anonym.legal

By · Last updated 2026-03-06

Tornar al BlogGDPR i Compliment

Multa de 530 M EUR a TikTok: sobirania de dades i RGPD

La multa de 530 M EUR al TikTok per transferencies de dades entre la UE i la Xina marca una nova era en l'aplicacio de la sobirania de dades. Amb 5.650 M EUR en sancions RGPD acumulades fins al 2025.

March 6, 20269 min llegit
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

La resolucio de TikTok que va canviar la sobirania de dades

Actualitzat per al 2026

El maig del 2025, la Comissio de Proteccio de Dades d'Irlanda va multar TikTok amb 530 milions d'euros. El motiu era senzill. TikTok va enviar informacio d'usuaris de la UE a la Xina sense les salvaguardes adequades.

Aquesta es la segona sancio individual del RGPD mes gran mai imposada. Nomes la multa de 1.200 milions d'euros a Meta del 2023 es mes gran. La DPC d'Irlanda tambe la va emetre -- per enviar registres de la UE als servidors de Facebook als EUA.

Ambdos casos comparteixen un patro clar. Les transferencies transfrontereres sense salvaguardes adequades generen les multes mes elevades. Els reguladors continuaran pressionant fins que les empreses canviin.

El total de multes del RGPD va arribar als 5.650 milions d'euros fins al 2025. L'aplicacio ja no es un risc de segon pla. Es un cost actiu de fer negoci. Vegeu la nostra guia de conformitat RGPD per a una visio practica.

Que va decidir el cas TikTok

Aquest cas no tractava d'una bretxa. Tractava d'on van les dades dels usuaris i la base juridica per moure-les transfronteres.

TikTok emmagatzemava fitxers d'usuaris de la UE en servidors. El personal de la Xina podia accedir a aquells servidors. Els articles 44-46 del RGPD restringeixen les transferencies a paisos sense una decisio d'adequacio de la UE. La Xina no en te. TikTok va dir que tenia mesures tecniques adequades. Els reguladors van dir que no.

La llico es simple. Allotjar a la UE no es suficient si el personal fora de la UE pot accedir als fitxers. Tampoc es suficient si l'empresa ha de complir lleis d'un pais no adequat.

Aixo importa quan trieu proveïdors SaaS. Un proveidor pot dir "allotgem a la UE". Pero si la seva empresa mare te la seu en un altre lloc, s'aplica el mateix risc. Si el seu personal de suport accedeix als fitxers d'usuaris des de fora de la UE, s'aplica el mateix risc. Els seus clients comparteixen tambe aquest risc. Reviseu la nostra llista de verificacio d'alineament de conformitat abans de signar un DPA.

Multes RGPD: 5.650 milions d'euros i seguint

Accio d'aplicacioMultaAnyMotiu
Meta (Facebook) -- DPC1.200 M EUR2023Transferencies il-legals UE-EUA
TikTok -- DPC530 M EUR2025Transferencies UE-Xina
Amazon -- CNPD Luxemburg746 M EUR2021Orientacio publicitaria
WhatsApp -- DPC225 M EUR2021Fallades de transparencia
Google -- CNIL Franca150 M EUR2022Consentiment de cookies

Els reguladors han passat de fixar normes a aplicar-les. Les infraccions de transferencia ara generen les multes mes grans. Vegeu com gestionem la seguretat i les salvaguardes.

Alemanya, Suissa i les normes sectorials

Els articles 44-46 del RGPD s'apliquen a tots els sectors. Pero algunes industries afronten normes addicionals a mes del RGPD.

Sanitat alemanya: El Codi Social V (SGB V) limita els documents sanitaris a sistemes sota control alemany. Una asseguradora alemanya pot utilitzar una eina de desidentificacio en el nuvol a Dublin -- aixo es la UE. Pero pot seguir incomplint el SGB V si el propietari de l'eina es una empresa no alemanya.

Banca suissa: L'article 47 de la Llei Bancaria prohibeix compartir documents de clients amb tercers. Aixo inclou proveïdors de nuvol sense el consentiment expres del client. Els fitxers de clients d'un banc suiss, fins i tot en una eina allotjada a la UE, poden activar aquesta llei.

Sector public alemany: Les orientacions del BfDI limiten els documents governamentals als sistemes governamentals. Una eina de desidentificacio en servidors de la UE d'un proveidor de nuvol comercial no compleix aquest estandard.

La llico: l'alineament amb el RGPD es el minim, no el maxim. Molts sectors afronten normes mes estrictes. La nostra visio general del processament d'entitats indica quines normes s'apliquen per sector.

Qui te una decisio d'adequacio?

El RGPD permet als paisos intercanviar informacio d'usuaris lliurement si la Comissio Europea diu que proporcionen una proteccio equivalent. Aquests paisos qualifiquen:

Andorra, Argentina, Canada (grups comercials), Illes Feroer, Guernsey, Israel, Illa de Man, Japo, Jersey, Nova Zelanda, Corea del Sud, Suissa, el Regne Unit, l'Uruguai i els EUA (Marc de Privacitat de Dades).

Aquests paisos no qualifiquen: la Xina, l'India, Russsia, el Brasil, la majoria de l'Asia-Pacific, la majoria del Mig Orient, la majoria d'Africa.

El Marc de Privacitat de Dades UE-EUA esta novament en vigor. Pero continua sent impugnat davant els tribunals. Els mateixos arguments juridics van acabar amb el Safe Harbor (Schrems I) i el Privacy Shield (Schrems II). Les empreses que utilitzen aquest marc haurien de planificar per a una altra invalidacio.

Quatre nivells de proteccio per a la seleccio d'eines

Els casos TikTok i Meta creen una classificacio clara per a l'avaluacio d'eines SaaS.

Nivell 1 -- Allotjament a la UE: La informacio dels usuaris es processa i s'emmagatzema en servidors de la UE. Aixo compleix la linia de base del RGPD per a la majoria de casos d'us.

Nivell 2 -- Operador de la UE: La empresa mare del proveidor te la seu a la UE. No esta subjecta a les lleis de paisos no adequats. Aixo soluciona el problema de TikTok. L'allotjament a la UE combinat amb l'exposicio a la llei xinesa per a la empresa mare no es segur.

Nivell 3 -- Disseny de zero coneixement: Fins i tot si el proveidor es piratejat o rep una ordre judicial, no pot llegir els vostres fitxers. Vosaltres teniu les claus de xifratge. Ells nomes tenen text xifrat. Llegiu sobre el nostre enfocament de zero coneixement.

Nivell 4 -- Processament local: Els vostres documents mai surten dels vostres propis sistemes. El processament s'executa en maquinari local o maquines controlades pel govern. Aquesta es l'unica manera de complir completament el SGB V alemany, el secret bancari suiss i les normes BfDI. Vegeu els nostres plans de preus per a les opcions de l'aplicacio d'escriptori.

AIPDs despres de TikTok

L'article 35 del RGPD requereix una Avaluacio d'Impacte sobre la Proteccio de Dades per al processament d'alt risc. Es diu AIPD. Quan els fitxers d'usuaris van a processadors de tercers paisos, tambe necessiteu una avaluacio d'impacte de la transferencia.

Despres de TikTok, les AIPDs per a eines de redaccio en el nuvol han de respondre quatre preguntes.

Jurisdiccio de la empresa mare: Esta la empresa mare del proveidor subjecta a lleis -- Llei CLOUD, llei de ciberseguretat xinesa -- que podrien obligar-la a lliurar fitxers d'usuaris de la UE?

Acces del personal: El personal de paisos no adequats accedeix als fitxers d'usuaris de la UE en les operacions normals?

Base juridica: Quin mecanisme de l'article 46 del RGPD cobreix qualsevol transferencia -- CCE, Normes Corporatives Vinculants o derogacions?

Impacte d'una bretxa: Si el proveidor es piratejat o se li obliga a lliurar documents, que queda exposat?

TikTok va demostrar que els contractes per si sols no son suficients. Heu d'avaluar-los per adequacio. Documenteu les vostres respostes. Navegueu per les nostres Preguntes Frequents per a preguntes comunes sobre AIPDs.

Preguntes de contractacio per al 2026

Els DPO ara fan preguntes molt especifiques quan revisin proveïdors SaaS per a eines de processament d'informacio personal.

  • On estan els servidors? (UE?)
  • On te la seu la empresa mare? (UE? EUA? Altres?)
  • El personal de fora de la UE accedeix als fitxers de clients de la UE?
  • Quina llei regeix les ordres judicials per a documents personals?
  • El proveidor te les claus de xifratge, o les teniu vosaltres?
  • Hi ha una opcio de processament local?

Les respostes a aquestes preguntes -- no nomes les signatures del DPA -- determinen l'alineament real amb la sobirania. Aprendre com anonym.legal va ser construida per respondre-les totes a la nostra declaracio del fundador. Tambe podeu navegar pel nostre glossari de termes clau per a definicions rapides de CCE, Normes Corporatives Vinculants i decisions d'adequacio.

L'entorn post-TikTok es clar. Els reguladors vigilen de prop les transferencies transfrontereres. Les multes son grans. I van creixent. La vostra eleccio de proveidor es ara una decisio regulatoria. No es nomes una decisio tecnica.

anonym.legal utilitza centres de dades de Hetzner a la UE amb disseny de zero coneixement. El servidor mai veu el vostre contingut en text clar. Una violacio completa del servidor nomes produeix text xifrat AES-256-GCM. Necessiteu processament exclusivament local? L'aplicacio d'escriptori s'executa completament al vostre dispositiu sense connexions externes.

Fonts

Articles Relacionats

GDPR i Compliment

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i Compliment

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i Compliment

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.