Pela primeira vez, uma empresa de tecnologia dos Estados Unidos foi multada por infringir o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. A Comissão de Proteção de Dados da Irlanda autuou nesta terça-feira, 15, o Twitter aplicando multa de € 450 mil (o equivalente a US$ 547 mil) por não ter relatado e documentado uma violação de dados em 72 horas, conforme exigido pela GDPR.
Em 2018, um bug no design do Twitter, específico para dispositivos Android, expôs mensagens de forma inadequada de 88 mil usuários na Irlanda. A comissão diz que o Twitter só relatou essa exposição de dados em janeiro de 2019 — descoberta em 26 de dezembro de 2018 — quando a agência reguladora iniciou uma investigação sobre o incidente.
Embora o caso marque a primeira vez que uma empresa de tecnologia dos EUA foi multada por violar a GDPR, outras empresas americanas já foram multadas. Entre eles estão os hotéis Marriott, que recentemente foi multado em US $ 23,8 milhões, e o Ticketmaster, que foi multado em US $ 1,7 milhão.
“A agência reguladora impôs multa administrativa de € 450 mil ao Twitter como uma medida eficaz, proporcional e dissuasiva”, escreveu Helen Dixon, comissária da Irlanda para proteção de dados.
Escassez de pessoal
O Twitter culpou o atraso dos relatórios à escassez de pessoal, já que estava com falta de funcionários no país em dezembro de 2018. A violação de dados foi devido a um bug no design do Twitter, específico para dispositivos Android. Cada vez que o usuário alterava seu endereço de e-mail associado à sua conta no Twitter, os tuítes se tornavam desprotegidos e, portanto, acessíveis ao público, e, portanto, não apenas aos seguidores do usuário poderiam ter acesso às mensagens, afirma o relatório.
Veja isso
Pesquisador holandês diz ter invadido Twitter de Trump com senha fácil
Invasores do Twitter foram localizados nos EUA e Inglaterra
O caso do Twitter foi o primeiro a passar por um processo de resolução de disputas conforme estabelecido no GDPR. A penalidade máxima para violações da GPDR é de € 20 milhões (US$ 23 milhões) ou 4% da receita global da empresa, o valor que for maior. Um fator decisivo para definir a multa neste caso foi que o Twitter International Co., que administra o Twitter na União Europeia, foi o responsável direto pela violação, e não a holding Twitter Inc., com sede em São Francisco, na Califórnia.
“Quando aplicado aqui, no contexto da GDPR, é claro que o Twitter International Co., como o único controlador independente de dados pessoais de titulares de dados na comunidade europeia, goza de independência em relação às decisões sobre os objetivos e meios de processamento”, diz Helen.
A comissão pretendia inicialmente multar a empresa entre US$ 164 mil a US$ 334 mil. Mas o Conselho Europeu de Proteção de Dados se opôs a essa recomendação e exigiu uma multa maior. O conselho concluiu que o Twitter International Co. e sua controladora Twitter operam de forma codependente, de modo que a receita da controladora deve ser levada em consideração ao definir a multa. Daí o fato de a agência ter aumentado o valor para US$ 547 mil.
