anonym.legal

By · Last updated 2026-06-05

Tornar al BlogGDPR i Compliment

DPC Ireland: 80% de les multes del GDPR de la UE

530 milions d'euros a TikTok, 310 milions a LinkedIn, 251 milions a Meta, tot des del DPC d'Irlanda. Aqui s'explica per que Irlanda allotja les seus de la UE de les grans tecnologiques i que significa l'aplicacio del DPC per al SaaS.

June 5, 20268 min llegit
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Per que Irlanda lidera l'aplicacio a la UE

La Comissio de Proteccio de Dades d'Irlanda (DPC) es l'autoritat principal per a la majoria de les grans empreses tecnologiques de la UE. Aixo no es un accident.

El baix tipus impositiu d'Irlanda va atreure Apple, Google, Meta, LinkedIn i TikTok. Totes van establir les seves principals oficines de la UE alla.

L'article 60 del GDPR converteix el DPC en l'autoritat principal per a aquestes empreses. D'aquesta norma es deriven tres consequencies.

Primera, una queixa a Alemanya sobre Facebook va al DPC irlands, no a la BfDI alemanya. Segona, el DPC treballa amb altres organismes de la UE en casos transfronterers. Tercera, una resolucio del DPC contra Meta s'aplica a tota la UE.

El resultat es clar. El DPC ha emis mes valor en multes que tots els altres organismes de la UE junts. Vegeu el nostre resum de compliment del GDPR sobre com aixo condiciona les decisions de proveïdors.

Tres multes que defineixen el 2024-2025

530 milions d'euros contra TikTok (maig del 2025): Enginyers xinesos van accedir a registres d'usuaris de la UE. Aixo va infringir els articles 44 a 46 del GDPR. Aquestes normes restringeixen les transferencies a pasos sense una resolucio d'adequacio de la UE. La Xina no en te cap. TikTok va afirmar que tenia controls adequats. El DPC va dir que no.

310 milions d'euros contra LinkedIn (octubre del 2024): LinkedIn es va recolzar en l'"interes legitim" per a l'analisi del comportament. El DPC va concloure que aixo era invalid. El tractament no era necessari per a la finalitat declarada. La prova d'equilibri no va afavorir LinkedIn.

251 milions d'euros contra Meta (novembre del 2024): La violacio de Facebook del 2018 no es va notificar al DPC a temps. El DPC tambe va concloure que els registres d'auditoria deficients feien impossible mesurar el que s'havia exposat.

Aquestes tres van unir-se a la multa anterior de 1.200 milions d'euros a Meta del maig del 2023. Aquella multa tambe va venir del DPC, per transferencies il.legals UE-EUA. Segueix sent la sancio del GDPR mes gran mai emesa.

El DPC va gestionar mes de 8.500 casos transfronterers el 2024. Consulteu la nostra pagina de seguretat i compliment per veure com el disseny de zero-coneixement aborda cada fallada.

El que revela cada multa

Fallades d'acces transfronterer

Les tres multes comparteixen un problema central. Els registres personals eren accessibles al personal de pasos sense normes de privacitat del nivell de la UE.

La multa a TikTok va ser directa. Els arxius d'usuaris de la UE van arribar a enginyers xinesos malgrat els controls declarats.

El que aixo implica per a la seleccio de proveïdors: Pregunteu si els enginyers no europeus poden accedir als registres d'usuaris de la UE en el treball normal. Un proveïdor pot tenir la seu a Dublin pero seguir exposant arxius de la UE a traves de personal de suport als EUA. Tenir seu a la UE sola no es suficient. La nostra guia de tractament d'entitats mostra com els controls d'acces es mapegen a l'article 46 del GDPR.

Fallades de base juridica

La multa a LinkedIn no es va deure a una violacio. Es va deure a com LinkedIn justificava el seu tractament.

L'"interes legitim" no es un dret general. Els responsables han de documentar una prova d'equilibri genuina. Aquesta prova ha de demostrar que el seu interes supera els drets de l'usuari. La nostra pagina de compliment cobreix com revisar les reclamacions de base juridica dels proveïdors.

Fallades de registre i notificacio

La multa de 251 milions d'euros a Meta va incloure una conclusio clau. Els registres d'auditoria deficients van fer impossible mesurar l'abast de la violacio.

L'article 33 del GDPR requereix notificacio de violacio en 72 hores. Aquesta notificacio ha d'incloure l'abast dels registres afectats. No podeu informar de l'abast que no podeu mesurar.

Preguntat als proveïdors potencials sobre l'estructura del seu registre d'auditoria. Si un proveïdor no pot respondre "quins registres van ser exposats?" despres d'un incident, falla l'article 33(3)(b).

El patro als casos del DPC

Analitzant les quatre grans multes del DPC apareix un patro. Els reguladors actuen contra els dissenys on els enginyers del proveïdor poden veure el contingut dels usuaris. Cada gran multa ha implicat un acces deficientment controlat als registres personals.

El disseny de zero-coneixement aborda la preocupacio central en cada cas. El contingut dels usuaris esta xifrat. El proveïdor no te claus de desxiframent.

Per als casos de transferencia de TikTok i Meta, els enginyers no europeus arriben al servidor pero nomes veuen text xifrat. No s'exposa cap registre llegible. Per al cas de violacio de Meta, un compromis complet del servidor no produeix res util. L'abast de la violacio es redueix. Per a LinkedIn, un proveïdor que mai veu text clar no pot executar analisi de comportament sobre ell.

Aquesta es la resposta directa a cada accio del DPC. Vegeu el nostre resum de seguretat per obtenir detalls, o la nostra declaracio del fundador sobre per que anonym.legal es va construir d'aquesta manera des del primer dia.

Que significa l'"establiment principal"

Algunes empreses orienten la seva estructura de la UE per controlar quina autoritat de proteccio de dades te jurisdiccio. El punt de vista del DPC es rellevant aqui.

"Establiment principal" no es nomes una adrecea de l'empresa. Es on se situa la gestio central de la UE. Per als responsables, es on es prenen les decisions sobre els objectius del tractament.

Una empresa amb un equip de privacitat a Londres pot no tenir cap establiment principal a la UE. Cada DPA de l'estat membre podria llavors exercir autoritat per a les queixes locals.

Preguntes de revisio de proveïdors

Utilitzeu aquestes preguntes quan avalueu proveïdors de SaaS que gestionen registres personals.

Jurisdiccio i acces:

  • On es l'establiment principal de la UE del proveïdor?
  • Pot el personal no europeu accedir als registres d'usuaris de la UE en el treball normal?
  • Esta la matriu del proveïdor subjecta a la CLOUD Act o a les lleis de seguretat de la Xina?

Disseny tecnic:

  • El contingut dels usuaris de la UE es queda als servidors allotjats a la UE?
  • El proveïdor te les claus de xifratge, o el client?
  • Els registres d'auditoria son prou detallats per mesurar l'abast d'una violacio?

Registres de transferencia:

  • Quin mecanisme de l'article 46 del GDPR cobreix els fluxos UE-EUA?
  • Ha fet el proveïdor una Avaluacio de l'impacte de la transferencia?
  • Quines mesures tecniques addicionals hi ha?

L'aplicacio del DPC es coherent en un punt. Fins i tot les empreses amb equips de privacitat i DPO s'enfronten a multes grans quan el seu disseny tecnic no correspon amb les seves afirmacions. Vegeu els nostres casos d'estudi i la nostra FAQ per a mes informacio.

anonym.legal utilitza servidors de Hetzner a la UE amb disseny de zero-coneixement. Els servidors nomes contenen text xifrat AES-256-GCM. Una violacio completa no exposa cap registre llegible. L'aplicacio d'escriptori processa tot el contingut al dispositiu sense connexions externes.

Fonts

Articles Relacionats

GDPR i Compliment

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i Compliment

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i Compliment

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.