TikTok multato di €530 milioni per trasferimenti di dati illeciti in Cina

La Commissione irlandese per la protezione dei dati (DPC) ha emesso una storica multa di €530 milioni (circa $600 milioni) contro TikTok Technology Limited (TTL) a seguito di un’ampia indagine sulla gestione dei dati personali degli utenti della piattaforma TikTok nell’EEA verso la Repubblica Popolare Cinese (“Cina”).

La pena inflitta, una delle più grandi mai imposte ai sensi del Regolamento generale sulla protezione dei dati (GDPR), segue un’indagine di quattro anni da parte della Commissione per la protezione dei dati irlandese (DPC), l’Autorità di vigilanza principale dell’UE per TikTok a causa della sua sede europea a Dublino.

Indice dei contenuti

• Scadenza per la conformità
• La società farà appello

Scadenza per la conformità

La decisione impone anche una scadenza di sei mesi per l’app popolare di condivisione di video brevi per portare il suo trattamento in piena conformità con la legge dell’UE. Se la società non rispetta questo termine, potrebbe affrontare una sospensione di tutti i trasferimenti di dati degli utenti dell’EEA verso la Cina.

“TikTok ha violato il GDPR riguardo ai suoi trasferimenti di dati degli utenti dell’EEA [Spazio Economico Europeo] in Cina e i suoi requisiti di trasparenza. La decisione include multe amministrative per un totale di €530 milioni e un’ordinanza che richiede a TikTok di portare il suo trattamento in conformità entro 6 mesi,” ha dichiarato la DPC in un comunicato venerdì.

Secondo l’indagine della DPC, TikTok, di proprietà del gigante tecnologico cinese ByteDance, non ha protetto adeguatamente i dati personali degli utenti dell’UE accessibili dai dipendenti in Cina come richiesto all’interno dell’UE.

In particolare, TikTok ha violato disposizioni chiave del regolamento, in particolare l’Articolo 46(1) del GDPR, non validando adeguatamente che le leggi e le pratiche cinesi offrivano una protezione “essenzialmente equivalente” all’interno dell’UE. Ha anche violato l’Articolo 13(1)(f) non informando correttamente gli utenti sui trasferimenti di dati e sulla natura del trattamento coinvolto.

“I trasferimenti di dati personali di TikTok in Cina hanno violato il GDPR perché TikTok non è riuscita a verificare, garantire e dimostrare che i dati personali degli utenti dell’EEA, accessibili a distanza dal personale in Cina, erano protetti a un livello essenzialmente equivalente a quello garantito all’interno dell’UE,” ha dichiarato Graham Doyle, Vice Commissario, sottolineando la gravità delle scoperte.

TikTok aveva identificato le leggi cinesi—compresa la Legge Antiterrorismo, la Legge contro la Spionaggio, la Legge sulla Sicurezza Informatica e la Legge sull’Intelligence Nazionale—come materialmente divergenti dagli standard di protezione dei dati dell’UE. Nonostante ciò, la DPC ha affermato che la società non ha implementato misure supplementari efficaci né condotto un’analisi legale completa, come richiesto dal GDPR. Tale legislazione potrebbe consentire l’accesso governativo ai dati personali, minando così le protezioni della privacy dell’UE.

La DPC ha aggiunto che TikTok ha affermato durante l’indagine di non memorizzare i dati degli utenti dell’EEA su server situati in Cina. Tuttavia, nell’aprile 2025, TikTok ha rivelato di aver scoperto a febbraio 2025 che alcuni dati dell’EEA erano stati, in effetti, memorizzati su server cinesi, contraddicendo le precedenti affermazioni della società.

“La DPC sta prendendo molto sul serio questi recenti sviluppi riguardanti la memorizzazione dei dati degli utenti dell’EEA su server in Cina. Sebbene TikTok abbia informato la DPC che i dati sono stati ora eliminati, stiamo considerando quali ulteriori azioni regolatorie potrebbero essere necessarie, in consultazione con le nostre autorità di protezione dei dati dell’UE,” ha aggiunto Doyle.

Christine Grahn, Responsabile delle Politiche Pubbliche e delle Relazioni Governative per l’Europa di TikTok, ha risposto affermando che la società non è d’accordo con la decisione della DPC e che non ha mai fornito dati degli utenti europei alle autorità cinesi e ha utilizzato meccanismi legali standard per i trasferimenti di dati.

La società farà appello

La società prevede anche di fare appello contro la decisione, sostenendo che non tiene adeguatamente conto dei significativi miglioramenti della sicurezza dei dati introdotti attraverso il nuovo “Progetto Clover” di TikTok, un’iniziativa di governance dei dati volta a migliorare la conformità.

Questa non è la prima volta che TikTok è sotto scrutinio per la privacy dei dati. Nel 2023, la DPC ha multato TikTok di €345 milioni per non aver protetto la privacy dei bambini, inclusa l’impostazione degli account degli utenti di età compresa tra 13 e 17 anni su pubblico per impostazione predefinita, e per non aver fornito informazioni sufficienti sulla trasparenza riguardo alle impostazioni sulla privacy agli utenti minorenni, ai sensi delle norme GDPR dell’UE.