Descrição de chapéu twitter

Twitter é multado em US$ 546 mil em primeiro caso sobre violação de dados na UE

Empresa expôs tuítes privativos de usuários em 2019; Irlanda diz que não houve devida notificação a agência regulatória

Nova York | The Wall Street Journal

Dois anos e meio depois de entrar em vigor, a nova lei de defesa da privacidade da União Europeia resultou na primeira multa contra uma empresa americana de tecnologia em um caso internacional, algo que já deveria ter acontecido, dizem críticos.

A Comissão de Proteção de Dados da Irlanda anunciou na terça-feira (15) uma multa de US$ 546 mil (R$ 2,7 milhões) contra o Twittter por não documentar ou notificar devidamente a agência regulatória, em prazo de 72 horas, sobre a descoberta de uma violação de dados revelada em janeiro de 2019, que expôs os tuítes privativos de alguns usuários.

O Twitter não respondeu imediatamente a um pedido de comentário.

O caso serve como referência porque é o primeiro na longa fila de casos de violação de privacidade envolvendo grandes empresas de tecnologia americanas na Irlanda, entre as quais Facebook, Apple e Google, do grupo Alphabet. A comissão de dados da Irlanda lidera a fiscalização do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), para essas e outras empresas americanas cujas sedes regionais ficam no país.

Foram precisos quase dois anos para que a comissão irlandesa chegasse a uma decisão no caso do Twitter, o que inclui quase cinco meses de disputas sobre jurisdição, escopo da investigação e valor da multa, entre a comissão e suas contrapartes em outros países da União Europeia. Isso alimenta a frustração de alguns ativistas da privacidade e das autoridades regulatórias da proteção de privacidade na União Europeia, por conta da lentidão das ações do bloco.

Logo do Twitter em um celular - Thomas White/Reuters

“Estamos chegando a um ponto de inflexão no qual o GDPR realmente precisa começar a produzir resultados”, disse David Martin, o diretor jurídico da Beuc, uma aliança que congrega organizações europeias de defesa dos direitos dos consumidores e apoia fortemente a lei de defesa da privacidade. “A credibilidade de todo o sistema estará comprometida se a fiscalização não melhorar”.

Um sinal dessa frustração é que algumas outras autoridades regulatórias estão começando a levar adiante os seus casos de violação de privacidade com base em outras leis que não o GDPR, disse Paul Nemitz, principal assessor sobre política de justiça da Comissão Europeia, o braço executivo da União Europeia.

Na semana passada, a CNIL, organização que regulamenta as leis de privacidade francesas, multou o Google e a Amazon em um total combinado de US$ 163 milhões (R$ 824 milhões) por violação de uma regra separada, a diretriz ePrivacy. Isso permitiu que a CNIL contornasse as normas que são parte do GDPR e preveem a divisão de poderes com outras agências regulatórias da União Europeia, conhecidas como “one stop shop”.

“É importante que a autoridade coordenadora das ações quanto ao Google e outras empresas de tecnologia aplique o GDPR de forma apropriada, a fim de preservar o funcionamento do sistema ‘one-stop shop’”, disse Nemitz.

Helen Dixon, a líder da Comissão de Proteção de Dados da Irlanda, que é responsável pela aplicação do GDPR ao Google, disse que a aplicação do GDPR e a divisão de poderes entre as organizações é uma obra em progresso, e que sua organização vem conduzindo seus casos de forma metódica a fim de garantir que suas decisões resistam a contestações judiciais.

“Se estou satisfeita? Não. O processo não funcionou particularmente bem. Creio que tenha sido demorado demais”, disse Dixon sobre o caso contra o Twitter, em uma entrevista transmitida em uma conferência de tecnologia no começo deste mês. “Por outro lado, é a primeira vez que as autoridades de proteção de dados da União Europeia conduziram o processo na íntegra, e assim talvez as coisas venham só a melhorar depois disso”.

Um porta-voz da comissão irlandesa disse que sua decisão foi a primeira a passar pelo processo de solução de disputas quanto ao GDPR, e que caracterizava a primeira ocasião em que o órgão regulador da privacidade na União Europeia havia consultado todas as suas contrapartes dentro da União sobre uma decisão envolvendo uma grande empresa de tecnologia.

Tradução de Paulo Migliacci

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.