ANPD abre processo administrativo contra o TikTok: saiba mais!

O caso

• Origem e Notas Técnicas

O processo de fiscalização contra o TikTok foi iniciado em 2021 por uma reclamação enviada à autoridade pelo Deputado Federal Filipe Barros (PSL/PR) em que se alegava que o TikTok estava em desconformidade com a Lei Geral de Proteção de Dados (LGPD) e que não possuía medidas de segurança adequadas.

A Denúncia deu origem à nota técnica nº 6/2023/CGF/ANPD:  O documento focou na análise de “Tratamentos de dados pessoais de crianças e adolescentes, pela rede social TikTok, no momento em que eles se cadastram na plataforma.” Na ocasião, ficaram excluídos da análise tratamentos de dados comportamentais derivados do uso da plataforma, interações de usuários e compartilhamento de vídeos. 

Na ocasião, a análise concluiu que para continuar o tratamento de dados, o TikTok precisaria cumprir com algumas medidas como: 

• Impossibilidade do uso da base legal execução de contrato
• Necessidade de teste de balanceamento para utilização da base legal de legítimo interesse
• Necessidade de elaboração de Relatório de Impacto à Proteção de dados pessoais (RIPD)
• Necessidade de revisão dos mecanismos de verificação de idade

Após quase um ano, o procedimento fiscalizatório evoluiu com a publicação da Nota Técnica nº 50/2024. Dessa vez, o documento contou com 3 principais objetivos: 

1. Avaliar a pertinência da base legal de execução de contrato para o tratamento de dados de crianças e adolescentes
2. Analisar a conformidade do tratamento de dados de crianças e adolescentes
3. O tratamento de dados realizados no “Feed sem cadastro”

Após a análise, a ANPD determinou que o TikTok desative o recurso “feed sem cadastro” em até 10 (dez) dias úteis e implemente um plano de conformidade, que deve ser apresentado em 20 (vinte) dias úteis. Na visão da autoridade, as medidas visam assegurar a proteção de crianças e adolescentes. Por último, a autoridade recomendou a instauração de um processo administrativo sancionador contra a empresa diante dos indícios de infração à LGPD.

Abaixo, deixamos os principais eixos de análise da Nota Técnica e todos os encaminhamentos realizados pela autoridade. 

Principais destaques das notas técnicas

• Pertinência da hipótese legal de execução do contrato

Desde a Nota Técnica nº 6/2023, a ANPD destaca a  impossibilidade de utilização da base legal de execução de contrato (Art. 7, V da LGPD) para o tratamento de dados de crianças. Indivíduos com menos de 16 anos são considerados incapazes pelo Código Civil e, portanto, não podem firmar contrato. Ao passo que os maiores de 16 anos . Apesar de poderem firmar determinados negócios jurídicos, precisam necessariamente estar assistidos por representante legal para praticar atos da vida civil. Sendo assim, é incabível a aplicação da base legal de execução de contrato para o tratamento de dados de crianças, e apenas possível para adolescentes maiores de 16 anos, quando for possível a comprovação expressa de que houve assistência, conforme exposto pela própria ANPD na Nota Técnica. 

Esse pronunciamento é relevante porque, apesar de ser uma conclusão lógica com base no ordenamento jurídico brasileiro, o enunciado sobre o tratamento de dados de crianças e adolescentes apontou para uma permissão da utilização de qualquer base legal dos artigos 7º e 11º da LGPD para o tratamento de dados de crianças e adolescentes desde que observado o seu melhor interesse:

O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei

Desse modo, apesar de ser uma premissa basilar a ser observada no tratamento de dados, a Nota Técnica n° 6 revela que a rede social em questão estava adotando a referida base legal, o que igualmente poderia estar ocorrendo em outros casos. 

Ainda na Nota Técnica n° 6, a autoridade solicitou a revisão dos casos em que a execução de contrato seria utilizada para que a base legal se limite aos tratamentos necessários ao cumprimento do objeto do contrato da plataforma. Em sua resposta, o TikTok revisou sua tabela de bases legais incluindo o uso de dados para oferecimento de feed de conteúdos personalizado. 

De acordo com o Tiktok, crianças não são autorizadas a utilizar a plataforma e portanto não há personalização de conteúdo (o feed) para elas. Entretanto, a autoridade destaca que a plataforma não faz distinção entre a personalização do conteúdo feita com ou sem cadastro. Ao não fazer isso, existe o risco da personalização ocorrer sem um contrato que sustente a base legal.

O uso da base legal da execução de contrato para justificar o tratamento de dados de crianças e adolescentes para fins de personalização do feed ganha nova roupagem na Nota Técnica nº 50/2024. A ANPD indica que “[n]o caso de usuários crianças e adolescentes sem cadastro na plataforma que navegam no feed, não há qualquer contrato entre o titular de dados e o agente de tratamento; logo, a utilização dessa hipótese legal para o tratamento de dados com fins de personalização não é aplicável, sendo, inclusive, irrelevantes quaisquer discussões relativas ao conteúdo do negócio jurídico”. 

• Verificação de idade e tratamento de dados de crianças e adolescentes

A Nota técnica expõe que diversas pesquisas apontam que crianças utilizam o TikTok, mesmo que a plataforma seja inapropriada para maiores de 13 anos conforme seus termos de uso. Um dos motivos para tanto seria a fragilidade dos mecanismos de verificação de idade. A autoridade ressalta o uso do “Age Gate” como mecanismo de verificação de idade. 

O “Age gate” é um mecanismo de verificação de idade que se baseia na autodeclaração de idade do titular. Embora seja uma solução viável e de baixo custo em muitos casos, seu uso exclusivo pode ser problemático para realizar a verificação de idade antes da entrada da plataforma. 

Outro ponto trazido pela nota técnica é a prática do TikTok de banir as contas de crianças posteriormente ao seu cadastro. Nos dados apresentados, foram banidas 7,75 milhões de contas de crianças entre outubro de 2022 e setembro de 2023. Contudo, esse tipo de medida é posterior ao cadastro dessas crianças na plataforma. A partir desses mecanismos, a ANPD conclui: 

 “TikTok acaba por realizar, de fato, o tratamento dos dados pessoais de crianças, tendo em vista o frágil mecanismo utilizado para identificar a idade dos titulares na hora do cadastro e a possibilidade de uso do aplicativo sem cadastro. Parte significativa da verificação de idade parece ser feita posteriormente, quando o titular já se cadastrou, usou a plataforma e interagiu e, com isso, teve diversos de seus dados pessoais tratados pelo TikTok”. 

Sabendo que a rede social é popular entre crianças, a ANPD aponta a ineficácia de mecanismos de verificação de idade, o que leva ao TikTok tratar, rotineiramente, dados de crianças. Esse tratamento estaria em desacordo com as regras de proteção de dados pessoais, especialmente com a determinação de que o tratamento de dados deve ocorrer em observância do melhor interesse das crianças.

Nesse sentido, a ANPD indica que “o conceito de melhor interesse, sendo um termo jurídico com conteúdo específico e respaldado por diversos instrumentos normativos voltados para a proteção de crianças e adolescentes, tem implicações diretas na avaliação da conformidade das operações de tratamento de dados pessoais, conforme estabelecido pelo artigo 14 da LGPD”. Logo, todos os agentes de tratamento que tratam dados pessoais de crianças e adolescentes devem avaliar e observar o princípio do melhor interesse, já que o seu não cumprimento importa na desconformidade do tratamento com a LGPD.

Assim, a Nota Técnica nº 50/2024 afirma que “a ausência de mecanismos eficazes de verificação de idade, desde a realização do cadastro do usuário, não apenas infringe o artigo 14, caput, no que tange ao melhor interesse de crianças e adolescentes, mas também evidencia a falta de compromisso do agente de tratamento com os deveres de segurança e prestação de contas, exigidos pelo artigo 6º, VIII e X, da LGPD”.

• Feed sem cadastro e a proteção de crianças

Outra questão analisada pela Nota Técnica nº 50/2024 é a funcionalidade do “feed sem cadastro”. Por meio dessa função, é possível que pessoas utilizem a plataforma mesmo sem se cadastrarem no TikTok. Para a ANPD, a “manutenção do “feed sem cadastro” foi uma decisão de negócio fundamentada na estratégia da empresa de facilitar o acesso aos seus serviços, ampliando a base de usuários e permitindo o tratamento de dados em larga escala, inclusive de crianças e adolescentes. No entanto, essa abordagem também expôs a empresa a riscos significativos, uma vez que o tratamento de dados pessoais de crianças e adolescentes, sem uma hipótese legal adequada, viola a LGPD”. 

A autoridade indica que a função do “feed sem cadastro” é incompatível com o ordenamento jurídico, pois, ao permitir que as pessoas utilizem a plataforma sem cadastro, o TikTok torna ineficaz a adoção de “mecanismos de verificação de idade, uma vez que, sem um processo formal de registro, não há como garantir de forma eficaz que os usuários, especialmente crianças e adolescentes, estejam sendo devidamente identificados e protegidos”.

Encaminhamentos da Nota Técnica

Diante dos indícios de infração à LGPD, a Nota Técnica nº 50/2024 recomenda a instauração de um processo administrativo sancionador. Essa sugestão foi levada à consideração superior e o Coordenador-Geral de Fiscalização deve avaliar se o processo será instaurado. 

Até então, os tratamentos de dados conduzidos pelo TikTok estavam sendo analisados no escopo de um processo de fiscalização, um tipo de processo diferente do processo administrativo sancionador. No processo de fiscalização, a autoridade busca reconduzir o agente de tratamento à conformidade por meio de recomendações e medidas corretivas, por exemplo. Já no processo sancionador, a autoridade visa averiguar a existência de infrações e a aplicação de sanções como multas e advertências. 

Além do processo sancionador, a Nota Técnica recomendou a emissão de uma solicitação de regularização (art. 35, do Regulamento de Fiscalização) para que, em 10 dias, o TikTok “suspenda integralmente o recurso “feed sem cadastro” da Plataforma TikTok no Brasil, a fim de assegurar que nenhuma coleta ou tratamento de dados pessoais de crianças e adolescentes ocorra nessa modalidade de navegação”. 

Ainda, a Nota recomendou a elaboração de um plano de conformidade (art. 36, do Regulamento de Fiscalização), que deve versar sobre mecanismos de verificação de idade, assistência ou representação pelos pais. O TikTok deverá comprovar a adequação e eficácia de todas as medidas implementadas, dentro do prazo estabelecido, sob pena de progressão da atuação da ANPD com instauração de processo sancionador e expedição de medidas preventivas.

Outros procedimentos fiscalizatórios

A decisão de suspender integralmente o recurso de feed sem cadastro é inédita, sendo uma consequência direta da forma como as leis de proteção de dados encaram a gravidade de irregularidades nos tratamentos de crianças e adolescentes. Contudo, não é a primeira vez que a rede social foi alvo de procedimentos fiscalizatórios dessa natureza.

Em 2022, o TikTok anunciou uma mudança em sua política de privacidade para prever que a realização de publicidade direcionada seria baseada no legítimo interesse e não mais com base no consentimento dos usuários.

Neste contexto, a autoridade de proteção de dados italiana alertou o TikTok que os dados pessoais armazenados nos dispositivos dos usuários não podem ser usados para fins de perfilização e envio de anúncios personalizados sem o seu consentimento explícito. Além da inadequação da base legal, uma preocupação levantada pela autoridade foi em relação à proteção dos dados de crianças e adolescentes na plataforma, uma vez que o TikTok tem tido dificuldade em implementar controles de conteúdo e etários na plataforma.  

Recentemente a autoridade irlandesa de Proteção de Dados (DPC), sancionou a plataforma com uma multa de €345 milhões por, dentre outras coisas, não considerar os riscos de pessoas com menos de 13 anos que acessaram a plataforma. Além disso, foi ordenado que ajustasse o tratamento de dados em um prazo de três meses.

Em 2023, a autoridade irlandesa de proteção de dados constatou que o TikTok não implementou medidas técnicas e organizacionais apropriadas, negligenciando riscos enfrentados por pessoas com menos de 13 anos que acessavam a plataforma. As configurações padrão do TikTok permitiam que os usuários da mencionada faixa etária passassem pelo processo de cadastro de forma que suas contas fossem automaticamente definidas como públicas. Isso significava que os vídeos postados em contas de crianças e adolescentes eram públicos, os comentários eram habilitados por padrão, assim como os recursos de interação por vídeo como o  ‘Duet’ e ‘Stitch'”, 

Tudo isso só mostra como a decisão da autoridade está alinhada com uma agenda internacional de proteção à criança e adolescente no contexto da proteção de dados pessoais. Para discutir com a comunidade esse tema tão importante para o ecossistema dos direitos digitais, te convidamos para o Giro Regulatório: Compreendendo o caso TikTok!

Nesta edição, iremos analisar as notas técnicas que orientaram pela abertura do processo sancionador pela ANPD, mapeando elementos e questões importantes. Dessa vez contaremos com Pedro Henrique Santos e Júlia Mendonça, Pesquisadores da Data Privacy Brasil. Venha discutir com a gente na quarta, 13/11 às 19:00!

Coloque já na sua agenda!