L’Autorità irlandese per la protezione dei dati (Data Protection Commission – DPC), ha reso oggi noto di aver comminato una sanzione da € 530 milioni avverso TikTok Technology Limited rea di aver violato i principi del GDPR in materia di trasferimento di dati personali verso paesi extra UE il cui livello di protezione è considerato non adeguato.
Essendo radicata a Dublino la sede UE della società afferente al colosso cinese, il provvedimento è stato assunto dalla DPC in qualità di autorità capofila anche per conto degli omologhi organismi di privacy europei nell’ambito dei meccanismi di cooperazione e coerenza previsti dal GDPR.
Nella sua decisione, la DPC ha, in specie:
- ritenuto che i trasferimenti di TikTok verso la Cina abbiano violato l’art. 46, par.1 del GDPR perché non ha verificato, garantito e dimostrato che le misure supplementari e le clausole contrattuali standard (“SCC”) fossero efficaci per assicurare che i dati personali degli utenti europei trasferiti tramite accesso remoto godessero di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE. Secondo l’esame del DPC, infatti, TikTok il quadro normativo cinese non è non fornisce adeguate garanzie ai dati degli utenti a causa di alcune leggi che divergono materialmente dagli standard dell’UE, come la legge antiterrorismo, la legge antispionaggio, la legge sulla sicurezza informatica e la legge sull’intelligence nazionale. In pratica, i dati degli utenti UE sarebbero indifesi dalle possibili ingerenze del governo cinese. La violazione è ritenuta meritevole di multa € 485 milioni;
- rilevata anche la trasgressione dell’art. 13, par. 1, lett. f) del GDPR che impone ai titolari del trattamento di fornire agli interessati informazioni sui trasferimenti dei loro dati personali verso un paese terzo. Il tribunale irlandese ha esaminato l’informativa sulla privacy resa da TikTok agli utenti UE dell’ottobre 2021 e ha riscontrato che tale informativa era inadeguata sotto due aspetti fondamentali ai fini del principio di trasparenza: la privacy policy ometteva di specificare verso quali paesi terzi sarebbero stati trasferiti i dati e gli scopi alla base di detti trasferimenti.
TikTok dovrà, inoltre, sospendere le attività di data tranfer dalla UE alla Cina per un periodo di 6 mesi entro i quali dovrà rivedere e sottoporre all’approvazione della Commission le proprie procedure a garanzia di un’adeguata protezione dei dati in linea con i criteri di cui al Capo V del GDPR.
Nel 2023 TikTok Technology Limited si era già vista infliggere dalla DPC una multa da € 345 milioni per aver trattato in modo contrario ai principi del GDPR i dati personali di utenti europei di età compresa tra i 13 e i 17 anni.
Per più ampie considerazioni sulle diverse criticità in tema di data protection legate a TikTok, rimandiamo a questo nostro approfondimento.
