contato

19 de Setembro, 2023

TikTok multada em €345 milhões por violações de proteção de dados relativas a usuários infantis

2789a62d 340c 41f0 847d 40b4513fdbf9

Após a decisão vinculativa de resolução de disputas do EDPB, a Autoridade Irlandesa de Proteção de Dados (IE DPA) emitiu uma decisão final, constatando, em particular, que a TikTok Technology Limited (TikTok) infringiu o princípio de justiça do GDPR ao processar dados pessoais de crianças entre 13 e 17 anos. A decisão do EDPB foi emitida em 2 de agosto de 2023 e abrange as atividades de processamento da TikTok entre 31 de julho e 31 de dezembro de 2020.

Anu Talus, presidente do EDPB, disse: “As empresas de mídia social têm a responsabilidade de evitar apresentar escolhas aos usuários, especialmente crianças, de maneira injusta - especialmente se essa apresentação pode induzir as pessoas a tomar decisões que violem seus interesses de privacidade. Opções relacionadas à privacidade devem ser fornecidas de forma objetiva e neutra, evitando qualquer tipo de linguagem ou design enganoso ou manipulativo. Com esta decisão, o EDPB deixa claro novamente que os players digitais devem ser extremamente cuidadosos e tomar todas as medidas necessárias para salvaguardar os direitos de proteção de dados das crianças.”

Em sua decisão vinculativa, o EDPB analisou as práticas de design implementadas pela TikTok no contexto de duas notificações pop-up mostradas a crianças de 13 a 17 anos: o Pop-Up de Registro e o Pop-Up de Postagem de Vídeo. A análise constatou que ambos os pop-ups falharam em apresentar opções ao usuário de forma objetiva e neutra.

No Pop-Up de Registro, as crianças foram induzidas a optar por uma conta pública ao escolher o botão do lado direito rotulado como “Pular”, o que teria um efeito cascata na privacidade da criança na plataforma, por exemplo, tornando os comentários sobre o conteúdo do vídeo criado por crianças acessíveis.

No Pop-Up de Postagem de Vídeo, as crianças foram induzidas a clicar em “Postar Agora”, apresentado em um texto em negrito e mais escuro localizado no lado direito, em vez do botão mais claro para “cancelar”. Os usuários que desejavam tornar sua postagem privada primeiro precisavam selecionar “cancelar” e depois procurar as configurações de privacidade para mudar para uma “conta privada”. Portanto, os usuários foram encorajados a optar por configurações públicas por padrão, com a TikTok dificultando a escolha em favor da proteção de seus dados pessoais. Além disso, as consequências das diferentes opções não estavam claras, especialmente para os usuários infantis. O EDPB confirmou que os controladores não devem dificultar para os titulares dos dados ajustar suas configurações de privacidade e limitar o processamento.

O EDPB também constatou que, como resultado das práticas em questão, a TikTok infringiu o princípio da justiça sob o GDPR. Consequentemente, o EDPB instruiu o IE DPA a incluir, em sua decisão final, uma constatação desta infração adicional e ordenar à TikTok que cumpra o GDPR, eliminando tais práticas de design.

O EDPB também avaliou se as medidas de verificação de idade implementadas pela TikTok entre 31 de julho e 31 de dezembro de 2020 estavam em conformidade com os requisitos de proteção de dados por design (Art. 25(1) GDPR). O EDPB expressou sérias dúvidas quanto à eficácia das medidas de verificação de idade adotadas pela TikTok durante esse período, especialmente levando em consideração a gravidade dos riscos para o grande número de crianças afetadas. Entre outras coisas, o EDPB constatou que o portão de idade implantado pela TikTok para impedir que usuários infantis com menos de 13 anos acessassem a plataforma poderia ser facilmente contornado e que as medidas aplicadas após os usuários acessarem a TikTok não foram aplicadas de maneira suficientemente sistemática.

Com base nos elementos disponíveis no contexto deste procedimento de resolução de disputas, o EDPB concluiu que não tinha informações suficientes, em particular em relação ao estado da arte, para avaliar conclusivamente a conformidade da TikTok com o Art. 25 (1) GDPR durante este período. No entanto, considerando as sérias dúvidas quanto à eficácia das medidas escolhidas pela TikTok, o EDPB exigiu que o IE DPA refletisse isso em sua decisão final.

A decisão final do IE DPA incorpora a avaliação jurídica expressa pelo EDPB em sua decisão vinculativa. Esta decisão foi adotada com base no Art. 65(1)(a) GDPR após o IE DPA, como autoridade supervisora líder (LSA), desencadear um procedimento de resolução de disputas em relação às objeções levantadas por algumas autoridades supervisoras preocupadas (CSAs). Essas objeções delinearam o escopo da decisão do EDPB, descrita acima.

A decisão final do IE DPA também inclui avaliação jurídica que não foi objeto de objeções por CSAs, como a constatação de que as configurações públicas por padrão eram contrárias aos princípios de proteção de dados por design e padrão, de minimização de dados e transparência. Além de uma repreensão e uma ordem de conformidade, o IE DPA impôs uma multa de €345 milhões.

Encerrando esta importante notícia, é fundamental ressaltar que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) está ativamente comprometida em garantir a segurança e privacidade das crianças e adolescentes brasileiros na plataforma digital do TikTok. Inclusive, a ANPD já realizou a divulgação de um parecer técnico com recomendações ao TikTok, abordando questões cruciais de conformidade com a LGPD. Estas incluem o fortalecimento da verificação de idade para evitar registros de menores de 13 anos, a clara diferenciação no tratamento de dados entre crianças e adultos na Política de Privacidade, a revisão criteriosa das informações de cadastro para crianças no TikTok, a limitação dos tratamentos sob a hipótese de execução de contrato ao essencial, a revisão dos casos de execução de contrato para menores de 18 anos ou a comprovação de representação, a apresentação de testes de conformidade ao art. 10 quando o legítimo interesse for usado e a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais para tratamentos de dados relacionados ao cadastro e à informação dos algoritmos da Plataforma, considerando o potencial impacto em crianças e adolescentes.

Com informações do European Data Protection Board.

Com informações da Nota Técnica nº 6/2023/CGF/ANPD.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram