Multa di 530 milioni euro a TikTok per l'invio di dati in Cina

La Commissione irlandese per la protezione dei dati (Dpc) annuncia una multa di 530 milioni di euro contro TikTok, accusata di aver inviato illegalmente i dati degli utenti europei in Cina. L'impresa si dice in disaccordo: afferma che il provvedimento non tiene conto di misure di sicurezza già in vigore e ha annunciato un ricorso integrale.

L'importo della sanzione è superiore alle indiscrezioni di stampa di inizio mese su una sanzione di 500 milioni, terza più alta di sempre dopo quelle ad Amazon (746 milioni) e Meta-Facebook (1,2 miliardi).

Ai sensi del General Data Protection Regulation (Gdpr), il regolamento dell'Unione europea che disciplina la protezione dei dati personali, le agenzie nazionali del paese dove le aziende straniere hanno base Ue hanno la guida nel controllo delle regole.

«Il Gdpr richiede che l'elevato livello di protezione fornito all'interno dell'Unione Europea continui anche quando i dati personali vengono trasferiti ad altri paesi», afferma il commissario del Dpc Graham Doyle. «I trasferimenti di dati personali di TikTok verso la Cina hanno violato il Gdpr perché TikTok non è riuscita a verificare, garantire e dimostrare che i dati personali degli utenti dello Spazio economico europeo (See), a cui il personale in Cina accedeva da remoto, ricevessero un livello di protezione sostanzialmente equivalente a quello garantito all'interno dell'Ue. A causa della mancata esecuzione delle necessarie valutazioni da parte di TikTok, TikTok non ha affrontato il potenziale accesso da parte delle autorità cinesi ai dati personali See ai sensi delle leggi cinesi antiterrorismo, controspionaggio e di altre leggi, identificate da TikTok come sostanzialmente divergenti dagli standard dell'Ue».

L'autorità irlandese segnala anche che TikTok ha fornito durante l'inchiesta «informazioni errate», sostenendo di «non archiviare i dati degli utenti See su server situati in Cina». Nell'aprile 2025 - afferma la nota dell'authority -, TikTok ha informato il Dpc di un problema scoperto a febbraio 2025, in base al quale una quantità limitata di dati degli utenti See era stata effettivamente archiviata su server in Cina, contrariamente alle prove fornite da TikTok all'inchiesta.

«Il Dpc sta prendendo molto sul serio questi recenti sviluppi riguardanti l'archiviazione dei dati degli utenti See su server in Cina. Sebbene TikTok abbia informato il DPC che i dati sono stati cancellati, stiamo valutando quali ulteriori azioni normative potrebbero essere necessarie, in consultazione con le nostre omologhe autorità di protezione dei dati Ue», aggiunge Doyle.

TikTok contesta la multa e sostiene che è riferita a prima della «implementazione nel 2023 del Progetto Clover». Si tratta, ricorda, di una iniziativa «per la sicurezza dei dati del valore di 12 miliardi di euro. La stessa Dpc ha riportato nel proprio rapporto quanto TikTok ha sempre dichiarato: che non ha mai ricevuto richieste di dati degli utenti europei da parte delle autorità cinesi e non ha mai fornito loro tali dati».

Dpc, afferma, non ha tenuto conto delle misure di sicurezza attuali. «Il Progetto Clover comprende alcune delle più rigorose protezioni dei dati di tutto il settore, tra le quali un controllo indipendente senza precedenti da parte di Ncc», segnala anche TikTok, l'introduzione di gateway di sicurezza, e l'uso di tecnologie di crittografia e privacy differenziale. Secondo TikTok la Dpc ha «omesso in modo sostanziale di considerare le ampie misure di tutela implementate nell'ambito del Progetto Clover, siamo delusi per essere stati gli unici destinatari del provvedimento nonostante operiamo rispettando lo stesso meccanismo legale utilizzato da migliaia di altre aziende che offrono servizi in Europa. Come molte imprese che operano a livello globale, TikTok ha utilizzato il quadro giuridico dell'UE, in particolare le Clausole Contrattuali Tipo (SCC), per concedere un accesso rigorosamente controllato e limitato ai dipendenti situati in paesi privi di accordi di adeguatezza».

«Questo approccio è pienamente conforme alle regole stabilite dall'Unione Europea, e siamo sempre stati trasparenti riguardo alle nostre pratiche. A differenza di alcune altre aziende, spieghiamo chiaramente questi meccanismi nella nostra informativa sulla privacy e nelle comunicazioni verso la nostra community europea, che oggi conta oltre 175 milioni di persone».