La multa de TikTok: El Context de l'Anonimització
L'Autoritat Irlandesa de Protecció de Dades (DPC) va imposar una multa de 530 milions d'euros contra TikTok el novembre de 2024 per transferir il·legalment dades personals d'usuaris de l'EEA a aplicacions de la Xina. Les dades transferides incloïen:
- Identificadors d'usuari únics
- Adreces IP geolocalitzades
- Activitat de visualització de vídeo
- Dades de sincronització de contactes
Les transferències es van produir sense una base legal adient, sense consentiment esplícit i sense anonimització que compleixi amb el GDPR. L'anonimització fallida va ser un element clau — TikTok va intenta pseudonimizar alguns camps però va mantenir els matxos d'usuari en els registres de xarxa de la Xina.
Per què la pseudonimització de TikTok va fallar sota el GDPR
El GDPR distingeix entre dos nivells de protecció:
-
Pseudonimització (Art. 4(5)): Processament de dades que impossibilita l'atribució a un titula de dades sense informació addicional, però on és possible re-identificar si el propietari dels dades addicionals col·labora. Exemple: reemplaçar noms amb UUIDs però mantenir assoclaci a registres d'objectius.
-
Anonimització (Consideració 26): Processament irreversible que impossibilita absolutament l'atribució a una persona física per a qualsevol persona en qualsevol circumstància.
TikTok va intentar pseudonimizar però va fallar en la part crítica: els registres de xarxa de la Xina podia invertir les assoclaces si tots els altres marcs de dades es correlacionaven correctament (géolocalització → temps + device ID → usuari).