ByteDance, la empresa matriz de TikTok, podría haber infringido las leyes de Estados Unidos (EE UU) y la Unión Europea (UE) por carecer de una política corporativa interna de conservación de registros, según siete empleados actuales y antiguos de ByteDance y cientos de documentos internos y registros de chat revisados por Forbes.
Los materiales internos muestran a los expertos legales y políticos de TikTok advirtiendo claramente a los líderes senior, incluido Kim Albarella, director de Seguridad Global, que la falta de una política de ByteDance para gestionar los registros internos podría amenazar su capacidad para operar en los EE UU y la UE. Uno de ellos, de la primavera de 2023, muestra a un experto en política de privacidad interna expresando su alivio por el hecho de que los reguladores aún no se hubieran dado cuenta de que la empresa incumplía la normativa.
Los empleados expresaron su preocupación por la posibilidad de que la empresa incumpliera la Ley FTC de Estados Unidos y la normativa europea sobre privacidad GDPR. Las normas sobre conservación y eliminación de registros corporativos, aunque aparentemente mundanas, son fundamentales porque impiden que las empresas borren de sus registros pruebas de irregularidades y protegen la privacidad de las personas cuya información se almacena en registros corporativos.
Las siete fuentes dijeron a Forbes que ByteDance carecía de esa política desde hacía años, un descuido con consecuencias potencialmente nefastas para una empresa que ya está siendo investigada por el gobierno de EE UU y que se ha enfrentado a un escrutinio mundial por sus prácticas de privacidad de datos. A algunos les preocupaba que pudiera poner en peligro el negocio de comercio electrónico de la empresa, centrado en TikTok Shop, que se lanzó en EE UU el pasado septiembre y aspira a facturar 17.500 millones de dólares este año.
En comunicaciones vistas por Forbes, los empleados explicaron que no tener una política de conservación de registros ponía a la empresa fuera de cumplimiento con el Estándar Internacional de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI), lo que –si se descubría– podría haber detenido por completo su capacidad de procesar transacciones con tarjetas de crédito. Un documento de finales de 2022 afirmaba que TikTok Live se había «lanzado sin tener en cuenta el cumplimiento de la PCI».
Los materiales internos revisados por Forbes, muchos de los cuales son confidenciales entre abogado y cliente, revelan una lucha por crear y lanzar una política provisional para documentos específicos de tarjetas de crédito a principios de 2023 para garantizar que la empresa cumpliera con los requisitos. Pero en marzo de 2023, Albarella dijo a los empleados que no iban a acelerar una política específica para los datos de los titulares de tarjetas y que, en su lugar, procederían a crear y poner en marcha una política global, según muestran los materiales. El problema: su personal dijo que el proceso tardaría entre uno y dos años en ponerse en marcha y, mientras tanto, la empresa seguía sin cumplir los requisitos, según muestran los materiales.
En respuesta a una lista detallada de preguntas sobre los materiales internos, el portavoz de TikTok, Alex Haurek, envió la siguiente declaración: «Creemos que estas afirmaciones se basan en documentos obsoletos, que fueron preparados predominantemente por empleados que ya no están en la empresa, que no tenían visibilidad de todo nuestro trabajo en esta área, y que ahora están tratando de promover una agenda sin tener en cuenta los hechos». Haurek dijo que el plazo de uno a dos años «se sacó de un documento preparado por un solo exempleado y no fue validado».
En respuesta al documento interno sobre la conformidad PCI de TikTok Live, Haurek escribió: «Esta declaración no autorizada no refleja con exactitud el estado de conformidad PCI de estos productos. Fue introducida en el informe –después de la revisión final– por un empleado que ya ha dejado la empresa». El portavoz de ByteDance, Mike Hughes, añadió: «Seguimos los estándares de la industria en aplicaciones sujetas a las normas PCI.» Cuando se le preguntó directamente si ByteDance cumple hoy con la Ley FTC y el GDPR, Hughes escribió: «Nos esforzamos continuamente por cumplir con nuestras obligaciones legales relacionadas con la gobernanza de datos».
Ninguno de los dos portavoces respondió a preguntas sobre en qué país o países se almacenaban sus registros corporativos.
Hillary Sale, profesora de Liderazgo y Gobierno Corporativo en la Facultad de Derecho de Georgetown, dijo a Forbes que cualquier empresa del tamaño de TikTok debería tener una política de conservación, y que se trata de sistemas que toda startup debería implantar a medida que crece. Las empresas deben saber «cómo y cuándo conservar los documentos, y asegurarse de que todo el personal de la compañía comprende su importancia», declaró a Forbes en una entrevista.
La conservación de los documentos de la empresa –y la accesibilidad a ellos por parte de los funcionarios del Gobierno de EE UU– es muy importante para TikTok, ya que se encuentra en medio de negociaciones de varios años con el Comité de Inversiones Extranjeras en Estados Unidos. El año pasado, la Administración Biden amenazó con obligar a ByteDance a vender TikTok o se enfrentaría a la prohibición de la aplicación en EE UU (Divulgación: en una vida anterior, ocupé cargos políticos en Facebook y Spotify).
TikTok también está siendo investigada por el Departamento de Justicia de EE UU por vigilar a periodistas, incluido este reportero, y a finales del año pasado recibió una citación judicial para obtener documentos relacionados con esa investigación. Anteriormente, Forbes informó de que los propios expertos antifraude de ByteDance advirtieron a la empresa de que era incapaz de garantizar que sus respuestas a las solicitudes de las fuerzas de seguridad, como las citaciones, fueran precisas, en parte debido a las irregulares prácticas de conservación de datos de la empresa. En aquel momento, la compañía dijo: «Este documento se creó dentro de un departamento hace casi dos años, nunca se presentó internamente más allá de eso, y es en gran parte inexacto, con detalles obsoletos que se hacen irrelevantes por las actualizaciones periódicas de nuestras prácticas en los años transcurridos desde entonces».
En otoño de 2022, un abogado de TikTok dijo a sus colegas que estaba trabajando con un equipo de producto en una función de descubrimiento electrónico que permitiría a la empresa responder mejor a las solicitudes de registros de la empresa, pero advirtió a sus colegas que sería un proceso largo, según documentos revisados por Forbes. En ese momento, la tarea de desarrollar una política se había encomendado al equipo de Defensa de Datos y Garantía de Acceso de TikTok, pero ese equipo le quitó prioridad en favor de un trabajo más urgente. El proyecto se encomendó entonces a expertos en cumplimiento de datos de la Organización Global de Seguridad (GSO) de la empresa.
También en 2022, ByteDance contrató a Redgrave LLP, una firma especializada en el gobierno de la información corporativa, para que le ayudara a crear una política de conservación de documentos. Una de las primeras cuestiones que plantearon los abogados externos fue si la política debía redactarse para cubrir sólo a TikTok o a todo ByteDance. En una conversación de mediados de 2022, el antiguo líder global de TikTok para el cumplimiento de la seguridad le dijo a Albarella, director de Seguridad en funciones de la empresa, que la política tendría que ser para todo ByteDance, porque «el sistema interno de ByteDance no se puede separar entre productos».
Los borradores de la política de principios de 2023 redactados por los abogados de Redgrave muestran que, aunque en un principio los abogados pretendían que el borrador de la política cubriera todos los documentos internos de ByteDance, posteriormente lo redujeron para que sólo cubriera los documentos propiedad de TikTok. (Redgrave no respondió a una solicitud de comentarios).
Aún así, no está claro si existe una política de retención específica para TikTok. Forbes preguntó tanto a TikTok como a ByteDance si tienen políticas de retención de datos exhaustivas y aplicadas.
«Como cualquier empresa, conservamos registros para cumplir las obligaciones legales», respondió Hughes. Haurek añadió: «Tenemos políticas y procedimientos que rigen la retención de la información personal de los usuarios de TikTok».
Ninguno de los dos respondió a una pregunta de seguimiento en la que se pedía aclarar si TikTok y ByteDance tienen políticas corporativas de retención de registros en la actualidad.
