
Segundo a agência Reuters, a Comissão de Proteção de Dados da Irlanda (DPC), vai decidir em breve se irá adotar novas sanções contra o TikTok, depois de um tribunal ordenar que o país reconsidere uma ordem que obriga a plataforma de vídeos curtos a suspender as transferências de dados da União Europeia para a China.
A Comissão de Proteção de Dados da Irlanda concluiu que o TikTok violou o Regulamento Geral sobre a Proteção de Dados (RGPD) ao transferir dados de 159 milhões de utilizadores europeus para a China sem garantir proteção equivalente à exigida pela lei europeia. A multa foi de 530 milhões de euros, sendo uma das maiores da história da regulação digital. No passado mês de junho, o Tribunal Superior irlandês confirmou a violação, e devolveu ao regulador a decisão sobre as medidas corretivas a tomar. O processo tem implicações diretas para os utilizadores portugueses da plataforma, principalmente porque coloca em causa a segurança dos seus dados.
O que aconteceu?
A 30 de abril do ano passado, a DPC – regulador irlandês de proteção de dados e autoridade líder de supervisão do TikTok na União Europeia, dado que a empresa tem a sua sede europeia em Dublin – adotou uma decisão final, numa investigação de iniciativa própria sobre as transferências de dados de utilizadores do Espaço Económico Europeu (EEE) para a China.
Também vais gostar de ler:
InternacionalÁfrica do Sul: 900 detidos após protestos anti-imigração que forçaram a fuga de milhares de migrantes
DestaqueRita Matias violou o Código de Conduta. Pedro Frazão responde: "O cobardolas do Diretor não vale um chavelho"
Grande PortoDois novos Hotéis, um Hospital e um Colégio privado nos terrenos da Exponor
A investigação centrou-se no acesso remoto que funcionários do grupo ByteDance – empresa-mãe do TikTok, sediada na China – faziam aos dados pessoais dos utilizadores europeus entre 2020 e 2023. Durante toda a investigação, o TikTok garantiu à DPC que não armazenava dados europeus em servidores localizados na China, mas em abril de 2025, a empresa admitiu que, em fevereiro desse mesmo ano, tinha descoberto que dados limitados de utilizadores europeus tinham, na verdade, sido armazenados em servidores na China, contrariando as declarações prestadas ao longo do processo.
A decisão final da DPC concluiu que o TikTok violou o RGPD em dois aspetos distintos: as transferências de dados para a China sem garantias adequadas, e a falta de transparência com os utilizadores sobre essas transferências.
A multa de 530 milhões de euros e o que está por trás dela
As coimas impostas foram aplicadas, com 485 milhões de euros pela violação do artigo 46.º do RGPD (que regula as transferências internacionais de dados) e 45 milhões de euros pela violação do artigo 13.º (que exige transparência com os utilizadores sobre o destino dos seus dados). A segunda infração foi limitada ao período entre julho de 2020 e dezembro de 2022, altura em que o TikTok reviu a sua política de privacidade e passou a identificar a China como país de destino dos dados.
A União Europeia não reconhece a China como um país com nível adequado de proteção de dados – ao contrário do que acontece, por exemplo, com o Reino Unido ou o Japão – qualquer transferência de dados para a China exige que a empresa demonstre, verifique e garanta que os dados transferidos beneficiam de uma proteção essencialmente equivalente à da UE.
O TikTok recorreu às chamadas Cláusulas Contratuais Padrão (SCCs) como mecanismo de transferência, mas a DPC concluiu que a empresa não avaliou adequadamente a legislação chinesa que poderia comprometer a proteção desses dados, nomeadamente a Lei Nacional de Inteligência, a Lei de Cibersegurança, a Lei Antiterrorismo e a Lei de Contraespionagem, todas elas contendo obrigações que as entidades chinesas têm de cooperar com os serviços de informações do Estado, sem que os utilizadores afetados possam ser informados ou recorrer dessa cooperação.
A DPC foi mais além e concluiu que o próprio TikTok, nos documentos que submeteu à investigação, reconheceu que a legislação chinesa “diverge materialmente dos padrões da UE”, tornando a argumentação da empresa ainda mais difícil de sustentar.
O “Projecto Clover” e o argumento do TikTok
O TikTok apresentou à DPC os detalhes do chamado “Projeto Clover”, um conjunto de medidas técnicas e de organização garantindo o armazenamento dos dados europeus em servidores localizados na Noruega, na Irlanda e nos Estados Unidos, com controlos de acesso rígidos que impedem funcionários sediados na China de aceder a dados sensíveis dos utilizadores, como os números de telefone ou os endereços IP. Segundo o Tik Tok estas medidas incluem também tecnologias de “pseudonimização” que desidentificam dados que têm de circular globalmente para que a plataforma funcione.
A DPC não aceitou estes argumentos, considerando que as medidas não afastavam o risco de acesso pelas autoridades chinesas, designadamente durante o período em que os dados eram temporariamente processados na China através de acesso remoto. Segundo o regulador irlandês, o Projeto Clover apenas mitigava parcialmente o problema, mas não o eliminava totalmente. O TikTok contesta esta análise e argumenta que a DPC não avaliou adequadamente as medidas técnicas apresentadas.
O tribunal diz: violação confirmada, mas medidas correctivas em revisão
Por isso, o TikTok recorreu da decisão para o Tribunal Superior irlandês, tendo obtido em novembro do ano passado, uma suspensão provisória da ordem de encerramento das transferências de dados e das coimas, sujeita à condição de notificar os utilizadores da decisão do regulador.
Por essa razão os utilizadores da aplicação em Portugal, ao abrir o Tik Tok, puderam ver um aviso da empresa com o título “Transferências de dados de utilizadores do EEE para a China” através de acesso remoto: atualização da decisão do RGPD da Irlanda.

A 3 de junho deste ano, o Tribunal Superior irlandês proferiu a sua decisão sobre o recurso da App chinesa. O tribunal confirmou as violações, rejeitando os principais argumentos do TikTok sobre as transferências internacionais e a transparência, e manteve a coima de 530 milhões de euros.
Mas o tribunal também identificou dois erros processuais na decisão da DPC irlandesa, relacionados com a recusa em considerar um terceiro parecer de especialistas em direito chinês apresentado pelo TikTok e a ausência de fundamentação para concluir que o Projeto Clover não justificaria uma abordagem corretiva diferente. Com base nestes erros, o tribunal decidiu anular as ordens corretivas, nomeadamente a suspensão das transferências de dados para a China e remeter essa questão de volta à DPC para nova deliberação.
Em termos práticos, o TikTok viola o RGPD, terá que pagar a multa, mas continua – para já – a poder transferir dados europeus para a China enquanto a DPC terá que deliberar novamente sobre o processo. O Supremo Tribunal irlandês, entretanto, já se pronunciou numa questão processual paralela, confirmando a validade da suspensão concedida pelo Tribunal Superior.
As implicações para os utilizadores portugueses
Portugal tem cerca de 3,5 milhões de utilizadores ativos do TikTok, segundo estimativas de penetração da plataforma no país. Todos eles estão cobertos por esta decisão, que abrange a totalidade dos utilizadores do Espaço Económico Europeu. Os dados transferidos para a China incluíam conteúdo de mensagens, localização aproximada, endereços IP, números de telefone e outros metadados gerados pela utilização da aplicação.
A Comissão Nacional de Proteção de Dados (CNPD), o regulador português, não participou diretamente nesta investigação, mas é informada de todas as decisões do RGPD que afetam os cidadãos portugueses no âmbito do mecanismo de cooperação europeu. As restantes autoridades de proteção de dados da UE foram consultadas sobre a decisão da DPC em fevereiro do ano passado e nenhuma levantou objeções.
A Irlanda como regulador da Big Tech
A concentração das sedes europeias de grandes empresas tecnológicas em Dublin é impressionante. Apple, Meta, Google, TikTok, LinkedIn e Twitter/X, estão todos sediados no país. Isso transformou a Irlanda no regulador das maiores empresas digitais do mundo para efeitos do RGPD. Alguns Estados-membros e do Parlamento Europeu têm criticado a Irlanda por ser demasiado branda face às grandes empresas que supervisiona.
O facto de a Irlanda ter assumido recentemente a presidência rotativa do Conselho da União Europeia acrescenta uma dimensão política a este complexo processo, mas a pressão mantem-se sobre as autoridades irlandesas para que sejam mais exigentes com as gigantes tecnológicas.
Convém lembrar que, em 2023, o Parlamento Europeu, a Comissão Europeia e o Conselho da UE baniram o TikTok dos dispositivos de trabalho dos seus funcionários, por razões de segurança. Vários Estados-membros, incluindo Portugal, fizeram o mesmo nos aparelhos dos servidores públicos, mas estender a proibição ao público afigura-se mais complicado, tendo em conta que o TikTok tem 170 milhões de utilizadores na UE. Bani-lo seria uma decisão politicamente muito pesada, com impacto direto em criadores de conteúdo, pequenos negócios, e até jornalistas e utilizadores comuns.
O mais provável é que persista uma combinação de pressões crescentes, como multas avultadas, ordens de conformidade cada vez mais exigentes, e a possibilidade de suspensão das transferências de dados para a China. Isso obrigaria o TikTok a uma reestruturação profunda das suas operações europeias e se essa reestruturação se revelar economicamente inviável, a saída do mercado europeu seria uma decisão da própria empresa, e não, uma proibição imposta pelos reguladores.
Resta saber a quem vai ceder.
Fontes: Data Protection Commission da Irlanda (DPC), European Data Protection Board (EDPB), Irish Legal News, The Next Web, Arthur Cox, Simmons & Simmons, Maynard Nexsen, ComplianceHub.Wiki, TikTok (comunicado oficial).
Comentários