Allarme TikTok: nuova indagine Ue svela dati segreti in Cina!

Questa verifica, svolta nel contesto del Regolamento generale sulla protezione dei dati (GDPR), si concentra sull’invio dei dati degli utenti residenti nell’Area Economica Europea (AEE) verso server situati in territorio cinese. Tale decisione è stata presa dopo che TikTok ha ammesso che, contrariamente alle affermazioni precedenti, alcuni dati di utenti europei sono stati effettivamente conservati in Cina.

La Commissione per la protezione dei dati personali (DPC), l’ente irlandese preposto alla salvaguardia della privacy, ha confermato l’apertura di un’indagine sui trasferimenti di dati personali di utenti europei operati da TikTok verso server in Cina. Questa indagine scaturisce dalla decisione del 30 aprile, che aveva già esaminato la questione del trasferimento dati. In quella circostanza, fu annunciata una penalità pecuniaria di milioni di euro imposta alla società cinese ByteDance, proprietaria del social network.

In precedenza, TikTok aveva sostenuto che l’inoltro dei dati avveniva unicamente tramite accesso a distanza e che le informazioni degli utenti dello Spazio economico europeo non erano archiviate su server cinesi. Tuttavia, ha successivamente informato l’autorità di un problema emerso a febbraio 2025, a seguito del quale una quantità limitata di dati di utenti dello Spazio economico europeo era stata di fatto conservata su server in Cina, smentendo quanto dichiarato da TikTok nella precedente indagine.

Le Preoccupazioni del GDPR e le Contromisure di TikTok

Il GDPR vieta il trasferimento di dati personali dall’UE alla Cina. Le autorità regolatorie europee nutrono forti perplessità circa i presunti legami tra il governo cinese e ByteDance, la società proprietaria di TikTok. La decisione rappresenta l’epilogo di un’indagine avviata a settembre 2021, durante la quale TikTok aveva inizialmente assicurato alla DPC di non archiviare i dati degli utenti su server in Cina. La DPC ha comunicato che TikTok l’ha poi informata nell’aprile 2025 che tale dichiarazione era errata e che l’azienda aveva invece rinvenuto dati di utenti UE su server locati in Cina.

TikTok ha manifestato l’intenzione di impugnare la decisione e ha dichiarato di non aver mai ricevuto richieste di accesso ai dati di utenti europei da parte delle autorità cinesi. In un comunicato, l’azienda ha affermato che la sentenza potrebbe avere “implicazioni di vasta portata per le imprese e interi settori industriali in tutta Europa che operano su scala globale” e che “rappresenta un duro colpo alla competitività dell’Unione Europea”.

TikTok sta cercando di migliorare la propria reputazione in Europa in tema di protezione dei dati: ha promesso di investire 12 miliardi di euro nell’arco di un decennio in tre centri dati in Norvegia, un’iniziativa conosciuta come Project Clover, e il mese scorso ha annunciato il progetto di costruire un quarto data center in Finlandia. Ciononostante, la scarsa trasparenza dell’azienda riguardo al trasferimento dei dati ha generato reazioni critiche e dubbi da parte degli esperti.

La sanzione è la terza per importo mai comminata a un’impresa per violazione del GDPR: in precedenza, Meta e Amazon avevano ricevuto multe rispettivamente di 1,2 miliardi di euro e 746 milioni di euro. Le sanzioni totali inflitte a TikTok secondo il GDPR ammontano ora a 875 milioni di euro, incluse i 345 milioni di euro di multa comminati a settembre 2023 per negligenza nella protezione della privacy dei dati degli utenti minorenni.

Le Accuse Specifiche e la Risposta di TikTok

Il Garante Privacy irlandese (Dpc) si appresta a infliggere una sanzione alla società madre di TikTok (ByteDance) superiore ai 500 milioni di euro per aver trasmesso illegalmente i dati degli utenti europei in Cina. La decisione dell’autorità irlandese è prevista entro la fine del mese e costituirebbe la terza multa più alta di sempre comminata dall’autorità irlandese, dopo quelle di 746 milioni ad Amazon e 1,2 miliardi a Meta (Facebook). L’ammontare esatto della multa è ancora in fase di definizione e potrebbe subire variazioni; la sanzione verrà emessa entro aprile.

L’indagine condotta dalla Data Protection Commission (DPC) ha rilevato che TikTok non ha fornito sufficienti garanzie sulla protezione dei dati degli utenti europei. Particolare preoccupazione suscitano gli accessi a distanza da parte di personale in Cina, che secondo la DPC non sono stati accompagnati da misure di sicurezza adeguate, specialmente considerando le leggi cinesi in materia di controspionaggio, che presentano “sostanziali divergenze” rispetto agli standard UE.

Nel comunicato rilasciato dalla DPC, si evidenzia come la piattaforma non abbia affrontato in maniera idonea i rischi connessi a potenziali accessi da parte delle autorità governative cinesi, fattore considerato di primaria importanza nell’analisi della conformità al Regolamento Generale sulla Protezione dei Dati.

Una qualsiasi condizione di inosservanza comporterà, nell’arco di sei mesi, la sospensione cogente dei trasferimenti internazionali di dati provenienti dall’Europa e diretti verso la Cina.

Parallelamente, il DPC ha penalizzato TikTok con 45 milioni di euro per aver violato l’articolo 13(1)(f) del GDPR, il quale impone ai responsabili del trattamento dati di divulgare in modo chiaro le procedure e le destinazioni relative ai trasferimenti internazionali.

Le informative sulla privacy in vigore fino a dicembre non specificavano le nazioni terze coinvolte, Cina inclusa, né indicavano che il trattamento dei dati includesse accessi remoti ai dati archiviati a Singapore e negli Stati Uniti da parte di dipendenti dislocati in Cina.

Solamente con l’aggiornamento della policy alla fine del 2022, TikTok ha esplicitato questi particolari.

La trasgressione degli obblighi di trasparenza si riferisce, quindi, al periodo compreso tra il 29 luglio 2020 e il 1° dicembre 2022.

La piattaforma ha, inoltre, comunicato la sua intenzione di fare appello contro tale decisione, sottolineando che le contromisure di sicurezza adottate a partire dal 2023, tra cui la sorveglianza indipendente degli accessi e l’uso di infrastrutture di data center dedicati in Europa e negli Stati Uniti per lo stoccaggio dei dati degli utenti, non sarebbero state prese sufficientemente in considerazione durante il processo decisionale.

Implicazioni e Prospettive Future: Un Equilibrio Precario tra Innovazione e Privacy

La vicenda che coinvolge TikTok pone quesiti fondamentali sull’equilibrio tra innovazione tecnologica, efficienza operativa su larga scala e tutela della privacy nell’era digitale. La capacità di un’azienda di espandersi a livello globale, sfruttando i vantaggi economici derivanti dall’automazione e dalla digitalizzazione, deve necessariamente essere accompagnata da un rigoroso rispetto delle normative sulla protezione dei dati personali. La trasparenza nei processi di movimentazione e conservazione dei dati, unitamente all’adozione di adeguate misure di sicurezza, sono elementi indispensabili per garantire la fiducia degli utenti e l’osservanza delle leggi vigenti.

In questo scenario, l’automazione dei processi di sorveglianza e controllo dei dati, insieme all’implementazione di sistemi di crittografia avanzati, rappresenta un obiettivo cruciale per le imprese che operano su scala mondiale. L’adozione di un approccio “privacy by design”, che integra la protezione dei dati fin dalla fase iniziale di progettazione di sistemi e servizi, può contribuire a prevenire violazioni e ad assicurare un elevato livello di sicurezza e chiarezza.

Ma cosa significa tutto questo per noi, utenti? In termini semplici, l’automazione, in questo contesto, implica l’uso di software e sistemi per monitorare e proteggere i nostri dati. Una nozione base di automazione è che essa permette di eseguire compiti ripetitivi in modo più efficiente e accurato rispetto all’intervento umano. Nel caso della protezione dei dati, l’automazione può aiutare a identificare e prevenire trasferimenti non autorizzati di informazioni personali.

Un concetto più avanzato è l’utilizzo di algoritmi di machine learning per analizzare i modelli di accesso ai dati e rilevare anomalie che potrebbero indicare una violazione della sicurezza. Questi sistemi possono apprendere dai dati storici e adattarsi dinamicamente alle nuove minacce, offrendo un livello di protezione più sofisticato e proattivo.

Riflettiamo: in un mondo sempre più interconnesso, la protezione dei nostri dati personali è una responsabilità condivisa tra aziende, istituzioni e singoli individui. Solo attraverso un impegno congiunto e una maggiore consapevolezza possiamo garantire un futuro digitale sicuro e rispettoso della nostra privacy.