anonym.legal

By · Last updated 2026-03-06

Torna al BlogGDPR e Conformità

Multa TikTok da €530M: La Sovranità dei Dati nel GDPR

La multa GDPR da €530M a TikTok per i trasferimenti di dati UE-Cina segna una nuova era nell'applicazione della sovranità dei dati. Con €5,65 miliardi di sanzioni totali GDPR, la scelta del fornitore è ora una decisione regolamentare.

March 6, 20269 min di lettura
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

La Sentenza TikTok che ha Cambiato la Sovranità dei Dati

Aggiornato per il 2026

Nel maggio 2025, la Commissione irlandese per la protezione dei dati ha multato TikTok di €530 milioni. Il motivo era semplice. TikTok aveva trasferito informazioni di utenti UE in Cina senza le adeguate garanzie.

Questa è la seconda sanzione singola più alta mai inflitta ai sensi del GDPR. Solo la multa da €1,2 miliardi a Meta del 2023 è superiore. Anche quella era stata emessa dalla DPC irlandese — per aver trasferito i dati degli utenti UE ai server statunitensi di Facebook.

Entrambi i casi condividono uno schema chiaro. I trasferimenti transfrontalieri senza adeguate garanzie attirano le sanzioni più elevate. Le autorità di regolamentazione continueranno a fare pressione finché le aziende non cambieranno.

Le sanzioni GDPR totali hanno raggiunto €5,65 miliardi fino al 2025. L'enforcement non è più un rischio di fondo. È un costo attivo di fare business. Consulta la nostra guida alla conformità GDPR per una panoramica pratica.

Cosa ha Deciso il Caso TikTok

Questo caso non riguardava una violazione. Riguardava dove vanno i file degli utenti e la base giuridica per spostarli attraverso le frontiere.

TikTok memorizzava i file degli utenti UE su server. Il personale in Cina poteva accedere a quei server. Gli articoli 44-46 del GDPR limitano i trasferimenti a paesi privi di una decisione di adeguatezza UE. La Cina non ha tale decisione. TikTok affermava di avere misure tecniche adeguate. Le autorità di regolamentazione hanno detto no.

La lezione è semplice. Ospitare nell'UE non è sufficiente se il personale al di fuori dell'UE può accedere ai file. Non è sufficiente nemmeno se l'azienda deve rispettare le leggi di un paese non adeguato.

Questo è rilevante quando si scelgono i fornitori SaaS. Un fornitore potrebbe dichiarare "ospitiamo nell'UE". Ma se la società madre ha sede altrove, lo stesso rischio si applica. Se il personale di supporto accede ai file degli utenti dall'esterno dell'UE, lo stesso rischio si applica. Anche i loro clienti condividono quel rischio. Consulta la nostra checklist di allineamento alla conformità prima di firmare un DPA.

Sanzioni GDPR: €5,65 Miliardi e Contando

Azione di enforcementSanzioneAnnoMotivi
Meta (Facebook) — DPC€1,2 mld2023Trasferimenti UE-USA illegali
TikTok — DPC€530M2025Trasferimenti UE-Cina
Amazon — CNPD Lussemburgo€746M2021Targeting pubblicitario
WhatsApp — DPC€225M2021Mancanza di trasparenza
Google — CNIL Francia€150M2022Consenso ai cookie

Le autorità di regolamentazione sono passate dall'impostare regole all'applicarle. Le violazioni dei trasferimenti attirano ora le sanzioni più elevate. Scopri come gestiamo sicurezza e garanzie.

Germania, Svizzera e Normative di Settore

Gli articoli 44-46 del GDPR si applicano a tutti i settori. Ma alcuni settori affrontano regole aggiuntive oltre al GDPR.

Sanità tedesca: Il Libro V del Codice Sociale (SGB V) limita i documenti sanitari ai sistemi controllati dalla Germania. Un assicuratore tedesco potrebbe usare uno strumento cloud di de-identificazione a Dublino — che è nell'UE. Ma potrebbe comunque violare l'SGB V se il proprietario dello strumento è un'azienda non tedesca.

Banche svizzere: L'articolo 47 della Legge bancaria vieta la condivisione di documenti dei clienti con parti esterne. Ciò include i fornitori cloud senza esplicito consenso del cliente. I file dei clienti di una banca svizzera, anche in uno strumento ospitato nell'UE, potrebbero attivare questa legge.

Settore pubblico tedesco: Le linee guida del BfDI limitano i documenti governativi ai sistemi gestiti dal governo. Uno strumento di de-identificazione su server UE di un fornitore cloud commerciale non soddisfa questo standard.

La lezione: la conformità al GDPR è il minimo, non il massimo. Molti settori affrontano regole più stringenti. La nostra panoramica sull'elaborazione delle entità mappa quali regole si applicano per settore.

Chi Ha una Decisione di Adeguatezza?

Il GDPR consente lo scambio libero di informazioni sugli utenti tra paesi se la Commissione europea dichiara che forniscono una protezione equivalente. Questi paesi sono qualificati:

Andorra, Argentina, Canada (gruppi commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Corea del Sud, Svizzera, Regno Unito, Uruguay e USA (Data Privacy Framework).

Questi paesi non sono qualificati: Cina, India, Russia, Brasile, la maggior parte dell'Asia-Pacifico, la maggior parte del Medio Oriente, la maggior parte dell'Africa.

Il Data Privacy Framework UE-USA è tornato in vigore. Ma è ancora contestato in tribunale. Le stesse argomentazioni giuridiche hanno abbattuto il Safe Harbor (Schrems I) e il Privacy Shield (Schrems II). Le aziende che utilizzano questo framework dovrebbero pianificare per un'altra invalidazione.

Quattro Livelli di Protezione per la Valutazione degli Strumenti

I casi TikTok e Meta creano una classifica chiara per la valutazione degli strumenti SaaS.

Livello 1 — Hosting UE: Le informazioni degli utenti vengono elaborate e archiviate su server UE. Questo soddisfa la base GDPR per la maggior parte dei casi d'uso.

Livello 2 — Operatore con sede nell'UE: La società madre del fornitore ha sede nell'UE. Non è soggetta alle leggi di paesi non adeguati. Questo risolve il problema TikTok. Hosting UE abbinato a esposizione legale cinese per la società madre non è sicuro.

Livello 3 — Design zero-knowledge: Anche se il fornitore viene violato o riceve un ordine del tribunale, non può leggere i tuoi file. Detieni le chiavi di crittografia. Loro detengono solo testo cifrato. Leggi il nostro approccio zero-knowledge.

Livello 4 — Elaborazione locale: I tuoi documenti non lasciano mai i tuoi sistemi. L'elaborazione avviene su hardware locale o macchine controllate dal governo. Questo è l'unico modo per soddisfare pienamente l'SGB V tedesco, il segreto bancario svizzero e le regole del BfDI. Consulta i nostri piani tariffari per le opzioni dell'App Desktop.

DPIA Dopo TikTok

L'articolo 35 del GDPR richiede una Valutazione d'Impatto sulla Protezione dei Dati per l'elaborazione ad alto rischio. Si chiama DPIA. Quando i file degli utenti vengono trasmessi a processori di paesi terzi, è necessaria anche una valutazione d'impatto del trasferimento.

Dopo TikTok, le DPIA per gli strumenti cloud di cancellazione devono rispondere a quattro domande.

Giurisdizione della società madre: La società madre del fornitore è soggetta a leggi — Cloud Act, legge cinese sulla cybersicurezza — che potrebbero costringerla a consegnare file di utenti UE?

Accesso del personale: Il personale in paesi non adeguati accede ai file di utenti UE nelle operazioni normali?

Base giuridica: Quale meccanismo dell'articolo 46 del GDPR copre eventuali trasferimenti — SCC, BCR o deroghe?

Impatto di una violazione: Se il fornitore viene violato o costretto a consegnare documenti, cosa viene esposto?

TikTok ha dimostrato che i contratti da soli non sono sufficienti. Devi valutarli per adeguatezza. Documenta le tue risposte. Sfoglia le nostre FAQ per domande comuni sulle DPIA.

Le Domande di Procurement del 2026

I DPO pongono ora domande molto specifiche quando valutano i fornitori SaaS per gli strumenti di elaborazione di informazioni personali.

  • Dove sono situati i server? (UE?)
  • Dove ha sede la società madre? (UE? USA? Altro?)
  • Il personale non UE accede ai file dei clienti UE?
  • Quale legge disciplina gli ordini del tribunale per i documenti personali?
  • Il fornitore detiene le chiavi di crittografia, o le detieni tu?
  • Esiste un'opzione di elaborazione locale?

Le risposte a queste domande — non le sole firme sui DPA — determinano il vero allineamento alla sovranità. Scopri come anonym.legal è stata costruita per rispondere a tutte nella nostra dichiarazione del fondatore. Puoi anche sfogliare il nostro glossario dei termini chiave per definizioni rapide di SCC, BCR e decisioni di adeguatezza.

Il contesto post-TikTok è chiaro. Le autorità di regolamentazione monitorano da vicino i trasferimenti transfrontalieri. Le sanzioni sono elevate. Sono in aumento. La scelta del fornitore è ora una decisione regolamentare. Non è solo tecnica.

anonym.legal utilizza data center Hetzner con sede nell'UE con design zero-knowledge. Il server non vede mai il tuo contenuto in chiaro. Una violazione completa del server produce solo testo cifrato AES-256-GCM. Hai bisogno di elaborazione solo locale? L'App Desktop gira interamente sul tuo dispositivo senza connessioni esterne.

Fonti

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.