Una nuova maxi-sanzione per TikTok, dopo quella del 2023: l’Autorità Garante per la protezione dei dati irlandese (Data Protection Commission, DPC) ha reso noto di aver comminato una multa esemplare di 530 milioni di euro alla piattaforma social cinese per aver violato la privacy.
In particolare, il Garante privacy irlandese (che ha agito nel suo ruolo di autorità capofila) ha accusato TikTok di non aver informato correttamente gli utenti (art. 13 lett. F GDPR: 45 milioni di euro) e per aver trasferito illecitamente i dati degli utenti europei verso la Cina (art. 46 GDPR: 485 milioni di euro).
Si tratta di una delle sanzioni più pesanti e inflitte finora in materia di data protection, dopo quelle di Amazon (2021) e Meta (2023).
Il GDPR o meglio la conformità normativa allo stesso, colpisce ancora. Ma vediamo il senso di questa sanzione.
Indice degli argomenti
Liceità e trasparenza: le violazioni GDPR di TikTok
L’indagine nei confronti di TikTok è stata avviata dalla DPC, quale Autorità Garante capofila per TikTok, al fine di “esaminare la liceità dei trasferimenti da parte di TikTok di dati personali degli utenti della piattaforma TikTok nello SEE alla Repubblica Popolare Cinese”, come si legge da comunicato.
La DPC ha voluto anche verificare – sempre attraverso detta indagine istruttoria – se le informazioni fornite agli utenti circa il trasferimento dei loro dati rispettassero i requisiti di trasparenza previsti dal GDPR.
Quel che si sa sulla decisione: la maxi-sanzione a TikTok
Da comunicato ufficiale sappiamo, ad oggi e in attesa di conoscere le motivazioni del Garante privacy irlandese, che “la decisione presa dai Commissari per la protezione dei dati, il dr. Des Hogan e il sig. Dale Sunderland, e notificata a TikTok, rileva che TikTok ha violato il GDPR in merito ai trasferimenti di dati degli utenti SEE alla Cina e ai requisiti di trasparenza”.
Sul punto, la DPC ha esaminato l’informativa sulla privacy di TikTok, riscontrando la inadeguatezza sotto almeno due aspetti ai sensi e per gli effetti di cui all’art. 13 GDPR:
- imprecisa, nel senso che non specificava affatto i Paesi terzi, inclusa la Cina, verso i quali venissero trasferiti i dati personali, nè spiegava la “natura delle operazioni di trattamento” che costituissero il trasferimento senza prevedere affatto il dettaglio sull’accesso da remoto ai dati personali archiviati a Singapore e negli Stati Uniti da parte di personale con sede in Cina;
- non più aggiornata, una risalente al 2021 e un’altra nel 2022.
Misure correttive e altri provvedimenti
Oltre alla maximulta la DPC rende noto di aver imposto al noto colosso dei social cinese anche misure correttive da attuare nei sei mesi a venire da oggi, e infine ha sospeso il trattamento dei dati cioè i trasferimenti di TikTok versus la Cina così come fino a ieri facevano.
Per poter essere nuovamente effettuato, TikTok dovrà adeguarsi al GDPR per questa parte di (attività di) trattamento, e lo dovrà fare tassativamente in questi 6 mesi a venire, pena ulteriore blocco.
Nel merito per quanto ad oggi possiamo sapere, come si legge da comunicato “Nell’esercizio dei poteri correttivi, la DPC ha anche considerato le modifiche in corso apportate da TikTok nell’ambito del Progetto Clover“.
Ciononostante, la DPC ha ritenuto comunque opportuno, quanto mai necessario e anche proporzionato ordinare la sospensione dei Trasferimenti di Dati fino a che TikTok non conformi tali operazioni di trattamento a quanto il GDPR impone in caso di trasferimento dati all’estero, come diremo poco più oltre.
La voce delle parti
Come in ogni indagine, quando si tratta di temi così calienti, ecco che prendono voce entrambe le parti.
Le contestazioni dell’Autorità irlandese a TikTok
La DPC per il tramite del vicecommissario Graham Doyle rende noto che: “…I trasferimenti di dati personali da parte di TikTok alla Cina hanno violato il GDPR perché TikTok non è riuscita a verificare, garantire e dimostrare che i dati personali degli utenti SEE, a cui il personale in Cina accedeva da remoto, ricevessero un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE”.
Questo lo impone il GDPR per il solo fatto che si è cittadini europei e quindi che si è nello Spazio Economico Europeo (SEE) in caso di trattamento dati personali chiunque li tratti, anche un colosso cinese, evidentemente fuori da detto spazio e quindi extra UE, deve essere GDPR compliant; e tanto basta.
La replica di TikTok, poi smentita dalla DPC
Non è mancata la replica di TikTok.
Secondo il social cinese, la DPC avrebbe “omesso in modo sostanziale di considerare le ampie misure di tutela implementate nell’ambito del Progetto Clover” lamentando “delusione”.
Lo stesso colosso dei social cinese avrebbe anche dichiarato nel corso dell’indagine istruttoria di “non aver archiviato i dati degli utenti SEE su server situati in Cina”.
Peccato che, invece, dalle indagini effettuate dalla DPC, non più tardi dello scorso febbraio 2025, siano risultate evidenze opposte, in base alle quali invece “una parte limitata dei dati degli utenti SEE era stata effettivamente archiviata su server in Cina”.
E così la smentita, dai risvolti emersi a seguito delle errate informazioni date a richiesta dell’Autorità DPC.
I prossimi passi
La DPC fa sapere che pubblicherà “a tempo debito la decisione completa e ulteriori informazioni correlate”. Intanto rende noto di “aver presentato una bozza di decisione al meccanismo di cooperazione GDPR il 21 febbraio 2025, come previsto dall’articolo 60 del GDPR”.
Da questa prima fase, conclude dicendo che “non sono state sollevate obiezioni” a detta prima bozza. Non solo, il vicecommissario Doyle sollecitato sul punto ha riferito che la “DPC sta prendendo molto sul serio questi recenti sviluppi riguardanti l’archiviazione dei dati degli utenti SEE su server in Cina”.
Al riguardo, parrebbe che TikTok abbia già informato l’Autorità in parole di aver provveduto a cancellare i dati raccolti illecitamente.
Non solo, sembrerebbe anche che il vertice del colosso abbia annunciato di impugnare questo ultimo provvedimento sulla base del citato “Progetto Clover”, vista l’ingente investimento di ben 12 miliardi di euro su tale iniziativa, che a loro dire includerebbe “alcune delle protezioni dei dati più rigorose al mondo”.
Insomma, non resta che attendere per vedere come andrà a finire questa vicenda.
