Já demorou muito para chegar, mas finalmente foi descoberto que o TikTok viola o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia em relação ao tratamento de dados de crianças. De acordo com a decisão emitida hoje pela Comissão Irlandesa de Proteção de Dados (DPC), a plataforma de partilha de vídeos foi repreendida e multada em 345 milhões de euros (~379 milhões de dólares). Também foi condenado a cumprir o tratamento dos dados infratores no prazo de três meses.
No total, descobriu-se que o TikTok violou os seguintes oito artigos do GDPR: 5(1)(a); 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); e 13(1)(e), também conhecidas como violações da legalidade, justiça e transparência do processamento de dados; minimização de dados; segurança de dados; responsabilidade da equipe de tratamento; proteção de dados desde a conceção e por defeito; e os direitos do interessado (incluindo menores) de receber comunicações claras sobre o tratamento de dados; e receber informações sobre os destinatários dos seus dados pessoais. Portanto, é uma longa lista de fracassos.
A decisão não encontrou violação em relação aos métodos utilizados pelo TikTok para verificação de idade, o que tem sido um obstáculo para vários reguladores regionais, mas o cão de guarda irlandês observa que a decisão regista uma violação do artigo 24 (1) do o GDPR, pois concluiu que o TikTok não implementou medidas técnicas e organizacionais adequadas, uma vez que não considerou adequadamente certos riscos colocados a menores de 13 anos de idade que obtiveram acesso à plataforma, uma vez que as configurações padrão da conta permitiam que qualquer pessoa (dentro ou fora do TikTok) poderiam ver as redes sociais e o conteúdo multimídia publicado por esses usuários.
Foi descoberto que as configurações que o TikTok implementou na época permitiam que usuários infantis avançassem no processo de registro de forma que suas contas fossem definidas como públicas por padrão. “Isso também significava que, por exemplo, os vídeos postados em contas de usuários infantis eram públicos por padrão, os comentários eram habilitados publicamente por padrão, bem como os recursos ‘Dueto’ e ‘Ponto’”, observa o DPC.
A conta de uma criança também pode ser “combinada” com um usuário não-criança não verificado, por meio de um recurso chamado “Family Matching”, mas o TikTok não verificou se o usuário era realmente o pai ou responsável da criança. O usuário não-criança poderia usar o recurso para permitir mensagens diretas para usuários infantis com mais de 16 anos de idade, “tornando assim esse recurso menos rigoroso para o usuário infantil”, de acordo com as conclusões da DPC.
Em resposta à decisão, um porta-voz do TikTok enviou a seguinte declaração: “Discordamos respeitosamente da decisão, principalmente do nível da multa imposta. As críticas da DPC concentram-se em recursos e configurações que existiam há três anos e onde fizemos alterações muito antes do início da investigação, como definir todas as contas menores de 16 anos como privadas por padrão.
A TikTok também disse que está considerando seus próximos passos à luz da sanção. Assim, a plataforma poderia tentar interpor recurso judicial na Irlanda.
Em uma resposta mais longa publicada em seu site, Elaine Fox, diretora de privacidade da TikTok na Europa, explicou as medidas que ela diz que a empresa tomou para resolver questões de segurança antes do início da investigação da DPC, como o estabelecimento de contas privadas de usuários entre 13 e 15 anos. antigo por padrão.
Ele também afirmou que em 2021 o TikTok se tornou a primeira (“e continuará sendo a única”) grande plataforma a revelar publicamente o número de contas suspeitas de menores de idade que exclui. “Publicamos isso em nosso relatório trimestral conformidade com as diretrizes da comunidade e durante os primeiros três meses de 2023, eliminamos quase 17 milhões de contas deste tipo em todo o mundo”, escreveu ele, acrescentando: “A garantia de idade é um desafio que abrange todo o setor. “Continuaremos a colaborar com reguladores e outros especialistas para identificar novas soluções que melhorem ainda mais nossos esforços para manter os usuários menores de idade fora da plataforma.”
De acordo com a postagem do blog, o TikTok tem mais de 134 milhões Utilizadores ativos mensais em toda a União Europeia.
Inseguro por padrão
A investigação da DPC sobre o TikTok sobre dados de crianças concentrou-se num período de cinco meses (31 de julho de 2020 a 31 de dezembro de 2020), examinando se o TikTok cumpriu as suas obrigações ao abrigo do RGPD em relação ao tratamento de dados pessoais relativos a crianças utilizadoras de a plataforma no contexto de determinadas configurações da plataforma (incluindo configurações públicas padrão e configurações associadas ao recurso “Family Matching” acima mencionado), bem como examinar a verificação de idade como parte do processo de registro.
A DPC também analisou “certas” obrigações de transparência, incluindo a forma como as informações eram fornecidas aos utilizadores infantis em relação às configurações padrão.
As suas conclusões preliminares encontraram um número ligeiramente menor de violações do GDPR do que o que foi confirmado na decisão final de hoje. Mas duas outras autoridades, a DPA de Itália e o regulador em Berlim, levantaram objecções ao seu projecto de decisão e o desacordo foi aprovado pelo Comité Europeu para a Protecção de Dados (EDPB) para tomar uma decisão vinculativa, que concordou que também deveria haver uma conclusão de violação do princípio de equidade do GDPR. O Conselho também ordenou que a Irlanda expandisse o âmbito da ordem para tornar o processamento compatível para se referir ao trabalho corretivo necessário para resolver a violação da justiça.
A decisão final do DPC foi adotada em 1º de setembro de 2023, sugerindo que a TikTok tem até o início de dezembro para retificar sua conformidade com o GDPR ou correr o risco de novas sanções.
Embora o argumento da empresa seja que já resolveu a maior parte dos problemas pelos quais hoje é sancionada, daí a sua objeção “particular” ao nível da multa.
O regulador de privacidade do Reino Unido, o ICO, emitiu a sua própria sanção ao TikTok no início deste ano, também em relação ao tratamento de dados de crianças, impondo uma multa de 15,7 milhões de dólares por violação do regime de proteção de dados do Reino Unido entre maio de 2018 e julho de 2020, inclusive por não ter impedido o acesso de aproximadamente 1,4 milhão de usuários menores de idade à sua plataforma.
Uma multa maior do GDPR foi imposta ao Instagram de propriedade da Meta no ano passado na UE, também em relação a violações de proteção de dados que afetam crianças. Nesse caso, a gigante tecnológica foi multada em 405 milhões de euros no final de uma investigação da DPC iniciada em outubro de 2020.
As sanções relacionadas com questões de protecção das crianças continuam a representar algumas das maiores sanções impostas pelos reguladores de privacidade europeus nos últimos anos. Embora os montantes envolvidos ainda estejam longe da maior penalidade do GDPR até à data: uma multa de 1.200 mil milhões de euros por transferências ilegais de metadados.
No entanto, isto pode não ser muito reconfortante para a TikTok, dado que as suas próprias exportações de dados continuam sob investigação na UE. O vice-comissário da DPC, Graham Doyle, disse que espera poder apresentar um projeto de decisão sobre esta segunda investigação do TikTok, focada em transferências de dados, a outras autoridades regionais de proteção de dados para revisão antes do final do ano. Uma decisão final deverá, portanto, ser tomada em 2024, dependendo o momento exacto de outras autoridades discordarem das conclusões preliminares da Irlanda.
O CEPD foi chamado a tomar decisões vinculativas sobre uma série de investigações do GDPR lideradas pela Irlanda sobre Big Tech desde que o regulamento entrou em vigor. Em todos os casos, as sanções resultantes foram intensificadas através da intervenção do Conselho, por vezes substancialmente e muitas vezes tanto em termos da dimensão das sanções financeiras impostas como do âmbito das conclusões da violação.
Pressão para agir
O regulador irlandês abriu as duas investigações acima mencionadas ao TikTok, sobre transferências de dados e a relacionada com a decisão de hoje sobre o tratamento de dados de menores, há dois anos. A medida ocorreu após pressão de outras autoridades de proteção de dados da UE e de grupos de defesa do consumidor que levantaram preocupações sobre a forma como a plataforma trata os dados dos utilizadores em geral e as informações das crianças em particular.
No início desse mesmo ano, a autoridade italiana de protecção de dados tomou medidas de emergência contra TikTok por razões de segurança infantil. As suas intervenções levaram a plataforma a verificar novamente a idade de todos os utilizadores no país e a eliminar mais de meio milhão de contas que não conseguiu verificar se não pertenciam a crianças menores de 13 anos.
Por esta altura, as autoridades de defesa do consumidor da UE também levantaram uma série de sinais de alerta sobre preocupações com a privacidade e a segurança das crianças. Mas ainda se passaram vários meses até que o regulador irlandês anunciasse a sua investigação.
La lenta respuesta a las preocupaciones de seguridad infantil derivadas del uso de TikTok por parte de los niños contribuyó a que la comisionada del DPC, Helen Dixon, fuera objeto de algunos cuestionamientos hostiles por parte de los eurodiputados durante una audiencia en el Parlamento Europeo a principios deste ano. Os legisladores da UE também levantaram preocupações mais amplas sobre a abordagem do regulador, questionando se o regulador irlandês está à altura da tarefa de aplicar o GDPR nas principais plataformas tecnológicas.
Dixon respondeu com uma forte defesa do que ela afirma ser “aplicação intensa do GDPR” pelas autoridades irlandesas. Especificamente no TikTok, ele afirmou que a DPC está trabalhando o mais rápido possível diante dos grandes volumes de material que está sendo examinado.
