La Commissione irlandese per la protezione dei dati (DPC) ha imposto una multa di 530 milioni di euro alla piattaforma video TikTok per violazione della protezione dei dati. TikTok ha trasmesso i dati degli utenti europei alla Cina e ha violato i requisiti di trasparenza, ha spiegato la DPC in una dichiarazione del 2 maggio.
Contesto del procedimento contro TikTok
Il DPC ha agito nel suo ruolo di organizzazione capofila. Autorità di vigilanza per TikTok ai sensi della procedura dello sportello unico di cui all'art. 56 GDPR. L'oggetto dell'indagine era, da un lato, la legittimità dei trasferimenti di dati verso paesi terzi in conformità al capitolo V GDPRsoprattutto nei paesi privi di Decisione di appropriatezza della Commissione europea.
In secondo luogo, l'autorità ha esaminato se TikTok abbia adempiuto all'obbligo di trasparenza ai sensi dell'articolo 13, paragrafo 1, lettera f). GDPR è stato debitamente rispettato.
Trasferimenti illegali di dati verso la Cina
Secondo le conclusioni del DPC, TikTok ha violato in particolare l'art. 46, comma 1, del Codice penale. GDPR violato. L'azienda non è riuscita a garantire in modo sufficiente che Dati personali degli utenti del SEE, quando vengono consultati da dipendenti cinesi, godono di un livello di protezione equivalente a quello del GDPR è "essenzialmente equivalente".
Particolarmente critica: la valutazione della legge cinese da parte di TikTok ha già rivelato deviazioni significative dagli standard europei di protezione dei dati, ad esempio attraverso la legge cinese antiterrorismo, la legge contro lo spionaggio e la legge sull'intelligence nazionale.
Anche se il cosiddetto "TikTok Clausole contrattuali standard (SCC), il DPC ha anche riscontrato l'assenza di ulteriori salvaguardie efficaci per prevenire o controllare l'accesso ai dati da parte delle agenzie governative cinesi. Le misure adottate nel contesto della sentenza della Corte di giustizia europea "Schrems II", che richiedeva ulteriori misure tecniche, organizzative e legali, non era stato sufficientemente documentato o implementato. Ciò riguardava, tra l'altro Cifratura dati sensibili durante l'accesso remoto e la mancanza di protocolli di accesso trasparenti.
Questa carenza ha portato a contestare l'intera prassi di trasmissione di TikTok. Il DPC ha sottolineato che la valutazione della legge cinese da parte di TikTok stessa non ha fornito una "equivalenza essenziale" con la legge cinese. GDPR e quindi manca la base per la selezione e l'efficacia delle misure di sicurezza.
Nel corso del procedimento, TikTok ha fatto riferimento al programma infrastrutturale in corso "Project Clover", che prevede l'archiviazione locale dei dati all'interno dell'UE (in particolare in Irlanda e Norvegia) e meccanismi di controllo indipendenti. Il DPC ha riconosciuto questo progetto come un passo positivo. Tuttavia, ha subordinato il proseguimento dei trasferimenti di dati verso la Cina alla piena attuazione di meccanismi di protezione conformi al GDPR.
Mancanza di trasparenza nei confronti degli utenti
Un elemento chiave della decisione del DPC riguarda l'incapacità di TikTok di fornire agli utenti dello Spazio economico europeo informazioni chiare e complete sulle attività transfrontaliere. Elaborazione dei loro dati personali. Ai sensi dell'art. 13 comma 1 lett. f GDPR le aziende hanno l'obbligo di informare in modo trasparente gli interessati su se e verso quali Paesi terzi i loro dati saranno trasferiti e sulle modalità di trasferimento. Trasmissione ha luogo.
La politica di protezione dei dati di TikTok dell'ottobre 2021 non soddisfaceva questi requisiti sotto alcuni aspetti fondamentali: non venivano citati esplicitamente i paesi terzi interessati, in particolare la Cina, né venivano rese note le circostanze esatte dei trasferimenti di dati. In particolare, non era chiaro se i trasferimenti riguardassero anche l'accesso remoto ai dati da parte dei dipendenti cinesi che lavoravano su Server a Singapore e negli Stati Uniti. Questa mancanza di Trasparenza ha impedito agli utenti di esercitare i loro diritti di protezione dei dati con piena cognizione di causa.
Nel corso del procedimento, TikTok ha rivisto la propria informativa sulla privacy e ha presentato al DPC una nuova versione datata dicembre 2022. Secondo l'autorità, questa nuova versione soddisfaceva i requisiti dell'articolo 13, paragrafo 1, lettera f). GDPRin quanto non solo indicava i paesi terzi per nome, ma spiegava anche in modo più dettagliato il tipo di accesso e l'ubicazione dei server. I dati identificati dal DPC Violazione relativi al periodo dal 29 luglio 2020 al 1° dicembre 2022, durante il quale TikTok non ha rispettato a sufficienza i suoi obblighi di trasparenza.
Suggerimento di lettura: Violazioni DMA - L'UE impone multe per 700 milioni di euro ad Apple e Meta
Informazioni errate durante la procedura
Un aspetto particolarmente grave della decisione riguarda l'inadeguata politica di informazione di TikTok nei confronti del DPC durante il procedimento in corso. Durante l'indagine, TikTok aveva ripetutamente assicurato al DPC che nessun dato personale di utenti del SEE sarebbe stato conservato su server in Cina. Queste assicurazioni hanno costituito una base essenziale per la valutazione dei flussi di dati da parte del DPC.
Tuttavia, nell'aprile 2025, TikTok ha informato il DPC di aver scoperto già nel febbraio 2025 che una quantità limitata di dati degli utenti del SEE era stata memorizzata su server in Cina, contrariamente alle precedenti assicurazioni. TikTok ha spiegato che ciò era dovuto a un errore interno e a un malinteso nella classificazione interna dei dati. I dati interessati sono stati successivamente cancellati.
Il DPC ha preso molto sul serio questa successiva divulgazione. La decisione sottolinea che la fornitura di informazioni errate o fuorvianti nel contesto delle procedure di vigilanza costituisce un serio ostacolo a un controllo efficace. Tali informazioni errate possono non solo minare la fiducia dell'autorità, ma anche distorcere in modo significativo la valutazione del rischio di protezione dei dati.
L'autorità ha quindi annunciato una procedura separata per esaminare se il comportamento di TikTok in merito alla notifica tardiva della conservazione dei dati giustifichi ulteriori misure di vigilanza. Qualora venisse accertato un comportamento intenzionale o gravemente negligente, ciò potrebbe portare a ulteriori sanzioni.
Multa milionaria contro TikTok
Il DPC ha imposto un Fine per un totale di 530 milioni di euro:
- 485 milioni di euro per violazione dell'art. 46 par. 1 GDPR (trasmissione illegale di dati),
- 45 milioni di euro per violazione dell'art. 13 par. 1 lett. f GDPR (mancanza di Trasparenza).
TikTok aveva inoltre l'obbligo, entro sei mesi dalla scadenza del periodo di reclamo, di interrompere tutte le operazioni di trattamento che riguardavano il GDPR armonizzati. In caso contrario, tutti i trasferimenti di dati verso la Cina potrebbero essere sospesi.
Valutazione del procedimento contro TikTok
La decisione del DPC ha un significato di vasta portata che va oltre TikTok. Sottolinea gli standard rigorosi per i trasferimenti internazionali di dati dall'UE, in particolare verso Paesi senza Decisione di appropriatezza. Le aziende sono obbligate a effettuare valutazioni legali approfondite e ad adottare misure tecniche e organizzative per garantire un livello equivalente di protezione dei dati.
Inoltre, viene sottolineata ancora una volta l'importanza di un'informazione trasparente agli utenti. Le linee guida per la protezione dei dati devono essere chiare, complete e comprensibili, soprattutto nel caso di attività transfrontaliere. Elaborazione.
Infine, ma non meno importante, la decisione dimostra che una comunicazione incompleta o fuorviante alle autorità di vigilanza può avere conseguenze significative. Il DPC sta già valutando ulteriori azioni normative nei confronti di TikTok per la ritardata divulgazione dell'archiviazione dei dati SEE in Cina.
Fonte: Avviso della Commissione irlandese per la protezione dei dati sulla multa inflitta a TikTok
🌍 Volete effettuare una Valutazione d'Impatto del Trasferimento (TIA) e valutare il livello di protezione dei dati nel paese ricevente e adottare le misure necessarie? Allora contattateci! Possiamo offrirvi una soluzione personalizzata.
German 
English 
Italian 
French