TikTok finisce nel mirino delle autorità europee. La Commissione irlandese per la protezione dei dati (Dpc) ha inflitto una multa di 530 milioni di euro alla popolare piattaforma per violazioni relative al trasferimento di dati personali degli utenti europei verso la Cina. Il provvedimento, notificato il primo maggio, include anche un ordine che impone a TikTok di conformarsi alle normative entro sei mesi, pena la sospensione dei trasferimenti di dati verso il paese asiatico. La piattaforma ha comunicato che impugnerà il procedimento.
La Commissione irlandese per la protezione dei dati ha potuto indagare e multare TikTok perché la società ha il suo quartier generale europeo proprio in Irlanda, come molte altre aziende tech americane e internazionali. Secondo le regole europee sulla privacy (Gdpr), quando un’azienda opera in più paesi Ue, è l’autorità del paese dove ha la sede principale a fare da “capofila” nelle indagini, con le decisioni poi condivise con le altre autorità nazionali.
Le violazioni accertate e le richieste dell’autorità
Dall’indagine è emerso che TikTok avrebbe violato le regole europee sulla privacy in due modi: primo, non garantendo che i dati degli utenti europei trasferiti in Cina fossero protetti come lo sono in Europa; secondo, non essendo abbastanza trasparente con gli utenti su questi trasferimenti di dati. Al centro della controversia si trovano le cosiddette Clausole contrattuali tipo (Standard contractual clauses, Scc), uno strumento giuridico previsto dal Gdpr che costituisce una delle basi legali per il trasferimento di dati personali verso paesi terzi che non beneficiano di una decisione di adeguatezza della Commissione europea. L’Ue ha infatti riconosciuto come “adeguati” solo 15 paesi, tra cui non figura la Cina.
TikTok afferma di aver applicato correttamente le Scc, sostenendo di aver condotto valutazioni approfondite insieme a esperti esterni per garantire che le leggi cinesi non minacciassero la protezione dei dati. Tuttavia, secondo l’autorità irlandese, tali analisi non sono state sufficienti e non hanno tenuto conto in modo adeguato di normative cinesi come quelle antiterrorismo e di controspionaggio, che potrebbero compromettere la riservatezza dei dati trasferiti.
Un ulteriore elemento critico emerso dall’indagine riguarda la questione dell’archiviazione dei dati. Durante tutto il corso dell’indagine, TikTok ha dichiarato all’autorità irlandese di non conservare i dati degli utenti europei su server situati in Cina. Tuttavia, nell’aprile 2025, l’azienda ha informato l’autorità di aver scoperto, nel febbraio dello stesso anno, che alcuni dati degli utenti europei erano stati effettivamente archiviati su server situati nel paese orientale, contrariamente a quanto dichiarato. La Dpc ha espresso seria preoccupazione per questi sviluppi e sta valutando ulteriori azioni normative, in consultazione con le altre autorità europee per la protezione dei dati.
La difesa di TikTok
In seguito alla notifica della sanzione, TikTok ha immediatamente respinto le accuse, annunciando l’intenzione di impugnare integralmente la decisione. Nel suo comunicato di risposta ufficiale la piattaforma fa presente che la multa si riferisce a pratiche precedenti al 2023, anno in cui la piattaforma ha lanciato il Progetto Clover, un’iniziativa da 12 miliardi di euro che include la creazione di un’enclave digitale dedicata all’Europa per l’archiviazione dei dati, l’implementazione di gateway di sicurezza monitorati dalla società europea Ncc Group e tecnologie avanzate come la crittografia di accesso. Christine Grahn, responsabile delle politiche pubbliche di TikTok per l’Europa, evidenzia inoltre che, come riportato dalla stessa autorità irlandese, non sono mai state ricevute né soddisfatte richieste di accesso ai dati degli utenti europei da parte delle autorità cinesi.
In pratica TikTok sostiene che la commissione irlandese non abbia adeguatamente valutato le misure tecniche implementate dalla piattaforma cinese nel corso degli anni. Il Progetto Clover prevede che i dati sensibili come numeri di telefono, email e indirizzi Ip degli utenti europei non siano accessibili al personale in Cina, grazie a barriere digitali verificate da esperti indipendenti. TikTok sta inoltre investendo un miliardo di euro per la costruzione del suo primo data center in Finlandia, e ha implementato tecnologie di privacy differenziale che assicurano che i dati non sensibili vengano identificati prima di poter essere consultati.
