Il 2 maggio 2025, la Data Protection Commission (DPC) irlandese ha annunciato una sanzione da 530 milioni di euro nei confronti di una primaria piattaforma digitale operante a livello globale per gravi violazioni del Regolamento generale sulla protezione dei dati (GDPR), connesse al trasferimento illecito di dati personali di utenti europei verso la Cina e a una significativa carenza di trasparenza nelle informative rese agli interessati.
Le violazioni accertate
L’indagine, avviata nel settembre 2021, ha rilevato due principali irregolarità:
- Trasferimenti di dati personali verso la Cina senza adeguate garanzie di un livello di protezione equivalente a quello previsto nell’Unione europea, in violazione dell’art. 46(1) del GDPR.
- Informazioni insufficienti fornite agli utenti in merito ai Paesi destinatari dei dati e alle modalità del trattamento, in violazione dell’art. 13(1)(f) del GDPR.
Tali violazioni hanno comportato sanzioni per:
- 485 milioni di euro per i trasferimenti non conformi, e
- 45 milioni di euro per le carenze nella trasparenza dell’informativa privacy
per un ammontare complessivo di 530 milioni di euro.
Contesto e motivazioni della decisione
La società coinvolta aveva inizialmente dichiarato di non conservare dati degli utenti europei su server situati in Cina. Tuttavia, nell’aprile 2025 ha ammesso che alcune informazioni erano state effettivamente archiviate su server cinesi, contraddicendo quanto comunicato in precedenza all’autorità di controllo.
Secondo la DPC, inoltre, non è stata condotta un’adeguata valutazione del livello di protezione offerto dalla normativa e dalle prassi cinesi in relazione ai dati personali ivi trattati, né sono state adottate misure supplementari sufficienti a garantire una tutela equivalente a quella assicurata dal GDPR.
Nel corso dell’istruttoria, la documentazione fornita dalla stessa azienda ha messo in luce come alcune disposizioni del quadro giuridico cinese, in particolare le leggi su controspionaggio, antiterrorismo, cybersicurezza e intelligence, si discostino significativamente dagli standard europei, ostacolando la possibilità di assicurare un livello di protezione essenzialmente equivalente.
Misure correttive e tempistiche
La DPC ha ordinato alla società di:
- Adeguarsi alle disposizioni del GDPR entro sei mesi, pena la sospensione dei trasferimenti di dati verso la Cina, ed
- interrompere immediatamente ogni trasferimento non conforme.
La decisione si inserisce in un contesto già complesso per l’azienda, già oggetto in passato di sanzioni da parte di autorità europee per violazioni in materia di protezione dei dati personali.
Reazioni e prospettive
La società ha annunciato l’intenzione di impugnare la decisione, sottolineando i potenziali impatti su aziende e settori che operano su scala globale, e ha espresso preoccupazione per possibili ripercussioni sulla competitività europea.
Nel frattempo, per rafforzare la fiducia delle istituzioni europee, l’azienda ha avviato un ambizioso piano di investimento infrastrutturale, volto alla localizzazione del trattamento dati in Europa. Tuttavia, secondo le autorità garanti, persistono criticità in termini di trasparenza e conformità normativa.
Conclusione
Questa sanzione rappresenta la terza più elevata mai comminata sotto il GDPR, preceduta solo da quelle inflitte a Meta (1,2 miliardi di euro) e Amazon (746 milioni di euro). Il caso conferma il crescente rigore delle autorità europee nell’affrontare i trasferimenti di dati verso Paesi terzi non sicuri evidenziando l’importanza, per tutte le organizzazioni che operano a livello internazionale, di adottare una governance robusta e conforme in materia di data transfer.
Su un argomento simile può essere d’interesse l’articolo “Telemarketing: il Garante Privacy sanziona nuovamente una società di telecomunicazioni“.
