TikTok Multado em €530 Milhões na UE por Transferência de Dados para a China: Implicações e Controvérsias
Introdução à Controvérsia do TikTok na União Europeia
A popular plataforma de vídeos curtos, TikTok, controlada pela empresa chinesa ByteDance, foi recentemente multada em €530 milhões (aproximadamente R$3,3 bilhões) pela União Europeia (UE). A sanção, imposta pela Comissão de Proteção de Dados da Irlanda (DPC) — órgão que supervisiona o TikTok na UE devido à localização de sua sede europeia em Dublin —, decorre da transferência de dados de usuários europeus para a China, uma prática que, segundo a DPC, violou o Regulamento Geral de Proteção de Dados (RGPD) do bloco. Esta multa representa um dos maiores valores já aplicados sob o RGPD e acende um alerta sobre a segurança e privacidade de dados no cenário digital global.
A investigação, que durou quatro anos e teve início em setembro de 2021, concluiu que o TikTok não garantiu um nível de proteção aos dados pessoais de seus usuários europeus equivalente ao assegurado dentro da UE, especialmente em relação ao acesso remoto por funcionários na China e ao potencial acesso por autoridades chinesas. Além da multa, foi determinado que o TikTok adeque suas operações de processamento de dados às normativas europeias em um prazo de seis meses, sob pena de suspensão total das transferências de dados para a China.
As Violações do TikTok ao RGPD
A principal acusação contra o TikTok refere-se à infração do Artigo 46 do RGPD, que rege as transferências de dados para países terceiros. Segundo a DPC, o TikTok falhou em "verificar, garantir e demonstrar" que os dados pessoais dos usuários europeus, mesmo quando acessados remotamente por funcionários na China, desfrutavam de um nível de proteção "essencialmente equivalente" ao garantido na UE. Graham Doyle, vice-comissário da DPC, enfatizou que a plataforma não realizou as avaliações necessárias para mitigar os riscos associados às leis chinesas, como as de combate ao terrorismo e contraespionagem, que divergem substancialmente das normas da UE.
Outro ponto crucial da investigação foi a falta de transparência. A política de privacidade do TikTok de 2021 não especificava claramente que dados de usuários europeus, armazenados em Singapura e nos Estados Unidos, poderiam ser acessados remotamente por funcionários baseados na China. Embora essa política tenha sido atualizada em 2022, a DPC considerou que a violação de transparência ocorreu. A multa de €530 milhões foi dividida em €485 milhões pela infração relativa à transferência de dados e €45 milhões pela falta de transparência.
Agravando a situação, a investigação revelou que o TikTok forneceu informações incorretas à DPC, negando inicialmente que dados de usuários europeus fossem armazenados em servidores na China. Em abril de 2025, a empresa admitiu ter descoberto, em fevereiro do mesmo ano, que uma quantidade limitada de dados de usuários da UE havia sido, de fato, armazenada em servidores chineses, contrariando suas declarações anteriores.
A Resposta do TikTok e o "Project Clover"
O TikTok anunciou que pretende apelar da decisão. A empresa argumenta que a decisão da DPC se refere a um período específico, encerrado em maio de 2023, antes da implementação completa do "Project Clover". Este projeto, um investimento de €12 bilhões ao longo de 10 anos, visa criar um enclave de dados dedicado aos usuários europeus, com a construção de três centros de dados na Europa (dois na Irlanda e um na Noruega, com um novo anunciado para a Finlândia) para armazenar localmente os dados dos seus 175 milhões de usuários europeus. O primeiro data center em Dublin já está operacional. A empresa também firmou parceria com a NCC Group, uma empresa de cibersegurança do Reino Unido, para auditar e monitorar seus controles e fluxos de dados.
O TikTok reiterou que "nunca recebeu uma solicitação" das autoridades chinesas por dados de usuários europeus e que "nunca forneceu" tais dados. O governo chinês também negou exigir que empresas como o TikTok entreguem dados de usuários, pedindo um ambiente de negócios "justo e não discriminatório" na UE.
Implicações e Contexto da Decisão sobre o TikTok
A multa imposta ao TikTok é a terceira maior sob o RGPD, atrás de sanções aplicadas à Meta Platforms (€1,2 bilhão) e à Amazon (€746 milhões). Ela reflete a crescente preocupação dos reguladores europeus com a transferência de dados para países com regimes de proteção de dados considerados menos rigorosos, especialmente a China, devido à sua Lei de Segurança Nacional e outras legislações que podem permitir o acesso governamental a dados. A UE tem buscado reforçar a soberania digital e proteger os dados de seus cidadãos, limitando exportações de tecnologia sensível e incentivando o armazenamento e processamento de dados dentro de suas fronteiras.
Este caso se soma a um escrutínio global sobre as práticas de dados do TikTok. Em setembro de 2023, a plataforma já havia sido multada em €345 milhões pela DPC por falhas na proteção de dados de crianças. A pressão regulatória sobre o TikTok e outras gigantes da tecnologia evidencia a importância crescente da conformidade com legislações de proteção de dados como o RGPD e a necessidade de transparência nas práticas de coleta e uso de informações pessoais. A decisão também destaca os desafios enfrentados por empresas multinacionais ao navegar por diferentes regimes regulatórios e as complexidades da transferência internacional de dados na era digital.
O Futuro da Proteção de Dados na Europa
A decisão contra o TikTok e a ênfase no "Project Clover" sinalizam uma tendência de maior rigor na fiscalização e uma expectativa de que as empresas invistam em soluções de localização de dados para garantir a conformidade com as leis europeias. A DPC está considerando outras ações regulatórias em consulta com outras autoridades de proteção de dados da UE. Este caso serve como um aviso para todas as empresas que lidam com dados de cidadãos europeus, reforçando a necessidade de avaliações de risco robustas, transparência total e a implementação de medidas técnicas e organizacionais adequadas para proteger os dados pessoais, onde quer que sejam processados ou armazenados.
