Embora já tenha passado muito tempo, foi finalmente descoberto que o TikTok violou o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia no processamento de dados de crianças. A plataforma de partilha de vídeos foi repreendida e multada em 345 milhões de euros (aproximadamente 379 milhões de dólares), de acordo com uma decisão divulgada hoje pela Comissão de Proteção de Dados (DPC) da Irlanda. Também foi ordenado que concluísse a retificação no prazo de três meses para regularizar o processamento ilegal de dados.

Descobriu-se que o TikTok violou os seguintes oito artigos do GDPR: Artigo 5(1)(a); Artigo 5.º, n.º 1, alínea c); Artigo 5.º, n.º 1, alínea f); Artigo 24.º, n.º 1; Artigo 25.º, n.º 1; Artigo 25.º, n.º 2; Artigo 12.º, n.º 1; e Artigo 13.º, n.º 1, alínea e) - ou seja, constitui uma violação da licitude, lealdade e transparência do tratamento de dados; minimização de dados; segurança de dados; a responsabilidade do controlador; proteção de dados desde a conceção e por defeito; e o direito dos titulares dos dados, incluindo os menores, de receberem uma notificação clara do tratamento de dados; e receber informações sobre os destinatários dos seus dados pessoais. Portanto, essa é uma lista bastante exaustiva de violações.

A decisão não encontrou uma violação nos métodos de verificação de idade do TikTok, o que tem sido um ponto crítico para o TikTok diante de alguns reguladores regionais, mas o regulador irlandês observou que a decisão documentou uma violação do Artigo 24 (1) do GDPR - conforme emitido, o TikTok não implementou medidas técnicas e organizacionais apropriadas porque não levou adequadamente em consideração certos riscos representados por crianças menores de 13 anos que acessam a plataforma, já que as configurações padrão da conta permitem que qualquer pessoa, seja no TikTok ou não, visualize o conteúdo de mídia social postado por esses usuários.

Descobriu-se que as configurações implementadas pelo TikTok neste momento permitiam que usuários crianças tivessem suas contas definidas como públicas por padrão durante o processo de registro. “Isso também significa que, por exemplo, os vídeos postados em contas de usuários infantis são padronizados para vídeos públicos, os comentários são padronizados para comentários públicos e os recursos ‘Duet’ e ‘Stitch’ são habilitados por padrão”, observou o DPC.

Contas infantis também podem ser “combinadas” com usuários não-crianças não verificados por meio do recurso chamado “Family Match”, mas o TikTok não verifica se o usuário é realmente o pai ou responsável do usuário infantil. De acordo com as descobertas do DPC, usuários não-crianças podem usar o recurso para enviar mensagens diretas a usuários infantis com mais de 16 anos – “tornando assim o recurso menos rigoroso para usuários infantis”.