1 pontos por GN⁺ 2025-05-04 | 1 comentários | Compartilhar no WhatsApp
  • Com as regras de transferência internacional de dados da UE voltando a ganhar destaque como risco operacional para plataformas, a Data Protection Commission da Irlanda multou o TikTok em 530 milhões de euros (cerca de 600 milhões de dólares) após uma investigação de 4 anos
  • O ponto central é se o TikTok verificou, garantiu e comprovou que os dados pessoais de usuários europeus acessados remotamente por funcionários na China recebiam uma proteção essencialmente equivalente à da UE
  • A política de privacidade da época não informava de forma suficiente para quais terceiros países os dados eram transferidos, nem explicava claramente o acesso remoto por equipes baseadas na China
  • O TikTok discorda da decisão e planeja recorrer, argumentando que o período em questão vai até maio de 2023 e que depois disso implementou o Project Clover, com data centers na Europa e supervisão independente
  • O GDPR permite a transferência de dados de usuários europeus para fora da UE, mas exige um nível equivalente de proteção, e a notificação tardia de que parte dos dados foi armazenada em servidores na China pode levar a medidas regulatórias adicionais

Multa de 530 milhões de euros e ordem de adequação em 6 meses

  • A Data Protection Commission da Irlanda multou o TikTok em 530 milhões de euros, cerca de 600 milhões de dólares, por considerar que a transferência de dados para a China violou as regras de privacidade da UE
  • A decisão é resultado de uma investigação de 4 anos iniciada em setembro de 2021, e o TikTok também recebeu a ordem de cumprir as regras em até 6 meses
  • A autoridade reguladora entendeu que a transferência de dados para a China expôs usuários europeus a riscos de vigilância
  • Como a sede europeia do TikTok fica em Dublin, a autoridade irlandesa atua como principal reguladora de privacidade do TikTok nos 27 países da UE

Acesso remoto na China e debate sobre proteção equivalente à da UE

  • O vice-comissário Graham Doyle afirmou que o TikTok não conseguiu verificar, garantir e comprovar um nível de proteção essencialmente equivalente ao da UE para os dados pessoais de usuários europeus acessados remotamente por funcionários na China
  • Na investigação, a possibilidade de autoridades chinesas acessarem dados pessoais de usuários europeus devido às leis chinesas de antiterrorismo, contraespionagem, cibersegurança e inteligência nacional foi um ponto central
  • A autoridade irlandesa concluiu que essas leis chinesas são materialmente diferentes dos padrões da UE

Problemas de transparência na política de privacidade

  • O TikTok também foi punido por não informar adequadamente aos usuários para onde seus dados pessoais eram enviados
  • A política de privacidade do TikTok à época da investigação não especificava os terceiros países para os quais os dados dos usuários eram transferidos, e China não era citada nominalmente
  • Embora a política tenha sido atualizada depois, na época ela também não explicava que dados pessoais armazenados em Singapore e nos United States eram acessados e processados remotamente por equipes baseadas na China

Plano de recurso do TikTok e Project Clover

  • O TikTok não concorda com a decisão e pretende recorrer
  • A empresa rebate dizendo que a decisão se concentra em um período específico encerrado em maio de 2023 e que depois disso avançou com o Project Clover, um projeto de localização de dados
  • O Project Clover inclui um plano para construir 3 data centers na Europa
  • Christine Grahn, chefe de políticas públicas e relações governamentais do TikTok na Europa, afirmou que o Project Clover conta com algumas das proteções de dados mais rigorosas do setor e inclui supervisão independente da empresa europeia de cibersegurança NCC Group
  • Grahn disse que o TikTok nunca recebeu um pedido de autoridades chinesas por dados de usuários europeus e nunca forneceu dados de usuários europeus às autoridades chinesas

Critérios do GDPR para transferências internacionais e contestação do TikTok

  • Sob o General Data Protection Regulation, as regras de privacidade da UE permitem a transferência de dados de usuários europeus para fora da UE, mas exigem salvaguardas que garantam o mesmo nível de proteção
  • Grahn contestou com veemência a conclusão da autoridade irlandesa de que o TikTok não realizou a avaliação necessária para a transferência de dados
  • O TikTok afirma que consultou escritórios de advocacia e especialistas, usou os mesmos mecanismos legais adotados por milhares de empresas na Europa e que sua abordagem está em conformidade com as regras da UE
  • Grahn afirmou que o TikTok está sendo singled out

Notificação sobre armazenamento em servidores na China e análise de novas medidas

  • O TikTok vem sendo investigado na Europa sobre como lida com dados pessoais de usuários porque sua controladora, a ByteDance, é uma empresa sediada na China
  • Autoridades ocidentais vêm levantando preocupações de que o TikTok represente um risco de segurança em relação aos dados de usuários transferidos para a China
  • A autoridade irlandesa já havia aplicado ao TikTok, em 2023, outra multa de centenas de milhões de euros em uma investigação separada sobre dados pessoais de crianças
  • Durante esta investigação, o TikTok disse que não armazenava dados de usuários europeus em servidores na China, mas só em abril informou à autoridade reguladora que, conforme descoberto em fevereiro, parte dos dados havia de fato sido armazenada em servidores na China
  • Graham Doyle afirmou que vê os acontecimentos recentes com muita seriedade e está avaliando se são necessárias medidas regulatórias adicionais

1 comentários

 
GN⁺ 2025-05-04
Comentários do Hacker News
  • “massiva” em qual critério, exatamente?
    Está na hora de nos acostumarmos com empresas recebendo multas em uma proporção razoável de sua receita
    Só a receita global do TikTok no ano passado é estimada em US$ 20 bilhões a US$ 26 bilhões https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...

    • Para doer o suficiente a ponto de uma empresa mudar de comportamento, a multa não precisa ser uma parte da receita global; ela precisa ser suficientemente maior que o lucro obtido com a conduta ilegal
      Segundo a matéria, o TikTok ganhou US$ 10 bilhões dos US$ 20 bilhões só nos EUA, portanto o teto da receita europeia é de US$ 10 bilhões
      Como isso exclui mercados grandes como Brasil e Indonésia, a receita real na Europa provavelmente é muito menor
      €530 milhões são cerca de US$ 600 milhões, então isso equivale a pelo menos 6% da receita relevante de 2024, e na prática pode ser muito mais
      Não sei se isso é grande o suficiente para compensar os ganhos obtidos com a má conduta, mas certamente não é uma punição branda
    • Dá para comparar com outras multas
      Em termos de valor, parece ficar mais ou menos entre as 20 maiores multas de caso único da história; olhando só para multas europeias de privacidade, fica entre as 3 maiores
      Acostumar-se com valores assim não muda a classificação
      Mesmo que números desse tipo se tornem mais comuns, eles ainda são enormes, especialmente porque, em princípio, não deveriam se tornar comuns
    • Um detalhe: deveria ser visto como uma fração do lucro líquido, não da receita
      A maior parte da receita sai como custo, então multar uma empresa em uma proporção razoável da receita pode simplesmente levá-la à falência
      Se o objetivo é mudar comportamento, esse não é o resultado desejado
      Se a receita global é de US$ 20 bilhões e assumirmos uma margem de 20%, o lucro líquido é de US$ 4 bilhões; então essa multa é 15% do lucro líquido global
      É uma multa enorme
      Além disso, esse tipo de regulação é ambíguo e aberto a interpretação, então mesmo que empresas e advogados acreditem sinceramente estar em conformidade, um juiz pode decidir de outro modo
      Se cada país aplicar multas com base na receita global, há também o risco de multas duplicadas pela mesma conduta, e isso pode acabar levando à falência da empresa, não à mudança de comportamento
    • Pior do que o valor ser baixo é o tempo que levou
      Aceitando as acusações ao pé da letra, a China monitorou uma parcela significativa dos cidadãos da UE por 4 anos e ainda poderá continuar por mais 6 meses
      Mesmo depois disso, é pouco provável que pare de fato, e no fim a multa sai por alguns dólares por vítima
      Os EUA também não agem mais rápido, e a maioria dos outros países nem age
      Como resultado, se um potencial adversário incluir vídeos bobos e trilhas sonoras irritantes, consegue operar uma enorme operação de vigilância por muito tempo sem pagar um preço alto
    • Havia a ideia de que, em vez de multa, o governo deveria ficar com uma participação acionária na empresa
      Seria uma forma de punir o mau comportamento diluindo a participação dos donos atuais
      Se o governo se torna coproprietário, passa a estar por dentro, com muito mais capacidade de solicitar informações e visibilidade
      Se o mau comportamento continuar, com o tempo o governo acabaria obtendo controle
      Para empresas como a Tesla, cujo preço das ações é muito alto mas o lucro é baixo, multas como proporção do lucro talvez não tenham muito efeito
      Mas o controle governamental por meio de ações chamaria rapidamente a atenção tanto da empresa quanto dos acionistas
  • O Є no título enviado ao HN não é o símbolo do euro
    O símbolo do euro é

    • O título mudou e o símbolo foi acrescentado, mas não dá mais para editar o título
      Espero que o Dang corrija
    • Aprendi hoje: Є é U+0404 Cyrillic Capital Letter Ukrainian Ie
      https://codepoints.net/U+0404
    • Além disso, o símbolo € não é um prefixo colocado antes do valor, como $, e sim um sufixo colocado depois do valor
  • Há muita frustração e cinismo nesta thread, mas algumas confusões parecem estar alimentando isso
    Para começar, a Irlanda faz parte da UE e, no sistema de balcão único do GDPR, o país onde fica a sede da empresa na UE lidera a fiscalização para toda a UE
    Como muitas gigantes de tecnologia têm sua sede europeia na Irlanda, quando o regulador irlandês aplica uma multa sob o GDPR, na prática está fazendo a execução em nome de toda a UE
    As multas do GDPR podem ser muito altas, e as sanções podem ser calculadas com base no maior valor entre um percentual da receita global ou um valor fixo elevado
    Assim, até grandes empresas sentem o impacto
    Essas multas são anunciadas de forma pública e transparente, portanto há não só impacto financeiro, mas também dano reputacional
    A publicidade é intencional para que a multa seja um verdadeiro fator de dissuasão, não um custo operacional silencioso
    Também é preciso deixar claro para onde vai o dinheiro da multa
    Ele não vai simplesmente para o bolso da Irlanda; na prática, entra no orçamento da UE e é compensado da contribuição que a Irlanda normalmente teria de pagar ao orçamento europeu
    Se pessoas de outros países da UE foram violadas, esses países também podem solicitar parte da multa
    No fim, não é uma estrutura em que a Irlanda lucra sozinha; ela apenas se torna o ponto de arrecadação porque as empresas têm base lá
    Curiosamente, algumas pessoas dizem que a multa é dura demais, enquanto outras dizem que é fraca demais
    Na prática, esse tipo de sanção é desenhado para ser proporcional ao tamanho da empresa e à gravidade da violação, mas ainda assim significativa; não tem o objetivo de destruir a empresa, mas também está longe de ser irrelevante

    • O critério do maior valor entre um percentual da receita global da empresa ou um valor fixo elevado serve para definir a multa máxima
      Depois disso, o regulador pode aplicar como multa efetiva X% desse máximo
      Isso também é um mecanismo para evitar que Estados-membros da UE reduzam demais as multas para atrair empresas
      É um contexto parecido com o problema passado de a Irlanda cobrar impostos baixos demais
    • O fato de a Irlanda pagar x a menos de contribuição é, na prática, quase o mesmo que ganhar x em dinheiro
      Na parte que outros países da UE não solicitarem, isso acaba indo para o bolso da Irlanda
    • Seria muito útil ter fontes sobre os detalhes desse fluxo das multas
      Sempre que o GDPR aparece, surgem dezenas de comentários aqui, e a discussão sobre esse ponto se repete toda vez
  • Pode até estar dentro da lei, mas vejo a ameaça maior não como os dados saindo, e sim como a influência entrando no algoritmo do app e, com isso, afetando os usuários

  • @dang Você pode colocar este símbolo no título?

    • Esse Є precisa ser removido
  • Fiquei curioso sobre duas coisas
    Primeiro, se multas assim são realmente executadas ou se acabam em recursos por tempo indefinido
    Segundo, para onde vai o dinheiro da multa
    Se a estrutura é a de o TikTok ser multado na Irlanda, parece que a multa iria para o governo irlandês, o que é estranho
    Se a multa é calculada no contexto de toda a UE, mas só a Irlanda fica com a receita, a estrutura está quebrada

    • No Reino Unido, o órgão regulador que aplica a multa repassa quase tudo ao Fundo Consolidado, exceto uma parte para recuperar alguns custos
      É como se entrasse no mesmo grande caixa dos impostos
      Como a UE praticamente não faz aplicação direta da lei, e a maior parte fica a cargo dos reguladores nacionais, esse é um modelo em geral previsível
      É o oposto do caso da Apple: naquela ocasião, a UE multou o governo da Irlanda por não ter cobrado impostos suficientes da Apple
    • Preciso ser corrigido se estiver errado, mas esse dinheiro acaba fluindo para o orçamento da UE como um todo, algo parecido com os residentes da UE recebendo uma devolução minúscula nos impostos
      Porém, parece haver diferenças entre os países, e a Espanha parece ter uma estrutura um tanto incomum em que a autoridade de proteção de dados fica diretamente com o dinheiro
    • Se fosse realmente uma multa só da Irlanda, o TikTok poderia simplesmente sair daquele país e não pagar a multa
      Talvez até seja isso que a Irlanda queira
      A Irlanda é um mercado pequeno, então levaria muito tempo para o TikTok obter 530 milhões de euros de lucro lá
    • https://www.enforcementtracker.com/
  • 100% do dinheiro recuperado com multas desse tipo deveria ser usado para pesquisa e divulgação de violações de privacidade dessas empresas
    Na prática, elas deveriam pagar do próprio bolso o custo de se fiscalizarem
    Não dá para saber como os dados que elas coletam em massa serão abusados por IA no futuro, e isso é bem assustador

  • Espero que esse dinheiro seja usado para melhorar a situação das pessoas locais

  • Fugindo um pouco do assunto, fico curioso sobre como o governo que aplicou a multa usa esse dinheiro
    Por exemplo, ele financia atividades ou trabalhos relacionados à privacidade de dados?

    • Impostos raramente são vinculados a uma finalidade específica
      Na maioria dos países, pagar uma “taxa dos ursos” não significa que o dinheiro vá para um grande pote dedicado exclusivamente a exterminar ursos
      Por isso, multas assim geralmente entram como receita geral para gastos do governo
      No Reino Unido, multas por violações de dados são usadas para custear a operação do órgão executor, e o restante volta para o Estado https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
    • Na UE, isso significa que, no ano seguinte, os Estados-membros precisam contribuir um pouco menos para o orçamento
      O orçamento da UE em si não muda de fato, então, na prática, não é uma estrutura em que “surge mais dinheiro”
      Parece que pulei uma etapa, mas essa multa não é específica da Irlanda; é uma multa da UE como um todo e, pelo que me lembro, é paga à UE
  • Enquanto os responsáveis individualmente não forem multados, multas assim são inúteis e não têm impacto

    • Além disso, se a multa for menor do que o dinheiro ganho, então não é multa, é custo operacional