La Commissione irlandese per la protezione dei dati (DPC) ha imposto una multa di 530 milioni di euro alla piattaforma video TikTok per violazione della protezione dei dati. TikTok ha trasmesso i dati degli utenti europei alla Cina e ha violato i requisiti di trasparenza, ha spiegato la DPC in una dichiarazione del 2 maggio.
Contesto del procedimento contro TikTok
Nel suo ruolo di autorità di controllo principale per TikTok, il DPC ha agito secondo la procedura dello sportello unico ai sensi dell'art. 56 del GDPR. L'oggetto dell'indagine era, da un lato, la legalità dei trasferimenti di dati verso Paesi terzi ai sensi del capitolo V del GDPR, in particolare verso Paesi privi di una decisione di adeguatezza da parte della Commissione UE.
In secondo luogo, l'autorità ha esaminato se TikTok avesse correttamente adempiuto all'obbligo di trasparenza ai sensi dell'art. 13 par. 1 lett. f GDPR.
Trasferimenti illegali di dati verso la Cina
Secondo le conclusioni del DPC, TikTok ha violato in particolare l'articolo 46 (1) del GDPR. L'azienda non è stata in grado di garantire in modo sufficiente che i dati personali degli utenti del SEE godessero di un livello di protezione "sostanzialmente equivalente" a quello del GDPR quando vi accedono i dipendenti cinesi.
Particolarmente critica: la valutazione della legge cinese da parte di TikTok ha già rivelato deviazioni significative dagli standard europei di protezione dei dati, ad esempio attraverso la legge cinese antiterrorismo, la legge contro lo spionaggio e la legge sull'intelligence nazionale.
Sebbene TikTok abbia utilizzato le cosiddette Clausole contrattuali standard (SCC), il DPC ha anche riscontrato l'assenza di garanzie aggiuntive efficaci per prevenire o controllare l'accesso ai dati da parte delle autorità statali cinesi. Le misure tecniche, organizzative e legali aggiuntive richieste dalla sentenza "Schrems II" della Corte di giustizia europea non erano state sufficientemente documentate o attuate. Ciò riguardava, tra l'altro, la crittografia dei dati sensibili durante l'accesso remoto e la mancanza di protocolli di accesso trasparenti.
Questa carenza ha portato a un reclamo sull'intera prassi di trasmissione di TikTok. Il DPC ha sottolineato che la valutazione di TikTok della stessa legge cinese non consentiva una "equivalenza essenziale" con il GDPR e quindi mancava la base per la selezione e l'efficacia delle misure di sicurezza.
Nel corso del procedimento, TikTok ha fatto riferimento al programma infrastrutturale in corso "Project Clover", che prevede l'archiviazione locale dei dati all'interno dell'UE (in particolare in Irlanda e Norvegia) e meccanismi di controllo indipendenti. Il DPC ha riconosciuto questo progetto come un passo positivo. Tuttavia, ha subordinato il proseguimento dei trasferimenti di dati verso la Cina alla piena attuazione di meccanismi di protezione conformi al GDPR.
Mancanza di trasparenza nei confronti degli utenti
Un elemento centrale della decisione del DPC riguarda la mancata fornitura da parte di TikTok agli utenti dello Spazio economico europeo di informazioni chiare e complete sul trattamento transfrontaliero dei loro dati personali. Ai sensi dell'articolo 13, paragrafo 1, lettera f del GDPR, le aziende sono tenute a informare in modo trasparente gli interessati su se e verso quali Paesi terzi i loro dati saranno trasferiti e sulle modalità di tale trasferimento.
La politica di protezione dei dati di TikTok dell'ottobre 2021 non soddisfaceva questi requisiti sotto alcuni aspetti fondamentali: gli specifici Paesi terzi coinvolti - in particolare la Cina - non erano esplicitamente nominati, né venivano rese note le circostanze esatte dei trasferimenti di dati. In particolare, non era chiaro se i trasferimenti riguardassero anche l'accesso remoto ai dati da parte di dipendenti cinesi che accedevano a server a Singapore e negli Stati Uniti. Questa mancanza di trasparenza ha impedito agli utenti di esercitare i loro diritti di protezione dei dati con piena cognizione di causa.
Nel corso del procedimento, TikTok ha rivisto la propria informativa sulla privacy e ha presentato al DPC una nuova versione datata dicembre 2022. Secondo l'autorità, questa nuova versione soddisfaceva i requisiti dell'art. 13 par. 1 lett. f GDPR, in quanto non solo citava i paesi terzi per nome, ma spiegava anche il tipo di accesso e le sedi dei server in modo più dettagliato. La violazione riscontrata dal DPC riguarda quindi il periodo compreso tra il 29 luglio 2020 e il 1° dicembre 2022, durante il quale TikTok non ha rispettato a sufficienza i suoi obblighi di trasparenza.
Suggerimento di lettura: Violazioni DMA - L'UE impone multe per 700 milioni di euro ad Apple e Meta
Informazioni errate durante la procedura
Un aspetto particolarmente grave della decisione riguarda l'inadeguata politica di informazione di TikTok nei confronti del DPC durante il procedimento in corso. Durante l'indagine, TikTok aveva ripetutamente assicurato al DPC che nessun dato personale di utenti del SEE sarebbe stato conservato su server in Cina. Queste assicurazioni hanno costituito una base essenziale per la valutazione dei flussi di dati da parte del DPC.
Tuttavia, nell'aprile 2025, TikTok ha informato il DPC di aver scoperto già nel febbraio 2025 che una quantità limitata di dati degli utenti del SEE era stata memorizzata su server in Cina, contrariamente alle precedenti assicurazioni. TikTok ha spiegato che ciò era dovuto a un errore interno e a un malinteso nella classificazione interna dei dati. I dati interessati sono stati successivamente cancellati.
Il DPC ha preso molto sul serio questa successiva divulgazione. La decisione sottolinea che la fornitura di informazioni errate o fuorvianti nel contesto delle procedure di vigilanza costituisce un serio ostacolo a un controllo efficace. Tali informazioni errate possono non solo minare la fiducia dell'autorità, ma anche distorcere in modo significativo la valutazione del rischio di protezione dei dati.
L'autorità ha quindi annunciato una procedura separata per esaminare se il comportamento di TikTok in merito alla notifica tardiva della conservazione dei dati giustifichi ulteriori misure di vigilanza. Qualora venisse accertato un comportamento intenzionale o gravemente negligente, ciò potrebbe portare a ulteriori sanzioni.
Multa milionaria contro TikTok
La DPC ha imposto una multa di 530 milioni di euro:
- 485 milioni di euro per violazione dell'art. 46 par. 1 GDPR (trasferimento illecito di dati),
- 45 milioni di euro per violazione dell'art. 13 par. 1 lett. f GDPR (mancanza di trasparenza).
TikTok è stata inoltre obbligata a rendere tutte le operazioni di trattamento conformi al GDPR entro sei mesi dalla scadenza del periodo di reclamo. In caso contrario, avrebbe potuto sospendere tutti i trasferimenti di dati verso la Cina.
Valutazione del procedimento contro TikTok
La decisione del DPC ha un significato di vasta portata che va oltre TikTok. Sottolinea gli standard rigorosi per i trasferimenti internazionali di dati dall'UE, soprattutto verso i Paesi che non hanno una decisione di adeguatezza. Le aziende sono obbligate a effettuare valutazioni legali approfondite e ad adottare misure tecniche e organizzative per garantire un livello equivalente di protezione dei dati.
Inoltre, viene sottolineata ancora una volta l'importanza di un'informazione trasparente agli utenti. Le linee guida sulla protezione dei dati devono essere chiare, complete e comprensibili, soprattutto in caso di trattamento transfrontaliero.
Infine, ma non meno importante, la decisione dimostra che una comunicazione incompleta o fuorviante alle autorità di vigilanza può avere conseguenze significative. Il DPC sta già valutando ulteriori azioni normative nei confronti di TikTok per la ritardata divulgazione dell'archiviazione dei dati SEE in Cina.
Fonte: Avviso della Commissione irlandese per la protezione dei dati sulla multa inflitta a TikTok
🌍 Volete effettuare una Valutazione d'Impatto del Trasferimento (TIA) e valutare il livello di protezione dei dati nel paese ricevente e adottare le misure necessarie? Allora contattateci! Possiamo offrirvi una soluzione personalizzata.
Italian 
German 
English 
French