TikTok, platforma deținută de gigantul chinez ByteDance, a primit o sancțiune record de 530 de milioane de euro din partea Comisiei Irlandeze pentru Protecția Datelor (DPC), pentru transferul datelor personale ale utilizatorilor europeni către China, fără a asigura un nivel adecvat de protecție, conform normelor GDPR, scrie The Irish Times.
Ce a descoperit autoritatea de reglementare
Investigația declanșată de DPC a scos la iveală că TikTok a permis accesul angajaților din China la datele utilizatorilor din Spațiul Economic European (SEE), fără a demonstra că aceste informații beneficiază de același nivel de protecție ca în Uniunea Europeană.
TikTok nu a evaluat în mod corespunzător riscurile ca autoritățile din China să poată accesa datele personale ale utilizatorilor europeni, în baza unor legi naționale, precum cele privind anti-terorismul și contraspionajul, care sunt semnificativ mai puțin stricte decât standardele impuse de Uniunea Europeană, a spus Graham Doyle, vicepreședinte al DPC. Cu alte cuvinte, platforma nu a putut garanta că aceste date nu pot fi accesate abuziv de statul chinez.
Deși inițial compania a susținut că nu stochează datele europenilor în China, a recunoscut ulterior că „un volum limitat” de date a fost totuși salvat acolo și apoi șters.
TikTok se apără: „Datele sunt mai bine protejate ca oricând”
TikTok a reacționat rapid, spunând că va contesta în instanță decizia. Compania a pus accent pe faptul că investigația vizează o perioadă anterioară, mai exact din 2021, înainte de implementarea Proiectului Clover, o inițiativă lansată în 2023, în valoare de 12 miliarde de euro, care promite un nivel de securitate fără precedent pentru datele utilizatorilor europeni.
„Proiectul Clover este cea mai ambițioasă investiție în securitatea datelor realizată vreodată în industria noastră. Include stocarea datelor europene într-o enclavă dedicată, supravegheată de NCC Group, o companie europeană independentă de securitate cibernetică”, a spus Christine Grahn, responsabilă de relațiile publice TikTok în Europa.
Compania mai spune că nu a primit niciodată cereri de acces la date din partea autorităților chineze și că nu a furnizat astfel de informații. Cu toate acestea, pentru DPC, protecția teoretică nu este suficientă: e nevoie de garanții clare și verificabile.
Pe lângă amendă, DPC a ordonat companiei să își alinieze practicile la standardele GDPR în termen de șase luni. Dacă nu reușește să demonstreze că accesul la date respectă standardele GDPR, TikTok riscă suspendarea completă a transferurilor de date către China, inclusiv a celor realizate prin acces de la distanță de către angajați care se ocupă de mentenanță, analiză tehnică sau dezvoltare de produs.
Reprezentanții platformei spun că decizia „creează un precedent periculos” pentru orice companie care operează la scară internațională, întrucât se bazează pe același mecanism juridic folosit de mii de alte firme: Clauzele Contractuale Standard (SCC).
