anonym.legal

By · Last updated 2026-03-06

Voltar ao BlogGDPR & Conformidade

Multa de €530M do TikTok e a Nova Realidade da...

A multa de €530M do TikTok pelo GDPR por transferências de dados da UE para a China marca uma nova era de aplicação da soberania de dados.

March 6, 20269 min de leitura
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

A Decisão TikTok Que Redefiniu a Soberania dos Dados

Atualizado para 2026

Em maio de 2025, a Comissão Irlandesa de Proteção de Dados multou o TikTok em 530 milhões de euros. O motivo foi simples. O TikTok enviava informações de utilizadores da UE para a China sem garantias adequadas.

Esta é a segunda maior sanção individual do RGPD. Apenas a multa de 1,2 mil milhões de euros à Meta de 2023 é maior. A DPC irlandesa também a emitiu — por enviar ficheiros da UE para servidores do Facebook nos EUA.

Ambos os casos mostram um padrão claro. As transferências transfronteiriças sem garantias adequadas atraem as maiores multas. Os reguladores continuarão a pressionar até as empresas mudarem.

As multas acumuladas do RGPD atingiram 5,65 mil milhões de euros até 2025. A aplicação já não é um risco de fundo. É um custo ativo para as empresas. Consulte o nosso guia de conformidade RGPD para uma visão prática.

O Que o Caso TikTok Decidiu

Este caso não foi sobre uma violação de segurança. Foi sobre para onde vão os ficheiros dos utilizadores e a base legal para os mover.

O TikTok armazenava ficheiros de utilizadores da UE em servidores. Funcionários na China podiam aceder a esses servidores. Os artigos 44.º a 46.º do RGPD restringem as transferências para países sem uma decisão de adequação da UE. A China não tem tal decisão. O TikTok afirmou ter implementado medidas técnicas adequadas. Os reguladores rejeitaram o argumento.

A lição é simples. Alojar na UE não é suficiente se funcionários fora da UE puderem aceder aos ficheiros. Também não é suficiente se a empresa tiver de cumprir as leis de um país não adequado.

Isto importa na escolha de fornecedores SaaS. Um fornecedor pode dizer "alojamos na UE." Mas se a empresa-mãe estiver sediada noutro lugar, o mesmo risco aplica-se. Se o suporte técnico aceder a ficheiros de utilizadores fora da UE, o mesmo risco aplica-se. Os seus clientes partilham esse risco. Consulte a nossa lista de verificação de conformidade antes de assinar um DPA.

Multas RGPD: 5,65 Mil Milhões de Euros e a Crescer

Ação de aplicaçãoMultaAnoMotivos
Meta (Facebook) — DPC1.200 M€2023Transferências UE-EUA ilegais
TikTok — DPC530 M€2025Transferências UE-China
Amazon — CNPD Luxemburgo746 M€2021Targeting publicitário
WhatsApp — DPC225 M€2021Falhas de transparência
Google — CNIL França150 M€2022Consentimento de cookies

Os reguladores passaram de estabelecer regras para as aplicar. As infrações de transferência geram agora as maiores multas. Saiba como gerimos a segurança e as garantias.

Alemanha, Suíça e Regras Setoriais

Os artigos 44.º a 46.º do RGPD aplicam-se a todos os setores. Mas algumas indústrias têm regras adicionais.

Saúde alemã: O Código Social, Livro V (SGB V) limita o tratamento de documentos de saúde a sistemas controlados pela Alemanha. Uma seguradora alemã pode usar uma ferramenta de desidentificação em cloud em Dublin — isso é UE. Mas pode ainda violar o SGB V se o operador da ferramenta não for uma entidade alemã.

Banca suíça: O artigo 47.º da Lei Bancária proíbe a divulgação de documentos de clientes a terceiros não autorizados. Isso inclui fornecedores cloud sem consentimento explícito do cliente. Os ficheiros de clientes de um banco suíço, mesmo numa ferramenta alojada na UE, podem acionar esta obrigação.

Setor público alemão: As orientações do BfDI limitam os documentos governamentais a sistemas geridos pelo governo. Uma ferramenta de desidentificação alojada nos servidores UE de um fornecedor cloud comercial não satisfaz este requisito.

A lição: O alinhamento com o RGPD é o mínimo, não o objetivo. Muitos setores têm regras mais rígidas. O nosso resumo do processamento de entidades mostra que regras se aplicam por setor.

Quem Tem uma Decisão de Adequação?

O RGPD permite a troca livre de informações com países que a Comissão Europeia reconhece como equivalentes em proteção. Estes países estão incluídos:

Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Coreia do Sul, Suíça, Reino Unido, Uruguai e EUA (Quadro de Privacidade de Dados).

Sem decisão: China, Índia, Rússia, Brasil, a maioria da Ásia-Pacífico, Médio Oriente e África.

O Quadro de Privacidade de Dados UE-EUA está de novo em vigor. Mas continua a ser contestado judicialmente. Os mesmos argumentos legais que anularam o Safe Harbor (Schrems I) e o Privacy Shield (Schrems II) estão a ser usados novamente. As empresas devem ter planos de contingência.

Quatro Níveis de Proteção para a Seleção de Ferramentas

Os casos TikTok e Meta criam um ranking claro para avaliar ferramentas SaaS.

Nível 1 — Alojamento na UE: As informações dos utilizadores são processadas e armazenadas em servidores UE. Isto satisfaz o padrão base do RGPD para a maioria dos casos de uso.

Nível 2 — Operador com sede na UE: A empresa-mãe do fornecedor tem sede na UE. Não está sujeita às leis de um país não adequado. Isto resolve o problema TikTok. Alojamento na UE aliado à exposição à lei chinesa pela empresa-mãe não é seguro.

Nível 3 — Design zero-knowledge: Mesmo que o fornecedor seja atacado ou receba uma ordem judicial, não pode ler os seus ficheiros. Você detém as chaves de cifra. Eles apenas detêm texto cifrado. Conheça a nossa abordagem zero-knowledge.

Nível 4 — Processamento local: Os seus documentos nunca saem dos seus próprios sistemas. O processamento ocorre em hardware local ou sistemas governamentais. Esta é a única forma de satisfazer plenamente o SGB V alemão, o sigilo bancário suíço e os requisitos do BfDI. Consulte os nossos planos de preços para opções da aplicação de desktop.

DPIA Após TikTok

O artigo 35.º do RGPD exige uma Avaliação de Impacto sobre a Proteção de Dados para tratamentos de alto risco. Chama-se DPIA. Quando os ficheiros dos utilizadores vão para subcontratantes em países terceiros, também precisa de uma avaliação de impacto da transferência.

Após TikTok, as DPIA para ferramentas de redação em cloud devem responder a quatro questões.

Jurisdição da empresa-mãe: A empresa-mãe do fornecedor está sujeita a leis — CLOUD Act, lei chinesa de cibersegurança — que poderiam obrigá-la a entregar ficheiros de utilizadores da UE?

Acesso do pessoal: O pessoal em países não adequados acede a ficheiros de utilizadores da UE em operações normais?

Base legal: Qual mecanismo do artigo 46.º do RGPD cobre as transferências — CCE, BCR ou derrogações?

Impacto de uma violação: Se o fornecedor for atacado ou forçado a entregar documentos, o que fica exposto?

TikTok mostrou que contratos sozinhos não são suficientes. Tem de os avaliar quanto à adequação. Documente as suas respostas. Consulte a nossa FAQ para questões habituais sobre DPIA.

Questões de Aquisição para 2026

Os DPOs fazem agora perguntas muito específicas ao avaliar fornecedores SaaS.

  • Onde estão os servidores? (UE?)
  • Onde está sediada a empresa-mãe? (UE? EUA? Outro?)
  • Funcionários fora da UE acedem a ficheiros de clientes da UE?
  • Que lei rege as ordens judiciais sobre documentos?
  • O fornecedor detém as chaves de cifra, ou detém-as você?
  • Existe uma opção de processamento local?

As respostas a estas questões — não apenas as assinaturas do DPA — determinam o verdadeiro alinhamento de soberania. Saiba como anonym.legal foi construído para responder a todas elas na nossa declaração do fundador. O nosso glossário explica CCE, BCR e decisões de adequação.

O ambiente pós-TikTok é claro. Os reguladores observam de perto as transferências transfronteiriças. As multas são altas. Estão a crescer. A escolha do seu fornecedor é agora uma decisão regulatória. Não é apenas uma decisão técnica.

anonym.legal usa centros de dados Hetzner sediados na UE com design zero-knowledge. O servidor nunca vê o seu conteúdo em texto simples. Uma violação total do servidor produz apenas texto cifrado AES-256-GCM. Precisa de processamento apenas local? A aplicação de desktop corre inteiramente no seu dispositivo sem ligações externas.

Fontes

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.