TikTok e altre aziende tecnologiche cinesi accusate di trasferire dati europei in Cina

China flag and EU flag on cloudy sky. Waving in the sky
(Immagine:: Shutterstock / Andy.LIU)

TikTok è tra le sei aziende tecnologiche cinesi denunciate per aver trasferito dati personali degli utenti europei in Cina, in violazione delle normative europee sui trasferimenti di dati.

La legge dell’Unione Europea stabilisce chiaramente, come sottolineato dal gruppo austriaco per la difesa della privacy None of Your Business (noyb) in un post sul blog, che i trasferimenti di dati verso Paesi extra-UE sono consentiti solo se la nazione di destinazione garantisce un livello di protezione dei dati adeguato.

"Poiché la Cina è uno Stato autoritario con un sistema di sorveglianza pervasivo, è evidente che non può garantire gli stessi standard di protezione dei dati dell’UE. Il trasferimento dei dati personali degli europei è chiaramente illegale e deve essere fermato immediatamente", ha dichiarato Kleanthi Sardeli, avvocato esperto di protezione dei dati per noyb.

Oltre a TikTok, noyb ha presentato denunce relative al GDPR in cinque Paesi contro AliExpress, SHEIN, Temu, WeChat e Xiaomi, accusandole di trasferire illegalmente dati personali in Cina, in violazione delle normative europee.

Il pericolo dei trasferimenti di dati

Le normative del GDPR stabiliscono che i trasferimenti di dati al di fuori dell'Europa devono avvenire solo in circostanze eccezionali e a condizione che siano rispettati rigorosi requisiti di protezione. Le aziende sono obbligate a condurre una valutazione d'impatto per assicurarsi che i dati degli utenti europei siano protetti, tenendo conto delle leggi del Paese di destinazione che potrebbero consentire alle autorità di accedere a tali informazioni.

La Cina, tuttavia, non soddisfa questi requisiti. Le sue leggi sulla protezione dei dati sono note per non porre alcun limite significativo all'accesso delle autorità statali ai dati sensibili. Un esempio chiaro di questa situazione emerge dai rapporti sulla trasparenza di Xiaomi, in cui si evidenzia come le autorità cinesi possano ottenere un accesso praticamente illimitato ai dati degli utenti.

"Le aziende cinesi sono obbligate a rispondere alle richieste governative di accesso ai dati", ha spiegato Kleanthi Sardeli, avvocato specializzato in protezione dei dati presso noyb. "Questo implica che i dati personali degli utenti europei rimangono esposti a rischi ogni volta che vengono trasferiti all'estero".

Gli esperti hanno evidenziato che per gli utenti europei, così come per altri utenti stranieri, è quasi impossibile esercitare i propri diritti sulla privacy in base alle leggi cinesi. Secondo quanto riportato da noyb, alcune richieste di accesso ai dati personali presentate da utenti europei ai sensi dell’articolo 15 del GDPR sono state ignorate dalle aziende coinvolte.

Tra queste, quattro (AliExpress, SHEIN, TikTok e Xiaomi) dichiarano chiaramente nelle loro politiche sulla privacy di trasferire i dati personali degli utenti europei in Cina. Temu e WeChat, invece, accennano solo in modo vago al trasferimento verso “Paesi terzi”.

Per questo motivo, noyb ha presentato sei denunce per violazione del capitolo V del GDPR il 16 gennaio 2025, chiedendo alle autorità di protezione dei dati di cinque Paesi europei di intervenire per bloccare immediatamente i trasferimenti di dati verso la Cina. I Paesi interessati sono Grecia (TikTok e Xiaomi), Italia (SHEIN), Belgio (AliExpress), Paesi Bassi (WeChat) e Austria (Temu).

Proprio in virtù di questo, aziende come nel caso di Xiaomi, hanno prontamente rilasciato delle comunicazioni ufficiali, che vi riportiamo di seguito: 

"Siamo a conoscenza di un reclamo presentato da un'organizzazione no-profit a un'autorità nazionale per la protezione dei dati in Europa e stiamo esaminando le accuse in esso contenute. Il rispetto della privacy degli utenti è sempre stato uno dei valori fondamentali di Xiaomi, che comprende trasparenza, responsabilità, controllo da parte dell'utente, sicurezza e conformità legale. La nostra informativa sulla privacy è sviluppata per rispettare le normative applicabili, come il GDPR. Conformandoci alle leggi e ai regolamenti locali vigenti nei mercati in cui Xiaomi opera, i dati degli utenti vengono archiviati e trattati in conformità con le normative locali. Qualora un'autorità nazionale per la protezione dei dati dovesse contattare Xiaomi in futuro in relazione a questo reclamo, collaboreremo pienamente con l'autorità per risolvere la questione."

Questa vicenda rappresenta un ulteriore avvertimento sui rischi legati alla raccolta dei dati personali. Gli utenti sono invitati a essere cauti nel condividere informazioni con app cinesi o altri servizi online. È fondamentale limitare il più possibile la condivisione dei propri dati, controllare attentamente i permessi concessi alle app e utilizzare strumenti di sicurezza, come le app VPN, per navigare online in modo sicuro e proteggere la propria privacy.

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.