1 pontos por GN⁺ 2023-09-17 | 1 comentários | Compartilhar no WhatsApp
  • A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma multa de €345 milhões ao TikTok, afirmando que a forma como a empresa tratava contas de crianças violava o GDPR da UE
  • O ponto central é que contas de 13 a 17 anos ficavam, por padrão, com configuração pública durante o cadastro, e que informações suficientemente transparentes não eram fornecidas aos usuários menores de idade
  • O “family pairing” não verificava se o adulto que controlava a conta era de fato um pai, mãe ou responsável, o que podia até liberar as configurações de mensagens diretas de usuários com 16 anos ou mais
  • A DPC entendeu que o TikTok não considerou suficientemente o risco de usuários menores de 13 anos entrarem na plataforma e ficarem com configuração pública, mas não considerou que o próprio método de verificação de idade violasse o GDPR
  • O TikTok contestou dizendo que a investigação tratava de configurações vigentes entre 31 de julho e 31 de dezembro de 2020, e que já havia corrigido os problemas desde 2021, incluindo tornar contas de 13 a 15 anos privadas por padrão

Base da multa de €345 milhões

  • O TikTok recebeu uma multa de €345 milhões, cerca de £296 milhões, por violar a lei de proteção de dados da UE no tratamento de contas de crianças
  • A Comissão de Proteção de Dados da Irlanda (DPC), responsável pela regulação do TikTok na UE, concluiu que o TikTok infringiu várias vezes as regras do GDPR
  • O ponto central foi a falha em proteger suficientemente o conteúdo de usuários menores de idade para que ele não fosse exposto publicamente

Risco de exposição criado pela configuração pública padrão

  • A DPC entendeu que usuários de 13 a 17 anos eram direcionados, durante o cadastro, a ter suas contas definidas como públicas por padrão
    • Em uma conta pública, qualquer pessoa pode ver o conteúdo da conta ou comentar nele
    • A avaliação foi que, por causa dessa configuração, qualquer pessoa podia ver o conteúdo de mídia social publicado por esses usuários
  • A idade mínima para usar o TikTok é 13 anos
  • Também foi apontado que o risco de usuários menores de 13 anos acessarem a plataforma e ficarem com configuração pública não foi considerado suficientemente

Falta de transparência e problema do family pairing

  • A falta de fornecimento de informações transparentes suficientes aos usuários menores de idade também foi incluída entre as violações do GDPR
  • O “family pairing” permite que um adulto controle as configurações de uma conta infantil, mas não verificava se o adulto conectado era de fato pai, mãe ou responsável
  • Por meio dessa configuração, um adulto com acesso a uma conta infantil podia ativar a função de mensagens diretas para usuários com 16 anos ou mais

Avaliação sobre Duet, Stitch e verificação de idade

  • Duet e Stitch são recursos que permitem aos usuários combinar conteúdo com outros usuários do TikTok
  • A DPC afirmou que esses recursos estavam ativados por padrão para usuários menores de 17 anos
  • No entanto, em relação ao próprio método de verificação de idade do TikTok, a DPC entendeu que não houve violação do GDPR

Pressão regulatória adicional após sanção no Reino Unido

  • A decisão vem depois de o TikTok ter recebido, em abril de 2023, uma multa de £12,7 milhões do órgão regulador de dados do Reino Unido
    • O regulador britânico concluiu que o TikTok processou ilegalmente dados de 1,4 milhão de crianças menores de 13 anos que usaram a plataforma sem consentimento dos pais
    • Na época, o Information Commissioner’s Office entendeu que o TikTok fez “quase nada” para verificar quem usava a plataforma
  • O TikTok afirmou que esta investigação tinha como alvo as configurações de privacidade entre 31 de julho e 31 de dezembro de 2020, e que resolveu os problemas levantados
  • Desde 2021, contas existentes e novas de 13 a 15 anos são configuradas como privadas por padrão
    • Em uma conta privada, apenas pessoas aprovadas pelo usuário podem ver o conteúdo
  • O TikTok disse que não concorda com o valor da multa nem com a decisão, e contestou que as críticas da DPC se concentram em recursos e configurações de três anos atrás
  • A empresa também afirmou que, antes do início da investigação, já havia feito mudanças para tornar contas de menores de 16 anos privadas por padrão

Intervenção do European Data Protection Board

  • A DPC reconheceu que sua posição foi revertida em parte da decisão pelo European Data Protection Board
  • Como resultado, teve de incluir uma conclusão proposta pelo regulador alemão
  • Essa conclusão afirma que o uso de dark patterns, designs enganosos de sites e apps que induzem usuários a determinadas ações ou escolhas, violou disposições do GDPR sobre o tratamento justo de dados pessoais

1 comentários

 
GN⁺ 2023-09-17
Opiniões no Hacker News
  • Dizem que, no recurso “Family Pairing”, o adulto que controla as configurações da conta da criança não era verificado como sendo de fato pai/mãe ou responsável, mas não sei exatamente como o TikTok deveria verificar se a pessoa é pai/mãe
    Outras empresas de tecnologia também são obrigadas a verificar os pais? Parece que só o TikTok leva multa por esse motivo

  • Aplaudir esse tipo de precedente parece nos levar a um caminho em que será preciso documento de identidade do governo e atestação remota para usar sites populares

    • Talvez agora seja hora de reduzir o anonimato
      Desde os anos 90 existia a ideia de que internet anônima e amplificação de sinais teriam um efeito líquido positivo, mas isso parece cada vez menos verdadeiro
      Se você quiser se autopublicar anonimamente, pode fazer isso, mas isso não significa ter garantido o direito de usar uma das 5 grandes plataformas
      Se isso levar à fragmentação das grandes plataformas, eu também veria como um efeito líquido positivo
    • O Estado corrigiu meus hábitos de pornografia desse jeito
    • Você leu a matéria? Não é um caso de “não sabíamos a idade”; é um caso em que as contas tinham datas de nascimento de menores de idade configuradas
  • Comecei a usar o TikTok recentemente e ele diz que lives exigem 1000 seguidores e idade mínima de 18 anos, mas na prática vi muitas crianças fazendo live
    Fiquei me perguntando por que eles não aplicam as próprias regras. Pode ser porque há streamers demais, mas uma única pessoa dedicada já conseguiria encontrar adolescentes ou crianças fazendo live em quantidade suficiente
    Então esta decisão vem em boa hora
    Dito isso, me pergunto por que pessoas de 13 a 18 anos deveriam ser proibidas de fazer streaming. Se for por causa de “pervertidos à espreita”, essa lógica não funciona para controlar chats, então não vejo por que funcionaria só aqui. No TikTok, conteúdo sexual não é permitido; pode aparecer uma mulher de biquíni, mas em uma praia pública real você também pode ver isso, e até topless. Qual seria o outro motivo?

    • O motivo para pessoas de 13 a 18 anos serem proibidas de fazer streaming é que relações parassociais, especialmente com grandes audiências, têm efeitos estranhos até em adultos
    • Uma coisa é ver uma mulher fazendo topless na praia; outra é desconhecidos anônimos recompensarem crianças para que se aproximem de performances de teor sexual
    • Crianças são muito vulneráveis, e esse tipo de coisa tem efeitos nocivos sobre a mente
  • É um bom começo, mas me pergunto se a lei de dados da UE vai começar a ser aplicada em larga escala também contra empresas europeias, e não só contra empresas internacionais

    • Ela também é aplicada contra empresas europeias. Só que, como não são big techs, não viram manchete no HN, e quase ninguém aqui ouviu falar delas
      Empresas da UE tendem a tratar proteção de dados com mais cautela e seriedade desde antes do GDPR, então também é mais raro encontrar infratores graves
    • Na prática, ela é aplicada em algum grau, mas a maioria das empresas da UE evita problemas porque, desde o início, coleta muito poucos dados além do necessário para operar o serviço
      Pelo menos quando lido com serviços da UE, as políticas de privacidade cabem em poucas páginas A4, trazem os pontos importantes no começo e são escritas de forma fácil de entender. Até bancos não escondem o que coletam e explicam por que coletam
      Já empresas estrangeiras insistem em políticas de privacidade enormes a ponto de serem difíceis de entender e tendem a tentar contornar a lei com isso. Por exemplo, a página de privacidade do Google é quase uma página gigantesca repetindo que “o Google pode coletar informações sobre você”, é pouco clara sobre para que os dados são usados e depende muito de outras páginas para os detalhes. Uma pessoa comum provavelmente já teria perdido o fio da meada
      No fim, empresas estrangeiras acham que podem violar a lei e se safar, e tornam difícil rastrear como os dados são usados. Empresas europeias, em geral, realmente cumprem a lei, por isso os principais precedentes acabam sendo contra grandes empresas estrangeiras de tecnologia
    • Muitas empresas europeias também receberam multas
      Só que, em geral, empresas europeias levaram isso muito mais a sério do que multinacionais. Às vezes até demais, a ponto de ainda se ver ocasionalmente empresas impondo políticas absurdas relacionadas a dados por acreditarem, equivocadamente, que isso é necessário para conformidade, embora hoje isso tenha diminuído um pouco
    • Por que necessariamente haveria motivo para isso? Empresas europeias já têm mais probabilidade de cumprir a lei e são menos ativas em tentar distorcê-la ou ignorá-la. Muitas vezes porque as pessoas que trabalham nelas entendem melhor a lei e dão mais atenção a ela
      Por outro lado, empresas europeias normalmente são menores, então as multas também são menores e, por isso, raramente viram manchete. É por isso que, mesmo havendo multas contra empresas europeias, você não ouve falar delas com frequência. Sinceramente, em geral só ficamos sabendo das multas gigantescas
    • Dá para ver diretamente: https://www.enforcementtracker.com/
  • Para uma decisão de um único país, a multa é bem grande. Cerca de 2,6% da receita anual, algo como 10 dias

    • A multa vale para toda a UE; só foi conduzida pela autoridade irlandesa porque a sede do TikTok fica na Irlanda
    • Segundo a matéria, a autoridade irlandesa está aplicando a decisão em nome de toda a UE. Vejo isso como o mecanismo de balcão único usado por grandes empresas estrangeiras e pelo Twitter para evitar multas separadas em cada Estado-membro. Parece incluir também uma supervisão mais estreita
      Digo Twitter de propósito, não X Corp, porque Musk, em uma decisão notoriamente ruim, demitiu todos que cuidavam de conformidade na Twitter Ireland. Parece que uma das exigências era que todos os lançamentos de funcionalidades passassem pela revisão da equipe irlandesa para garantir que não violassem a lei de dados da UE, mas Musk não fez isso com nenhuma das mudanças introduzidas depois da aquisição alavancada
  • Quando é que os CEOs de sofá vão parar de dizer coisas como “kkk x é só uma migalha da receita y”? Vocês acham que 345 milhões de euros dão em árvore?

    • A receita deste ano é estimada em 13,2 bilhões de dólares
  • Além da multa, deveriam colocá-los na penalty box por alguns meses. Algo como impedi-los de operar naquela jurisdição por um determinado período

  • Como multa inicial em vez de proibição, é um bom começo, e é também o tipo de abordagem que venho defendendo
    Se continuarem violando a privacidade dos usuários, as multas deveriam subir para dezenas de bilhões de dólares. Já houve precedente com o Facebook
    Grandes empresas não têm desculpa para fazer isso e sair impunes; toda empresa de mídia social com centenas de milhões de usuários ou mais deveria ser multada se violar a privacidade dos usuários como o TikTok. Chega de exceções ou desculpas
    No fim, quando o TikTok estraga a privacidade de seus usuários, ele não é diferente da Meta

  • No quadro geral, não parece tanto dinheiro assim. Uma multa relativamente mais pesada teria sido aceitável, embora eu talvez não conheça todos os detalhes

    • Concordo. Nessa escala, a multa é quase um imposto, um custo de fazer negócios
      Também parece bem provável que, quando a disputa jurídica terminar, ela seja reduzida para um valor muito menor
  • Para onde vai esse dinheiro?

    • Droga. Era uma pergunta simples, e até agora surgiram três respostas contraditórias: “orçamento geral do governo”, “país que aplicou a multa” e “orçamento da UE”
      Se você não sabe a resposta, não deveria inventar ficção e falar como se fosse fato
    • Vai para o país que aplicou a multa. No caso antigo da Meta foi a Irlanda; no da Amazon, Luxemburgo
    • Também quero saber. Para onde vão todas essas multas?
    • Vai para o orçamento geral do governo
    • Entra no orçamento da UE https://en.wikipedia.org/wiki/Budget_of_the_European_Union