La piattaforma è accusata di trasferimenti illegali di dati personali degli utenti europei in violazione del GDPR
La terza sanzione più salata della storia del GDPR
La Commissione irlandese per la protezione dei dati (DPC) ha inflitto a TikTok una multa da 530 milioni di euro, una cifra che entra direttamente nel podio delle sanzioni più pesanti mai comminate nell’ambito del GDPR. Solo Amazon (746 milioni) e Meta-Facebook (1,2 miliardi) hanno fatto peggio.
Al centro della questione c’è l’illecito trasferimento di dati personali degli utenti europei verso la Cina, dove ha sede la casa madre ByteDance. Una pratica che secondo l’autorità irlandese rappresenta una grave violazione delle norme europee sulla privacy.
La centralità dell’Irlanda nel controllo dei dati europei
Secondo il Regolamento generale sulla protezione dei dati (GDPR), ogni azienda straniera con sede in un paese UE è soggetta al controllo delle autorità di quel paese. Poiché TikTok ha la sua sede europea in Irlanda, è stata la DPC a coordinare le indagini e decidere la sanzione.
La multa è il risultato di un’indagine lunga e articolata, che ha evidenziato come TikTok non avesse fornito garanzie adeguate per proteggere i dati trasferiti fuori dall’Europa.
La risposta di TikTok: “Faremo ricorso”
TikTok ha espresso forte disaccordo con la decisione irlandese e ha annunciato che presenterà ricorso legale contro la multa. L’azienda sostiene di aver già modificato molte delle sue pratiche di gestione dei dati per allinearsi agli standard europei, e definisce la sanzione “sproporzionata”.
Resta comunque il fatto che questa sanzione rappresenta un nuovo campanello d’allarme per le grandi piattaforme tech, che dovranno rivedere a fondo le proprie politiche di protezione dei dati, specie quando si tratta di informazioni sensibili degli utenti europei.
Trasferimento dei dati fuori dall’UE: cosa prevede il GDPR
Il Regolamento generale sulla protezione dei dati (GDPR) vieta il trasferimento di dati personali verso Paesi extra-UE che non garantiscano un livello di protezione adeguato, a meno che non vengano adottate misure specifiche. Tra queste:
- Clausole contrattuali standard (SCC) approvate dalla Commissione europea
- Binding Corporate Rules (BCR) per i gruppi multinazionali
- Valutazioni d’impatto sulla protezione dei dati (DPIA)
- Meccanismi di adeguatezza (come quello recentemente riconosciuto agli Stati Uniti con il “Data Privacy Framework”)
Il caso TikTok solleva preoccupazioni perché i dati degli utenti europei sarebbero stati trasferiti in Cina senza adeguate garanzie, in violazione degli articoli 44-49 del GDPR. La Cina, infatti, non figura tra i Paesi con decisione di adeguatezza da parte della Commissione UE.
Implicazioni per le aziende
La sanzione dimostra che le autorità di controllo europee stanno rafforzando l’enforcement del GDPR, soprattutto su:
- Trasparenza nel trattamento dei dati
- Tutela dei minori
- Localizzazione e sicurezza dei dati
Le aziende con operazioni internazionali devono quindi:
- Mappare i flussi di dati fuori dallo Spazio Economico Europeo
- Verificare l’adeguatezza legale del trasferimento
- Aggiornare le policy e i contratti con i fornitori esterni
- Valutare l’utilizzo di strumenti crittografici e tecnologie privacy-by-design
Iscriviti alla newsletter. Resta aggiornato!
Te la invieremo periodicamente per comunicazioni importanti e news sul mondo digitale. Potrai disiscriverti in ogni momento cliccando l'apposito link in calce alla newsletter.
