La organización austriaca de privacidad «None of Your Business» (noyb) ha presentado denuncias contra empresas como TikTok, AliExpress, SHEIN, Temu, WeChat y Xiaomi, acusándolas de incumplir las normativas de protección de datos en la Unión Europea (UE) al transferir datos de usuarios a China de manera ilegal.
El grupo ha solicitado que estas transferencias sean suspendidas de inmediato, argumentando que las compañías mencionadas no pueden garantizar que los datos de los usuarios estén protegidos de posibles accesos por parte del gobierno chino. Las quejas se han registrado en Austria, Bélgica, Grecia, Italia y los Países Bajos.
«Dado que China opera como un estado autoritario con mecanismos de vigilancia, resulta evidente que no proporciona un nivel de protección de datos equiparable al de la UE. La transferencia de datos personales de ciudadanos europeos es claramente ilegal y debe detenerse cuanto antes», afirmó Kleanthi Sardeli, abogada especializada en protección de datos en noyb.
Noyb explicó que estas empresas están obligadas a cumplir con las solicitudes de acceso a datos realizadas por las autoridades chinas y destacó que China carece de una autoridad independiente de protección de datos que pueda cuestionar o supervisar estas prácticas gubernamentales de vigilancia.
Además, el grupo señaló que ninguna de las compañías respondió a las solicitudes de acceso realizadas bajo el Reglamento General de Protección de Datos (GDPR) para obtener información sobre las transferencias de datos, incluyendo si se envían a China o a otros países fuera de la UE.
«Las políticas de privacidad de AliExpress, SHEIN, TikTok y Xiaomi confirman que transfieren datos a China. En el caso de Temu y WeChat, aunque mencionan transferencias a terceros países, su estructura corporativa indica que probablemente incluyen a China», señaló noyb.
Esta situación se produce mientras TikTok, propiedad de ByteDance, se prepara para cerrar su aplicación en Estados Unidos a partir del 19 de enero de 2025, fecha en la que entrará en vigor una prohibición federal sobre la plataforma de redes sociales.
En los últimos meses, noyb también ha presentado quejas relacionadas con el GDPR contra Google, Microsoft y Mozilla por prácticas de seguimiento de usuarios sin su consentimiento, a través de herramientas como Privacy Sandbox, Xandr y Firefox, respectivamente.
Medidas de la FTC contra General Motors y GoDaddy
Estas denuncias coinciden con las acciones tomadas por la Comisión Federal de Comercio (FTC) de Estados Unidos contra General Motors, prohibiéndole compartir datos de conductores, como información de geolocalización y comportamiento al volante, con agencias de informes de consumidores durante un período de cinco años, debido a la falta de consentimiento explícito por parte de los usuarios.
Una investigación del New York Times en marzo de 2024 reveló que dicha información fue compartida con dos intermediarios de datos, LexisNexis Risk Solutions y Verisk, que trabajaban con la industria de seguros para generar perfiles de riesgo y, en algunos casos, aumentar las tarifas de seguros automotrices.
En respuesta, General Motors declaró que había suspendido su programa de recopilación de datos «Smart Driver» en abril de 2024 tras recibir comentarios negativos de los clientes. También indicó que los usuarios pueden acceder y eliminar su información personal mediante un formulario de solicitud de privacidad disponible en su sitio web.
La FTC también ordenó a GoDaddy, proveedor de servicios de alojamiento web, implementar un programa integral de seguridad de la información para corregir sus «prácticas de seguridad inadecuadas», que contribuyeron a múltiples filtraciones de datos de clientes entre 2019 y 2022. Aunque GoDaddy no ha sido multado ni ha admitido culpabilidad, las autoridades criticaron duramente su gestión.
«GoDaddy no tomó medidas adecuadas para proteger sus entornos de alojamiento web contra amenazas de seguridad, y engañó a los clientes sobre el nivel de protección que ofrecía en sus servicios», afirmó la FTC.
La agencia señaló múltiples fallos de la empresa, como la falta de una gestión adecuada de activos e inventarios, la omisión de aplicar parches de seguridad, la ausencia de evaluaciones de riesgos, la falta de autenticación multifactorial, y la incapacidad para segmentar su red y monitorear amenazas de seguridad.
Además, la FTC anunció nuevas reglas de privacidad en línea para niños bajo la Ley de Protección de la Privacidad Infantil en Línea (COPPA). Estas enmiendas exigen obtener el consentimiento verificable de los padres antes de procesar datos de menores para fines publicitarios o compartirlos con terceros.
Las nuevas políticas también establecen límites sobre cuánto tiempo pueden las empresas retener la información de los niños, exigiendo que los datos sean eliminados tan pronto como ya no sean necesarios para el propósito original de su recopilación.
«Exigir que los padres aprueben explícitamente las prácticas de publicidad dirigida garantiza que las plataformas no puedan compartir ni monetizar los datos de los niños sin autorización activa», declaró Lina M. Khan, presidenta de la FTC.
