TikTok, maxi-multa da 530 milioni di euro dall'UE: dati degli utenti accessibili in Cina

Il Garante per la protezione dei dati personali dell'Irlanda ha inflitto una multa di 530 milioni di euro a TikTok, a seguito di un'indagine quadriennale che ha sollevato gravi preoccupazioni sulla sicurezza dei dati personali degli utenti europei. L'autorità ha inoltre ordinato alla piattaforma di sospendere i trasferimenti di dati verso la Cina entro sei mesi, salvo che non venga dimostrata la piena conformità alle normative dell'Unione Europea.

L'indagine condotta dalla Data Protection Commission (DPC), che agisce come autorità capofila nell'ambito del GDPR per molte grandi aziende tech con sede in Irlanda, ha rilevato che TikTok – controllata dalla cinese ByteDance – non è stata in grado di dimostrare che i dati degli utenti europei siano stati adeguatamente protetti. In particolare, preoccupano gli accessi remoti da parte di personale in Cina, che secondo la DPC non sono stati accompagnati da garanzie sufficienti, soprattutto alla luce delle leggi cinesi sul controspionaggio, che presentano "divergenze sostanziali" rispetto agli standard UE.

Nel comunicato diffuso dalla DPC, si precisa che la piattaforma non ha adeguatamente affrontato i rischi connessi a un potenziale accesso da parte delle autorità cinesi, un elemento considerato centrale nell'analisi di conformità con il Regolamento Generale sulla Protezione dei Dati. L'eventuale mancata conformità porterà, entro sei mesi, alla sospensione obbligatoria dei trasferimenti internazionali dei dati europei verso la Cina.

L'autorità ha ricordato che le leggi cinesi in materia di sicurezza, antiterrorismo, controspionaggio e cybersicurezza divergono in modo significativo dagli standard normativi dell’UE e che, secondo la stessa valutazione fornita da TikTok durante l’indagine, non è possibile ritenere la Cina un Paese con un regime di tutela "essenzialmente equivalente". Per questo motivo, il Garante ha stabilito che TikTok ha violato l’articolo 46(1) del GDPR, applicabile in assenza di una decisione di adeguatezza della Commissione europea. La multa per questa specifica violazione ammonta a 485 milioni di euro.

Parallelamente, il DPC ha sanzionato TikTok per 45 milioni di euro per violazione dell’articolo 13(1)(f) del GDPR, che obbliga i titolari del trattamento a fornire informazioni chiare sulle modalità e sulle destinazioni dei trasferimenti internazionali. L’informativa sulla privacy in vigore fino a dicembre 2022 non indicava i Paesi terzi coinvolti – tra cui la Cina – né specificava che il trattamento comprendesse accessi remoti a dati archiviati in Singapore e negli Stati Uniti da parte del personale basato in Cina. Solo con l’aggiornamento dell’informativa alla fine del 2022, TikTok ha reso espliciti questi aspetti. La violazione della trasparenza, quindi, si riferisce al periodo compreso tra il 29 luglio 2020 e il 1° dicembre 2022.

TikTok ha annunciato l'intenzione di impugnare la decisione e ha affermato di aver agito sempre nel rispetto del quadro giuridico europeo, adottando le clausole contrattuali standard previste dall'UE per disciplinare l'accesso remoto ai dati. La piattaforma ha inoltre dichiarato che la decisione non tiene pienamente conto delle misure di sicurezza introdotte a partire dal 2023, tra cui il monitoraggio indipendente degli accessi e l'utilizzo di centri dati dedicati in Europa e negli Stati Uniti per l'archiviazione delle informazioni degli utenti.

La società ha ribadito che, pur consentendo un accesso strettamente controllato da parte di alcuni dipendenti in Cina, non ha mai ricevuto richieste ufficiali da parte delle autorità cinesi, né ha mai fornito loro dati di utenti dell'Unione Europea.

CLICCA QUI PER CONTINUARE A LEGGERE