sí había llegado a sistemas chinos por un error interno, lo que alimentó las dudas de los reguladores.
Las autoridades europeas no han presentado pruebas de que se hayan producido accesos concretos por parte del Gobierno chino a las bases de datos de TikTok. Aun así, subrayan que el marco jurídico chino permitiría ese acceso llegado el caso, algo que choca de frente con las exigencias del RGPD para las transferencias internacionales.
Para el usuario medio, todo este enredo legal se traduce en algo bastante sencillo: si usas TikTok en Europa, parte de tus datos puede ser accesible desde China mientras el recurso judicial siga en marcha y la suspensión del bloqueo continúe vigente.
La reacción de la AEPD y del resto de reguladores europeos
La Agencia Española de Protección de Datos (AEPD) ha querido salir al paso de las dudas y ha recordado que, pese a la suspensión cautelar del bloqueo, la valoración de las autoridades europeas no ha cambiado. Según el comunicado difundido recientemente, TikTok sigue transfiriendo datos personales de usuarios europeos a terceros países, incluida la República Popular China, en condiciones que no cumplen el RGPD.
La AEPD, que participó en el procedimiento coordinado a través del Comité Europeo de Protección de Datos, subraya que la decisión de la DPC irlandesa es el resultado de un análisis conjunto de varias autoridades nacionales. La conclusión compartida es que las salvaguardas ofrecidas por TikTok no bastan para compensar los riesgos derivados de la legislación china.
En este contexto, la agencia española recuerda que, aunque la aplicación de ciertas medidas correctoras esté en pausa por orden judicial, la legalidad de las transferencias sigue cuestionada y continúa siendo objeto de revisión. Es decir, la sanción no se ha anulado, simplemente está pendiente de lo que decidan finalmente los tribunales irlandeses.
La AEPD también recalca que TikTok ha designado Irlanda como su establecimiento principal en Europa. Esto implica que la DPC actúa como autoridad de control principal, pero siempre en coordinación con el resto de agencias europeas, que siguen de cerca el caso y participan en los mecanismos de cooperación previstos por el RGPD.
La denuncia pública de la AEPD ha tenido un objetivo claro: advertir a los usuarios europeos de que la situación de riesgo no ha desaparecido, a pesar de los mensajes de tranquilidad emitidos por la compañía.
El discurso de TikTok: Proyecto Clover y promesas de seguridad
Frente a las críticas de los reguladores, TikTok ha lanzado un mensaje firme: asegura que se toma muy en serio la privacidad y la protección de datos de sus usuarios europeos. Como parte de esa estrategia defensiva, la empresa ha puesto el foco en su iniciativa conocida como Proyecto Clover.
Según la plataforma, se trata de un plan de inversión de alrededor de 12.000 millones de euros destinado a reforzar la seguridad de los datos en Europa. La compañía sostiene que, gracias a este proyecto, la información de los usuarios del EEE se almacena ahora por defecto en centros de datos, incluido uno en Brasil, ubicados en Irlanda, Noruega y Estados Unidos, con controles de acceso estrictos y auditorías de terceros independientes.
La empresa también afirma que los empleados con sede en China no pueden acceder a determinados datos sensibles, como números de teléfono o direcciones IP, y que parte de la información que se utiliza globalmente está seudonimizada o sometida a medidas de seguridad adicionales para limitar los riesgos.
A ojos de TikTok, estas inversiones ofrecen “garantías inigualables” para los usuarios europeos y demuestran que su modelo puede ajustarse al RGPD. La compañía defiende que ha utilizado los propios mecanismos legales de la UE para permitir accesos remotos limitados y muy controlados con fines de soporte técnico, moderación y mantenimiento del servicio.
Sin embargo, las autoridades de protección de datos mantienen una postura prudente. Consideran que, aunque el proyecto de localización de datos y los controles adicionales van en la buena dirección, no bastan para neutralizar completamente los riesgos asociados a la legislación china y al posible acceso de las autoridades a la información de los usuarios europeos.
Advertencias a los usuarios: revisar permisos y plantearse seguir en la app
Más allá de la batalla legal con TikTok, la AEPD ha aprovechado la visibilidad del caso para lanzar una serie de recomendaciones dirigidas a los usuarios de servicios digitales, con especial énfasis en los más jóvenes, que son quienes más tiempo pasan en este tipo de aplicaciones.
El regulador español insiste en la importancia de leer con atención las notificaciones y políticas de privacidad que aparecen al usar redes sociales, juegos y otras apps, aunque puedan resultar algo densas. Entender qué datos se recopilan, con qué fines y a qué países pueden viajar es clave para tomar decisiones informadas.
También aconseja revisar la configuración de privacidad y los permisos concedidos a cada aplicación, comprobando si realmente es necesario dar acceso al micrófono, la cámara, los contactos o la ubicación en todo momento. En el caso de TikTok, muchos usuarios aceptan estos permisos sin planteárselo, pese a que limitarlos puede reducir la cantidad de información que se envía a los servidores de la compañía.
Otra de las pautas compartidas por la AEPD es actuar con prudencia respecto a la información que se comparte en redes sociales, evitando publicar o enviar datos especialmente sensibles, como información de salud, detalles sobre la orientación sexual, datos financieros o documentos personales.
Por último, la agencia va un paso más allá y sugiere que los usuarios valoren si quieren seguir utilizando servicios que envían datos a países sin un nivel de protección equivalente al europeo. Dicho de otro modo, invita a plantearse seriamente dejar de usar plataformas como TikTok si la persona no se siente cómoda con la posibilidad de que parte de su información acabe bajo jurisdicciones más intrusivas.
Un caso que pesa sobre el debate europeo de transferencias internacionales
La polémica de TikTok llega en un contexto en el que la Unión Europea ya lleva años lidiando con las transferencias de datos a países con legislaciones muy distintas. El ejemplo más conocido es el de Estados Unidos: el Tribunal de Justicia de la UE ha tumbado en dos ocasiones los acuerdos de intercambio de datos con ese país por considerarlos insuficientes en términos de privacidad.
El actual marco de transferencias UE-EE. UU. también se encuentra bajo la lupa de los tribunales, impulsado por las demandas del mismo abogado que logró la anulación de los dos acuerdos anteriores. Este clima de desconfianza generalizada hacia jurisdicciones extranjeras coloca el caso de TikTok y China en el centro del debate europeo sobre hasta qué punto se pueden externalizar datos personales.
En este escenario, los reguladores recuerdan que, una vez que la información personal se almacena o se hace accesible desde países fuera del bloque comunitario, queda sometida a las leyes locales. En el caso chino, esto puede implicar, al menos sobre el papel, un acceso muy amplio por parte de las autoridades a los sistemas de las empresas tecnológicas.
Las dudas sobre lo que ocurre realmente con los datos no se limitan solo al funcionamiento interno de TikTok. Diversos grupos de defensa de la privacidad en Europa han señalado posibles riesgos adicionales ligados a la publicidad y al rastreo cruzado entre aplicaciones, lo que añade otra capa de preocupación sobre cómo se explota la información más allá de la propia app de vídeos.
En paralelo, muchos gobiernos occidentales han endurecido el escrutinio a la plataforma, incluida la posible prohibición en EEUU, lo que convierte cualquier decisión sobre su modelo de datos en un asunto de relevancia política y social.
El caso de TikTok ilustra hasta qué punto la gestión de los datos personales se ha convertido en un campo de tensión entre plataformas globales, reguladores europeos y países con marcos legales muy distintos. Mientras Irlanda dirime en los tribunales si la multa y las restricciones a las transferencias de datos se confirman, la red social sigue operando con normalidad en Europa y enviando información a China. Entre tanto, la AEPD y el resto de autoridades recuerdan a los ciudadanos que no son meros espectadores: tienen margen para ajustar la privacidad, limitar los permisos y decidir si compensa seguir usando un servicio cuyo modelo de tratamiento de datos continúa bajo la lupa.
