Irlanda multa a TikTok em 530 milhões de euros por violar a lei ao transferir dados de utilizadores para a China
A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma multa de 530 milhões de euros à TikTok, após analisar a legalidade das transferências de dados pessoais de utilizadores da plataforma no Espaço Económico Europeu (EEE). A investigação concluiu que essas transferências não cumpriam os requisitos de transparência exigidos pelo RGPD. Assim, a Comissão determinou que a TikTok violou o regulamento no que diz respeito às transferências de dados de utilizadores do EEE para a China e às suas obrigações de transparência, conforme anunciou o organismo no seu site no passado fim de semana.
A decisão impõe coimas administrativas num total de 530 milhões de euros e uma ordem que exige à TikTok a adaptação do seu tratamento de dados às normas legais no prazo de seis meses. Inclui também uma ordem de suspensão das transferências de dados para a China caso essa adaptação não ocorra dentro do prazo estipulado.
O Artigo 13.º do RGPD exige que os responsáveis pelo tratamento informem os titulares dos dados sobre as transferências para países terceiros. A política de privacidade da TikTok de outubro de 2021 não identificava os países para os quais os dados eram transferidos, incluindo a China, nem explicava a natureza das operações de tratamento, como o acesso remoto a dados armazenados em Singapura e nos EUA por pessoal localizado na China.
Mais tarde, a TikTok atualizou a sua política de privacidade em dezembro de 2022, identificando os países destinatários e especificando que os dados eram armazenados nos EUA e em Singapura, com acesso remoto por parte de equipas no Brasil, China, Malásia, Filipinas, Singapura e EUA.
A DPC considerou que a política de dezembro de 2022 cumpria o Artigo 13.º do RGPD. Por isso, a violação da transparência foi limitada ao período de 29 de julho de 2020 a 1 de dezembro de 2022.
Violação do RGPD
O comissário Graham Doyle comentou:
“O RGPD exige que o elevado nível de proteção garantido dentro da União Europeia continue a ser assegurado quando os dados pessoais são transferidos para outros países. As transferências de dados pessoais da TikTok para a China violaram o RGPD porque a TikTok não verificou, garantiu nem demonstrou que os dados dos utilizadores do EEE, acedidos remotamente por pessoal na China, estavam sujeitos a um nível de proteção essencialmente equivalente ao assegurado dentro da UE.”
“Como resultado da ausência das avaliações necessárias por parte da TikTok, a empresa não abordou devidamente o potencial acesso das autoridades chinesas aos dados pessoais do EEE, ao abrigo de leis chinesas contra o terrorismo, contra o espionagem e outras normas que a própria TikTok reconheceu como divergentes dos padrões da UE.”
Além disso, a DPC concluiu que as transferências da TikTok violavam o Artigo 46.º do RGPD porque a empresa não demonstrou que as medidas complementares e as Cláusulas Contratuais-Tipo eram eficazes para assegurar essa proteção. Embora a TikTok tenha argumentado que as transferências por acesso remoto não estavam sujeitas às leis e práticas em causa, a sua própria análise da legislação chinesa, apresentada durante a investigação, reconhecia que certos aspetos do quadro legal chinês impediam a equivalência essencial com o direito da UE, citando leis como a Lei Antiterrorista, a Lei contra o Espionagem, a Lei da Cibersegurança e a Lei de Inteligência Nacional.
TikTok forneceu informações incorretas
Durante a investigação, a TikTok declarou à DPC que não armazenava dados de utilizadores europeus em servidores localizados na China. No entanto, em fevereiro de 2025, foi descoberto que determinados dados limitados de utilizadores do EEE tinham, de facto, sido armazenados em servidores na China, em contradição com as informações anteriormente fornecidas no processo. A TikTok admitiu que este facto significava que tinha fornecido informação imprecisa.
“A DPC leva muito a sério estes acontecimentos recentes relacionados com o armazenamento de dados de utilizadores do EEE em servidores na China. Embora a TikTok tenha informado que esses dados já foram eliminados, estamos a considerar que medidas regulatórias adicionais poderão ser necessárias, em consulta com as nossas autoridades congéneres de proteção de dados da UE”, afirmou Doyle.
