Christine Grahn, Head of Public Policy & Government Relations - Europe

Hoje, a Comissão de Proteção de Dados (DPC, na sigla em inglês) da Irlanda publicou a sua decisão final sobre o inquérito relativo à conformidade do TikTok com os requisitos do RGPD, no que se refere às transferências de dados pessoais para a China.

A decisão foca-se principalmente num período específico, anos atrás, antes da implementação do Project Clover em 2023, a nossa iniciativa de segurança de dados de €12 mil milhões. A própria DPC registou no seu relatório o que o TikTok tem afirmado de forma consistente: nunca recebeu um pedido de dados de utilizadores europeus por parte das autoridades chinesas e nunca forneceu dados de utilizadores europeus às mesmas.

Os factos são que o Project Clover possui algumas das proteções de dados mais rigorosas do setor, incluindo uma supervisão independente sem precedentes pelo NCC Group, uma das principais empresas europeias de cibersegurança. A decisão não considera plenamente estas significativas medidas de segurança de dados.

Com 175 milhões de utilizadores em toda a Europa, mais de 6.000 colaboradores na região e uma plataforma que ajudou pequenas empresas a contribuírem com €4,8 mil milhões para o PIB e mais de 51.000 empregos, o TikTok está profundamente integrado na economia europeia. Esta decisão tem implicações não apenas para o TikTok, mas para qualquer empresa na Europa que opere globalmente. Discordamos desta decisão e tencionamos recorrer integralmente.

O TikTok seguiu as próprias regras da UE

Esta não é a primeira decisão da DPC sobre transferências de dados fora da Europa. A autoridade emitiu uma multa recorde de 1,2 mil milhões de euros à Meta em 2023, ordenando a suspensão das transferências de dados para os EUA, concluindo que os EUA não ofereciam uma proteção "adequada" para os dados pessoais europeus.

Apenas 15 países têm acordos de adequação de dados com a UE – acordos que permitem fluxos de dados livres e confiáveis entre fronteiras. Como resultado, inúmeras empresas recorrem ao que são conhecidas como Cláusulas Contratuais Padrão, estruturas legais pré-aprovadas para partilha internacional de dados, para facilitar o acesso remoto a dados – referidos como transferências de dados – para colaboradores localizados em países que não têm esse status.

A DPC afirma que nós não efetuamos as avaliações necessárias. Contestamos veementemente este facto, tendo efectuado avaliações pormenorizadas com o aconselhamento de firmas de advogados externas e especialistas.

Para além da falha da DPC em considerar de forma substancial as extensas salvaguardas implementadas no âmbito do Projeto Clover, lamentamos ter sido alvo de críticas, apesar de termos recorrido ao mesmo mecanismo legal utilizado por milhares de outras empresas que prestam serviços na Europa. Tal como muitas organizações que operam a nível global, o TikTok utilizou o próprio quadro legal da UE, especificamente as Cláusulas Contratuais Padrão, para conceder acesso controlado e limitado aos seus colaboradores em países que não têm acordos de adequação de dados.

Esta abordagem está plenamente alinhada com as regras estabelecidas pela União Europeia, e temos sido consistentemente transparentes sobre as nossas práticas. Ao contrário de outras empresas, explicamos claramente estes mecanismos na nossa política de privacidade e nas nossas comunicações com a nossa comunidade europeia, que atualmente conta com mais de 175 milhões de pessoas.


O Project Clover já oferece proteções sem precedentes para dados de utilizadores europeus


Em 2023, o TikTok lançou Projeto Clover na Europa, um investimento de €12 mil milhões que fornece proteções incomparáveis para os dados dos utilizadores europeu. Recentemente, anunciamos um marco no nosso compromisso contínuo com a segurança de dados na Europa: um investimento de mil milhões de euros para estabelecer o nosso primeiro data center na Finlândia. Muitas empresas globais a operar na Europa têm colaboradores na China, incluindo os nossos concorrentes. Mas nenhuma deu os passos que o TikTok deu. Através do Projeto Clover, fomos mais longe do que qualquer outra empresa ao enfrentar riscos hipotéticos com salvaguardas reais e concretas:

  • As nossas medidas europeias de segurança de dados no âmbito do Projeto Clover, incluindo acesso remoto e protocolos de transferência de dados, são agora monitorizadas, verificadas e validadas de forma independente 24 horas por dia pela respeitada empresa europeia de cibersegurança, NCC Group - um nível de supervisão independente e transparência inigualável entre as plataformas online.
  • Os nossos dados de utilizadores europeus são agora armazenados por padrão num enclave de dados europeu dedicado, atualmente hospedado em data centers na Europa e nos Estados Unidos.
  • Lançamos barreiras de segurança digital adicionais, conhecidas como gateways de segurança. Monitorizados independentemente pelo NCC Group, esses gateways fazem parte de um sistema abrangente de protocolos técnicos que garantem que apenas funcionários aprovados possam aceder a tipos específicos de dados, restringindo ainda mais o acesso interno - incluindo nenhum acesso a dados restritos, como número de telefone, e-mail e endereço IP, armazenados no enclave de funcionários na China.
  • No Projeto Clover, o TikTok implementou tecnologias avançadas de aumento de privacidade (PETs), como encryption-on-access e privacidade diferencial, para garantir que os dados não restritos sejam desidentificados antes que possam ser acedidos por funcionários na China. Crucialmente, especialistas independentes em segurança cibernética do NCC Group verificaram que essas salvaguardas estão funcionando conforme o planeado.

Se as extensas medidas implementadas sob o Projeto Clover, que são as salvaguardas de dados mais robustas e rigorosas no setor e além, bem como a monitorização independente de terceiros pelo NCC Group forem consideradas insuficientes, é razoável perguntar: o que seria considerado suficiente? É lamentável que o DPC não pareça ter dado a essas proteções abrangentes a consideração substantiva que elas justificam.

Implicações de longo alcance

Esta decisão corre o risco de abrir um precedente com consequências de longo alcance para empresas e indústrias inteiras em toda a Europa que operam em escala global. Isto é um golpe para a competitividade da União Europeia. Através do Projeto Clover, uma iniciativa voluntária de mil milhões de euros, o TikTok implementou uma solução abrangente que oferece proteções incomparáveis para os dados e privacidade dos utilizadores europeus, ao mesmo tempo que protege os fluxos de dados globais e apoia a inovação contínua.

Numa altura em que as empresas e economias europeias precisam de inovação, crescimento e emprego, acreditamos que a UE deve acolher e apoiar soluções como o Projeto Clover, como forma de facilitar fluxos de dados seguros entre a UE e países não adequados, garantindo simultaneamente as proteções mais robustas para a segurança e privacidade dos dados europeus.