TikTok è stata multata per 530 milioni di euro dall’UE per aver trasferito impropriamente dati degli utenti in Cina, violando il GDPR. Un caso che riaccende il dibattito sulla privacy.
L’Unione Europea ha inflitto a TikTok una multa da 530 milioni di euro – pari a circa 600 milioni di dollari – per violazione delle norme sulla privacy dei dati personali.
Il motivo? Un’inchiesta durata quattro anni ha accertato che l’azienda ha trasferito impropriamente dati degli utenti europei in Cina, senza rispettare quanto previsto dal GDPR. Una sanzione pesante, che si inserisce in un contesto di crescente diffidenza verso la piattaforma di proprietà del colosso cinese ByteDance.
Una delle multe più alte mai comminate sotto il GDPR
A decidere la sanzione è stata la Data Protection Commission (DPC) irlandese, autorità capofila per TikTok in quanto la sede europea dell’azienda si trova a Dublino.
Dopo un’indagine avviata nel settembre 2021, la DPC ha stabilito che TikTok ha violato l’articolo 44 del Regolamento generale sulla protezione dei dati, che impone regole molto rigide sui trasferimenti verso paesi terzi.
Nello specifico, è stato accertato che TikTok ha consentito l’accesso remoto ai dati degli utenti europei da parte di dipendenti e personale tecnico con sede in Cina, senza adottare misure sufficienti a garantire un livello di protezione “equivalente” a quello previsto dalla normativa europea.
“Agli utenti europei non è stato garantito un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE“, ha affermato in una nota Graham Doyle, vice commissario della Commissione irlandese per la protezione dei dati.
Si tratta della terza multa più elevata mai inflitta nell’ambito del GDPR, dopo quelle a Meta (1,2 miliardi di euro) e Amazon (746 milioni di euro). E, per TikTok, non è nemmeno la prima: nel 2023 era già stata sanzionata con una multa da 345 milioni di euro per violazioni legate al trattamento dei dati dei minori.
Il cuore della questione: i dati trasferiti in Cina
A preoccupare le autorità europee è soprattutto il fatto che i dati degli utenti – compresi quelli di giovani e giovanissimi – siano potenzialmente accessibili da un paese, la Cina, i cui standard legali e di tutela della privacy sono molto diversi da quelli europei.
La legge cinese sulla sicurezza nazionale, infatti, impone alle aziende di collaborare con il governo qualora richiesto, anche in termini di accesso ai dati. E questo, per i regolatori europei, rappresenta un rischio concreto per la protezione delle informazioni personali.
TikTok ha inizialmente negato che i dati degli utenti europei fossero conservati o accessibili dalla Cina. Ma nel febbraio 2025 ha ammesso che una “quantità limitata” di dati era effettivamente archiviata in territorio cinese, contraddicendo quanto dichiarato fino a quel momento. Un elemento che ha avuto un peso determinante nelle conclusioni della DPC.
Il nodo della trasparenza: cosa non è stato detto agli utenti
Un altro punto su cui si è concentrata l’indagine riguarda la trasparenza. Secondo quanto accertato, TikTok non ha informato in modo chiaro gli utenti che i loro dati potevano essere trasferiti e trattati in Cina. Nella sua informativa sulla privacy, infatti, il paese non veniva menzionato in maniera esplicita.
Non solo. L’indagine ha evidenziato che TikTok non ha condotto un’adeguata valutazione dei rischi legati a questi trasferimenti, né ha messo in atto misure tecniche e organizzative sufficienti per tutelare i dati.
Ora la piattaforma ha sei mesi di tempo per mettersi in regola, altrimenti rischia la sospensione del trasferimento dei dati verso la Cina.
TikTok risponde: “La decisione si riferisce al passato”
TikTok ha fatto sapere di non condividere le conclusioni della DPC e di voler presentare ricorso. Ha inoltre sottolineato che la decisione si basa su pratiche risalenti a prima del maggio 2023, ossia prima dell’implementazione del cosiddetto Project Clover.
Si tratta di un programma da 12 miliardi di euro con cui TikTok mira a rassicurare le autorità europee. Tra le misure previste, la costruzione di tre data center nel continente, una revisione dei protocolli di accesso ai dati e un sistema di audit indipendenti sulla gestione delle informazioni personali.
“Questa sentenza rischia di creare un precedente con conseguenze di vasta portata per le aziende e interi settori in tutta Europa che operano su scala globale“, ha affermato TikTok in una nota.
Un’operazione che, al di là del tentativo di salvaguardare la propria immagine, dimostra quanto il tema del trattamento dei dati stia diventando centrale anche per una piattaforma cresciuta grazie alla leggerezza dei suoi contenuti.
Un contesto sempre più teso tra l’UE e TikTok
Questa nuova sanzione si inserisce in un clima di crescente diffidenza verso TikTok da parte delle istituzioni europee. Già nel febbraio 2023 la Commissione UE aveva vietato l’uso dell’app sui dispositivi del personale, citando proprio motivi di sicurezza e il rischio di accessi non autorizzati.
Una decisione che fu seguita a ruota anche da altri organismi comunitari e da diversi governi nazionali. Da allora, la pressione su TikTok non si è mai realmente allentata.
E adesso, con questa multa, l’Unione Europea manda un segnale chiaro. E cioè che il trattamento dei dati personali non è negoziabile. Tanto più quando si parla di minorenni, e quando i dati rischiano di finire sotto la giurisdizione di paesi che non offrono garanzie equivalenti a quelle europee.
Perché questa vicenda è importante
Questa vicenda non è soltanto una questione squisitamente giuridica. È una questione di fiducia. E, nel mondo digitale – lo abbiamo imparato bene in questi anni – la fiducia è tutto.
Il modo in cui le piattaforme trattano i dati degli utenti – cosa raccolgono, dove li conservano, chi può accedervi – definisce il perimetro entro cui possiamo ancora sentirci “cittadini” e non solo “consumatori”.
E TikTok, oggi, è chiamata a scegliere quale strada vuole davvero percorrere. Non solo per evitare sanzioni, ma per dimostrare se è disposta a rispettare, davvero, le regole del gioco europeo.
