Multado em €450 mil, Twitter tem a maior sanção já aplicada pelo regulador irlandês

A Comissão Irlandesa de Proteção de Dados – DPC, multou o Twitter nesta terça-feira (15) em € 450.000 por violações das regras de privacidade da UE. A empresa foi sancionada devido à falha de comunicação e formalização de um vazamento de dados, onde tweets privados se tornaram públicos. A multa marca a primeira vez que a Comissão Irlandesa, responsável por fiscalizar diversas empresas de  tech, aplica uma sanção por violações ao GDPR.

A Comissão investiga o caso desde 2019

A comissão iniciou a investigação sobre as possíveis violações do Twitter em janeiro de 2019, depois que a empresa divulgou publicamente que, devido à um erro sistêmico, havia tornado públicos os tweets privados de alguns de seus usuários em aplicativos android. 

O DPC

O DPC já havia enfrentado críticas por atrasos na realização de investigações contra importantes empresas de tecnologia por possíveis violações de proteção de dados. Hoje, contudo, detém tem mais de 20 investigações internacionais em curso de companhias tech que descumpriram normas do GDPR. Gigantes como Facebook, Google, Apple e LinkedIn, por exemplo, estão sendo investigadas pela comissão neste momento, estando sujeitas às multas significativas previstas pelo GDPR.

A decisão

Após o próprio Twitter ter publicado o erro que ocasionou a violação de  proteção de dados de seus usuários, a Comissão Irlandesa entendeu que a empresa violou o Artigo 33 (1) e 33 (5) do GDPR. Os artigos abarcam as diretrizes em situações de incidentes, como as notificações necessárias aos envolvidos e a documentação adequada que deve ser formalizada.  

Decisão criticada por outros reguladores da UE 

A Comissão de Proteção de Dados Irlandesa acionou um mecanismo de resolução de conflitos após a elaboração do primeiro draft da decisão ter recebido diversas objeções de outros reguladores da UE. Órgãos reguladores de países como Áustria, Itália e Alemanha criticaram duramente o montante fixado pelo DPC ao Twitter, alegando que a sanção seria leve demais frente às violações cometidas. O regulador da Alemanha comparou, por exemplo, a discrepância da multa do Twitter com a multa de € 100 milhões cobrada pelo regulador francês de proteção de dados contra o Google na semana passada. O porta-voz da autoridade de Hamburgo, órgão que havia sugerido que a penalidade chegasse a € 22 milhões nas discussões com os demais reguladores, afirmou  que  discutirá sobre o ajuizamento de uma ação no Tribunal de Justiça da União Europeia junto a outros reguladores alemães sobre a decisão do DPC.

 “Pela primeira vez, temos uma avaliação das ações da DPC por seus pares europeus. O que foi exposto é preocupante. Entre muitos problemas que eles identificaram, autoridades italianas, húngaras, austríacas e alemãs disseram que o DPC estava impondo uma multa modesta demais”, disse Johnny Ryan, um membro sênior do Conselho Irlandês para Liberdades Civis. 

O pronunciamento do Twitter

Frente à decisão da multa imposta pelo DPC, o Twitter se pronunciou, através de Damien Kieran, seu diretor de privacidade e diretor global de proteção de dados: “O Twitter trabalhou em estreita colaboração com a Comissão Irlandesa de Proteção de Dados (IDPC) para apoiar sua investigação. Temos um compromisso compartilhado com a segurança e a privacidade online e respeitamos a decisão do IDPC, que se refere a uma falha em nosso processo de resposta a incidentes. Uma consequência imprevista da contratação de pessoal entre o dia de Natal de 2018 e o dia de Ano Novo resultou na notificação do Twitter ao IDPC fora do período de aviso legal de 72 horas. Fizemos alterações para que todos os incidentes subsequentes sejam relatados ao DPC em tempo hábil. Assumimos a responsabilidade por esse erro e permanecemos totalmente comprometidos em proteger a privacidade e os dados de nossos clientes, inclusive por meio de nosso trabalho de informar o público de forma rápida e transparente sobre os problemas que ocorram. Agradecemos a clareza que essa decisão traz para empresas e consumidores em relação aos requisitos de notificação de violação do GDPR. Nossa abordagem a esses incidentes permanecerá transparente e aberta.”