ICO do Reino Unido Multa Reddit em £14,5 Mi por Coleta Ilegal de Dados de Crianças

O Information Commissioner’s Office (ICO) do Reino Unido aplicou uma multa de £14,47 milhões (aproximadamente US$ 19,5 milhões) ao Reddit por coletar e processar ilegalmente dados pessoais de crianças menores de 13 anos. A medida reforça a falha da plataforma em implementar salvaguardas adequadas para proteger os dados de menores, violando o UK General Data Protection Regulation (UK GDPR) e o Children’s Code (Age Appropriate Design Code).

Principais Achados e Violações

A investigação do ICO revelou que as práticas do Reddit entre 2016 e 2021 não estavam em conformidade com as leis de proteção de dados, especialmente no que diz respeito à privacidade infantil. Segundo o UK GDPR, as organizações devem garantir que o processamento de dados pessoais seja lícito, justo e transparente — principalmente ao lidar com dados de menores. O Children’s Code, introduzido em 2020, determina ainda que os serviços digitais com probabilidade de serem acessados por crianças devem priorizar seus melhores interesses, incluindo configurações padrão de privacidade e minimização de dados.

As violações do Reddit incluíram:

• Falta de verificação de idade: A plataforma não implementou mecanismos robustos para impedir que crianças menores de 13 anos criassem contas ou acessassem seus serviços.
• Salvaguardas de privacidade inadequadas: As configurações padrão e práticas de coleta de dados não estavam alinhadas com os altos padrões de privacidade exigidos para dados de crianças.
• Falha em obter consentimento válido: Para usuários menores de 13 anos, o consentimento parental é legalmente obrigatório, algo que o Reddit não garantiu de forma consistente.

Impacto e Resposta Regulatória

A multa aplicada pelo ICO reflete a gravidade das violações e serve como um alerta para outras plataformas sobre as consequências do descumprimento das leis de proteção de dados infantis. John Edwards, Comissário de Informação do Reino Unido, enfatizou que a privacidade das crianças não é negociável, declarando:

"Proteger os dados das crianças não é opcional — é um requisito legal. As organizações devem levar suas responsabilidades a sério ou enfrentar penalidades significativas."

O Reddit não contestou publicamente a multa, mas relatadamente tomou medidas para aprimorar seus processos de verificação de idade e proteção de dados desde a investigação.

Recomendações de Conformidade para Organizações

Profissionais de segurança e privacidade devem considerar os seguintes pontos:

• Implementar verificação robusta de idade: Utilizar medidas técnicas (como barreiras de idade e verificação por terceiros) para evitar acesso de menores onde proibido.
• Aplicar padrões elevados de privacidade por padrão: Garantir que as configurações para contas de crianças priorizem a minimização de dados e o consentimento explícito.
• Revisar a conformidade com o Children’s Code: Alinhar práticas com os 15 padrões estabelecidos no Age Appropriate Design Code do Reino Unido, incluindo transparência e controles parentais.
• Realizar auditorias regulares: Avaliar proativamente as atividades de processamento de dados para identificar e mitigar riscos à privacidade de menores.

A ação do ICO destaca o foco global crescente nos direitos digitais das crianças e a necessidade de as organizações priorizarem a conformidade com as regulamentações de privacidade em evolução.