Le recenti sanzioni inflitte a TikTok dalla Commissione irlandese per la protezione dei dati (DPC) hanno acceso i riflettori sull’importanza della conformità al GDPR.
Nel settembre 2023, la DPC ha imposto a TikTok una multa di 345 milioni di euro per violazioni riguardanti il trattamento dei dati personali dei minori, risalenti al periodo tra il 31 luglio e il 31 dicembre 2020. Le infrazioni includevano:
- Profili pubblici per impostazione predefinita, esponendo i minori a potenziali rischi.
- La funzionalità “Family Pairing” che consentiva a adulti non verificati di attivare la messaggistica diretta per utenti tra i 16 e i 17 anni.
- Trasparenza insufficiente nelle informazioni fornite agli utenti riguardo alle impostazioni sulla privacy.
- L’uso di “dark patterns”, ovvero interfacce progettate per influenzare le scelte degli utenti in modo poco trasparente, violando il principio di equità del GDPR.
TikTok ha espresso disaccordo con la decisione e l’importo della sanzione, sostenendo di aver già implementato modifiche significative prima dell’indagine, come rendere privati per impostazione predefinita gli account degli utenti sotto i 16 anni.
Tuttavia, nel 2025, la DPC ha annunciato un’altra sanzione, questa volta superiore ai 500 milioni di euro, per il trasferimento illecito dei dati degli utenti europei in Cina da parte di TikTok. L’indagine ha rivelato che TikTok ha trasferito illecitamente dati personali di utenti europei in Cina, consentendo l’accesso a ingegneri della casa madre ByteDance. Questa pratica viola l’articolo 44 del Regolamento Generale sulla Protezione dei Dati (GDPR), che vieta il trasferimento di dati personali verso paesi terzi senza adeguate garanzie. La sanzione prevista rappresenta la terza più alta mai comminata dall’autorità irlandese, dopo quelle inflitte ad Amazon e Meta. Questo caso evidenzia la crescente attenzione delle autorità europee verso la tutela dei dati personali e la necessità per le aziende di adottare misure proattive per garantire la conformità alle normative sulla privacy.
Per le aziende, è fondamentale comprendere che la gestione dei dati non è solo una questione tecnica, ma un elemento centrale della strategia aziendale e della fiducia dei clienti. La conformità al GDPR non è un’opzione, ma un requisito essenziale per operare nel mercato europeo, evitando sanzioni e preservando la reputazione aziendale.
