Cuando el “engagement” activa el Capítulo V del RGPD

En turismo nos gusta pensar que lo complicado ocurre en el aeropuerto: overbooking, maletas extraviadas, huelgas y ese pasajero que decide discutir con el mostrador como si fuera una asamblea. Pero hay un tipo de “control de fronteras” más silencioso y, últimamente, bastante más caro: el de los datos personales.

Y aquí entra TikTok, que para el sector ya no es entretenimiento, sino una agencia de viajes emocional: te enseña un amanecer en Fuerteventura, te cuela un “hotel boutique secreto” en Lisboa y, cuando quieres darte cuenta, estás comparando vuelos. Todo en 30 segundos. Todo muy eficiente. Todo muy rentable.

Hasta que te acuerdas de que la eficiencia digital se alimenta de datos. Y de que, según han venido señalando las autoridades europeas y la AEPD, TikTok sigue transfiriendo datos personales de usuarios europeos a terceros países, incluida China, en un contexto donde dichas transferencias ya fueron analizadas y consideradas no conformes con el RGPD. La historia, por resumirla sin perder el hilo: multa millonaria, medidas correctoras, recurso judicial y una suspensión levantada temporalmente con una condición nada romántica: transparencia, transparencia y más transparencia.

La “frontera” jurídica no es TikTok; es el Capítulo V del RGPD

La discusión técnica tiene un nombre poco glamuroso, pero determinante: Capítulo V del RGPD (arts. 44 a 49), el régimen de transferencias internacionales. El principio es simple: si los datos salen del EEE, el responsable debe garantizar un nivel de protección esencialmente equivalente al europeo, mediante decisión de adecuación o garantías apropiadas (y, si procede, medidas complementarias).

En el caso TikTok, la autoridad principal en la UE (la irlandesa, por el mecanismo de ventanilla única) concluyó que había infracciones en transferencias de datos a China y también en transparencia, imponiendo multas por un total de 530 millones de euros y ordenando medidas correctoras con un plazo de adaptación. El Comité Europeo de Protección de Datos (EDPB) también publicó información sobre la decisión y sus medidas correctoras.

Punto clave para el turismo: no es un debate ajeno a las marcas. Si TikTok es infraestructura de demanda (y lo es), cualquier estrategia seria de marketing turístico debe asumir que su cadena de valor incluye un tratamiento intensivo de datos con riesgo regulatorio real.

“Yo solo hago marketing”: el mantra que no te exime

Primero, la idea que conviene desactivar: “yo solo publico vídeos y meto algo de publicidad, el RGPD es cosa de plataformas”. Ojalá. En la práctica, las marcas turísticas no “están” en TikTok: operan en TikTok. Y operar significa tomar decisiones sobre campañas, audiencias, conversiones, captación de leads, atención por mensajes y colaboraciones con creadores.

No te convierte automáticamente en responsable de lo que haga la plataforma por su cuenta, correcto. Pero te coloca en una zona de riesgo que muchas organizaciones turísticas siguen tratando como si fuera un free tour: “vamos entrando y ya veremos”.

El problema es que el regulador ya no está en modo “ya veremos”. Está en modo “documente, explique y justifique”.

Transferencias internacionales: el viaje que no sale en el itinerario

Cuando hablamos de transferencias internacionales de datos, mucha gente imagina un Excel viajando en un pendrive. La realidad es menos cinematográfica y más cotidiana: infraestructuras, accesos, soporte, mantenimiento, ingeniería, analítica… y, sobre todo, modelos de negocio basados en perfilado.

El RGPD no prohíbe transferir datos fuera de la UE, pero sí exige garantías: que el nivel de protección sea equivalente o que existan mecanismos jurídicos robustos. En el caso analizado por autoridades europeas (con Irlanda como autoridad principal de supervisión, por la famosa “ventanilla única”), el diagnóstico fue contundente: no se cumplía.

Y aquí viene lo importante para turismo: incluso si tu empresa no “exporta” nada conscientemente, puedes estar:

- activando mediciones (atribución, eventos, conversiones) que dependen del ecosistema de datos de la plataforma;

- segmentando (intereses, comportamientos, audiencias similares) con lógica de perfilado;

- incentivando contenido (UGC, sorteos, formularios) que aumenta el volumen y la sensibilidad del tratamiento.

¿Es ilegal hacer marketing en TikTok? No. ¿Es jurídicamente irrelevante? Tampoco.

Transparencia: la condición de entrada (y el primer incumplimiento típico)

El levantamiento temporal de medidas correctoras (mencionado por la AEPD en relación con un procedimiento judicial en Irlanda) se condicionó a que TikTok cumpliera exigencias reforzadas de transparencia. En RGPD, esto aterriza directamente en los arts. 12, 13 y 14: información concisa, transparente, inteligible; identidad del responsable; finalidades; bases jurídicas; destinatarios; transferencias; plazos; derechos; y, cuando aplique, existencia de decisiones automatizadas o perfilado.

La AEPD ha insistido en algo que, dicho en lenguaje turístico, sería así: si vas a llevar al usuario por un circuito de tratamiento intensivo de datos, no le vendas un “todo incluido” sin decirle qué incluye.

La transparencia no es un banner genérico ni una política de privacidad de 40 páginas escondida en el pie de la web. Es que el usuario entienda:

- qué datos se tratan,

- para qué,

- con qué base,

- durante cuánto,

- y con quién se comparten (incluidas transferencias).

Y aquí muchas marcas turísticas fallan por sitios muy previsibles:

1. Landing de campaña minimalista: bonita, rápida, con un formulario para “recibir la oferta”, pero sin capas informativas serias sobre analítica, publicidad o perfiles.

2. Concursos y sorteos: “deja tu email y etiqueta a tres amigos” sin pensar que eso, si impacta a menores, es dinamita.

3. Mensajería directa como atención: el DM se convierte en recepción 24/7 y, de repente, el usuario te manda pasaporte, localizador o un problema médico “por si podéis ayudar”.

Si uno tuviera que elegir el punto donde más se nota la diferencia entre una marca madura y una marca improvisada en privacidad, no sería en el texto legal. Sería en cómo diseña el flujo.

DSA: el anuncio turístico ya no puede ser un fantasma

El otro pilar es el Reglamento de Servicios Digitales (DSA). En mayo de 2025, la Comisión Europea comunicó su visión preliminar de que el repositorio de anuncios de TikTok incumplía la obligación de publicar un repositorio publicitario exigida por el DSA. Y en diciembre de 2025, la Comisión anunció que aceptaba compromisos de TikTok sobre transparencia publicitaria bajo el DSA.

Para turismo esto afecta a una práctica muy habitual: el “contenido que parece orgánico, pero es publicidad”. El DSA empuja justo en sentido contrario: trazabilidad, explicabilidad y control, o lo que es lo mismo, quién anuncia, por qué se muestra y con qué criterios.

Menores: el pasajero más protegido

TikTok ha sido sancionada previamente por la DPC por cuestiones vinculadas al tratamiento de datos de menores (multa de 345 millones de euros, septiembre de 2023).

La Comisión Europea abordó el componente de diseño potencialmente adictivo y el programa “Lite Rewards”: TikTok se comprometió a retirar permanentemente ese programa en la UE, y la Comisión hizo esos compromisos vinculantes.

Además, en España se ha tramitado un Proyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales, que incluye elevar a 16 años la edad mínima para registro en redes (frente a 14).

Implicación práctica: aunque tu marca no se “dirija” a menores, si haces campañas familiares, sorteos, experiencias aspiracionales o trabajas con creadores con audiencia joven, debes operar con un estándar de diligencia superior.

Conclusión

En turismo, se gestiona con mucho cuidado el motor de reservas, el channel manager y la pasarela de pago. Porque son infraestructura crítica. Pues bien: TikTok ya es infraestructura crítica de demanda, aunque se disfrace de entretenimiento.

Y si el dato personal es el combustible de esa demanda, conviene asumir una realidad: la discusión sobre transferencias internacionales no es “un lío de plataformas”. Es una alerta para todo el ecosistema que vive —y vende— en torno a ellas.

La pregunta ya no es si TikTok funciona (funciona). La pregunta es si tu organización está preparada para lo que viene: menos fe en el algoritmo y más cultura de cumplimiento.

Guillermo Caro Arteaga

Abogado de MONLEX

gcaro@monlexabogados.es