TikTok Multa Record: 530 Milioni di Euro per Violazione GDPR e Dati in Cina

Una decisione storica arriva dall'Irlanda, sede europea di molteplici giganti tecnologici. TikTok, la popolarissima piattaforma di video brevi di proprietà della compagnia cinese ByteDance, è stata sanzionata con una multa salatissima di 530 milioni di euro, pari a circa 600 milioni di dollari americani, da parte della Data Protection Commission (DPC) irlandese. La ragione principale di questa sanzione epocale risiede nella grave violazione delle normative sul trattamento dei dati personali previste dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea, in particolare per quanto concerne il trasferimento di dati degli utenti europei verso server situati in Cina.

L'indagine condotta dalla DPC ha messo in luce come TikTok non fosse in grado di garantire che i dati personali degli utenti residenti nell'Unione Europea, una volta trasferiti o accessibili dalla Cina, ricevessero un livello di protezione equivalente a quello richiesto dal rigoroso quadro normativo europeo. Le preoccupazioni maggiori sollevate dall'autorità irlandese riguardano specificamente la legislazione cinese, in particolare le leggi anti-terrorismo e di controspionaggio. Queste normative, infatti, sono state giudicate potenzialmente in grado di consentire alle autorità cinesi di accedere ai dati degli utenti europei in modo non conforme ai principi e alle garanzie del GDPR.

La multa inflitta a TikTok è stata ripartita in due componenti distinte ma correlate. La parte più consistente, pari a 485 milioni di euro, è stata comminata direttamente per l'infrazione relativa all'invio (o all'accessibilità) dei dati degli utenti europei verso la Repubblica Popolare Cinese senza le necessarie salvaguardie. A questa si aggiungono ulteriori 45 milioni di euro di sanzione per la politica sulla privacy della piattaforma, giudicata inadeguata nel fornire agli utenti una spiegazione chiara e trasparente riguardo a tali trasferimenti di dati e ai rischi associati.

È importante sottolineare che, secondo quanto emerso nel corso del procedimento, TikTok ha apportato aggiornamenti alla sua politica sulla privacy nel 2022. Questa nuova versione è stata successivamente ritenuta "conforme" dalla corte. Tuttavia, la modifica successiva non ha esentato l'azienda dalle responsabilità relative alle pratiche precedenti la messa a norma. Inoltre, TikTok ha annunciato piani ambiziosi per investire ben 12 miliardi di euro (circa 13,6 miliardi di dollari) nella costruzione di nuovi data center all'interno del territorio dell'Unione Europea, nel tentativo di mitigare le preoccupazioni sul trasferimento dei dati. Nonostante l'entità di questo impegno finanziario e strategico, tale iniziativa non è stata ritenuta sufficiente dalla DPC e dalla corte per evitare la sanzione, poiché le violazioni contestate si riferivano a pratiche passate.

Durante tutto il processo investigativo, TikTok ha mantenuto la posizione che i dati degli utenti europei fossero solamente accessibili da remoto dalla Cina, e non effettivamente archiviati sui server cinesi in via primaria. Sebbene questa distinzione possa sembrare rilevante dal punto di vista tecnico, per le autorità di protezione dati ciò che conta è la possibilità effettiva di accesso e il livello di protezione garantito nel paese di destinazione o accessibilità dei dati. La mancanza di un livello di protezione "essenzialmente equivalente" a quello europeo, come richiesto dal GDPR per i trasferimenti internazionali, è stata la chiave di volta della decisione.

La sentenza irlandese impone a TikTok non solo il pagamento della multa, ma anche un periodo di sei mesi per adeguare completamente i propri processi di trattamento e trasferimento dei dati alle stringenti normative del GDPR. Questo termine decorre dalla notifica della decisione, a meno di possibili ricorsi legali da parte dell'azienda. La possibilità di un ricorso è concreta, vista l'entità della sanzione e l'impatto sulla reputazione e sulle operazioni della piattaforma in Europa.

Questa multa rappresenta un ulteriore segnale forte inviato dalle autorità di protezione dati europee nei confronti delle grandi piattaforme tecnologiche globali riguardo al rispetto del GDPR. Sottolinea l'importanza cruciale della trasparenza verso gli utenti e della necessità di garantire che i dati personali dei cittadini europei siano protetti con standard elevati, indipendentemente da dove vengano elaborati o da dove siano accessibili. La decisione avrà sicuramente ripercussioni non solo per TikTok, ma anche per altre aziende che gestiscono ingenti quantità di dati di utenti europei e che potrebbero avere flussi di dati o accessi remoti da paesi terzi con legislazioni sulla privacy considerate non equivalenti a quella dell'UE. È un monito chiaro che la conformità al GDPR non è negoziabile e che le promesse di investimenti futuri non cancellano le responsabilità per le violazioni passate.