Situación actual de las transferencias internacionales de datos en TikTok

La Agencia Española de Protección de Datos (AEPD) ha advertido que la plataforma TikTok continúa realizando transferencias internacionales de datos personales de usuarios europeos a terceros países, entre ellos la República Popular China. Estas transferencias fueron analizadas previamente por las autoridades europeas de protección de datos, que concluyeron que no cumplían con los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD), en particular los artículos 44 a 49, que regulan las condiciones para transferir datos personales fuera del Espacio Económico Europeo.

El RGPD exige que, cuando los datos se transfieren a países que no ofrecen un nivel de protección equivalente al europeo, el responsable del tratamiento adopte garantías adecuadas y asegure la protección efectiva de los derechos de los usuarios.

Actuación de las autoridades y suspensión provisional

En abril de 2025, la Comisión de Protección de Datos de Irlanda (DPC), como autoridad de control principal de TikTok en la Unión Europea, impuso a la compañía una sanción de 530 millones de euros. La decisión se adoptó tras un procedimiento coordinado con el resto de autoridades nacionales, incluida la AEPD, al considerar que las transferencias internacionales vulneraban el RGPD. Junto con la sanción económica, se acordaron medidas correctoras, entre ellas la suspensión de las transferencias de datos.

Sin embargo, TikTok recurrió la resolución ante los tribunales irlandeses. En noviembre de 2025, el tribunal competente acordó levantar de forma temporal la suspensión de las transferencias, hasta que exista una sentencia judicial definitiva. Este levantamiento no supone una validación de las transferencias, sino una medida cautelar condicionada.

Deber de transparencia frente a los usuarios

El levantamiento provisional está sujeto a que TikTok cumpla con sus obligaciones de transparencia. En este sentido, la empresa debe informar de manera clara y accesible a los usuarios europeos de que sus datos personales siguen siendo transferidos a terceros países y de que la legalidad de dichas transferencias está siendo revisada judicialmente. Este deber de información deriva de los artículos 12 y 13 del RGPD y resulta esencial para que los usuarios puedan tomar decisiones informadas.

Las autoridades de protección de datos han señalado que la valoración negativa sobre estas transferencias sigue vigente, aunque las medidas correctoras estén temporalmente suspendidas.

Recomendaciones prácticas para los usuarios

La AEPD recomienda a los usuarios leer detenidamente las políticas de privacidad, revisar la configuración de permisos de las aplicaciones y valorar si desean continuar utilizando servicios que transfieren datos a países sin un nivel de protección equivalente. Asimismo, aconseja actuar con prudencia al compartir información personal, especialmente datos sensibles, y prestar especial atención cuando se trata de usuarios menores de edad.

Cooperación entre autoridades europeas

TikTok ha designado Irlanda como su establecimiento principal en Europa, por lo que la DPC actúa como autoridad líder, en coordinación con el resto de autoridades nacionales. La AEPD participa activamente en los mecanismos de cooperación previstos en el RGPD y continúa supervisando la evolución de este procedimiento.