Mais preocupações para o TikTok: um cão de guarda de dados europeu que desferiu o maior golpe em um gigante da tecnologia até hoje – cobrando o Google com uma multa de US $ 57 milhões no ano passado (confirmado em junho) – agora tem uma investigação aberta sobre o aplicativo de vídeo social atual, TechCrunch confirmou.
Uma porta-voz da CNIL da França nos disse que abriu uma investigação sobre como o aplicativo lida com dados do usuário em maio de 2020, após uma reclamação relacionada a uma solicitação para excluir um vídeo. Sua investigação da plataforma de compartilhamento de vídeo foi relatada anteriormente pelo Politico.
No quadro de proteção de dados da União Europeia, os cidadãos que deram consentimento para que os seus dados sejam processados continuam a deter uma série de direitos associados aos seus dados pessoais, incluindo a capacidade de solicitar uma cópia ou eliminação das informações, ou solicitar os seus dados em uma forma portátil.
Os requisitos adicionais ao abrigo do GDPR da UE (Regulamento Geral de Proteção de Dados) incluem obrigações de transparência para garantir a responsabilidade com a estrutura. O que significa que os controladores de dados devem fornecer aos titulares dos dados informações claras sobre os objetivos do processamento – inclusive para obter consentimento legalmente válido para processar os dados.
A porta-voz da CNIL nos disse que sua investigação acionada por reclamação sobre o TikTok foi ampliada para incluir questões relacionadas aos requisitos de transparência sobre como ele processa os dados do usuário; direitos de acesso aos dados dos usuários; transferências de dados de usuários fora da UE; e as etapas que a plataforma executa para garantir que os dados de menores sejam protegidos de forma adequada – um problema importante, dada a popularidade do aplicativo entre os adolescentes.
A lei francesa de proteção de dados permite que as crianças autorizem o processamento de seus dados para serviços sociais de informação, como o TikTok, aos 15 anos (ou menos com consentimento dos pais).
No que diz respeito à reclamação original, a porta-voz da CNIL disse que a pessoa em questão foi “convidada a exercer os seus direitos com a TikTok ao abrigo do GDPR, que não tinha tomado de antemão” (através do Google Translate).
Entramos em contato com a TikTok para comentar sobre a investigação da CNIL.
Um ponto de interrogação é que não está claro se o cão de guarda francês será capaz de levar sua investigação do TikTok à conclusão completa.
Em comentários adicionais enviados por e-mail, sua porta-voz observou que a empresa está tentando designar a Comissão de Proteção de Dados da Irlanda (DPC) como sua autoridade principal na Europa – e está criando um estabelecimento na Irlanda para esse fim. (Relacionado: na semana passada, a TikTok anunciou um plano para abrir seu primeiro data center na Europa, que acabará por conter todos os dados de usuários da UE, também na Irlanda.)
Se a TikTok for capaz de satisfazer as condições legais, poderá mover qualquer investigação GDPR para o DPC – que ganhou a reputação de ser meticulosamente lento para aplicar casos complexos transfronteiriços de GDPR. Embora no final de maio ele finalmente tenha enviado um primeiro rascunho de decisão (em um caso do Twitter) para os outros vigilantes de dados da UE para revisão. A decisão final nesse caso ainda está pendente.
“As investigações ao [TikTok] poderiam, portanto, em última análise, ser de responsabilidade exclusiva da autoridade de proteção irlandesa, que terá de lidar com o caso em cooperação com as outras autoridades europeias de proteção de dados”, observou a porta-voz da CNIL, antes de enfatizar que há um padrão de prova que terá que atender.
“Para ficar sob a jurisdição exclusiva da autoridade irlandesa e não de cada uma das autoridades, Tiktok terá, no entanto, de provar que seu estabelecimento na Irlanda cumpre as condições de um‘ estabelecimento principal ’na aceção do GDPR.”
De acordo com a estrutura GDPR da Europa, os vigilantes de dados nacionais têm poderes para emitir penalidades de até 4% do faturamento anual global de uma empresa e também podem ordenar a cessação do processamento de dados infratores. Mas, para fazer isso, eles primeiro precisam investigar e passar pelo processo de emissão de uma decisão. Em casos transfronteiriços em que vários vigilantes têm interesse, também há uma exigência de contato com outros reguladores para garantir que haja amplo consenso sobre qualquer decisão.
