TikTok sarà costretta a pagare una multa record di 530 milioni di euro. La decisione della Commissione per la Protezione dei Dati irlandese (DPC) segna una svolta nel conflitto tra la tutela della privacy europea e le pratiche di gestione dati delle piattaforme globali. L'autorità di vigilanza ha accertato trasferimenti illegali di informazioni personali degli utenti europei verso la Cina, in aperta violazione del Regolamento Generale sulla Protezione dei Dati (GDPR). La sanzione si configura come una delle più severe mai comminate dall'autorità irlandese, superata solo dalle multe inflitte ad Amazon e Facebook per violazioni analoghe.
La penalità si compone di due parti: 485 milioni per l'illecito trasferimento dei dati verso la Cina, in violazione dell'articolo 46(1) del GDPR, e 45 milioni per la mancanza di trasparenza, contravvenendo all'articolo 13(1)(f). Ma il provvedimento va oltre l'aspetto economico: TikTok ha solo sei mesi per adeguare le proprie procedure di trattamento dati alle normative europee, pena la sospensione di ogni trasferimento verso la Cina.
Il cuore della controversia non riguarda semplicemente la posizione fisica dei server, ma un rischio ben più profondo. Gli ispettori della DPC hanno evidenziato come il vero problema sia la possibilità che le autorità cinesi possano accedere ai dati degli utenti europei in virtù delle leggi nazionali in materia di terrorismo e spionaggio, normative che contrastano frontalmente con gli standard dell'Unione Europea.
Graham Doyle, vice commissario della DPC, ha sottolineato come "TikTok non abbia intrapreso le necessarie valutazioni per affrontare il potenziale accesso da parte delle autorità cinesi ai dati personali dello Spazio Economico Europeo". Una lacuna particolarmente grave considerando che le stesse leggi cinesi, secondo quanto ammesso dalla piattaforma, divergono sostanzialmente dagli standard europei in materia di protezione dei dati personali.
Emergono inoltre contraddizioni nelle dichiarazioni dell'azienda. Durante l'indagine, TikTok aveva sostenuto di non memorizzare i dati degli utenti europei su server situati in Cina. Tuttavia, nell'aprile 2025, la piattaforma ha rivelato di aver scoperto, appena due mesi prima, che alcuni dati di utenti europei erano effettivamente archiviati su server in territorio cinese.
Nonostante la società abbia comunicato alla DPC l'avvenuta cancellazione dei dati impropriamente archiviati, l'autorità irlandese sta valutando ulteriori azioni regolamentari, confrontandosi con le altre autorità di protezione dati dell'UE. Questa collaborazione transnazionale evidenzia la dimensione continentale della problematica e l'impegno coordinato delle autorità di vigilanza europee.
Christine Grahn, responsabile delle relazioni governative di TikTok per l'Europa, ha contestato la decisione, annunciando l'intenzione di presentare ricorso. Secondo Grahn, la DPC non avrebbe considerato adeguatamente il "Project Clover", l'iniziativa di sicurezza dei dati recentemente implementata dalla piattaforma. "Nell'ambito del Project Clover", ha dichiarato, "TikTok ha implementato tecnologie avanzate per la protezione della privacy, come la crittografia all'accesso e la privacy differenziale, per garantire che i dati non riservati vengano de-identificati prima di poter essere accessibili dai dipendenti in Cina".
Questa sanzione rappresenta solo l'ultimo capitolo di una serie di provvedimenti contro la piattaforma di origine cinese. In precedenza, TikTok aveva già ricevuto una multa di 345 milioni di euro dalla stessa DPC per violazioni relative alla privacy dei minori durante il trattamento dei loro dati. L'autorità aveva anche rilevato l'impiego di "dark patterns" durante il processo di registrazione e pubblicazione dei video, tecniche che spingevano gli utenti verso opzioni che compromettevano la loro privacy.
Risale invece al gennaio 2023 una sanzione di 5 milioni di euro comminata dall'autorità francese per la protezione dei dati (CNIL), che aveva riscontrato come TikTok non informasse adeguatamente gli utenti sull'utilizzo dei cookie, rendendo inoltre difficoltoso il processo di opt-out.
La multa di 530 milioni di euro si colloca al terzo posto nella classifica delle sanzioni più pesanti imposte dall'autorità irlandese, superata solo dai 746 milioni di euro inflitti ad Amazon per le sue pratiche di pubblicità comportamentale mirata e dal miliardo e 200 milioni comminati a Facebook per il trasferimento di dati di utenti europei verso gli Stati Uniti.
La severità crescente delle sanzioni riflette l'importanza strategica che il controllo e la protezione dei dati personali hanno assunto nel contesto geopolitico attuale, dove la linea di confine tra business tecnologico e sicurezza nazionale diventa sempre più sfumata, specialmente quando entrano in gioco attori globali con sistemi giuridici, e di valori, profondamente diversi da quelli europei.