La Data Protection Commission (DPC), autoridad irlandesa en materia de protección de datos ha publicado su decisión que concluye la investigación que estaba llevando a cabo sobre el cumplimiento del RGPD por parte de TikTok en relación con los datos de usuarios menores de edad.
La conclusión de la DPC ha sido la existencia de las siguientes circunstancias, que constituyen infracciones del RGPD:
- Las configuraciones predeterminadas: perfil público y emparejamiento familiar predeterminado.
- Verificación de edad durante el proceso de registro.
- Obligaciones de transparencia respecto del público menor de edad.
La decisión de la DPC fue comunicada al resto de autoridades control interesadas, en aplicación del artículo 60 del RGPD que regula la cooperación entre las autoridades de control europeas, ante lo que hubo un gran consenso respecto a las infracciones cometidas. No obstante, tanto las autoridades de Italia como de Berlín objetaron.
A diferencia de la autoridad italiana que consideró que no la decisión de la DPC no debía aplicarse, la autoridad de protección de datos de Berlín consideró la existencia, además de las infracciones anteriores, de patrones oscuros en la red social. Son patrones oscuros, según la definición de la Agencia Española de Protección de Datos, “interfaces e implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que tomen decisiones potencialmente perjudiciales para la protección de sus datos personales”.
Al no haber un consenso general, la DPC remitió el asunto al Comité Europeo de Protección de Datos (CEPD) para la resolución de la disputa. La conclusión de este: TikTok debe ser sancionada por las infracciones detectadas por la DPC, así como por la existencia de los patrones oscuros alegados por la autoridad de Berlín.
Ahora TikTok, en consecuencia, deberá implementar las medidas necesarias para cumplir con el RGPD en un plazo de tres meses, así como deberá proceder al pago de una sanción administrativa de 345 millones de euros.