Post di Jacopo Franchi, social media manager di Cariplo Factory*, e dell’avvocato Monia Donateo, esperta in diritto digitale, GDPR, proprietà intellettuale e AI** –

Nel maggio 2025, sette anni esatti dopo l’entrata in vigore dal GDPR, un’autorità garante ha riconosciuto TikTok colpevole di aver trasferito i dati degli utenti europei in Cina senza avere l’autorizzazione per farlo. Oltre 2.000 giorni sono passati dal lancio di TikTok in Italia prima che il trasferimento illegale dei dati verso un Paese considerato insicuro – dalle stesse autorità europee – venisse sanzionato con 500 milioni di euro dalla Data Protection Commission (DPC) dell’Irlanda, Paese in cui TikTok e altre Big Tech hanno sede. Nel frattempo, i dati personali dei 170 milioni di utenti europei del social continuano a essere salvati su server in Cina senza alcuna garanzia di essere, in futuro, eliminati.

Sanzioni che non spaventano, sospensioni che restano solo sulla carta

Di fronte a notizie di questo tipo è lecito porsi dei dubbi in merito all’efficacia delle misure di controllo previste dalle leggi nei confronti degli operatori con sede al di fuori dell’Unione europea. Sebbene il GDPR applichi il principio di extraterritorialità e imponga di nominare un rappresentante nell’UE (art. 27), l’esperienza concreta dimostra come tale meccanismo si riveli spesso fallace nell’assicurare un reale controllo sull’operato di questi soggetti.

Non va meglio con le sanzioni: se è vero che l’art. 83 prevede multe amministrative fino al 4% del fatturato globale annuo, lo stesso non stabilisce modalità di esecuzione forzata nei confronti di soggetti non cooperativi e stabiliti in Paesi terzi. In assenza di accordi internazionali vincolanti per la protezione dei dati personali le autorità di controllo europee non dispongono, quindi, di strumenti coercitivi extraterritoriali per rendere effettive le proprie decisioni.

Tutto questo genera un effetto perverso: per alcune imprese, specialmente quelle sostenute da governi non europei e che non riconoscono l’autorità delle istituzioni dell’UE in materia di data protection, le sanzioni comminate dalle autorità diventano il prezzo da pagare per impossessarsi dei dati dei cittadini europei, senza subire ulteriori conseguenze. La sproporzione tra la gravità delle violazioni e l’impatto economico delle sanzioni rischia pertanto di svuotare di senso gran parte del GDPR, tradendo il principio di effettività sancito dall’art. 58 (par. 2). Da qui il rischio di una crescente perdita di credibilità del sistema normativo europeo in materia di protezione dei dati personali, e non solo.

Le ultime mosse del Garante e della Commissione Europea

TikTok, infatti, non è l’unica azienda cinese che ha saputo cogliere i ritardi e le debolezze del sistema di protezione esistente per raccogliere e trasferire quanti più dati possibili senza avere l’autorizzazione per farlo.

DeepSeek, l’intelligenza artificiale di origine cinese che tanto successo ha ottenuto all’inizio del 2025, continua a essere accessibile dall’Italia attraverso il suo sito web, nonostante un provvedimento del Garante abbia imposto la sua rimozione dagli store di Google e Apple (solo pochi giorni fa l’Autorità ha inviato una lettera agli Internet Provider per ricordare a questi ultimi i rischi che il sito web di Deepseek rappresenta per i visitatori italiani). L’interruzione drastica di un servizio online, a fronte di illeciti palesi, è una possibilità contemplata dall’art. 58 del GDPR ma utilizzata molto raramente, con la conseguenza del perpetuarsi di violazioni già ampiamente riconosciute.

TikTok, DeepSeek e la ultime criticità emerse

Le criticità emerse nei casi di TikTok e DeepSeek trovano ulteriore conferma nel recente provvedimento del Garante italiano che ha sanzionato con 5 milioni di euro Luka Inc., società con sede negli USA e che gestisce il chatbot “Replika”. La decisione ha messo in luce gravi lacune nella struttura di conformità del servizio, in particolare l’assenza di una base giuridica chiara e granulare per ciascuna finalità e la totale inadeguatezza del sistema di verifica dell’età.

Uno schermo che mostra il logo della piattaforma di social media Tiktok e la bandiera europea. Il 15 maggio 2025 l’UE ha accusato TikTok di aver violato le regole digitali dopo aver concluso che la piattaforma di social media di proprietà cinese non è sufficientemente trasparente sulle pubblicità. (Foto di Lionel BONAVENTURE / AFP)

L’istruttoria ha accertato come l’impianto giuridico e organizzativo di Replika non garantisca il rispetto delle più basilari prescrizioni del GDPR: né la privacy policy, né la valutazione d’impatto fornivano risposte adeguate sul piano della liceità dei trattamenti. La superficialità nella gestione del rischio, unita alla carenza di trasparenza, ha accentuato l’impatto sui soggetti più vulnerabili, confermando un denominatore comune nelle condotte degli operatori non europei: l’asimmetria tra potere tecnologico e responsabilità giuridica.

L’integrazione tra GDPR e DSA e i primi cenni di prevenzione tecnologica

Di fronte all’impasse, tuttavia, qualcosa sembra muoversi. Un nuovo approccio, che potremmo riassumere nei termini della “prevenzione tecnologica”, sembra farsi strada nei punti di contatto tra un Regolamento e l’altro. A titolo di esempio, è utile ricordare come il 15 maggio la Commissione europea abbia sottoposto a consultazione pubblica le Linee Guida sull’attuazione dell’articolo 28 del Digital Services Act (DSA), che richiede alle piattaforme di adottare misure adeguate per la sicurezza dei minori. Tra le soluzioni prospettate, si fa strada il ricorso a tecnologie di verifica progettate secondo i principi di privacy by design, tra cui l’EU Digital Identity Wallet e, in attesa della sua entrata in funzione, si sta già lavorando su un’applicazione open source (le cui specifiche sono pubblicate su GitHub), che consentirà agli utenti di dimostrare la maggiore età senza comunicare dati personali alla piattaforma.

Sebbene queste soluzioni non siano obbligatorie, esse delineano un deciso cambio di passo che va da un approccio sanzionatorio post-violazione a un paradigma fondato sulla prevenzione tecnologica e sulla responsabilizzazione ex ante delle piattaforme (e in questa direzione si è mossa anche AGCOM che, con la Delibera n. 96/25/CONS , ha previsto il possibile impiego di soluzioni di age verification conformi agli standard della Commissione). Se i casi di TikTok, DeepSeek e Replika mettono in luce l’asimmetria tra potere tecnologico e capacità di enforcement, l’introduzione di un obbligo ad adottare misure di controllo e determinati protocolli prima di poter entrare nel mercato europeo potrebbe rappresentare una soluzione per riequilibrare questa dinamica, spostando il baricentro della tutela dai rimedi ex post alla progettazione responsabile dei servizi.

Il vantaggio delle aziende non europee 

Un ulteriore spunto di riflessione riguarda la proporzionalità dell’adeguamento legislativo: se le sanzioni non sono sufficienti a prevenire il ripetersi dei medesimi illeciti da parte di aziende non europee, viene spontaneo chiedersi perché le aziende europee debbano sostenere il peso burocratico ed economico del rispetto del regolamento. Il GDPR è uno strumento “forte con i deboli, debole contro i forti”? Forse no, ma il sospetto che rappresenti più un ostacolo alla crescita di nuove startup e aziende hi-tech locali più che una barriera efficace contro gli illeciti più gravi non è mai stato così elevato.

Chiariamoci: non si tratta di distinguere tra “buoni” e “cattivi”, tra aziende europee naturalmente propense a tutelare la privacy dei cittadini e aziende “straniere” utilizzate solamente in chiave di manipolazione politica ed economica. Colpisce, tuttavia, come il trasferimento non autorizzato di dati personali in luoghi dove il diritto dell’Unione non è applicabile sia una pratica ricorrente e che finora nessuna sanzione, nessuna indagine, nessuna sospensione temporanea dei servizi è mai riuscita a prevenire. Le aziende extra-europee godono del vantaggio di un retroterra politico favorevole, in cui inviare e mettere “al sicuro” i dati illegalmente ottenuti, che manca del tutto alle aziende europee.

Le difficoltà di coordinamento fra le Autorità 

L’ultimo spunto di riflessione suscitato dai casi di TikTok, Deepseek, Replika è la palese mancanza di coordinamento delle attività investigative delle autorità dei Paesi membri. Agli occhi del grande pubblico ogni Autorità sembra, nella maggior parte dei casi, seguire un percorso indipendente dalle altre, malgrado il coordinamento fra di esse sia sancito dall’articolo 60 del GDPR. Una frammentazione nelle azioni di enforcement che rappresenta, oggi, sia un ostacolo per coloro che intendono far valere i propri diritti, sia una possibile fonte di confusione per i cittadini stessi: perché dovrebbe essere un’Autorità irlandese, o italiana, o polacca, a sanzionare un’azienda come TikTok che si è dimostrata responsabile di un illecito nei confronti di tutti i cittadini europei?

A tal proposito, nel 2023, la Commissione europea ha proposto una riforma volta a rendere più efficiente l’applicazione del GDPR nei casi transfrontalieri intervenendo sui meccanismi di cooperazione tra autorità di controllo e sulle procedure di risoluzione delle controversie. Tuttavia, secondo le osservazioni di diverse organizzazioni per i diritti digitali, tra cui noyb, e le riserve espresse dal Parlamento europeo, la proposta rischia di produrre effetti contrari rispetto agli obiettivi dichiarati; in particolare, potrebbe ridurre il margine d’azione delle autorità interessate (“concerned”) ma non capofila, e indebolire il ruolo dello European Data Protection Board (EDPB )con il risultato di rendere più difficile, per i cittadini, far valere i propri diritti in modo uniforme e tempestivo.

Il GDPR è un regolamento già superato?

Ad ogni modo,  il sospetto che l’attuale Regolamento generale sulla Protezione dei dati non sia più adeguato alle esigenze del tempo presente si fa, ogni giorno, più pressante. Il GDPR è stato approvato in un’epoca che non aveva ancora conosciuto Cambridge Analytica, le sentenze Schrems, l’intelligenza artificiale generativa e lo straordinario successo delle nuove reti sociali fondate sui contenuti video “brevi” come TikTok e Instagram. Proseguendo lungo questo ragionamento sembra inevitabile giungere al bivio che è già stato fatale per molti propositi di riforma: meno diritti in cambio di più libertà di impresa, o più diritti in cambio di maggiori poteri di intervento e di repressione concessi alle Autorità. In questo quadro, il rischio non è tanto quello di un totale abbandono delle tutele, quanto di una progressiva erosione della loro efficacia, “giustificata” dal richiamo ad esigenze di semplificazione e competitività.

Investire i soldi delle sanzioni nell’educazione digitale dei cittadini?

Una strada alternativa tanto allo “smantellamento” quanto all’irrigidimento del GDPR si può trovare nella constatazione che nessuna legge è davvero efficace se manca, di fatto, la sua conoscenza da parte di coloro a cui essa è rivolta. Sono meno della metà i cittadini che dichiarano di conoscere le leggi sulla privacy, e ancora meno quelli che le ritengono applicabili nella realtà quotidiana, come emerge dalle ricerche raccolte nel bel libro “Il governo delle piattaforme” di Gabriele Giacomini e Alex Buriani. Utilizzare il ricavato delle sanzioni di TikTok, Meta, Google, per favorire la conoscenza del GDPR e delle modalità per tutelarsi dagli abusi potrebbe essere un primo passo per rafforzare la resilienza della società europea nel suo complesso, senza attendere l’esito delle prossime indagini.

Non si tratterebbe, ovviamente, di qualcosa di radicalmente nuovo, dal momento che già alcuni Paesi europei hanno cominciato a sperimentare un utilizzo in chiave educativa degli importi pagati dalle aziende sanzionate. Ancora meglio sarebbe se questo utilizzo delle risorse così ottenute si tramutasse in legge, prevedendo una ripartizione proporzionale dei fondi verso alcune corsie “preferenziali”:

• – Finanziamento ad attività di formazione ed educazione alla privacy nelle scuole, nei luoghi di lavoro e in occasione di eventi pubblici di rilievo nazionale e locale
• – Contributi a fondo perduto a siti web e iniziative di informazione per una migliore conoscenze delle nuove tecnologie e dell’esistenza di alternative privacy-friendly
• – Crediti per inserzioni di contenuti educativi sulla privacy, non profilate e non profilabili, sottoposte a un audit indipendente, attraverso le stesse piattaforme digitali responsabili delle violazioni, rivolte a tutta la popolazione
• – Investimenti diretti o indiretti nello sviluppo di startup hi-tech europee caratterizzate da elevati standard di tutela della privacy

Perché le sanzioni non siano delle web tax

Un utilizzo di questo tipo dei guadagni ottenuti dalle sanzioni avrebbe il merito di controbattere alle accuse di utilizzare i ricavi delle multe come sostitutivo di quelle “web tax” che i singoli Stati non sono mai stati in grado di implementare con efficacia, e di comunicare un utilizzo in chiave positiva dei fondi ottenuti dagli illeciti più gravi. Questo suggerimento non vuole porsi come l’unica “soluzione” ai problemi fin qui riscontrarti, ma vuole essere un primo passo per cominciare a uscire dalla logica dell’”eterno ritorno” di violazioni e multe per provare a mettere le persone nelle condizioni di prevenire una parte significativa degli abusi commessi tramite le tecnologie. Cinquecento milioni di euro sono un piccolo, ma simbolico capitale da cui partire, perlomeno fino alla prossima sanzione.

* Autore del saggio “L’uomo senza proprietà | Chi possiede veramente gli oggetti digitali?” per Egea.

** Maestro della Privacy presso Istituto Italiano Privacy. Founder dello Studio Legale Donateo.