La Sentenza di TikTok che ha Ridefinito la Sovranità dei Dati
Nel maggio 2025, la Commissione irlandese per la protezione dei dati ha emesso una multa di €530M GDPR contro TikTok per aver trasferito i dati degli utenti dell'UE in Cina senza adeguate garanzie.
La multa è ora la seconda più grande pena individuale GDPR mai emessa, superata solo dalla multa di €1.2B a Meta del 2023, anch'essa emessa dalla DPC irlandese, per trasferimenti illegali di dati UE-US ai server statunitensi di Facebook. Insieme, questi due casi stabiliscono un chiaro modello di applicazione: i trasferimenti di dati transfrontalieri senza adeguate garanzie sono un'area di applicazione prioritaria, e la DPC imporrà multe su scala tale da forzare un cambiamento comportamentale.
Con €5.65B in multe cumulative GDPR fino al 2025 (tracciatore di applicazione GDPR.eu), l'applicazione del GDPR non è più un rischio di conformità sullo sfondo — è un costo aziendale attivo che i regolatori stanno imponendo attivamente.
Cosa Ha Stabilito Effettivamente il Caso TikTok
Il caso TikTok non riguardava principalmente le pratiche di sicurezza o le violazioni dei dati. Riguardava la posizione dei dati e la base legale per i trasferimenti internazionali di dati.
Le operazioni di TikTok nell'UE memorizzavano e processavano i dati degli utenti dell'UE su server accessibili da dipendenti in Cina. Gli articoli 44-46 del GDPR limitano i trasferimenti internazionali di dati verso paesi senza una decisione di adeguatezza dell'UE a meno che non siano in atto meccanismi legali specifici. La Cina non ha una decisione di adeguatezza dell'UE. L'argomento di TikTok secondo cui aveva implementato misure tecniche adeguate non è stato accettato.
La lezione strutturale: "i nostri server sono nell'UE" non è sufficiente se i dati possono essere accessibili da personale al di fuori dell'UE, o se l'organizzazione è soggetta alle leggi di un paese con poteri di accesso statale che confliggono con il GDPR.
Questo è direttamente rilevante per le organizzazioni che valutano fornitori SaaS. Un fornitore che dice "ospitiamo nell'UE" ma la cui società madre ha sede negli Stati Uniti, o il cui personale di supporto ha accesso da fuori dell'UE, potrebbe affrontare la stessa sfida normativa che ha affrontato TikTok — e così potrebbero i loro clienti.
L'Immagine Cumulativa: €5.65B in Multe GDPR
| Azione di Applicazione | Multa | Anno | Motivi |
|---|---|---|---|
| Meta (Facebook) — DPC | €1.2B | 2023 | Trasferimenti illegali UE-US |
| TikTok — DPC | €530M | 2025 | Trasferimenti UE-Cina |
| Amazon — CNPD Lussemburgo | €746M | 2021 | Targeting pubblicitario |
| WhatsApp — DPC | €225M | 2021 | Fallimenti di trasparenza |
| Google — CNIL Francia | €150M | 2022 | Consenso sui cookie |
Il totale cumulativo di €5.65B fino al 2025 riflette una maturazione dell'applicazione del GDPR: i regolatori sono passati dall'istituzione di precedenti all'applicazione sistematica attraverso categorie di violazione. Le violazioni dei trasferimenti di dati sono ora la categoria con le multe più elevate, riflettendo le priorità normative.
Il Problema della Sanità Tedesca
Gli articoli 44-46 del GDPR si applicano in modo uniforme a tutti i settori, ma alcuni settori affrontano requisiti sovrani aggiuntivi oltre il GDPR.
Sanità tedesca: Il Codice Sociale Libro V (SGB V) limita l'elaborazione dei dati sanitari a sistemi controllati dalla Germania. Un'assicurazione sanitaria tedesca che utilizza uno strumento di anonimizzazione cloud ospitato a Dublino — che è tecnicamente nell'UE — potrebbe comunque non essere conforme al SGB V se l'operatore dello strumento è un'entità non tedesca con potenziali conflitti di legge tedesca.
Bancario svizzero: La legge sulla segretezza bancaria svizzera (Articolo 47 della Legge Bancaria) vieta la divulgazione di informazioni sui clienti a parti non autorizzate, inclusi i fornitori di servizi cloud non coperti da esplicito consenso del cliente. I dati dei clienti di una banca privata svizzera elaborati tramite qualsiasi strumento cloud — anche ospitato nell'UE — potrebbero attivare obblighi di segretezza bancaria.
Settore pubblico tedesco: Le linee guida del BfDI (Commissione Federale per la Protezione dei Dati) limitano i dati delle agenzie governative a infrastrutture controllate dal governo. Uno strumento di anonimizzazione ospitato sui server di un fornitore cloud commerciale dell'UE non soddisfa questo requisito.
Questi casi illustrano che la conformità al GDPR è il pavimento, non il soffitto. Per le industrie regolamentate e le organizzazioni del settore pubblico, i requisiti sovrani sui dati impongono frequentemente restrizioni aggiuntive che vanno oltre la posizione di hosting.
Il Panorama delle Decisioni di Adeguatezza
Il quadro dei trasferimenti internazionali del GDPR dipende dalla Commissione Europea che emette "decisioni di adeguatezza" per i paesi ritenuti fornire una protezione dei dati equivalente. L'attuale panorama di adeguatezza:
Paesi con decisioni di adeguatezza: Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Corea del Sud, Svizzera, Regno Unito, Uruguay, USA (Data Privacy Framework — ripristinato dopo l'invalidazione di Schrems II)
Paesi senza adeguatezza: Cina, India, Russia, Brasile, la maggior parte dell'APAC, la maggior parte del MENA, la maggior parte dell'Africa
Il Data Privacy Framework (UE-US) è stato ripristinato dopo negoziati politici, ma rimane legalmente contestato. Gli attivisti per la privacy hanno già segnalato sfide legali basate su argomenti di legge sulla sorveglianza statunitense che hanno invalidato i suoi predecessori (Safe Harbor in Schrems I, Privacy Shield in Schrems II).
Le organizzazioni che si affidano al Data Privacy Framework UE-US come base legale per l'elaborazione dei dati ospitati negli Stati Uniti dovrebbero avere piani di emergenza per un'altra invalidazione.
Come i Requisiti di Sovranità dei Dati Si Traducano nella Selezione degli Strumenti
L'immagine cumulativa di TikTok, Meta e il quadro normativo sottostante crea una gerarchia di garanzia di conformità per la selezione degli strumenti SaaS:
Livello 1 — Ospitalità nell'UE: I dati vengono elaborati e memorizzati su server fisicamente situati nell'UE. Questo soddisfa il requisito di base del GDPR per i dati che non richiedono protezione a livello sovrano.
Livello 2 — Operatore con sede nell'UE: L'entità controllante del fornitore ha sede nell'UE e non è soggetta alle leggi di un paese non adeguato. Questo affronta il problema di TikTok in cui l'ospitalità nell'UE era abbinata all'esposizione alle leggi cinesi per l'entità madre.
Livello 3 — Architettura a conoscenza zero: Anche se il fornitore viene violato, costretto dalle forze dell'ordine, o obbligato a produrre dati da un governo straniero, non possono accedere ai dati in chiaro perché le chiavi di crittografia sono detenute esclusivamente dal cliente. Questo affronta lo scenario in cui anche un fornitore pienamente conforme al GDPR riceve una richiesta legale.
Livello 4 — Elaborazione locale: I dati non lasciano mai l'infrastruttura dell'organizzazione. L'elaborazione avviene su hardware locale o sistemi controllati dal governo. Questo è l'unico approccio che soddisfa pienamente il SGB V tedesco, la segretezza bancaria svizzera, i requisiti del settore pubblico BfDI e simili mandati sovrani sui dati.
La Conseguenza Pratica per le DPIA GDPR
Le Valutazioni d'Impatto sulla Protezione dei Dati (DPIA) richieste ai sensi dell'Articolo 35 del GDPR per l'elaborazione ad alto rischio devono includere una valutazione dell'impatto del trasferimento quando i dati vengono condivisi con elaboratori di paesi terzi. Dopo la sentenza di TikTok, le DPIA per gli strumenti di anonimizzazione basati su cloud devono affrontare esplicitamente:
-
Giurisdizione della società madre: La società madre del fornitore è soggetta a leggi (CLOUD Act, legge sulla cybersicurezza cinese, ecc.) che potrebbero richiedere la produzione di dati dei clienti dell'UE?
-
Accesso del personale di supporto: Il personale di supporto o ingegneria in paesi non adeguati ha accesso ai dati dei clienti dell'UE come parte delle operazioni normali?
-
Base legale per i trasferimenti: Quale specifico meccanismo dell'Articolo 46 del GDPR si applica a qualsiasi flusso di dati verso paesi non adeguati (SCC, BCR, deroghe)?
-
Analisi dell'impatto della violazione: Se il fornitore viene violato o costretto a produrre dati, quali dati dei clienti dell'UE sarebbero esposti?
Per le organizzazioni che utilizzano strumenti di anonimizzazione basati su cloud, queste domande hanno risposte concrete che devono essere documentate. La sentenza di TikTok ha dimostrato che "abbiamo contratti in atto" non è sufficiente se quei contratti non sono stati adeguatamente valutati per l'adeguatezza.
Cosa Significa Questo per gli Appalti del 2026
Dopo la sentenza di TikTok, i DPO che esaminano i fornitori SaaS per strumenti di elaborazione dei dati stanno ponendo domande più specifiche rispetto al passato:
- Dove si trovano i server? (UE?)
- Dove è incorporata la società madre? (UE? USA? Altro?)
- I dipendenti non UE hanno accesso ai dati dei clienti dell'UE?
- Quale legge si applica alle richieste di dati delle forze dell'ordine?
- Esiste un'architettura a conoscenza zero, o il fornitore detiene le chiavi di crittografia?
- Esiste un'opzione di elaborazione locale?
Le risposte a queste domande — non la presenza di firme DPA — determinano la reale conformità alla sovranità dei dati nell'ambiente normativo post-TikTok.
La piattaforma web di anonym.legal utilizza centri dati Hetzner con sede nell'UE con architettura a conoscenza zero — il server non riceve mai dati dei clienti non crittografati, e un compromesso completo del server produce solo testo cifrato AES-256-GCM. Per le organizzazioni che richiedono elaborazione solo locale, l'App Desktop elabora tutti i dati sul dispositivo senza comunicazione di rete esterna.
Fonti: