contato

19 de Setembro, 2023

TikTok multada em €345 milhões por violações de proteção de dados relativas a usuários infantis

2789a62d 340c 41f0 847d 40b4513fdbf9

Após a decisão vinculativa de resolução de disputas do EDPB, a Autoridade Irlandesa de Proteção de Dados (IE DPA) emitiu uma decisão final, constatando, em particular, que a TikTok Technology Limited (TikTok) infringiu o princípio de justiça do GDPR ao processar dados pessoais de crianças entre 13 e 17 anos. A decisão do EDPB foi emitida em 2 de agosto de 2023 e abrange as atividades de processamento da TikTok entre 31 de julho e 31 de dezembro de 2020.

Anu Talus, presidente do EDPB, disse: “As empresas de mídia social têm a responsabilidade de evitar apresentar escolhas aos usuários, especialmente crianças, de maneira injusta - especialmente se essa apresentação pode induzir as pessoas a tomar decisões que violem seus interesses de privacidade. Opções relacionadas à privacidade devem ser fornecidas de forma objetiva e neutra, evitando qualquer tipo de linguagem ou design enganoso ou manipulativo. Com esta decisão, o EDPB deixa claro novamente que os players digitais devem ser extremamente cuidadosos e tomar todas as medidas necessárias para salvaguardar os direitos de proteção de dados das crianças.”

Em sua decisão vinculativa, o EDPB analisou as práticas de design implementadas pela TikTok no contexto de duas notificações pop-up mostradas a crianças de 13 a 17 anos: o Pop-Up de Registro e o Pop-Up de Postagem de Vídeo. A análise constatou que ambos os pop-ups falharam em apresentar opções ao usuário de forma objetiva e neutra.

No Pop-Up de Registro, as crianças foram induzidas a optar por uma conta pública ao escolher o botão do lado direito rotulado como “Pular”, o que teria um efeito cascata na privacidade da criança na plataforma, por exemplo, tornando os comentários sobre o conteúdo do vídeo criado por crianças acessíveis.

No Pop-Up de Postagem de Vídeo, as crianças foram induzidas a clicar em “Postar Agora”, apresentado em um texto em negrito e mais escuro localizado no lado direito, em vez do botão mais claro para “cancelar”. Os usuários que desejavam tornar sua postagem privada primeiro precisavam selecionar “cancelar” e depois procurar as configurações de privacidade para mudar para uma “conta privada”. Portanto, os usuários foram encorajados a optar por configurações públicas por padrão, com a TikTok dificultando a escolha em favor da proteção de seus dados pessoais. Além disso, as consequências das diferentes opções não estavam claras, especialmente para os usuários infantis. O EDPB confirmou que os controladores não devem dificultar para os titulares dos dados ajustar suas configurações de privacidade e limitar o processamento.

O EDPB também constatou que, como resultado das práticas em questão, a TikTok infringiu o princípio da justiça sob o GDPR. Consequentemente, o EDPB instruiu o IE DPA a incluir, em sua decisão final, uma constatação desta infração adicional e ordenar à TikTok que cumpra o GDPR, eliminando tais práticas de design.

O EDPB também avaliou se as medidas de verificação de idade implementadas pela TikTok entre 31 de julho e 31 de dezembro de 2020 estavam em conformidade com os requisitos de proteção de dados por design (Art. 25(1) GDPR). O EDPB expressou sérias dúvidas quanto à eficácia das medidas de verificação de idade adotadas pela TikTok durante esse período, especialmente levando em consideração a gravidade dos riscos para o grande número de crianças afetadas. Entre outras coisas, o EDPB constatou que o portão de idade implantado pela TikTok para impedir que usuários infantis com menos de 13 anos acessassem a plataforma poderia ser facilmente contornado e que as medidas aplicadas após os usuários acessarem a TikTok não foram aplicadas de maneira suficientemente sistemática.

Com base nos elementos disponíveis no contexto deste procedimento de resolução de disputas, o EDPB concluiu que não tinha informações suficientes, em particular em relação ao estado da arte, para avaliar conclusivamente a conformidade da TikTok com o Art. 25 (1) GDPR durante este período. No entanto, considerando as sérias dúvidas quanto à eficácia das medidas escolhidas pela TikTok, o EDPB exigiu que o IE DPA refletisse isso em sua decisão final.

A decisão final do IE DPA incorpora a avaliação jurídica expressa pelo EDPB em sua decisão vinculativa. Esta decisão foi adotada com base no Art. 65(1)(a) GDPR após o IE DPA, como autoridade supervisora líder (LSA), desencadear um procedimento de resolução de disputas em relação às objeções levantadas por algumas autoridades supervisoras preocupadas (CSAs). Essas objeções delinearam o escopo da decisão do EDPB, descrita acima.

A decisão final do IE DPA também inclui avaliação jurídica que não foi objeto de objeções por CSAs, como a constatação de que as configurações públicas por padrão eram contrárias aos princípios de proteção de dados por design e padrão, de minimização de dados e transparência. Além de uma repreensão e uma ordem de conformidade, o IE DPA impôs uma multa de €345 milhões.

Encerrando esta importante notícia, é fundamental ressaltar que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) está ativamente comprometida em garantir a segurança e privacidade das crianças e adolescentes brasileiros na plataforma digital do TikTok. Inclusive, a ANPD já realizou a divulgação de um parecer técnico com recomendações ao TikTok, abordando questões cruciais de conformidade com a LGPD. Estas incluem o fortalecimento da verificação de idade para evitar registros de menores de 13 anos, a clara diferenciação no tratamento de dados entre crianças e adultos na Política de Privacidade, a revisão criteriosa das informações de cadastro para crianças no TikTok, a limitação dos tratamentos sob a hipótese de execução de contrato ao essencial, a revisão dos casos de execução de contrato para menores de 18 anos ou a comprovação de representação, a apresentação de testes de conformidade ao art. 10 quando o legítimo interesse for usado e a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais para tratamentos de dados relacionados ao cadastro e à informação dos algoritmos da Plataforma, considerando o potencial impacto em crianças e adolescentes.

Com informações do European Data Protection Board.

Com informações da Nota Técnica nº 6/2023/CGF/ANPD.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Discord enfrenta ação judicial por negligência na proteção de crianças
23 de Abril, 2025
Guilherme Damasio Goulart
Sem comentários

O Procurador-Geral de Nova Jersey moveu uma ação judicial contra a plataforma de mensagens Discord, acusando a empresa de práticas comerciais enganosas e irresponsáveis que expõem crianças a conteúdos violentos e sexuais, além de predadores online. A investigação revelou que Discord teria enganado os pais quanto à eficácia de seus controles de segurança, oferecendo garantias […]

Ler Mais
Apple e Meta são multadas pela UE por violação ao DMA
23 de Abril, 2025
Guilherme Damasio Goulart
Sem comentários

A Comissão Europeia anunciou multas inéditas às gigantes Apple e Meta por descumprimento de regras do Digital Markets Act (DMA), legislação criada para coibir práticas anticompetitivas nos mercados digitais da União Europeia. A Apple foi penalizada em €500 milhões (aproximadamente US$ 570 milhões) devido a restrições impostas a desenvolvedores na App Store, conhecidas como “anti-steering”, […]

Ler Mais
BCB define ativos financeiros vinculáveis a boletos dinâmicos para aumentar segurança
23 de Abril, 2025
Guilherme Damasio Goulart
Sem comentários

O Banco Central do Brasil (BCB) publicou a Instrução Normativa nº 611/2025, que estabelece os tipos de ativos financeiros passíveis de vinculação a boletos de cobrança dinâmicos, modalidade criada para modernizar e dar mais segurança a transações envolvendo créditos negociáveis. A medida integra esforços regulatórios para aprimorar a eficiência e a rastreabilidade de operações financeiras, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram