La Commissione per la protezione dei dati (DPC) ha annunciato oggi di aver avviato un’indagine sui trasferimenti di dati personali degli utenti SEE da parte di TikTok Technology Limited (TikTok) a server situati in Cina. L’indagine fa seguito alla decisione del DPC del 30 aprile 2025 , che aveva anch’essa preso in considerazione i trasferimenti di dati personali degli utenti SEE da parte di TikTok alla Cina nell’ambito di un’indagine separata. Tuttavia, durante la precedente indagine, TikTok aveva sostenuto che i trasferimenti di dati personali degli utenti SEE in Cina avvenivano esclusivamente tramite accesso remoto e che i dati degli utenti SEE non erano archiviati su server situati in Cina, bensì su server situati al di fuori della Cina e vi accedevano da remoto da parte del personale di TikTok dall’interno della Cina. Di conseguenza, la decisione del DPC del 30 aprile 2025 non ha preso in considerazione l’archiviazione dei dati personali degli utenti SEE da parte di TikTok su server situati in Cina.

Tuttavia, nell’aprile 2025, TikTok ha informato il DPC di un problema che aveva scoperto nel febbraio 2025, vale a dire che dati limitati degli utenti SEE erano stati in realtà archiviati su server in Cina, contrariamente a quanto dimostrato da TikTok nella precedente inchiesta.

La decisione del DPC, emessa a seguito della procedura di cooperazione ispettiva con le altre autorità di regolamentazione dell’UE nell’ambito del meccanismo dello Sportello Unico del GDPR, esprimeva la sua profonda preoccupazione per il fatto che TikTok avesse fornito informazioni inesatte a tale indagine. Nel comunicato stampa diffuso al momento della conclusione di tale indagine, il DPC ha dichiarato di prendere tali sviluppi “molto seriamente” e di “valutare quali ulteriori azioni normative potrebbero essere giustificate, in consultazione con le altre autorità di protezione dei dati dell’UE”. A seguito di tale considerazione, il DPC ha ora deciso di avviare questa nuova indagine su TikTok.

La decisione di avviare l’indagine ai sensi dell’articolo 110 del Data Protection Act 2018, presa dai Commissari per la Protezione dei Dati, il Dott. Des Hogan e il Sig. Dale Sunderland, è stata notificata a TikTok all’inizio di questa settimana. Lo scopo dell’indagine è determinare se TikTok abbia adempiuto ai propri obblighi ai sensi del GDPR nel contesto dei trasferimenti ora in questione, inclusa la liceità dei trasferimenti ai sensi del Capitolo V del GDPR.

L’indagine prenderà in considerazione le seguenti disposizioni del GDPR: articoli 5(2) (responsabilità), 13(1)(f) (informazioni sulla trasparenza in relazione ai trasferimenti verso paesi terzi), 31 (obbligo di cooperare con l’autorità di controllo) e capitolo V del GDPR (conformità ai requisiti pertinenti per i trasferimenti verso paesi terzi).

^[1] Il GDPR garantisce un elevato livello di protezione dei dati personali in tutto il SEE e garantisce agli individui diritti in materia di protezione dei dati. Il trasferimento di dati personali al di fuori del SEE può ostacolare la capacità degli individui di esercitare i propri diritti e può eludere tale elevato livello di protezione. Pertanto, è fondamentale che il livello di protezione garantito dal GDPR non venga compromesso in caso di tali trasferimenti. Di conseguenza, i trasferimenti di dati personali possono avvenire solo se sono rispettate le condizioni stabilite nel Capo V del GDPR. Ciò garantisce che l’elevato livello di protezione fornito all’interno dell’Unione europea continui anche quando i dati personali vengono trasferiti a un paese terzo.

L’articolo 45(1) del GDPR prevede che il trasferimento di dati personali verso un paese terzo può essere autorizzato da una decisione della Commissione europea secondo cui il paese terzo, un territorio o uno o più settori specifici all’interno di tale paese terzo garantiscono un livello di protezione adeguato (“Decisione di adeguatezza”).

Ad oggi, la Commissione europea ha adottato decisioni di adeguatezza nei confronti di Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Repubblica di Corea, Svizzera, Regno Unito, Stati Uniti e Uruguay.

Ai sensi del GDPR, qualora un’organizzazione (“Titolare del trattamento dei dati”) intenda trasferire dati personali al di fuori dell’UE/SEE a un paese terzo e in assenza di una decisione di adeguatezza tra l’UE e tale paese terzo, tali trasferimenti possono avvenire solo se sono soddisfatte altre disposizioni applicabili del GDPR (Capitolo V), come le clausole contrattuali standard. Tali disposizioni attribuiscono all’organizzazione la responsabilità di verificare, garantire e dimostrare che la legge e le prassi di tale paese garantiscano un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE.