São Paulo — InkDesign News — O comissionado da Proteção de Dados da Irlanda (DPC) aplicou uma multa de €530 milhões ao TikTok por falhas em proteger dados de usuários no âmbito do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. A violação expõe a complexidade da segurança de dados em um ambiente global.
Vetor de ataque
O TikTok foi acusado de não ter demonstrado que os dados pessoais de usuários da Área Econômica Europeia (EEA) estavam adequadamente protegidos. De acordo com o DPC, “TikTok não realizou as avaliações necessárias, não abordando o acesso potencial por autoridades chinesas aos dados pessoais da EEA sob leis de anti-terrorismo e contra-espionagem” (
“TikTok did not undertake the necessary assessments, TikTok did not address potential access by Chinese authorities to EEA personal data under Chinese anti-terrorism, counter-espionage and other laws identified by TikTok as materially diverging from EU standards.”
(“As a result of TikTok’s failure to undertake the necessary assessments, TikTok did not address potential access by Chinese authorities to EEA personal data under Chinese anti-terrorism, counter-espionage and other laws identified by TikTok as materially diverging from EU standards.”)— Graham Doyle, Vice-Comissário, DPC
). Isso permitiu um vetor de ataque mediante acesso não autorizado a dados críticos armazenados fora da EEA.
Impacto e resposta
A multa de €530 milhões reflete a gravidade das violações. TikTok inicialmente alegou que nenhum dado estava armazenado em servidores na China, mas revelou em abril de 2025 que alguns dados foram armazenados erroneamente. O DPC agora está avaliando se mais ações regulatórias são necessárias. “Atualmente, consideramos que o armazenamento dos dados de usuários da EEA em servidores na China é uma questão a ser tratada com seriedade” (
“The DPC is taking these recent developments regarding the storage of EEA User Data on servers in China very seriously.”
(“The DPC is taking these recent developments regarding the storage of EEA User Data on servers in China very seriously.”)— Graham Doyle, Vice-Comissário, DPC
).
Análise e recomendações
A falha do TikTok em evitar a exposição de dados destaca a necessidade de rigorosas avaliações de segurança de dados em empresas que operam em múltiplas jurisdições. Para mitigar futuras ocorrências, organizations devem implementar controles de acesso granulares, permitindo visualização e manipulação de dados com base em funções e locais. Lynch, da Kiteworks, sugere uma abordagem focada em uma estratégia abrangente de soberania de dados que vá além das simples regras de conformidade.
A crescente regulamentação sobre soberania de dados deve ser vista como um sinal de que as empresas precisam evoluir na proteção de dados de usuários em um mundo cada vez mais interconectado, prevenindo assim potenciais ataques em um cenário de crescente vigilância e regulamentação.
Fonte: Dark Reading – Segurança Cibernética
