- Com as regras de transferência internacional de dados da UE voltando a ganhar destaque como risco operacional para plataformas, a Data Protection Commission da Irlanda multou o TikTok em 530 milhões de euros (cerca de 600 milhões de dólares) após uma investigação de 4 anos
- O ponto central é se o TikTok verificou, garantiu e comprovou que os dados pessoais de usuários europeus acessados remotamente por funcionários na China recebiam uma proteção essencialmente equivalente à da UE
- A política de privacidade da época não informava de forma suficiente para quais terceiros países os dados eram transferidos, nem explicava claramente o acesso remoto por equipes baseadas na China
- O TikTok discorda da decisão e planeja recorrer, argumentando que o período em questão vai até maio de 2023 e que depois disso implementou o Project Clover, com data centers na Europa e supervisão independente
- O GDPR permite a transferência de dados de usuários europeus para fora da UE, mas exige um nível equivalente de proteção, e a notificação tardia de que parte dos dados foi armazenada em servidores na China pode levar a medidas regulatórias adicionais
Multa de 530 milhões de euros e ordem de adequação em 6 meses
- A Data Protection Commission da Irlanda multou o TikTok em 530 milhões de euros, cerca de 600 milhões de dólares, por considerar que a transferência de dados para a China violou as regras de privacidade da UE
- A decisão é resultado de uma investigação de 4 anos iniciada em setembro de 2021, e o TikTok também recebeu a ordem de cumprir as regras em até 6 meses
- A autoridade reguladora entendeu que a transferência de dados para a China expôs usuários europeus a riscos de vigilância
- Como a sede europeia do TikTok fica em Dublin, a autoridade irlandesa atua como principal reguladora de privacidade do TikTok nos 27 países da UE
Acesso remoto na China e debate sobre proteção equivalente à da UE
- O vice-comissário Graham Doyle afirmou que o TikTok não conseguiu verificar, garantir e comprovar um nível de proteção essencialmente equivalente ao da UE para os dados pessoais de usuários europeus acessados remotamente por funcionários na China
- Na investigação, a possibilidade de autoridades chinesas acessarem dados pessoais de usuários europeus devido às leis chinesas de antiterrorismo, contraespionagem, cibersegurança e inteligência nacional foi um ponto central
- A autoridade irlandesa concluiu que essas leis chinesas são materialmente diferentes dos padrões da UE
Problemas de transparência na política de privacidade
- O TikTok também foi punido por não informar adequadamente aos usuários para onde seus dados pessoais eram enviados
- A política de privacidade do TikTok à época da investigação não especificava os terceiros países para os quais os dados dos usuários eram transferidos, e China não era citada nominalmente
- Embora a política tenha sido atualizada depois, na época ela também não explicava que dados pessoais armazenados em Singapore e nos United States eram acessados e processados remotamente por equipes baseadas na China
Plano de recurso do TikTok e Project Clover
- O TikTok não concorda com a decisão e pretende recorrer
- A empresa rebate dizendo que a decisão se concentra em um período específico encerrado em maio de 2023 e que depois disso avançou com o Project Clover, um projeto de localização de dados
- O Project Clover inclui um plano para construir 3 data centers na Europa
- Christine Grahn, chefe de políticas públicas e relações governamentais do TikTok na Europa, afirmou que o Project Clover conta com algumas das proteções de dados mais rigorosas do setor e inclui supervisão independente da empresa europeia de cibersegurança NCC Group
- Grahn disse que o TikTok nunca recebeu um pedido de autoridades chinesas por dados de usuários europeus e nunca forneceu dados de usuários europeus às autoridades chinesas
Critérios do GDPR para transferências internacionais e contestação do TikTok
- Sob o General Data Protection Regulation, as regras de privacidade da UE permitem a transferência de dados de usuários europeus para fora da UE, mas exigem salvaguardas que garantam o mesmo nível de proteção
- Grahn contestou com veemência a conclusão da autoridade irlandesa de que o TikTok não realizou a avaliação necessária para a transferência de dados
- O TikTok afirma que consultou escritórios de advocacia e especialistas, usou os mesmos mecanismos legais adotados por milhares de empresas na Europa e que sua abordagem está em conformidade com as regras da UE
- Grahn afirmou que o TikTok está sendo singled out
Notificação sobre armazenamento em servidores na China e análise de novas medidas
- O TikTok vem sendo investigado na Europa sobre como lida com dados pessoais de usuários porque sua controladora, a ByteDance, é uma empresa sediada na China
- Autoridades ocidentais vêm levantando preocupações de que o TikTok represente um risco de segurança em relação aos dados de usuários transferidos para a China
- A autoridade irlandesa já havia aplicado ao TikTok, em 2023, outra multa de centenas de milhões de euros em uma investigação separada sobre dados pessoais de crianças
- Durante esta investigação, o TikTok disse que não armazenava dados de usuários europeus em servidores na China, mas só em abril informou à autoridade reguladora que, conforme descoberto em fevereiro, parte dos dados havia de fato sido armazenada em servidores na China
- Graham Doyle afirmou que vê os acontecimentos recentes com muita seriedade e está avaliando se são necessárias medidas regulatórias adicionais
1 comentários
Comentários do Hacker News
“massiva” em qual critério, exatamente?
Está na hora de nos acostumarmos com empresas recebendo multas em uma proporção razoável de sua receita
Só a receita global do TikTok no ano passado é estimada em US$ 20 bilhões a US$ 26 bilhões https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...
Segundo a matéria, o TikTok ganhou US$ 10 bilhões dos US$ 20 bilhões só nos EUA, portanto o teto da receita europeia é de US$ 10 bilhões
Como isso exclui mercados grandes como Brasil e Indonésia, a receita real na Europa provavelmente é muito menor
€530 milhões são cerca de US$ 600 milhões, então isso equivale a pelo menos 6% da receita relevante de 2024, e na prática pode ser muito mais
Não sei se isso é grande o suficiente para compensar os ganhos obtidos com a má conduta, mas certamente não é uma punição branda
Em termos de valor, parece ficar mais ou menos entre as 20 maiores multas de caso único da história; olhando só para multas europeias de privacidade, fica entre as 3 maiores
Acostumar-se com valores assim não muda a classificação
Mesmo que números desse tipo se tornem mais comuns, eles ainda são enormes, especialmente porque, em princípio, não deveriam se tornar comuns
A maior parte da receita sai como custo, então multar uma empresa em uma proporção razoável da receita pode simplesmente levá-la à falência
Se o objetivo é mudar comportamento, esse não é o resultado desejado
Se a receita global é de US$ 20 bilhões e assumirmos uma margem de 20%, o lucro líquido é de US$ 4 bilhões; então essa multa é 15% do lucro líquido global
É uma multa enorme
Além disso, esse tipo de regulação é ambíguo e aberto a interpretação, então mesmo que empresas e advogados acreditem sinceramente estar em conformidade, um juiz pode decidir de outro modo
Se cada país aplicar multas com base na receita global, há também o risco de multas duplicadas pela mesma conduta, e isso pode acabar levando à falência da empresa, não à mudança de comportamento
Aceitando as acusações ao pé da letra, a China monitorou uma parcela significativa dos cidadãos da UE por 4 anos e ainda poderá continuar por mais 6 meses
Mesmo depois disso, é pouco provável que pare de fato, e no fim a multa sai por alguns dólares por vítima
Os EUA também não agem mais rápido, e a maioria dos outros países nem age
Como resultado, se um potencial adversário incluir vídeos bobos e trilhas sonoras irritantes, consegue operar uma enorme operação de vigilância por muito tempo sem pagar um preço alto
Seria uma forma de punir o mau comportamento diluindo a participação dos donos atuais
Se o governo se torna coproprietário, passa a estar por dentro, com muito mais capacidade de solicitar informações e visibilidade
Se o mau comportamento continuar, com o tempo o governo acabaria obtendo controle
Para empresas como a Tesla, cujo preço das ações é muito alto mas o lucro é baixo, multas como proporção do lucro talvez não tenham muito efeito
Mas o controle governamental por meio de ações chamaria rapidamente a atenção tanto da empresa quanto dos acionistas
O Є no título enviado ao HN não é o símbolo do euro
O símbolo do euro é €
Espero que o Dang corrija
https://codepoints.net/U+0404
Há muita frustração e cinismo nesta thread, mas algumas confusões parecem estar alimentando isso
Para começar, a Irlanda faz parte da UE e, no sistema de balcão único do GDPR, o país onde fica a sede da empresa na UE lidera a fiscalização para toda a UE
Como muitas gigantes de tecnologia têm sua sede europeia na Irlanda, quando o regulador irlandês aplica uma multa sob o GDPR, na prática está fazendo a execução em nome de toda a UE
As multas do GDPR podem ser muito altas, e as sanções podem ser calculadas com base no maior valor entre um percentual da receita global ou um valor fixo elevado
Assim, até grandes empresas sentem o impacto
Essas multas são anunciadas de forma pública e transparente, portanto há não só impacto financeiro, mas também dano reputacional
A publicidade é intencional para que a multa seja um verdadeiro fator de dissuasão, não um custo operacional silencioso
Também é preciso deixar claro para onde vai o dinheiro da multa
Ele não vai simplesmente para o bolso da Irlanda; na prática, entra no orçamento da UE e é compensado da contribuição que a Irlanda normalmente teria de pagar ao orçamento europeu
Se pessoas de outros países da UE foram violadas, esses países também podem solicitar parte da multa
No fim, não é uma estrutura em que a Irlanda lucra sozinha; ela apenas se torna o ponto de arrecadação porque as empresas têm base lá
Curiosamente, algumas pessoas dizem que a multa é dura demais, enquanto outras dizem que é fraca demais
Na prática, esse tipo de sanção é desenhado para ser proporcional ao tamanho da empresa e à gravidade da violação, mas ainda assim significativa; não tem o objetivo de destruir a empresa, mas também está longe de ser irrelevante
Depois disso, o regulador pode aplicar como multa efetiva X% desse máximo
Isso também é um mecanismo para evitar que Estados-membros da UE reduzam demais as multas para atrair empresas
É um contexto parecido com o problema passado de a Irlanda cobrar impostos baixos demais
Na parte que outros países da UE não solicitarem, isso acaba indo para o bolso da Irlanda
Sempre que o GDPR aparece, surgem dezenas de comentários aqui, e a discussão sobre esse ponto se repete toda vez
Pode até estar dentro da lei, mas vejo a ameaça maior não como os dados saindo, e sim como a influência entrando no algoritmo do app e, com isso, afetando os usuários
@dang Você pode colocar este símbolo no título? €
Fiquei curioso sobre duas coisas
Primeiro, se multas assim são realmente executadas ou se acabam em recursos por tempo indefinido
Segundo, para onde vai o dinheiro da multa
Se a estrutura é a de o TikTok ser multado na Irlanda, parece que a multa iria para o governo irlandês, o que é estranho
Se a multa é calculada no contexto de toda a UE, mas só a Irlanda fica com a receita, a estrutura está quebrada
É como se entrasse no mesmo grande caixa dos impostos
Como a UE praticamente não faz aplicação direta da lei, e a maior parte fica a cargo dos reguladores nacionais, esse é um modelo em geral previsível
É o oposto do caso da Apple: naquela ocasião, a UE multou o governo da Irlanda por não ter cobrado impostos suficientes da Apple
Porém, parece haver diferenças entre os países, e a Espanha parece ter uma estrutura um tanto incomum em que a autoridade de proteção de dados fica diretamente com o dinheiro
Talvez até seja isso que a Irlanda queira
A Irlanda é um mercado pequeno, então levaria muito tempo para o TikTok obter 530 milhões de euros de lucro lá
100% do dinheiro recuperado com multas desse tipo deveria ser usado para pesquisa e divulgação de violações de privacidade dessas empresas
Na prática, elas deveriam pagar do próprio bolso o custo de se fiscalizarem
Não dá para saber como os dados que elas coletam em massa serão abusados por IA no futuro, e isso é bem assustador
Espero que esse dinheiro seja usado para melhorar a situação das pessoas locais
Fugindo um pouco do assunto, fico curioso sobre como o governo que aplicou a multa usa esse dinheiro
Por exemplo, ele financia atividades ou trabalhos relacionados à privacidade de dados?
Na maioria dos países, pagar uma “taxa dos ursos” não significa que o dinheiro vá para um grande pote dedicado exclusivamente a exterminar ursos
Por isso, multas assim geralmente entram como receita geral para gastos do governo
No Reino Unido, multas por violações de dados são usadas para custear a operação do órgão executor, e o restante volta para o Estado https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
O orçamento da UE em si não muda de fato, então, na prática, não é uma estrutura em que “surge mais dinheiro”
Parece que pulei uma etapa, mas essa multa não é específica da Irlanda; é uma multa da UE como um todo e, pelo que me lembro, é paga à UE
Enquanto os responsáveis individualmente não forem multados, multas assim são inúteis e não têm impacto