L’organizzazione noyb, guidata dal noto avvocato Max Schrems, ha presentato sei denunce contro altrettante aziende cinesi: TikTok, Xiaomi, Shein, AliExpress, WeChat e Temu. L’accusa è aver violato il GDPR (Regolamento generale sulla protezione dei dati) inviando i dati degli utenti europei a server che si trovano in Cina. Viene pertanto chiesto l’immediato intervento dei garanti della privacy.
Le aziende cinesi non rispettano il GDPR
In generale, le aziende non possono trasferire i dati degli utenti europei al di fuori dell’Europa. Il GDPR prevede alcune eccezioni, ma è obbligatorio rispettare specifiche condizioni per garantire la sicurezza dei dati. Il trasferimento dei dati può avvenire sulla base delle clausole contrattuali standard. Le aziende devono però effettuare una valutazione di impatto per verificare che i dati siano al sicuro nel paese di destinazione e che le clausole non siano in conflitto con le leggi nazionali.
Dato che la Cina è uno “stato di sorveglianza autoritaria“, nessuna azienda cinese può fornire tale garanzia. Le leggi cinesi sulla protezione dei dati non limitano in alcun modo l’accesso da parte delle autorità. L’invio dei dati degli utenti europei in Cina è quindi illegale e deve essere bloccato.
I rapporti sulla trasparenza di Xiaomi confermano che le autorità cinesi inviano numerose richieste di accesso (che Xiaomi ha quasi sempre soddisfatto). Inoltre, gli utenti europei non hanno nessuna possibilità di esercitare i loro diritti sulla base della legge locale (in Cina non esiste un garante della privacy).
Gli utenti hanno inviato richieste di accesso ai dati, come previsto dal GDPR, ma nessuna azienda ha risposto. È certo però che AliExpress, Shein, TikTok e Xiaomi inviano i dati in Cina. Temu e WeChat trasferiscono i dati a paesi di terze parti, uno dei quali è quasi sicuramente la Cina.
L’organizzazione noyb ha pertanto presentato una denuncia ai garanti della privacy di Grecia (TikTok e Xiaomi), Italia (Shein), Belgio (AliExpress), Olanda (WeChat) e Austria (Temu) per chiedere di imporre l’immediata sospensione del trasferimento dei dati. Ha inoltre chiesto alle autorità di infliggere una sanzione amministrativa che può raggiungere il 4% delle entrate globali.
Aggiornamento: abbiamo ricevuto una dichiarazione ufficiale da parte di Xiaomi in merito alla questione. Eccola di seguito.
Siamo a conoscenza di un reclamo presentato da un’organizzazione no-profit a un’autorità nazionale per la protezione dei dati in Europa e stiamo esaminando le accuse in esso contenute. Il rispetto della privacy degli utenti è sempre stato uno dei valori fondamentali di Xiaomi, che comprende trasparenza, responsabilità, controllo da parte dell’utente, sicurezza e conformità legale. La nostra informativa sulla privacy è sviluppata per rispettare le normative applicabili, come il GDPR. Conformandoci alle leggi e ai regolamenti locali vigenti nei mercati in cui Xiaomi opera, i dati degli utenti vengono archiviati e trattati in conformità con le normative locali. Qualora un’autorità nazionale per la protezione dei dati dovesse contattare Xiaomi in futuro in relazione a questo reclamo, collaboreremo pienamente con l’autorità per risolvere la questione.