TikTok recebe multa de €345 milhões por violar a lei de dados da UE em contas de crianças
(theguardian.com)- A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma multa de €345 milhões ao TikTok, afirmando que a forma como a empresa tratava contas de crianças violava o GDPR da UE
- O ponto central é que contas de 13 a 17 anos ficavam, por padrão, com configuração pública durante o cadastro, e que informações suficientemente transparentes não eram fornecidas aos usuários menores de idade
- O “family pairing” não verificava se o adulto que controlava a conta era de fato um pai, mãe ou responsável, o que podia até liberar as configurações de mensagens diretas de usuários com 16 anos ou mais
- A DPC entendeu que o TikTok não considerou suficientemente o risco de usuários menores de 13 anos entrarem na plataforma e ficarem com configuração pública, mas não considerou que o próprio método de verificação de idade violasse o GDPR
- O TikTok contestou dizendo que a investigação tratava de configurações vigentes entre 31 de julho e 31 de dezembro de 2020, e que já havia corrigido os problemas desde 2021, incluindo tornar contas de 13 a 15 anos privadas por padrão
Base da multa de €345 milhões
- O TikTok recebeu uma multa de €345 milhões, cerca de £296 milhões, por violar a lei de proteção de dados da UE no tratamento de contas de crianças
- A Comissão de Proteção de Dados da Irlanda (DPC), responsável pela regulação do TikTok na UE, concluiu que o TikTok infringiu várias vezes as regras do GDPR
- O ponto central foi a falha em proteger suficientemente o conteúdo de usuários menores de idade para que ele não fosse exposto publicamente
Risco de exposição criado pela configuração pública padrão
- A DPC entendeu que usuários de 13 a 17 anos eram direcionados, durante o cadastro, a ter suas contas definidas como públicas por padrão
- Em uma conta pública, qualquer pessoa pode ver o conteúdo da conta ou comentar nele
- A avaliação foi que, por causa dessa configuração, qualquer pessoa podia ver o conteúdo de mídia social publicado por esses usuários
- A idade mínima para usar o TikTok é 13 anos
- Também foi apontado que o risco de usuários menores de 13 anos acessarem a plataforma e ficarem com configuração pública não foi considerado suficientemente
Falta de transparência e problema do family pairing
- A falta de fornecimento de informações transparentes suficientes aos usuários menores de idade também foi incluída entre as violações do GDPR
- O “family pairing” permite que um adulto controle as configurações de uma conta infantil, mas não verificava se o adulto conectado era de fato pai, mãe ou responsável
- Por meio dessa configuração, um adulto com acesso a uma conta infantil podia ativar a função de mensagens diretas para usuários com 16 anos ou mais
Avaliação sobre Duet, Stitch e verificação de idade
- Duet e Stitch são recursos que permitem aos usuários combinar conteúdo com outros usuários do TikTok
- A DPC afirmou que esses recursos estavam ativados por padrão para usuários menores de 17 anos
- No entanto, em relação ao próprio método de verificação de idade do TikTok, a DPC entendeu que não houve violação do GDPR
Pressão regulatória adicional após sanção no Reino Unido
- A decisão vem depois de o TikTok ter recebido, em abril de 2023, uma multa de £12,7 milhões do órgão regulador de dados do Reino Unido
- O regulador britânico concluiu que o TikTok processou ilegalmente dados de 1,4 milhão de crianças menores de 13 anos que usaram a plataforma sem consentimento dos pais
- Na época, o Information Commissioner’s Office entendeu que o TikTok fez “quase nada” para verificar quem usava a plataforma
- O TikTok afirmou que esta investigação tinha como alvo as configurações de privacidade entre 31 de julho e 31 de dezembro de 2020, e que resolveu os problemas levantados
- Desde 2021, contas existentes e novas de 13 a 15 anos são configuradas como privadas por padrão
- Em uma conta privada, apenas pessoas aprovadas pelo usuário podem ver o conteúdo
- O TikTok disse que não concorda com o valor da multa nem com a decisão, e contestou que as críticas da DPC se concentram em recursos e configurações de três anos atrás
- A empresa também afirmou que, antes do início da investigação, já havia feito mudanças para tornar contas de menores de 16 anos privadas por padrão
Intervenção do European Data Protection Board
- A DPC reconheceu que sua posição foi revertida em parte da decisão pelo European Data Protection Board
- Como resultado, teve de incluir uma conclusão proposta pelo regulador alemão
- Essa conclusão afirma que o uso de dark patterns, designs enganosos de sites e apps que induzem usuários a determinadas ações ou escolhas, violou disposições do GDPR sobre o tratamento justo de dados pessoais
1 comentários
Opiniões no Hacker News
Dizem que, no recurso “Family Pairing”, o adulto que controla as configurações da conta da criança não era verificado como sendo de fato pai/mãe ou responsável, mas não sei exatamente como o TikTok deveria verificar se a pessoa é pai/mãe
Outras empresas de tecnologia também são obrigadas a verificar os pais? Parece que só o TikTok leva multa por esse motivo
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
Aplaudir esse tipo de precedente parece nos levar a um caminho em que será preciso documento de identidade do governo e atestação remota para usar sites populares
Desde os anos 90 existia a ideia de que internet anônima e amplificação de sinais teriam um efeito líquido positivo, mas isso parece cada vez menos verdadeiro
Se você quiser se autopublicar anonimamente, pode fazer isso, mas isso não significa ter garantido o direito de usar uma das 5 grandes plataformas
Se isso levar à fragmentação das grandes plataformas, eu também veria como um efeito líquido positivo
Comecei a usar o TikTok recentemente e ele diz que lives exigem 1000 seguidores e idade mínima de 18 anos, mas na prática vi muitas crianças fazendo live
Fiquei me perguntando por que eles não aplicam as próprias regras. Pode ser porque há streamers demais, mas uma única pessoa dedicada já conseguiria encontrar adolescentes ou crianças fazendo live em quantidade suficiente
Então esta decisão vem em boa hora
Dito isso, me pergunto por que pessoas de 13 a 18 anos deveriam ser proibidas de fazer streaming. Se for por causa de “pervertidos à espreita”, essa lógica não funciona para controlar chats, então não vejo por que funcionaria só aqui. No TikTok, conteúdo sexual não é permitido; pode aparecer uma mulher de biquíni, mas em uma praia pública real você também pode ver isso, e até topless. Qual seria o outro motivo?
É um bom começo, mas me pergunto se a lei de dados da UE vai começar a ser aplicada em larga escala também contra empresas europeias, e não só contra empresas internacionais
Empresas da UE tendem a tratar proteção de dados com mais cautela e seriedade desde antes do GDPR, então também é mais raro encontrar infratores graves
Pelo menos quando lido com serviços da UE, as políticas de privacidade cabem em poucas páginas A4, trazem os pontos importantes no começo e são escritas de forma fácil de entender. Até bancos não escondem o que coletam e explicam por que coletam
Já empresas estrangeiras insistem em políticas de privacidade enormes a ponto de serem difíceis de entender e tendem a tentar contornar a lei com isso. Por exemplo, a página de privacidade do Google é quase uma página gigantesca repetindo que “o Google pode coletar informações sobre você”, é pouco clara sobre para que os dados são usados e depende muito de outras páginas para os detalhes. Uma pessoa comum provavelmente já teria perdido o fio da meada
No fim, empresas estrangeiras acham que podem violar a lei e se safar, e tornam difícil rastrear como os dados são usados. Empresas europeias, em geral, realmente cumprem a lei, por isso os principais precedentes acabam sendo contra grandes empresas estrangeiras de tecnologia
Só que, em geral, empresas europeias levaram isso muito mais a sério do que multinacionais. Às vezes até demais, a ponto de ainda se ver ocasionalmente empresas impondo políticas absurdas relacionadas a dados por acreditarem, equivocadamente, que isso é necessário para conformidade, embora hoje isso tenha diminuído um pouco
Por outro lado, empresas europeias normalmente são menores, então as multas também são menores e, por isso, raramente viram manchete. É por isso que, mesmo havendo multas contra empresas europeias, você não ouve falar delas com frequência. Sinceramente, em geral só ficamos sabendo das multas gigantescas
Para uma decisão de um único país, a multa é bem grande. Cerca de 2,6% da receita anual, algo como 10 dias
Digo Twitter de propósito, não X Corp, porque Musk, em uma decisão notoriamente ruim, demitiu todos que cuidavam de conformidade na Twitter Ireland. Parece que uma das exigências era que todos os lançamentos de funcionalidades passassem pela revisão da equipe irlandesa para garantir que não violassem a lei de dados da UE, mas Musk não fez isso com nenhuma das mudanças introduzidas depois da aquisição alavancada
Quando é que os CEOs de sofá vão parar de dizer coisas como “kkk x é só uma migalha da receita y”? Vocês acham que 345 milhões de euros dão em árvore?
Além da multa, deveriam colocá-los na penalty box por alguns meses. Algo como impedi-los de operar naquela jurisdição por um determinado período
Como multa inicial em vez de proibição, é um bom começo, e é também o tipo de abordagem que venho defendendo
Se continuarem violando a privacidade dos usuários, as multas deveriam subir para dezenas de bilhões de dólares. Já houve precedente com o Facebook
Grandes empresas não têm desculpa para fazer isso e sair impunes; toda empresa de mídia social com centenas de milhões de usuários ou mais deveria ser multada se violar a privacidade dos usuários como o TikTok. Chega de exceções ou desculpas
No fim, quando o TikTok estraga a privacidade de seus usuários, ele não é diferente da Meta
No quadro geral, não parece tanto dinheiro assim. Uma multa relativamente mais pesada teria sido aceitável, embora eu talvez não conheça todos os detalhes
Também parece bem provável que, quando a disputa jurídica terminar, ela seja reduzida para um valor muito menor
Para onde vai esse dinheiro?
Se você não sabe a resposta, não deveria inventar ficção e falar como se fosse fato