TikTok infringió el principio de equidad al procesar datos personales de niños de entre 13 y 17 años, al diseñar mensajes emergentes de registro y publicación de videos que no presentaban alternativas objetivas y neutrales al usuario, resolvió la Autoridad Irlandesa de Protección de Datos de Irlanda y la sancionó con una multa de 345 millones de euros.
La Comisión de Protección de Datos irlandesa realizó una investigación voluntaria examinando en qué medida, durante el período comprendido entre el 31 de julio y el 31 de diciembre de 2020, TikTok Technology Limited cumplió con sus obligaciones exigidas en el Reglamento General de Protección de Datos europeo (GDPR) en relación con su procesamiento de datos personales relacionados con usuarios infantiles; particularmente analizó las configuraciones de la plataforma TikTok, tanto las públicas predeterminadas como las asociadas con la función “Emparejamiento familiar”; el proceso de verificación de edad al momento del registro; más la información proporcionada a los usuarios infantiles respecto a la configuración predeterminada.
Presentada la resolución a las demás Comisiones Europeas hubo disidencias en los incumplimientos por lo que se derivó al Comité Europeo de Protección de Datos (CEPD), el que analizó las prácticas de diseño implementadas por TikTok en el contexto de dos notificaciones emergentes que se mostraron a niños de entre 13 y 17 años: la ventana emergente de registro y la ventana emergente de publicación de videos. El análisis encontró que ambas ventanas emergentes no presentaban opciones al usuario de manera objetiva y neutral.
En la ventana emergente de registro, se instaba a los niños a optar por una cuenta pública eligiendo el botón del lado derecho denominado “Omitir”, lo que luego tendría un efecto en cascada en la privacidad del niño en la plataforma, por ejemplo, permitiendo que se hicieran comentarios libremente a los videos creados por los niños.
En la ventana emergente de publicación de videos, se instó a los niños a hacer clic en “Publicar ahora”, presentado en un texto en negrita y más oscuro ubicado en el lado derecho, en lugar del botón más claro para “cancelar”. Los usuarios que deseaban que su publicación fuera privada primero debía seleccionar “cancelar” y luego buscar la configuración de privacidad para cambiar a una “cuenta privada”. Por lo tanto, TikTok alentó a los usuarios a optar por configuraciones públicas por defecto, y les dificultó tomar decisiones que favorecieran la protección de sus datos personales, sin que estuvieran claras las consecuencias de las diferentes opciones, especialmente para los niños usuarios. El CEPD confirmó que los responsables del tratamiento no deberían dificultar a los interesados ajustar su configuración de privacidad y limitar el tratamiento.
Asimismo, el CEPD evaluó si las medidas de verificación de edad implementadas por TikTok cumplían con los requisitos de protección de datos desde el diseño (Art. 25 (1) GDPR), concluyendo que tales medidas de verificación le generaban serias dudas respecto a su eficacia, particularmente teniendo en cuenta la gravedad de los riesgos por el elevado número de niños afectados, destacando que el mecanismo para evitar que menores de 13 años accedan a la plataforma podía eludirse fácilmente y que las medidas aplicadas después de que los usuarios obtuvieron acceso a TikTok no se aplicaban de manera sistemática.
Anu Talus, presidente del comité, sostuvo que las empresas de redes sociales tienen la responsabilidad de evitar presentar opciones a los usuarios, especialmente a los niños, de manera injusta, especialmente si esa presentación puede llevar a las personas a tomar decisiones que violen sus intereses de privacidad. Las opciones relacionadas con la privacidad deben proporcionarse de forma objetiva y neutral, evitando cualquier tipo de lenguaje o diseño engañoso o manipulador. Los actores digitales deben tener mucho cuidado y tomar todas las medidas necesarias para salvaguardar los derechos de protección de datos de los niños.
En línea con la columna anterior, es indispensable un Estado presente en estas cuestiones que la acción individual no modifica conductas empresarias, por lo que se añora que nuestros organismos protectorios asuman un rol similar al irlandés, protegiendo activa y proactivamente a nuestros niños.
(*) Abogado. Especialista en derecho informático