L’Autorità Garante per la Protezione dei Dati irlandese (DPC) ha inflitto una sanzione pecuniaria di considerevole entità, ammontante a 530 milioni di euro, al colosso dei social media TikTok.
Questa decisione, resa pubblica in data odierna, scaturisce da un’approfondita indagine volta a scrutinare la piena aderenza di TikTok alle normative stabilite dal Regolamento Generale sulla Protezione dei Dati (GDPR).
Il fulcro dell’investigazione si è concentrato primariamente sulla liceità e sulla sicurezza del trasferimento dei dati degli utenti residenti nello Spazio Economico Europeo (SEE) verso infrastrutture localizzate in Cina.
Un aspetto cruciale dell’inchiesta ha riguardato altresì la chiarezza e la completezza delle informazioni fornite dalla piattaforma ai propri utenti in merito a tali operazioni di trattamento dei dati personali.
TikTok Sotto la Lente del GDPR: Le Violazioni Accertate
L’esito dell’accertamento condotto dalla DPC non lascia spazio a interpretazioni equivoche: TikTok ha contravvenuto alle disposizioni del GDPR su molteplici fronti. In primo luogo, la società non è stata in grado di fornire prove convincenti che attestassero un livello di protezione dei dati trasferiti in territorio cinese equivalente agli standard di sicurezza sanciti dalla normativa europea.
In secondo luogo, è stata riscontrata una carenza significativa nella comunicazione fornita agli utenti in relazione alle modalità e alle finalità del trattamento dei loro dati, con particolare riferimento al periodo compreso tra luglio 2020 e dicembre 2022.
Mancanza di Protezione Adeguata e Trasparenza Insufficiente
Le conclusioni dell’autorità irlandese evidenziano come TikTok non abbia implementato misure tecniche e organizzative adeguate per assicurare che i dati degli utenti europei, potenzialmente accessibili da dipendenti situati in Cina attraverso connessioni remote, fossero efficacemente protetti da possibili ingerenze da parte delle autorità governative cinesi.
In questo contesto, le leggi cinesi in materia di contrasto al terrorismo, spionaggio e sicurezza cibernetica sono state giudicate non pienamente compatibili con i rigorosi requisiti di protezione dei dati stabiliti dall’Unione Europea.
La Maxisanzione: Dettagli e Termini Imposti a TikTok
La sanzione complessiva di 530 milioni di euro si articola in due componenti distinte: 45 milioni di euro sono stati comminati per le lacune riscontrate a livello informativo nei confronti degli utenti, mentre la parte più consistente della multa, pari a 485 milioni di euro, è stata inflitta a causa delle irregolarità accertate nei trasferimenti di dati a livello internazionale.
Parallelamente alla sanzione economica, l’autorità garante ha imposto a TikTok un termine perentorio di sei mesi per allinearsi pienamente alle normative europee in materia di protezione dei dati. Qualora la piattaforma non dovesse dimostrare una conformità completa entro tale termine, la DPC si riserva il diritto di adottare misure più drastiche, inclusa la sospensione totale dei flussi di dati verso la Cina.
Retroscena e Contradizioni: La Gestione dei Dati Europei
Nel corso dell’indagine, TikTok aveva inizialmente dichiarato di non procedere all’archiviazione di dati relativi agli utenti europei su server ubicati in Cina.
Tuttavia, un significativo colpo di scena si è verificato nell’aprile del 2025, quando la società ha ammesso di aver scoperto, circa due mesi prima, che una quantità limitata di dati era stata effettivamente memorizzata su server cinesi. Questa rivelazione ha contraddetto le precedenti dichiarazioni fornite all’autorità inquirente.
Sebbene TikTok abbia comunicato che tali dati sono stati successivamente eliminati, la DPC ha annunciato l’avvio di ulteriori valutazioni per possibili azioni sanzionatorie aggiuntive.
Project Clover e le Misure di Conformità Insufficienti
TikTok ha cercato di porre rimedio alle criticità sollevate implementando alcune modifiche operative, tra cui quelle connesse al cosiddetto “Project Clover”, un’iniziativa volta a rafforzare i meccanismi di protezione dei dati per gli utenti europei.
Ciononostante, per l’autorità di controllo europea, tali modifiche non sono state considerate sufficienti a scongiurare l’applicazione della significativa sanzione pecuniaria.
Questa multa da 530 milioni di euro rappresenta la terza sanzione più elevata mai comminata per violazioni del GDPR, preceduta unicamente dalle sanzioni di 1,2 miliardi di euro inflitta a Meta e di 746 milioni di euro ad Amazon.
È importante sottolineare che TikTok non è nuova all’attenzione delle autorità di regolamentazione irlandesi: nel settembre del 2023, la piattaforma era già stata sanzionata con una multa di 345 milioni di euro per presunte irregolarità nella gestione dei dati personali degli utenti minorenni.
