A Decisão do TikTok Que Redefiniu a Soberania de Dados
Em maio de 2025, a Comissão de Proteção de Dados da Irlanda impôs uma multa de €530M pelo GDPR contra o TikTok por transferir dados de usuários da UE para a China sem salvaguardas adequadas.
A multa agora é a segunda maior penalidade individual do GDPR já imposta, ficando atrás apenas da multa de €1,2B da Meta em 2023, também emitida pela DPC irlandesa, por transferências ilegais de dados da UE para os servidores da Facebook nos EUA. Juntos, esses dois casos estabelecem um padrão claro de aplicação: transferências de dados transfronteiriças sem salvaguardas adequadas são uma área prioritária de aplicação, e a DPC imporá multas em uma escala que força mudanças comportamentais.
Com €5,65B em multas acumuladas do GDPR até 2025 (rastreador de aplicação do GDPR.eu), a aplicação do GDPR não é mais um risco de conformidade de fundo — é um custo comercial ativo que os reguladores estão impondo ativamente.
O Que o Caso do TikTok Realmente Decidiu
O caso do TikTok não se tratava principalmente de práticas de segurança ou violações de dados. Tratava-se da localização dos dados e da base legal para transferências internacionais de dados.
As operações do TikTok na UE armazenavam e processavam dados de usuários da UE em servidores que eram acessíveis por funcionários na China. Os Artigos 44-46 do GDPR restringem transferências internacionais de dados para países sem uma decisão de adequação da UE, a menos que mecanismos legais específicos estejam em vigor. A China não possui uma decisão de adequação da UE. O argumento do TikTok de que havia implementado medidas técnicas adequadas não foi aceito.
A lição estrutural: "nossos servidores estão na UE" não é suficiente se os dados puderem ser acessados por pessoal fora da UE, ou se a organização estiver sujeita às leis de um país com poderes de acesso estatal que conflitam com o GDPR.
Isso é diretamente relevante para organizações que avaliam fornecedores de SaaS. Um fornecedor que diz "hospedamos na UE" mas cuja empresa controladora está sediada nos EUA, ou cujo pessoal de suporte tem acesso de fora da UE, pode enfrentar o mesmo desafio regulatório que o TikTok enfrentou — e assim podem seus clientes.
O Quadro Acumulado: €5,65B em Multas do GDPR
| Ação de Aplicação | Multa | Ano | Motivos |
|---|---|---|---|
| Meta (Facebook) — DPC | €1.2B | 2023 | Transferências ilegais da UE para os EUA |
| TikTok — DPC | €530M | 2025 | Transferências da UE para a China |
| Amazon — CNPD Luxemburgo | €746M | 2021 | Segmentação publicitária |
| WhatsApp — DPC | €225M | 2021 | Falhas de transparência |
| Google — CNIL França | €150M | 2022 | Consentimento de cookies |
O total acumulado de €5,65B até 2025 reflete uma maturação da aplicação do GDPR: os reguladores passaram de estabelecer precedentes para uma aplicação sistemática em categorias de violação. Violações de transferência de dados agora são a categoria de maior multa, refletindo as prioridades regulatórias.
O Problema da Saúde na Alemanha
Os Artigos 44-46 do GDPR se aplicam igualmente a todos os setores, mas certos setores enfrentam requisitos adicionais de soberania de dados além do GDPR.
Saúde alemã: O Código Social Livro V (SGB V) restringe o processamento de dados de saúde a sistemas controlados pela Alemanha. Um segurador de saúde alemão usando uma ferramenta de anonimização em nuvem hospedada em Dublin — que é tecnicamente da UE — pode ainda estar em não conformidade com o SGB V se o operador da ferramenta for uma entidade não alemã com potenciais conflitos de leis alemãs.
Bancos suíços: A lei de sigilo bancário suíço (Artigo 47 da Lei Bancária) proíbe a divulgação de informações de clientes a partes não autorizadas, incluindo provedores de serviços em nuvem não cobertos por consentimento explícito do cliente. Os dados de clientes de um banco privado suíço processados por qualquer ferramenta em nuvem — mesmo hospedada na UE — podem acionar obrigações de sigilo bancário.
Setor público alemão: A orientação da BfDI (Comissário Federal de Proteção de Dados) restringe os dados de agências governamentais à infraestrutura controlada pelo governo. Uma ferramenta de anonimização hospedada nos servidores de um provedor de nuvem comercial da UE não satisfaz esse requisito.
Esses casos ilustram que a conformidade com o GDPR é o piso, não o teto. Para indústrias regulamentadas e organizações do setor público, os requisitos de soberania de dados frequentemente impõem restrições adicionais que vão além da localização de hospedagem.
O Cenário das Decisões de Adequação
A estrutura de transferência internacional do GDPR depende da Comissão Europeia emitir "decisões de adequação" para países considerados que fornecem proteção de dados equivalente. O cenário atual de adequação:
Países com decisões de adequação: Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroe, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Coreia do Sul, Suíça, Reino Unido, Uruguai, EUA (Data Privacy Framework — reinstaurado após a invalidação do Schrems II)
Países sem adequação: China, Índia, Rússia, Brasil, a maior parte da APAC, a maior parte da MENA, a maior parte da África
O Data Privacy Framework (UE-EUA) foi reinstaurado após negociações políticas, mas permanece legalmente contestado. Defensores da privacidade já sinalizaram desafios legais com base em argumentos da lei de vigilância dos EUA que invalidaram seus predecessores (Safe Harbor no Schrems I, Privacy Shield no Schrems II).
Organizações que dependem do Data Privacy Framework da UE-EUA como sua base legal para processamento de dados hospedados nos EUA devem ter planos de contingência para outra invalidação.
Como os Requisitos de Soberania de Dados se Traduzem em Seleção de Ferramentas
O quadro acumulado do TikTok, Meta e a estrutura regulatória subjacente cria uma hierarquia de garantia de conformidade para a seleção de ferramentas de SaaS:
Nível 1 — Hospedagem na UE: Os dados são processados e armazenados em servidores fisicamente localizados na UE. Isso satisfaz o requisito básico do GDPR para dados que não requerem proteção em nível de soberania.
Nível 2 — Operador baseado na UE: A entidade controladora do fornecedor está baseada na UE e não está sujeita às leis de um país não adequado. Isso aborda o problema do TikTok onde a hospedagem na UE foi emparelhada com a exposição à lei chinesa para a entidade controladora.
Nível 3 — Arquitetura de conhecimento zero: Mesmo que o fornecedor seja violado, compelido pela aplicação da lei, ou obrigado a produzir dados por um governo estrangeiro, eles não podem acessar os dados em texto claro porque as chaves de criptografia são mantidas exclusivamente pelo cliente. Isso aborda o cenário em que até mesmo um fornecedor totalmente compatível com o GDPR recebe uma demanda legal.
Nível 4 — Processamento local: Os dados nunca saem da infraestrutura da própria organização. O processamento ocorre em hardware local ou sistemas controlados pelo governo. Esta é a única abordagem que satisfaz totalmente o SGB V alemão, o sigilo bancário suíço, os requisitos do setor público da BfDI e mandatos de dados soberanos semelhantes.
A Consequência Prática para DPIAs do GDPR
As Avaliações de Impacto de Proteção de Dados (DPIAs) exigidas pelo Artigo 35 do GDPR para processamento de alto risco devem incluir uma avaliação de impacto de transferência quando os dados são compartilhados com processadores de países terceiros. Após a decisão do TikTok, as DPIAs para ferramentas de anonimização baseadas em nuvem precisam abordar explicitamente:
-
Jurisdicionais da empresa controladora: A empresa controladora do fornecedor está sujeita a leis (CLOUD Act, lei de cibersegurança chinesa, etc.) que poderiam exigir a produção de dados de clientes da UE?
-
Acesso da equipe de suporte: A equipe de suporte ou engenharia em países não adequados tem acesso a dados de clientes da UE como parte das operações normais?
-
Base legal para transferências: Qual mecanismo específico do Artigo 46 do GDPR se aplica a quaisquer fluxos de dados para países não adequados (SCCs, BCRs, derrogações)?
-
Análise de impacto de violação: Se o fornecedor for violado ou compelido a produzir dados, quais dados de clientes da UE estariam expostos?
Para organizações que utilizam ferramentas de anonimização baseadas em nuvem, essas perguntas têm respostas concretas que devem ser documentadas. A decisão do TikTok demonstrou que "temos contratos em vigor" não é suficiente se esses contratos não foram devidamente avaliados quanto à adequação.
O Que Isso Significa para a Aquisição de 2026
Após a decisão do TikTok, os DPOs que revisam fornecedores de SaaS para ferramentas de processamento de dados estão fazendo perguntas mais específicas do que antes:
- Onde estão os servidores? (UE?)
- Onde a empresa controladora está incorporada? (UE? EUA? Outro?)
- Funcionários não da UE têm acesso a dados de clientes da UE?
- Que lei se aplica a solicitações de dados da aplicação da lei?
- Existe uma arquitetura de conhecimento zero, ou o fornecedor detém as chaves de criptografia?
- Existe uma opção de processamento local?
As respostas a essas perguntas — não a presença de assinaturas de DPA — determinam a conformidade real com a soberania de dados no ambiente regulatório pós-TikTok.
A plataforma web da anonym.legal utiliza centros de dados Hetzner baseados na UE com arquitetura de conhecimento zero — o servidor nunca recebe dados de clientes não criptografados, e uma violação total do servidor resulta apenas em texto cifrado AES-256-GCM. Para organizações que exigem processamento apenas local, o Aplicativo Desktop processa todos os dados no dispositivo sem comunicação de rede externa.
Fontes: