TikTok è stata colpita da una nuova, pesantissima sanzione da parte dell'Unione Europea: 530 milioni di euro (circa 600 milioni di dollari) per aver trasferito illegalmente i dati degli utenti europei su server in Cina. La decisione arriva da un tribunale irlandese, che ha riconosciuto una grave violazione del Regolamento generale sulla protezione dei dati (GDPR) da parte della piattaforma di proprietà di ByteDance.
I dettagli della violazione e la sentenza della corte
L'indagine è stata condotta dalla Data Protection Commission (DPC) irlandese, che ha evidenziato come TikTok non sia stata in grado di garantire che i dati trasferiti in Cina fossero protetti con lo stesso livello di sicurezza previsto dal diritto europeo. In particolare, la corte ha citato le leggi cinesi su antiterrorismo e controspionaggio, che avrebbero potuto permettere alle autorità cinesi di accedere ai dati degli utenti europei.
La multa è stata suddivisa in due parti: 485 milioni di euro per il trasferimento illecito dei dati in Cina, e 45 milioni per la scarsa trasparenza dell'informativa sulla privacy, che non spiegava in modo adeguato la gestione di questi trasferimenti. Solo nel 2022 TikTok ha aggiornato la sua privacy policy, che oggi viene ritenuta conforme, ma l'adeguamento è stato giudicato tardivo. La multa si mette in coda ad altre che sono state emesse di recente per Apple e Meta.
Le conseguenze per TikTok in Europa
TikTok ha ora sei mesi di tempo per portare le sue pratiche in regola con il GDPR, salvo presentazione di un eventuale ricorso. La società ha già promesso di investire 12 miliardi di euro in data center all'interno dell'UE, ma questo non è bastato a convincere i giudici, secondo cui le misure adottate finora non eliminano i rischi di accesso ai dati da parte del governo cinese.
La situazione è stata ulteriormente aggravata dal fatto che, pur dichiarando che i dati europei venivano solo "acceduti da remoto" dalla Cina, TikTok ha recentemente ammesso che una quantità "limitata" di dati era stata effettivamente archiviata su server cinesi. L'azienda afferma di aver cancellato quei dati, ma la DPC ha già anticipato che potrebbero esserci ulteriori azioni regolatorie in arrivo.
