O Twitter acaba de se tornar a primeira empresa americana a ser multada por violação à nova lei de proteção à privacidade da União Europeia . A rede social recebeu nesta terça-feira uma multa de € 450 mil, o equivalente a cerca de US$ 546 mil, pela demora em notificar os reguladores europeus sobre o vazamento de tuítes de usuários.
Pela nova legislação, o Regulamento Geral sobre a Proteção de Dados (GDPR na sigla em inglês) que entrou em vigor em 2018, as empresas têm 72 horas para fazer as notificações.
A multa foi aplicada pela Comissão de Proteção de Dados da Irlanda , que, pelas novas regras, tornou-se responsável na UE por casos de privacidade envolvendo gigantes de tecnologia dos Estados Unidos, como Twitter, Facebook, Apple e Google, devido à localização da sede das empresas.
O regulador irlandês, que tem mais de 20 investigações importantes sobre empresas de tecnologia dos EUA abertas, tem o poder de impor multas de até 4% da receita global de uma empresa ou € 20 milhões de euros (US$ 22 milhões), o que for maior.
O que marca o pioneirismo do caso do Twitter é que foi a primeira vez em que foi usado o novo sistema de resolução de disputas sob o qual um regulador nacional líder, no caso a Irlanda, toma uma decisão antes de consultar os outros reguladores nacionais da UE. Mas essa decisão pode ser debatida pelos demais reguladores.
O caso envolvendo o Twitter resulta de uma falha de segurança que expôs os twítes privados de alguns usuários que usavam o sistema Android . A rede social disse que a falha foi sanada e que o atraso para informar os reguladores foi uma "consequência imprevista do pessoal entre o dia de Natal de 2018 e o dia de Ano Novo".
Lentidão e frustração
“Assumimos total responsabilidade por esse erro e permanecemos totalmente comprometidos em proteger a privacidade e os dados de nossos clientes, inclusive por meio de nosso trabalho de informar o público de forma rápida e transparente sobre os problemas que ocorrem”, diz o Twitter em comunicado.
O parecer preliminar da Irlanda sobre o caso foi emitido em maio deste ano. Mas alguns reguladores da União Europeia se opuseram à decisão, o que levou o caso ao órgão de resolução de disputas, o Conselho Europeu de Proteção de Dados, para garantir uma maioria de dois terços entre os estados membros.
Você viu?
Todo o processo levou quase dois anos, o que frustrou alguns ativistas:
"Estamos chegando a um ponto de inflexão em que o GDPR realmente precisa começar a funcionar", disse ao Wall Street Journal David Martin, diretor jurídico sênior do BEUC, uma organização que reúne grupos europeus de direitos do consumidor, e forte defensor da lei.
"A credibilidade de todo o sistema está em jogo se a fiscalização não melhorar", ressalta.
De acordo com Paul Nemitz, principal assessor de política de justiça da Comissão Europeia, o braço executivo da UE, um sinal dessa frustração é que alguns outros reguladores estão começando a promover seus próprios casos de privacidade usando leis que não sejam o GDPR.
Na semana passada, o órgão regulador de privacidade da França , a CNIL , multou o Google e a Amazon.com em US$ 163 milhões por não cumprirem a legislação sobre cookies (rastreadores de anúncios). Isso permitiu que a CNIL efetivamente evitasse o compartilhamento de poder com outros reguladores de privacidade da UE embutidos no GDPR.
Helen Dixon, chefe da Comissão Irlandesa de Proteção de Dados disse que a aplicação do GDPR e o compartilhamento de poder estão em andamento e que seu escritório tem lidado com os casos metodicamente para garantir que as decisões enfrentem os desafios judiciais esperados.
"Estou satisfeita? Não. O processo não funcionou muito bem. Acho que é muito longo", disse Dixon sobre o caso do Twitter.
"Por outro lado, é a primeira vez que as autoridades de proteção de dados da UE avançam no processo, então talvez ele só possa melhorar daqui para frente", concluiu.