La Commissione per la protezione dei dati (DPC) irlandese, autorità indipendente che agisce come garante della privacy dell'UE, ha multato TikTok per 530 milioni di euro e ordinato misure correttive a seguito di un'indagine sui trasferimenti di dati degli utenti residenti nello Spazio economico europeo (SEE) alla Cina.

La decisione, presa dai Commissari per la Protezione dei Dati, Des Hogan e Dale Sunderland, rileva che TikTok ha violato il GDPR in relazione ai trasferimenti di Dati degli utenti SEE verso la Cina e ai relativi obblighi di trasparenza. La decisione prevede sanzioni amministrative per un totale di 530 milioni di euro e un'ingiunzione che impone a TikTok di adeguare il proprio trattamento dei dati entro 6 mesi. La decisione include anche un'ingiunzione che sospende i trasferimenti di TikTok verso la Cina qualora il trattamento dei dati non venga adeguato entro tale termine.

"Il GDPR richiede che l'elevato livello di protezione fornito all'interno dell'Unione Europea continui anche quando i dati personali vengono trasferiti ad altri Paesi - ha commentato il Vice Commissario del DPC, Graham Doyle - I trasferimenti di dati personali di TikTok verso la Cina hanno violato il GDPR perché TikTok non è riuscita a verificare, garantire e dimostrare che i dati personali degli utenti SEE, a cui il personale in Cina accedeva da remoto, ricevessero un livello di protezione sostanzialmente equivalente a quello garantito all'interno dell'UE".

"A causa della mancata esecuzione delle necessarie valutazioni da parte di TikTok, TikTok non ha affrontato la questione del potenziale accesso da parte delle autorità cinesi ai dati personali SEE ai sensi delle leggi cinesi antiterrorismo, controspionaggio e di altre leggi che TikTok ha identificato come sostanzialmente divergenti dagli standard dell'UE", ha aggiunto.

Durante l'indagine, TikTok ha informato il DPC di non archiviare i dati degli utenti SEE su server situati in Cina. Tuttavia, nell'aprile 2025, TikTok ha informato il DPC di un problema scoperto a febbraio 2025, in base al quale una quantità limitata di dati utente SEE era stata effettivamente archiviata su server in Cina, contrariamente alle prove fornite da TikTok all'Inchiesta. TikTok ha informato il DPC che questa scoperta implicava che TikTok avesse fornito informazioni inesatte all'Inchiesta.

"Il DPC sta prendendo molto sul serio questi recenti sviluppi riguardanti l'archiviazione dei Dati Utente SEE su server in Cina - ha aggiunto Doyle - Sebbene TikTok abbia informato il DPC che i dati sono stati cancellati, stiamo valutando quali ulteriori azioni normative potrebbero essere necessarie, in consultazione con le nostre omologhe Autorità per la Protezione dei Dati dell'UE".