La Data Protection Commission (DPC) dell’Irlanda ha avviato un’altra indagine nei confronti di TikTok per aver trasferito i dati degli utenti europei a server posizionati in Cina, violando quindi il GDPR (Regolamento generale sulla protezione dei dati). Il nuovo procedimento è correlato a quello terminato con la sanzione di 530 milioni di euro a fine aprile.

Dati inviati a server in Cina

Al termine dell’indagine avviata a fine 2021, l’autorità irlandese ha inflitto a TikTok una sanzione complessiva di 530 milioni di euro per la violazione del GDPR. In dettaglio, 45 milioni di euro sono dovuti per non aver informato gli utenti sul trasferimento dei dati (assenza di trasparenza) e 485 milioni di euro sono dovuti per il trasferimento illegale dei dati in Cina.

Durante il procedimento, TikTok ha informato la DPC che il trasferimento dei dati degli utenti in Cina è avvenuto esclusivamente tramite accesso remoto. I dati non erano conservati su server situati in Cina, ma su server situati al di fuori della Cina, ai quali i dipendenti in Cina accedevano da remoto.

L’azienda cinese ha successivamente informato la DPC che, a causa di un problema tecnico scoperto a febbraio 2025, i dati di alcuni utenti sono finiti sui server in Cina. La nuova indagine riguarda proprio questa violazione, in quanto la decisione precedente è relativa solo ai dati inviati a server all’esterno della Cina.

L’autorità ipotizza un trasferimento illegale perché il GDPR prevede che possa avvenire solo in base alle clausole contrattuali standard o se un paese terzo offre un’adeguata protezione. Ciò viene stabilito da una decisione di adeguatezza della Commissione europea. I paesi che garantiscono la protezione dei dati sono Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Repubblica di Corea, Svizzera, Regno Unito, Stati Uniti e Uruguay.