Cómo pretendía usar TikTok nuestros datos para mostrarnos publicidad (y cómo lo han parado las autoridades de protección de datos) *

“Si tienes 18 años o más y estás en el EEE [Espacio Económico Europeo], Reino Unido o Suiza, TikTok está haciendo un cambio legal en la forma de utilizar tu actividad en TikTok para personalizar tus anuncios”. Con esta entrada en su blog, la red social de vídeos cortos anunció cambios en su configuración de publicidad personalizada. Su intención era usar los datos que recopila sobre los usuarios para personalizar los anuncios que muestra, tanto si lo hemos elegido como si no.

El quid de la cuestión está en este párrafo: “Según la ley de protección de datos aplicable, las empresas como TikTok deben tener una base legal para procesar tu información. Históricamente, TikTok te pedía tu ‘consentimiento’ para utilizar tu actividad en TikTok y fuera de TikTok para ofrecerte anuncios personalizados. A partir del 13 de julio de 2022, TikTok se basará en sus ‘intereses legítimos’ como base legal para utilizar la actividad en TikTok para personalizar los anuncios de los usuarios mayores de 18 años”.

Sin embargo, ese cambio que pretendía hacer la plataforma no es tan sencillo como parecía y las autoridades europeas de protección de datos han reaccionado alertando e iniciando investigaciones contra TikTok. Estas acciones han llevado a que la plataforma haya paralizado esta decisión, según ha informado la empresa a Maldita.es.

Del consentimiento al interés legítimo: cómo buscaba TikTok usar nuestros datos

¿Qué hacía TikTok hasta ahora? Recogía datos personales tanto a través de tu actividad dentro de la plataforma (cuentas que sigues o vídeos que te gustan) como de datos externos de terceros, para personalizar la publicidad que te mostraba. Explicamos en profundidad cómo recoge TikTok esa información cuando hablamos de su algoritmo o cuando analizamos mensajes virales alertando de la extracción de datos. Eso sí, hasta ahora, lo hacía basándose en el consentimiento del usuario. Es decir, en que nosotros, al usar la app, le permitíamos usar toda esa información para personalizar su publicidad.

¿Cómo anunciaba que lo iba a hacer a partir del 13 de julio? Ya no habría consentimiento previo sobre los datos de la actividad dentro de TikTok, sino que se apoyarían en el interés legítimo, uno de los supuestos por los cuales una empresa puede recoger nuestros datos personales. Esto significa que, hayamos dado permiso o no para ello, la empresa los usaría.

Un dato importante: tanto el "consentimiento" como el "interés legítimo" son lo que conocemos como bases legitimadoras del Reglamento General de Protección de Datos (RGPD). Se refiere en esencia a los supuestos en los que se puede apoyar una empresa para recoger, almacenar, registrar y usar nuestros datos personales para distintos fines. No toda base legitimadora es válida para diferentes usos, eso sí.

Según la Comisión Europea, “se pueden invocar los ‘intereses legítimos’ como justificación para el tratamiento de los datos” en ciertas situaciones. Por ejemplo, “cuando el tratamiento se realiza en el marco de la relación con un cliente, cuando trata los datos personales para fines de mercadotecnia directa, para prevenir el fraude o para garantizar la seguridad de la red y la información de sus sistemas informáticos”.

De ahí que el anuncio de TikTok de cambiar del consentimiento (o sea, nuestro permiso) al interés legítimo haya desembocado en la actuación de oficio por parte de varios organismos europeos de protección de datos.

Las autoridades italiana, irlandesa y española inician investigaciones contra la plataforma

El 11 de julio, el regulador de protección de datos de Italia (Garante europeo della protezione dei dati) anunció una investigación respecto a este cambio en las prácticas de privacidad de la plataforma y, según un comunicado, hizo un requerimiento de información a la red social del que concluyó que el cambio violaba el RGPD.

“El cambio en la base legitimadora es incompatible con la directiva europea 2002/58, es decir, la llamada directiva ePrivacy”, explica el organismo. Señala que esta normativa dice explícitamente que “el consentimiento de los usuarios es la única base que legitima ‘el almacenamiento de información o el acceso a información ya almacenada en el terminal de un usuario’”. A partir de esta información, mandó una “advertencia formal” a la plataforma en la que avisaba de que podría iniciar acciones legales contra la empresa.

La Agencia Española de Protección de Datos (AEPD) también ha anunciado el inicio de una investigación contra TikTok por cómo la red social pretende usar nuestros datos personales para mostrarnos publicidad. "La Agencia inicia de oficio actuaciones previas de investigación a TikTok por el cambio anunciado en la forma en la que esta compañía justifica el tratamiento de información personal para mostrar publicidad", ha confirmado la AEPD a Maldita.es y anunciado en su perfil oficial en Twitter este 12 de julio.

Según informa TechCrunch, también la Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés) tomó partido y dijo que la “pausa” se debía a las conversaciones que había mantenido con la empresa. El regulador de Irlanda es el ente principal ante el que responde TikTok, ya que su sede está en este país, como el de muchas otras empresas tecnológicas.

"Mientras respondemos las preguntas de las partes interesadas sobre los cambios que proponemos en nuestra publicidad personalizada en Europa, pausamos la introducción de este apartado en nuestra actualización de la política de privacidad. Creemos que la publicidad personalizada brinda la mejor experiencia en la aplicación para nuestra comunidad y nos alinea con las prácticas de la industria, y esperamos interactuar con las partes interesadas y abordar sus inquietudes", han explicado a Maldita.es desde TikTok. **

¿Podía hacerse este cambio sin dar una alternativa a los usuarios?

Para el abogado especializado en protección de datos y miembro de Secuoya Group Jorge García Herrero, el primer problema era el cambio de base de legitimación: “En general, no puedes cambiar tu base de legitimación para ‘un tratamiento de datos en marcha’. Esto sólo se ha permitido en mayo de 2018, fecha de aplicación del RGPD, al endurecer los requisitos del consentimiento (se podía cambiar la base consentimiento por otra, porque de pronto muchos de los consentimientos captados dejaban de ser válidos)”.

Desde el Supervisor Europeo de Protección de Datos (la autoridad que sucedió al Grupo de Trabajo del Artículo 29 en 2018 y actual autoridad europea en esta materia), indicaron en su momento que “no es posible cambiar entre una base de legitimación y otra”.

¿En qué situación se puede hacer, por tanto, este cambio? “Si tu base anterior no tenía problemas, puedes informar al usuario, darle la opción de que se oponga a cambiar al interés legítimo en un plazo razonable y estar preparado para borrar todos los datos previos de quienes ejerciten su derecho de oposición”, dice García Herrero.

También a raíz del anuncio de TikTok, organizaciones como AccessNow han mandado una carta al Supervisor Europeo de Protección de Datos instando a que actúe sobre esta decisión unilateral de la empresa: "TikTok está yendo un paso más allá al limitar nuestros derechos y sugiriendo en efecto que no deberíamos tener poder de decisión sobre cómo se usa nuestra información", asegura Estelle Massé, coordinadora en esta organización de Legislación Europea y Proteción de Datos Global.

La pregunta del millón: ¿podría yo como usuario oponerme a ese cambio?

Legalmente, sí; en la práctica de TikTok, parece más complicado. “Si pinchas en el enlace para ejercer el derecho de oposición, TikTok te lleva a una explicación (con otro enlace a un cuestionario) donde te hace detallar exactamente a qué te opones y cuáles son tus razones. No hay un botón o un medio simple, ni campos para completar texto; tienes que llevar tú un documento redactado y subirlo a su plataforma”, detalla el abogado.

Sin embargo, ese embrollo debería ser mínimo y no lo es, añade: “Este derecho de oposición no requiere argumentación y tiene que ser inmediatamente atendido. El RGPD lo dice literalmente en el [artículo] 21.2. y 3”. Otros expertos se hacían también eco en redes sociales sobre el artículo 21.3, que permite el derecho absoluto a oponerse: “Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines”.

Todo esto se daba a partir del 13 de julio, pero, si habías estado usando TikTok hasta entonces y ya habías dado tu consentimiento para recibir anuncios personalizados, la red social avisaba de que, si lo retirabas, “TikTok dejará de utilizar su actividad en TikTok recopilada antes del 13 de julio de 2022 para personalizar sus anuncios”, pero esto “no afectará al uso de la actividad a partir de esa fecha, ya que TikTok utilizará su ‘interés legítimo’ para procesar esa información”. O sea, que a partir de esa fecha se convertían en lentejas: si las quieres bien, y si no… También.

Por tanto, según García, “TikTok no está dando una opción real de oposición, no describe cuáles son sus intereses legítimos y su relación con las finalidades del tratamiento, ni los datos personales que tratará al efecto. El usuario no tiene información suficiente para valorar cómo le afecta el tratamiento que le anuncian y decidir si se opone o no”. En resumen, “no se están cumpliendo los requisitos de aplicación del interés legítimo”.

* Hemos actualizado este artículo a 12 de julio de 2022 para incluir las posiciones de diferentes reguladores de protección de datos europeos y la paralización de la medida por parte de TikTok. Puedes leer la versión original de este artículo en este enlace.

** Hemos actualizado este artículo a 13 de julio para incluir las declaraciones de TikTok.

Primera fecha de publicación de este artículo: 11/07/2022