Dati in Cina, TikTok e altri big denunciati per violazioni del Gdpr

La Cina è troppo vicina ai dati degli europei. O almeno lo è per l’organizzazione austriaca Noyb (None of your business), che ha presentato sei denunce contro altrettanti colossi tecnologici – TikTok, AliExpress, Shein, Temu, WeChat e Xiaomi – per aver trasferito illegalmente verso la Cina le informazioni personali dei cittadini europei. Gli esposti sono stati depositati presso le autorità di protezione dei dati di Austria, Belgio, Grecia, Italia e Paesi Bassi, con richieste di sanzioni che potrebbero arrivare fino al 4% del fatturato globale delle aziende per violazione del Regolamento generale sulla protezione dei dati (Gdpr).

I trasferimenti illeciti

Il cuore delle denunce riguarda le politiche sulla privacy delle aziende. Quattro dei sei colossi tech – AliExpress, Shein, TikTok e Xiaomi – dichiarano esplicitamente di trasferire i dati degli utenti europei in Cina. Le altre due società, Temu e WeChat, parlano genericamente di trasferimenti verso “paesi terzi” che, data la loro struttura aziendale, secondo l’organizzazione non possono che includere il territorio cinese. La questione è particolarmente delicata proprio alla luce del quadro normativo europeo. Il Gdpr, infatti, permette sì il trasferimento di dati personali fuori dall’Unione europea, ma solo verso paesi che garantiscono un livello di protezione equivalente a quello comunitario. La Cina, a differenza di nazioni come Canada, Giappone, Israele e Corea del Sud, non ha mai ricevuto dalla Commissione europea una “decisione di adeguatezza“, lo strumento che certifica questi standard di sicurezza. “Data la natura autoritaria dello stato di sorveglianza cinese, è assolutamente chiaro che la Cina non offre lo stesso livello di protezione dei dati dell’Ue”, ha dichiarato Kleanthi Sardeli, avvocato di Noyb specializzato in protezione dei dati.

Il caso italiano

Tra le sei denunce, quella presentata al Garante per la protezione dei dati personali di Roma riguarda il caso di un utente italiano contro Shein. L’azienda cinese avrebbe sistematicamente ignorato le richieste dell’utente di accedere alle proprie informazioni personali, limitandosi a fornire dati parziali attraverso una funzione di download automatico che non specifica nulla sui trasferimenti internazionali. La privacy policy dell’azienda, aggiornata al 25 settembre 2023, ammette il trasferimento di dati verso paesi extra-UE, inclusa la Cina, basandosi su “clausole contrattuali standard” che, secondo i denuncianti, non possono garantire una protezione adeguata.

La società Roadget Business Pte. Ltd., che gestisce la piattaforma Shein attraverso una sede a Singapore, si presenta come uno dei maggiori marketplace globali di moda e lifestyle. Per operare in Europa, l’azienda utilizza una complessa struttura societaria che include diverse entità: oltre alla sede di Singapore, esistono società collegate a Hong Kong (Zoetop Business Co. Limited), in Irlanda (Infinite Styles Ecommerce Co. Limited) e in Cina (Guangzhou Shein International Import & Export Co. Ltd). Particolarmente problematica è la questione della sede europea a Dublino dell’azienda cinese. Shein sostiene che per tutti i dati degli utenti europei il responsabile del trattamento sia Infinite Styles Ecommerce Co. Limited in Irlanda, ma secondo la denuncia si tratterebbe di una sede fittizia. All’indirizzo dichiarato – 1-2 Victoria Buildings, Haddington Road – risultano registrate oltre 628 società, tra cui diverse che offrono servizi di “rappresentanza UE” per aziende straniere. La denuncia sottolinea come sia improbabile che in quell’edificio, già in parte occupato da un caffè, possano effettivamente operare i 30 dipendenti tech che Shein dichiara di avere in Europa.

Le difese e il contesto internazionale

Tutte e sei le aziende sono state contattate da Euronews per un commento, ma solo Xiaomi e TikTok hanno risposto. La prima ha dichiarato: “Il rispetto della privacy degli utenti è sempre stato uno dei valori fondamentali” e “la nostra informativa sulla privacy è sviluppata per rispettare le normative applicabili, come il Gdpr”. TikTok ha assunto una posizione ancora più netta, affermando a Euronews di non aver “mai condiviso, né è stato chiesto di condividere, i dati degli utenti europei con il governo cinese”.

L’iniziativa segna un cambio di passo significativo nella strategia di Noyb che, dopo aver preso di mira i giganti tecnologici americani come Apple e Meta, ora sposta l’attenzione verso oriente in quello che si preannuncia come un nuovo capitolo della battaglia per la protezione dei dati personali degli europei. Le denunce arrivano in un momento di crescente attenzione internazionale sul controllo esercitato dal governo cinese sulle aziende tecnologiche nazionali (si veda il caso del ban di TikTok negli Usa e in alcuni paesi in Europa), in un contesto dove la protezione dei dati personali si intreccia sempre più con questioni di sicurezza nazionale e sovranità digitale.