El regulador de privacidad del Reino Unido, la Oficina del Comisionado de Información (ICO), notificó hoy a TikTok que cree que la aplicación puede haber violado la ley de protección de datos del Reino Unido, incluido el procesamiento de datos de niños menores de 13 años sin el consentimiento de los padres.
El ICO, que tiene el poder de censurar y multar a las empresas por hasta el cuatro por ciento de su facturación global anual, ha emitido el brazo de TikTok en el Reino Unido. a aviso de intención – que es un documento legal que se presenta antes de que el regulador decida si impone una multa. TikTok podría recibir una multa de £27 millones ($29,3 millones) si se determina que la corazonada de la ICO es cierta.
La ICO tiene motivos para creer que TikTok pudo haber recopilado y procesado datos de usuarios menores de edad entre mayo de 2018 y julio de 2020, dijo la agencia el lunes. TikTok también puede haber fallado proporcionar a los usuarios la información adecuada sobre cómo se procesarán sus datos además de procesar innecesariamente lo que se llama “datos de categoría especial,” incluyendo el origen étnico y racial de las personas, opiniones políticas, creencias religiosas, orientación sexual, tafiliación sindical, datos genéticos y biométricos o datos de salud.
“Todos queremos que los niños puedan aprender y experimentar el mundo digital, pero con las protecciones de privacidad de datos adecuadas”, dice John Edwards, el Comisionado de Información del Reino Unido, quien asumió su papel en enero de 2022. “Las empresas que brindan servicios digitales tienen el deber legal de implementar esas protecciones, pero nuestra opinión provisional es que TikTok no cumplió con ese requisito”.
El aviso de intención es una de una serie de medidas que la ICO está tomando contra las empresas de tecnología, con seis investigaciones en curso sobre empresas que el regulador cree que no han hecho lo suficiente para proteger la privacidad de los niños.
Sin embargo, la ICO ha sido cuidadosa en su redacción para decir que solo está potencialmente dispuesta a multar a TikTok, y se esfuerza al decir que la emisión de un aviso de intención significa que cualquier descubrimiento que haya hecho sobre cómo TikTok maneja los datos de los niños es provisional. La empresa agrega que “no se debe concluir en esta etapa que, de hecho, ha habido una violación de la ley de protección de datos o que, en última instancia, se impondrá una sanción financiera”.
TikTok se negó a compartir información sobre el contenido del aviso de intención con Gizmodo, citando su confidencialidad. Un portavoz le dice a Gizmodo: “Este Aviso de Intención, que cubre el período de mayo de 2018 a julio de 2020, es provisional y, como ha declarado el propio ICO, no se pueden sacar conclusiones finales en este momento. Si bien respetamos el papel de la ICO en la protección de la privacidad en el Reino Unido, no estamos de acuerdo con las opiniones preliminares expresadas y tenemos la intención de responder formalmente a la ICO a su debido tiempo”.
La base de usuarios de TikTok es muy amplia y se sabe que incluye niños menores de 13 años. Una investigación de marzo de 2022 por Ofcom, el regulador de medios del Reino Unido, descubrió que más de uno de cada ocho niños del Reino Unido de tres y cuatro años ven contenido en TikTok, mientras que un tercio de los de cinco a siete años lo hacen.
A pesar de esto, TikTok ha negado con frecuencia que tenga usuarios menores de 13 años. Documentación interna, obtenido por Gizmodo y que se remonta al momento en que ICO cree que TikTok puede haber violado las reglas de privacidad de los niños, aconseja a los empleados del departamento de relaciones públicas de la empresa que digan que “La aplicación es solo para usuarios mayores de 13 años, de acuerdo con nuestros términos y condiciones. Por tanto, en relación a nuestros usuarios, podemos hablar de jóvenes, pero no de niños”.
La baronesa Beeban Kidron, fundadora de 5Rights Foundation y artífice del Código de diseño apropiado para la edad del Reino Unido, una lista de 15 pautas que los servicios en línea deben seguir para proteger mejor a los niños que usan sus aplicaciones, dice que agradece la noticia de que la ICO está considerando tomar medidas coercitivas contra TikTok.
“Esta es una prueba clara de que la tecnología puede ser responsable de la seguridad y la privacidad de los niños”, dice. “El objetivo final debe ser que las empresas usen su creatividad e innovación para cumplir con la legislación de privacidad, incluido el Código de diseño apropiado para la edad, en lugar de hacer que el regulador los persiga retrospectivamente. Pero hoy hemos visto al ICO tomar una posición a favor de los niños, y lo aplaudo”.
La razón por la que la ICO es tan cautelosa al no declarar definitivamente una irregularidad es que ya ha recorrido este camino antes con una gran empresa de tecnología. A mediados de 2018, el ICO emitió Facebook con un similar aviso de intención. En ese momento, la ICO hizo importantes afirmaciones sobre cómo Facebook había manejado mal los datos de los usuarios. Facebook apeló la decisión y llevó a la ICO a los tribunales. Al final, ambas partes liquidado en octubre de 2019y Facebook no admite ninguna responsabilidad ante la ICO por el mal manejo de los datos de los usuarios.
“Mi pensamiento principal es que creo que muestra un mal juicio” en nombre de la ICO, dice Tim Turner, un experto en protección de datos con sede en el Reino Unido. “La investigación no ha terminado, por lo que anunciarlo ahora solo para obtener relaciones públicas sugiere que Edwards y su equipo están nerviosos porque en realidad no han hecho mucho en 2022.
“El anuncio no nos dice nada concreto”, agrega Turner. “No sabemos qué tan grande será la multa o incluso si habrá una. Sería mucho mejor dejar que TikTok tenga la última palabra, sopesar lo que sea y anunciar una decisión final que todos podamos evaluar. Tal como está, no sabemos qué hay en el NOI [notice of intent] o hacia dónde va”.
Si la ICO ha encontrado motivos de que TikTok manejó mal los datos de los usuarios menores de edad, podría abrir la posibilidad de que otros reguladores en otros lugares puedan tomar medidas similares. Actualmente, TikTok está sujeto a dos investigaciones de privacidad de datos en Europa, mientras que TikTok resolvió un caso con la Comisión Federal de Comercio de EE. UU. alegando que su aplicación predecesora, Musical.ly violó la Ley de Protección de la Privacidad Infantil en Línea (COPPA). Los lunes, Los New York Times informó que TikTok y el gobierno de EE. UU. se acercaban a un acuerdo que resolvería las preocupaciones de seguridad nacional sobre la transferencia de datos de la aplicación a su empresa matriz china, ByteDance. Anteriormente, TikTok asesoró a sus equipos de relaciones públicas para “minimizar la asociación con China”, como informó por primera vez Gizmodo.
“El ICO podría haber llegado al fondo de algo que ayuda a otras autoridades a tomar medidas”, dice Turner, “pero a menos que lo hayan compartido en silencio, eso no sucederá hasta la conclusión”.