Comisia irlandeză pentru protecția datelor (DPC) a impus o amendă de 530 de milioane de euro companiei ByteDance, deținătoarea TikTok, pentru încălcarea legislației europene privind protecția datelor (GDPR). Autoritatea a constatat că platforma a transferat datele utilizatorilor europeni în China fără a putea garanta protecția acestora împotriva accesului autorităților chineze.
Sancțiunea, confirmată vineri, este a treia cea mai mare aplicată vreodată pentru o încălcare a GDPR. Pe lângă amendă, DPC a impus TikTok un termen de șase luni pentru a opri toate transferurile ilegale de date.
Deși TikTok a susținut, pe durata investigației de patru ani, că nu stochează date ale utilizatorilor din Spațiul Economic European (SEE) pe servere din China, compania a recunoscut în februarie că „o cantitate limitată” de astfel de date a fost totuși stocată acolo, contrazicând declarațiile anterioare făcute autorităților de reglementare.
„Comisia ia foarte în serios aceste evoluții recente privind stocarea datelor SEE pe servere din China,” a declarat Graham Doyle, comisar adjunct al DPC. Deși TikTok a informat că datele respective au fost ulterior șterse, DPC analizează posibilitatea unor măsuri suplimentare în consultare cu alte autorități europene.
Între 2020 și 2022, TikTok nu și-a informat utilizatorii că datele lor erau transferate în afara UE. Compania a adus modificări politicii de confidențialitate în 2022, iar în prezent îndeplinește cerințele de transparență. Totuși, lipsa informării în perioada anterioară a dus la o amendă de 45 de milioane de euro, iar transferurile de date au generat restul de 485 de milioane.
„Transferurile de date către China au încălcat GDPR deoarece TikTok nu a reușit să verifice, să garanteze și să demonstreze că datele personale ale utilizatorilor SEE, accesate de angajați din China, beneficiază de același nivel de protecție ca în UE,” a explicat Doyle. Evaluările necesare privind legislația chineză, inclusiv cele privind antiterorismul și contraspionajul, nu au fost efectuate corespunzător, ceea ce a amplificat riscul de acces neautorizat.
TikTok a transmis că nu este de acord cu decizia și intenționează să o conteste. Compania afirmă că autoritățile chineze nu au solicitat niciodată date ale utilizatorilor europeni și că nu a furnizat astfel de informații. De asemenea, susține că DPC nu a luat în considerare în totalitate inițiativa Project Clover, lansată în 2023, care include măsuri de protecție suplimentare, cum ar fi centrele de date europene.
Totuși, DPC a menționat că a ținut cont de modificările aduse prin Clover, dar decizia reflectă încălcările petrecute anterior.
Aceasta nu este prima sancțiune aplicată TikTok de către autoritatea irlandeză. În 2023, compania a fost amendată cu 368 milioane de dolari pentru că nu a protejat datele utilizatorilor cu vârste între 13 și 17 ani. Alte investigații în curs vizează posibile eșecuri în prevenirea interferenței externe în alegeri, verificarea vârstei și funcționalitatea algoritmilor, precum și lansarea aplicației TikTok Lite fără o evaluare a riscurilor în Franța și Spania.
