TikTok a fost lovită cu o amendă uriașă de 530 de milioane de euro, aplicată de autoritatea irlandeză de protecție a datelor (DPC), pentru că a permis transferul datelor utilizatorilor din Uniunea Europeană către China fără a garanta un nivel de protecție conform cu legislația europeană. Suma reprezintă una dintre cele mai mari penalizări impuse până acum în baza regulamentului GDPR, iar cazul a fost investigat întrucât sediul european al companiei se află în Irlanda.
Conform anchetei, datele utilizatorilor din Spațiul Economic European au fost accesate de angajați din China fără ca TikTok să demonstreze că informațiile sunt protejate împotriva eventualului acces din partea autorităților chineze. Legile din China, mai ales cele legate de contraspionaj și combaterea terorismului, permit un nivel de intruziune care contravine standardelor UE privind confidențialitatea. Problema majoră identificată de DPC nu este doar stocarea datelor, ci lipsa garanțiilor clare că informațiile personale ale europenilor nu pot fi interceptate de statul chinez.
TikTok a susținut inițial că nu stochează datele europenilor pe servere din China, dar în februarie a recunoscut că „o cantitate limitată” de date a fost, totuși, salvată acolo – contrazicând astfel declarațiile anterioare făcute autorităților. Ulterior, compania a transmis că datele respective au fost șterse. Însă pentru DPC, faptul că transferul a avut loc și că platforma nu a fost transparentă în legătură cu aceste practici reprezintă o încălcare gravă a regulamentului.
TikTok contestă decizia și afirmă că aceasta nu reflectă măsurile de securitate implementate între timp. Compania spune că ancheta se referă la o perioadă anterioară lansării Project Clover, o inițiativă de 12 miliarde de euro prin care datele europene sunt acum stocate în centre de date din UE, sub supravegherea unei firme europene independente. Oficialii TikTok insistă că nu au primit niciodată cereri de la autoritățile chineze și că nu au furnizat datele utilizatorilor europeni guvernului de la Beijing.
Pe lângă amendă, DPC i-a dat companiei un termen de șase luni pentru a-și alinia practicile la normele GDPR, altfel riscă suspendarea totală a transferurilor de date către China, inclusiv a celor realizate prin acces de la distanță de către personalul din China. Decizia ridică și o problemă mai largă, cu implicații pentru toate companiile internaționale care folosesc același tip de clauze contractuale standard (SCC) pentru transferul datelor, aducând în prim-plan întrebarea: cum se pot asigura utilizatorii că datele lor nu scapă de sub control, chiar și în era promisiunilor de securitate?
