Em vigor desde maio de 2018, a nova lei de privacidade da União Europeia tem o seu primeiro alvo americano em um caso internacional: o Twitter. A empresa está sendo multada em 450 mil euros (ou US$ 547 mil) por não ter notificado adequadamente a Comissão de Proteção de Dados da Irlanda após violação de dados divulgada em janeiro de 2019.
Nesta terça-feira (15), o regulador irlandês informou que deveria ter sido informado dentro do prazo de 72 horas após a descoberta da falha — que expôs tuítes privados de alguns usuários — e punirá a empresa de Jack Dorsey pelo não cumprimento da regra.
O Twitter admitiu a falha e deverá pagar a multa sem recorrer à justiça. “Assumimos a responsabilidade por esse erro e permanecemos totalmente comprometidos em proteger a privacidade e os dados de nossos clientes”, disse Damien Kieran, diretor de privacidade do Twitter.
Ainda segundo ele, o atraso da notificação deu-se por conta de uma “consequência imprevista dos funcionários entre o feriado de Natal de 2018 e o Ano Novo”.
Este é o primeiro caso envolvendo uma grande empresa de tecnologia dos EUA na Irlanda. A comissão de dados irlandesa lidera o Regulamento Geral de Proteção de Dados (GDPR) da UE para empresas americanas com sede regional no país.
Lentidão do processo
No entanto, a demora dos processos está desagradando reguladores e ativistas de privacidade da UE. Levou quase dois anos para o regulador irlandês chegar a uma conclusão no caso do Twitter, incluindo os processos de disputas sobre jurisdição, escopo investigatório e definição da quantidade da multa.
“A credibilidade de todo o sistema está em jogo se a fiscalização não melhorar”, afirmou David Martin, diretor jurídico sênior do BEUC, organização voltada para os direitos do consumidor da Europa.
Diante da demora, outros reguladores estão utilizando leis diferentes da GDPR em seus casos de privacidade. Na semana passada, o regulador de privacidade da França (CNIL) multou o Google e a Amazon em US$ 13 milhões por violações utilizando uma regra distinta.
Embora o processo tenha corrido mais rápido, é importante a utilização da GDPR para preservar o funcionamento do balcão único.
Por outro lado, Helen Dixon, chefe da Comissão Irlandesa de Proteção de Dados, acredita em uma possível melhora dos órgãos da UE daqui pra frente, usando o caso do Twitter como “pontapé” para as próximas ocorrências.
Caso Twitter
Em janeiro de 2019, o Twitter afirmou ter consertado uma falha de segurança que expôs, ao longo de mais de quatro anos, tuítes privados de alguns usuários.
Contudo, o oficial de proteção de dados da plataforma não foi copiado inicialmente no tíquete do incidente, atrasando a notificação à Comissão de Proteção de Dados da Irlanda.
Após enquadrar o caso nas regras do GPDR, a Irlanda levou o processo para o conselho europeu. Apesar de as leis permitirem uma multa de até 2% da receita global da empresa no ano (US$ 60 milhões, com base no balanço do Twitter de 2018), a punição aprovada foi de “apenas” € 450.000.
Além deste caso do Twitter, a Irlanda caminha com mais 14 processos — um deles, envolvendo o WhatsApp, do Facebook.
Tags: