A seguito di un’indagine sui trasferimenti illeciti di dati degli utenti europei alla Cina la Commissione irlandese per la protezione dei dati (Dpc) ha multato TikTok per 530 milioni di euro e ha ordinato misure correttive al social cinese.
Il Dpc ha inoltre sanzionato la piattaforma per non essere stata trasparente con gli utenti in merito alla destinazione dei loro dati personali e ha intimato all’azienda di conformarsi alle norme entro sei mesi. L’ente di controllo nazionale irlandese funge da principale ente di controllo della privacy dei dati di TikTok nell’Ue. Secondo la decisione, il social media cinese ha violato il Regolamento europeo generale sulla protezione dei dati (Gdpr) in relazione ai trasferimenti di dati degli utenti europei verso la Cina e ai relativi obblighi di trasparenza.
La sanzione
Sono previste sanzioni amministrative per un totale di 530 milioni di euro e un’ingiunzione che impone a TikTok di adeguare il proprio trattamento dei dati entro sei mesi. La decisione include anche un’ingiunzione che sospende i trasferimenti del social verso la Cina qualora il trattamento dei dati non venga adeguato entro tale termine.
«Il Gdpr richiede che l’elevato livello di protezione fornito all’interno dell’Unione Europea continui anche quando i dati personali vengono trasferiti ad altri Paesi. I trasferimenti di dati personali di TikTok verso la Cina hanno violato il Gdpr perché la piattaforma non è riuscita a verificare, garantire e dimostrare che i dati personali degli utenti europei, a cui il personale in Cina accedeva da remoto, ricevessero un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Ue».
«A causa della mancata esecuzione delle necessarie valutazioni, TikTok non ha affrontato il potenziale accesso da parte delle autorità cinesi ai dati personali europei ai sensi delle leggi cinesi antiterrorismo, controspionaggio e di altre leggi, identificate dall’azienda come sostanzialmente divergenti dagli standard dell’Ue», spiega il vice commissario del Dpc, Graham Doyle.
TikTok annuncia ricorso
TikTok contesta la decisione e fa sapere di voler presentare ricorso. In un post sul blog il social ribatte che la decisione si concentra su un «periodo selezionato», terminato a maggio 2023, prima dell’avvio di un progetto di localizzazione dei dati chiamato Project Clover, che prevedeva la costruzione di tre data center in Europa.
«I fatti dimostrano che Project Clover gode di alcune delle più rigorose protezioni dei dati del settore, inclusa una supervisione indipendente senza precedenti da parte di NCC Group, un’azienda leader in Europa nella sicurezza informatica», ha affermato Christine Grahn, responsabile europea delle politiche pubbliche e delle relazioni governative della società. «La decisione non tiene pienamente conto di queste considerevoli misure di sicurezza dei dati», ha rimarcato.
TikTok, la cui società madre ByteDance ha sede in Cina, è stata sottoposta a verifica in Europa per il modo in cui gestisce le informazioni personali dei suoi utenti, a seguito delle preoccupazioni dei funzionari occidentali che rappresentino un rischio per la sicurezza dei dati degli utenti inviati in Cina. Nel 2023, l’autorità di controllo ha multato l’azienda per centinaia di milioni di euro in un’indagine separata sulla privacy dei minori.
L’autorità di controllo irlandese ha affermato che la sua indagine ha rilevato che l’azienda non ha affrontato il «potenziale accesso da parte delle autorità cinesi» ai dati personali degli utenti europei ai sensi delle leggi cinesi in materia di antiterrorismo, controspionaggio, sicurezza informatica e intelligence nazionale, identificate come «sostanzialmente divergenti» dagli standard dell’Ue. Grahn dal canto suo ha affermato che la società «non ha mai ricevuto una richiesta di dati di utenti europei dalle autorità cinesi e non ha mai fornito loro dati di utenti europei».
Ai sensi delle norme dell’UE, note come Regolamento generale sulla protezione dei dati, i dati degli utenti europei possono essere trasferiti al di fuori dell’Unione solo se sono in atto garanzie per garantire lo stesso livello di protezione. L’indagine, avviata a settembre 2021, ha inoltre rilevato che l’informativa sulla privacy di TikTok all’epoca non menzionava i Paesi terzi, inclusa la Cina, in cui venivano trasferiti i dati degli utenti. L’autorità di controllo ha affermato che l’informativa, che è stata successivamente aggiornata, non spiegava che il trattamento dei dati comportava «l’accesso remoto ai dati personali archiviati a Singapore e negli Stati Uniti da parte di personale con sede in Cina».
