Tras el procedimiento sancionador incoado por la Comisión de Protección de Datos de Irlanda (DPC) contra TikTok Technology Limited (en adelante, TikTok), en el que se anunció una multa administrativa de 345 millones de euros, el Comité Europeo de Protección de Datos (CEPD) ha emitido una decisión vinculante de resolución de disputas, en la que confirma que TikTok infringió el Reglamento General de Protección de Datos (en adelante, RGPD) por lo siguiente:
- Infracción del principio de lealtad, al tratar datos personales de niños (menores de entre 13 y 17 años) incumpliendo lo dispuesto en el RGPD.
- Realización de prácticas de diseño incorrectas a la hora de notificar ciertas cuestiones a niños de entre 13 y 17 años.
- En concreto, la ventana de registro en la red social empujaba a las personas usuarias, y entre ellos, a menores, a decantarse por una cuenta pública y no privada, con la inclusión en la pantalla de un botón de “omitir”. El hecho de optar por una cuenta pública supone, de facto, una mayor incidencia en la privacidad del menor. La ventana de publicación de vídeo también presentaba irregularidades, ya que hacía más intuitivo publicar vídeos de manera pública que de manera privada.
Además del principio de lealtad, como consecuencia de la configuración que TikTok hace de facto de estas dos ventanas, también se ven afectados los principios de protección de datos desde el diseño y por defecto; el principio de minimización; y el principio de transparencia.