O Regulador de Proteção de Dados da Irlanda (DPC), que exerce papel central como autoridade líder da União Europeia no caso do TikTok, anunciou em 10 de julho de 2025 a abertura de uma nova investigação focada na forma como dados de usuários europeus foram armazenados em servidores na China. A medida ocorre poucos meses após o TikTok ter sido multado em 530 milhões de euros, em maio de 2025, por infrações ao RGPD relativas a transferências de dados para a China e falta de transparência.
Embora a multa tenha se concentrado em acessos remotos por funcionários chineses e nas informações expostas sobre o tema, ficou de fora a questão do armazenamento efetivo de dados em servidores localizados na China. Em abril, o TikTok admitiu ter descoberto — em fevereiro de 2025 — que “dados limitados de usuários do EEE tinham sido armazenados” em servidores chineses, contrariando declarações anteriores em que afirmava que os dados eram acessados apenas de forma remota.
Agora, o DPC abre uma investigação formal para apurar se essa prática de armazenamento violou o Capítulo V do RGPD, que regulamenta transferências internacionais de dados, bem como os artigos relacionados à prestação de contas (Art. 5(2)), transparência para os usuários (Art. 13(1)(f)) e cooperação com as autoridades (Art. 31). O anúncio destaca “profunda preocupação” pela informação conflitante apresentada pelo TikTok ao regulador inicialmente.
O DPC, em nota oficial, esclarece que a investigação se apoia no artigo 110 da lei irlandesa de proteção de dados de 2018 e tem como propósito verificar se as transferências — agora sob investigação — cumprem as exigências da legislação europeia.
De acordo com relatos da AP e Reuters, a investigação seguirá sendo conduzida com o apoio de outras autoridades europeias, conforme previsto no mecanismo de cooperação “One‑Stop‑Shop” do RGPD .
Por sua parte, o TikTok divulgou que descobriu e eliminou prontamente os dados armazenados indevidamente. A empresa destacou que essa ação foi feita de forma voluntária, no escopo do Projeto Clover — iniciativa de implementação de servidores na Europa para reforçar a segurança de dados dos usuários. Ainda assim, a retirada dos dados não impede o avanço da investigação, que buscará apurar responsabilidades e eventual necessidade de novas sanções.
Essa nova etapa regulatória reforça a tendência global de pressão sobre empresas de tecnologia, especialmente aquelas com sede fora da União Europeia, para que autorizem acesso restrito e garantam proteção de dados alinhada ao RGPD. É mais um capítulo na intensificação do escrutínio europeu sobre grandes plataformas digitais, seguindo inquéritos anteriores — por exemplo, o de 2021 sobre privacidade de menores e o de 2025 sobre segurança de dados — e também no contexto da política europeia que exige transferências adequadas e conformidade reforçada.
O desdobramento dessa investigação poderá implicar em medidas adicionais, inclusive a suspensão de transferências para a China, caso seja identificado descumprimento das regras dentro do prazo estabelecido — assim como determinado na multa anterior, onde a empresa teve seis meses para se adequar, sob risco de interrupção desses fluxos.
Em resumo, está em curso uma investigação aprofundada que examina não apenas o acesso remoto, mas o armazenamento direto de dados na China, com potencial de elevar o TikTok a outro patamar de risco regulatório. A comunidade digital, entidades civis e as empresas que lidam com dados pessoais na Europa acompanharão atentamente os próximos passos das autoridades europeias, em especial o cronograma de ações do DPC e as decisões conjuntas em âmbito da UE.