TikTok nel mirino: maxi multa da 530 milioni per aver inviato dati in Cina

La piattaforma è accusata di trasferimenti illegali di dati personali degli utenti europei in violazione del GDPR

La terza sanzione più salata della storia del GDPR

La Commissione irlandese per la protezione dei dati (DPC) ha inflitto a TikTok una multa da 530 milioni di euro, una cifra che entra direttamente nel podio delle sanzioni più pesanti mai comminate nell’ambito del GDPR. Solo Amazon (746 milioni) e Meta-Facebook (1,2 miliardi) hanno fatto peggio.

Al centro della questione c’è l’illecito trasferimento di dati personali degli utenti europei verso la Cina, dove ha sede la casa madre ByteDance. Una pratica che secondo l’autorità irlandese rappresenta una grave violazione delle norme europee sulla privacy.

La centralità dell’Irlanda nel controllo dei dati europei

Secondo il Regolamento generale sulla protezione dei dati (GDPR), ogni azienda straniera con sede in un paese UE è soggetta al controllo delle autorità di quel paese. Poiché TikTok ha la sua sede europea in Irlanda, è stata la DPC a coordinare le indagini e decidere la sanzione.

La multa è il risultato di un’indagine lunga e articolata, che ha evidenziato come TikTok non avesse fornito garanzie adeguate per proteggere i dati trasferiti fuori dall’Europa.

La risposta di TikTok: “Faremo ricorso”

TikTok ha espresso forte disaccordo con la decisione irlandese e ha annunciato che presenterà ricorso legale contro la multa. L’azienda sostiene di aver già modificato molte delle sue pratiche di gestione dei dati per allinearsi agli standard europei, e definisce la sanzione “sproporzionata”.

Resta comunque il fatto che questa sanzione rappresenta un nuovo campanello d’allarme per le grandi piattaforme tech, che dovranno rivedere a fondo le proprie politiche di protezione dei dati, specie quando si tratta di informazioni sensibili degli utenti europei.

Trasferimento dei dati fuori dall’UE: cosa prevede il GDPR

Il Regolamento generale sulla protezione dei dati (GDPR) vieta il trasferimento di dati personali verso Paesi extra-UE che non garantiscano un livello di protezione adeguato, a meno che non vengano adottate misure specifiche. Tra queste:

• Clausole contrattuali standard (SCC) approvate dalla Commissione europea
• Binding Corporate Rules (BCR) per i gruppi multinazionali
• Valutazioni d’impatto sulla protezione dei dati (DPIA)
• Meccanismi di adeguatezza (come quello recentemente riconosciuto agli Stati Uniti con il “Data Privacy Framework”)

Il caso TikTok solleva preoccupazioni perché i dati degli utenti europei sarebbero stati trasferiti in Cina senza adeguate garanzie, in violazione degli articoli 44-49 del GDPR. La Cina, infatti, non figura tra i Paesi con decisione di adeguatezza da parte della Commissione UE.

Implicazioni per le aziende

La sanzione dimostra che le autorità di controllo europee stanno rafforzando l’enforcement del GDPR, soprattutto su:

• Trasparenza nel trattamento dei dati
• Tutela dei minori
• Localizzazione e sicurezza dei dati

Le aziende con operazioni internazionali devono quindi:

1. Mappare i flussi di dati fuori dallo Spazio Economico Europeo
2. Verificare l’adeguatezza legale del trasferimento
3. Aggiornare le policy e i contratti con i fornitori esterni
4. Valutare l’utilizzo di strumenti crittografici e tecnologie privacy-by-design