a cura di Christine Grahn, Head of Public Policy & Government Relations - Europe

Oggi la Commissione irlandese per la protezione dei dati (Data Protection Commission, DPC) ha pubblicato la sua decisione finale riguardo l’indagine sulla conformità di TikTok ai requisiti del GDPR in materia di trasferimenti di dati personali verso la Cina.

La decisione si concentra principalmente su un periodo specifico di alcuni anni fa, precedente all’implementazione nel 2023 del Progetto Clover, la nostra iniziativa per la sicurezza dei dati del valore di 12 miliardi di euro. La stessa DPC ha riportato nel proprio rapporto quanto TikTok ha sempre dichiarato: che non ha mai ricevuto richieste di dati degli utenti europei da parte delle autorità cinesi e non ha mai fornito loro tali dati.

Di fatto, il Progetto Clover comprende alcune delle più rigorose protezioni dei dati di tutto il settore, tra le quali un controllo indipendente senza precedenti da parte di NCC Group, una delle principali società europee di cybersicurezza. La decisione omette di prendere pienamente in considerazione queste significative misure di sicurezza dei dati.

Con 175 milioni di utenti in tutta Europa, oltre 6.000 dipendenti nella regione e una piattaforma che ha aiutato le piccole imprese a contribuire con 4,8 miliardi di euro al PIL e a creare oltre 51.000 posti di lavoro, TikTok è profondamente integrata nell’economia europea. Questa decisione presenta implicazioni non solo per TikTok, ma per qualsiasi azienda in Europa che operi a livello globale. Non siamo d’accordo con questa decisione e intendiamo impugnarla integralmente.

TikTok ha seguito le regole stesse della UE

Questa non è la prima decisione della DPC sui trasferimenti di dati fuori dall’Europa. Nel 2023 la Commissione irlandese per la protezione dei dati ha imposto una multa record di 1,2 miliardi di euro a Meta, ordinando la sospensione dei trasferimenti di dati verso gli Stati Uniti, con la conclusione che gli Stati Uniti non offrivano una protezione “adeguata” per i dati personali europei.

Solo 15 paesi possiedono accordi di adeguatezza con l’UE, intese che permettono flussi di dati transfrontalieri liberi e sicuri. Di conseguenza, innumerevoli aziende fanno affidamento sulle cosiddette Clausole Contrattuali Tipo (Standard Contractual Clauses, SCC), schemi giuridici pre-approvati per la condivisione internazionale dei dati, al fine di facilitare l’accesso remoto ai dati – noti come trasferimenti di dati – da parte di dipendenti che si trovano in paesi privi di tale status.

Inoltre, la Commissione irlandese sostiene che non abbiamo effettuato le valutazioni necessarie. Contestiamo fermamente questa affermazione, avendo condotto valutazioni dettagliate con la consulenza di studi legali ed esperti esterni.

Oltre al fatto che la DPC ha omesso in modo sostanziale di considerare le ampie misure di tutela implementate nell’ambito del Progetto Clover, siamo delusi per essere stati gli unici destinatari del provvedimento nonostante operiamo rispettando lo stesso meccanismo legale utilizzato da migliaia di altre aziende che offrono servizi in Europa. Come molte imprese che operano a livello globale, TikTok ha utilizzato il quadro giuridico dell’UE, in particolare le Clausole Contrattuali Tipo (SCC), per concedere un accesso rigorosamente controllato e limitato ai dipendenti situati in paesi privi di accordi di adeguatezza.

Questo approccio è pienamente conforme alle regole stabilite dall’Unione Europea, e siamo sempre stati trasparenti riguardo alle nostre pratiche. A differenza di alcune altre aziende, spieghiamo chiaramente questi meccanismi nella nostra informativa sulla privacy e nelle comunicazioni verso la nostra community europea, che oggi conta oltre 175 milioni di persone.

Il progetto Clover offre già una protezione senza precedenti per i dati degli utenti europei

Nel 2023, TikTok ha avviato l’implementazione in Europa del Progetto Clover, un investimento da 12 miliardi di euro che offre tutele senza precedenti per i dati degli utenti europei. Inoltre, abbiamo recentemente annunciato un importante traguardo nel nostro continuo impegno per la sicurezza dei dati in Europa: un investimento di 1 miliardo di euro per la creazione del nostro primo data center in Finlandia.

Molte aziende globali che operano in Europa hanno dipendenti in Cina – inclusi i nostri concorrenti – ma nessuna ha adottato le misure che ha intrapreso TikTok. Con il Progetto Clover, ci siamo spinti oltre, più di chiunque altro nell’affrontare con misure reali e concrete gli ipotetici rischi:

  • Le nostre misure di sicurezza per i dati europei nell’ambito del Progetto Clover, compresi i protocolli di accesso remoto e trasferimento dati, sono ora monitorate, verificate e convalidate in modo indipendente e continuo da NCC Group, un’autorevole società europea di cybersicurezza: un livello di supervisione indipendente e di trasparenza senza precedenti tra le piattaforme online.
  • I dati dei nostri utenti europei sono ora archiviati per impostazione predefinita in una enclave di dati dedicata all’Europa, attualmente ospitata in data center tra Europa e Stati Uniti.
  • Abbiamo introdotto ulteriori barriere di sicurezza digitale, i gateway di sicurezza. Monitorati in modo indipendente da NCC Group, questi gateway fanno parte di un sistema completo di protocolli tecnici che garantisce l’accesso ai dati solo da parte di dipendenti autorizzati a specifiche tipologie di informazioni, limitando ulteriormente l’accesso interno – compreso il divieto di accesso ai dati riservati, come numero di telefono, email e indirizzo IP, archiviati nella enclave - da parte dei dipendenti situati in Cina.
  • Nell’ambito del Progetto Clover, TikTok ha implementato tecnologie di potenziamento della privacy (privacy-enhancing technologies, PET), come la crittografia di accesso (encryption-on-access) e la privacy differenziale, per garantire che i dati non riservati siano identificati prima di poter essere consultati da dipendenti situati in Cina. Un aspetto fondamentale è che esperti indipendenti di cybersicurezza di NCC Group hanno verificato come queste misure di protezione funzionino come previsto.

Se le estese misure introdotte con il Progetto Clover – tra le più avanzate e rigorose nel settore, e persino oltre – insieme alla supervisione indipendente di soggetti terzi come NCC Group, non sono ritenute sufficienti, è lecito domandarsi quale livello di tutela è considerato adeguato? Rammarica constatare che la DPC non abbia riconosciuto pienamente il valore sostanziale di queste protezioni.

Implicazioni di ampia portata

Questa decisione rischia di creare un precedente con conseguenze significative per aziende e interi settori in tutta Europa che operano su scala globale e rappresenta un duro colpo alla competitività dell’Unione Europea. Con il Progetto Clover, un’iniziativa volontaria da miliardi di euro, TikTok ha implementato una soluzione completa che offre tutele senza precedenti per i dati e la privacy degli utenti europei, garantendo al contempo la continuità dei flussi globali di dati e sostenendo l’innovazione.

In un momento in cui le imprese e le economie europee necessitano di innovazione, crescita e occupazione, riteniamo che l’UE dovrebbe accogliere e sostenere soluzioni come il Progetto Clover, quale strumento per facilitare flussi di dati sicuri tra l’UE e i Paesi non adeguati, garantendo al tempo stesso le protezioni più solide per la sicurezza e la privacy dei dati europei.