TikTok recebe multa bilionária e levanta reflexão sobre compliance digital

O Data Protection Commission da Irlanda aplicou em setembro deste ano uma multa no valor de 345 milhões de euros contra a TikTok Limited, de propriedade da empresa chinesa ByteDance, por descumprimento de princípios trazidos na General Data Protection Regulation (GDPR).

A multa foi aplicada em razão da exposição pública de contas de menores de idade sem o consentimento dos titulares. Os vídeos e posts dos menores foram disponibilizados sem qualquer restrição pela plataforma, de forma a violar a GDPR, por haver um tratamento inadequado dos dados pessoais de vulneráveis.

Anatoliy Sizov/istock

O TikTok possui 73 milhões de usuários só no Brasil e removeu mais de 110 milhões de vídeos no mundo todo, dos quais cerca de 43% foram por motivos de segurança de menores de 13 anos de idade, sendo que o Brasil figurou em quinto lugar como o país com o maior número de vídeos removidos.

Adotando a mesma linha de raciocínio, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, conhecida como LGPD), com inspiração na GDPR, estabeleceu um importante conjunto de sanções istrativas como parte de seu arcabouço regulatório, estabelecendo regras mais rigorosas, principalmente, para os considerados vulneráveis.

A ANPD (Autoridade Nacional de Proteção de Dados), por meio da sua Resolução n^o 2, publicada em 28/01/22, considerou como sendo de alto risco o tratamento de dados pessoais de crianças, adolescentes e idosos, ou seja, os considerando vulneráveis.

Na prática, foi criado todo um aparato regulatório de maior cautela e segurança, gerando assim maiores deveres para quem realiza o tratamento dos dados pessoais dos vulneráveis.

Por este motivo, em razão de processo iniciado em 23/03/21, ainda em uma fase preliminar, se comparada à autoridade irlandesa, a ANPD concedeu ao TikTok o prazo de 30 dias úteis para que se manifeste sobre uma nota técnica, publicada no dia 19/9/23, acerca dos tratamentos de dados realizados.

Na nota discute-se sobre o conceito e a forma de consentimento de crianças e adolescentes, trazendo-se parâmetros concretos para todas as empresas que realizem o tratamento de dados de menores.

A ANPD determinou que o TikTok apresente o cumprimento de oito itens para que possa dar continuidade no tratamento de dados. Referidos itens contemplam, em suma, a revisão e apresentação de documentos à ANPD sobre o tratamento dos dados pessoais dos menores, dentre os quais são citados a política de privacidade com diferenciação entre os dados de maiores e menores, demonstrativo dos mecanismos de verificação de idade, alteração do cadastro de coleta de dados, revisão da base legal adotada para a coleta de dados dos menores e a apresentação de relatório de impacto com a finalidade de "informar os algoritmos da Plataforma".

Portanto, este foi o primeiro o dado pela ANPD acerca dos tratamentos de dados de menores realizados pelo TikTok e, a dúvida que paira, é se a autarquia brasileira, na hipótese de descumprimento da decisão, aplicará um valor de sanção pecuniária tão expressivo como o da autoridade irlandesa ou, como informado na própria nota técnica, impedirá a continuidade do tratamento dos dados dos menores pelo TikTok.

Observe-se que a LGPD estabeleceu um importante conjunto de sanções istrativas como parte de seu arcabouço regulatório. Entre as medidas previstas, estão advertências, multas que podem atingir até 2% do faturamento da empresa (limitado a R$ 50 milhões "por infração"), limitação do funcionamento do banco de dados pessoais, e a proibição total ou parcial do tratamento de dados.

Além disso, a LGPD também prevê a possibilidade de publicação da decisão condenatória e a exclusão dos dados que foram tratados de forma irregular. Essas sanções, não apenas incentivam as organizações a adotarem práticas responsáveis no tratamento dos dados pessoais, com, também, buscam proteger os direitos e a privacidade dos indivíduos em um cenário cada vez mais digital e interconectado.

Trata-se, portanto, de um caso emblemático sobre o entendimento da autoridade sobre os procedimentos a serem adotados pelas empresas quando realizarem o tratamento de menores, devendo ficar claro, ainda, que em razão da aplicação da primeira multa aplicada pela ANPD, entendeu-se que o termo "por infração" poderá significar a violação de cada um dos dispositivos da LGPD, de forma individualizada. Logo, o limite de R$ 50 milhões, poderá ser superado, em muito, em determinados casos.

Portanto, é crucial que as empresas compreendam e estejam em conformidade com a LGPD e acompanhem os entendimentos da ANPD para evitar possíveis sanções istrativas, que impactarão, de forma negativa, em seu budget e na sua relação com os stakeholders.

Esta nota técnica foi clara, ainda, no sentido de que não basta a adoção de medidas tecnológicas para estar em compliance com a LGPD. A simples adoção de ferramentas de TI não é suficiente. As empresas precisam documentar e observar a norma com uma visão jurídica do tema.

Deverá, pois, haver a conscientização de que a empresa deverá respeitar os direitos dos titulares, não podendo realizar tratamento de dados sem finalidade ou necessidade estabelecida, bem como sem a obtenção de consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

A proteção de dados não é apenas uma obrigação legal, mas também uma medida de responsabilidade e ética no ambiente digital em constante evolução, que pode evitar uma sanção bilionária desnecessária.