TikTok Multada em €530M por Transferências Ilegais de Dados para a China

A Comissão de Proteção de Dados da Irlanda (DPC) impôs uma multa histórica de €530 milhões (aproximadamente $600 milhões) contra a TikTok Technology Limited (TTL) após uma extensa investigação sobre o manuseio de dados pessoais dos usuários da plataforma TikTok no EEE para a República Popular da China (“China”).

A penalidade imposta, uma das maiores já aplicadas sob o Regulamento Geral sobre a Proteção de Dados (GDPR), segue uma investigação de quatro anos pela Comissão de Proteção de Dados da Irlanda (DPC), a Autoridade Supervisora Principal da UE para o TikTok devido à sua sede europeia em Dublin.

Tabela de Conteúdos

• Prazo para Conformidade
• Empresa irá Apelar

Prazo para Conformidade

A decisão também impõe um prazo de seis meses para que o popular aplicativo de compartilhamento de vídeos curtos traga seu processamento para total conformidade com a legislação da UE. Se a empresa não cumprir esse prazo, poderá enfrentar uma suspensão de todas as transferências de dados de usuários do EEE para a China.

“O TikTok infringiu o GDPR em relação às suas transferências de Dados de Usuários do EEE [Espaço Econômico Europeu] para a China e seus requisitos de transparência. A decisão inclui multas administrativas totalizando €530 milhões e uma ordem exigindo que o TikTok traga seu processamento para conformidade dentro de 6 meses”, disse a DPC em um comunicado na sexta-feira.

De acordo com a investigação da DPC, o TikTok, de propriedade do gigante tecnológico chinês ByteDance, não conseguiu proteger adequadamente os dados pessoais dos usuários da UE acessados por funcionários na China, conforme exigido dentro da UE.

Especificamente, o TikTok violou disposições-chave do regulamento, nomeadamente o Artigo 46(1) do GDPR, ao não validar adequadamente que as leis e práticas chinesas ofereciam proteção “essencialmente equivalente” dentro da UE. Também violou o Artigo 13(1)(f) ao não informar adequadamente os usuários sobre as transferências de dados e a natureza do processamento envolvido.

“As transferências de dados pessoais do TikTok para a China infringiram o GDPR porque o TikTok não conseguiu verificar, garantir e demonstrar que os dados pessoais dos usuários do EEE, acessados remotamente por funcionários na China, recebiam um nível de proteção essencialmente equivalente ao garantido dentro da UE”, disse Graham Doyle, Comissário Adjunto, enquanto enfatizava a gravidade das constatações.

O TikTok havia identificado leis chinesas—incluindo a Lei Antiterrorismo, a Lei de Contraespionagem, a Lei de Cibersegurança e a Lei de Inteligência Nacional—como divergindo materialmente dos padrões de proteção de dados da UE. Apesar disso, a DPC afirmou que a empresa não implementou medidas suplementares eficazes ou conduziu uma análise legal completa, conforme exigido pelo GDPR. Tal legislação poderia permitir o acesso do governo a dados pessoais, minando assim as proteções de privacidade da UE.

A DPC acrescentou que o TikTok afirmou ao longo da investigação que não armazenava Dados de Usuários do EEE em servidores localizados na China. No entanto, em abril de 2025, o TikTok divulgou que havia descoberto em fevereiro de 2025 que alguns dados do EEE haviam, de fato, sido armazenados em servidores chineses, contradizendo as declarações anteriores da empresa.

“A DPC está levando esses desenvolvimentos recentes sobre o armazenamento de Dados de Usuários do EEE em servidores na China muito a sério. Embora o TikTok tenha informado à DPC que os dados agora foram excluídos, estamos considerando quais outras ações regulatórias podem ser necessárias, em consulta com nossas autoridades de proteção de dados da UE”, acrescentou Doyle.

Christine Grahn, Chefe de Políticas Públicas e Relações Governamentais da TikTok para a Europa, respondeu afirmando que a empresa discorda da decisão da DPC e que nunca forneceu dados de usuários europeus às autoridades chinesas, utilizando mecanismos legais padrão para transferências de dados.

Empresa irá Apelar

A empresa também planeja apelar da decisão, argumentando que não leva em conta adequadamente as significativas melhorias de segurança de dados introduzidas através do novo “Projeto Clover” do TikTok, uma iniciativa de governança de dados destinada a melhorar a conformidade.

Esta não é a primeira vez que o TikTok enfrenta escrutínio sobre privacidade de dados. Em 2023, a DPC multou o TikTok em €345 milhões por não proteger a privacidade das crianças, incluindo a configuração de contas de usuários com idades entre 13 e 17 anos como públicas por padrão, e por não fornecer informações de transparência suficientes sobre configurações de privacidade para usuários infantis, sob as regras do GDPR da UE.