O Comité Europeu de Proteção de Dados (CEDP) aprovou a sua primeira decisão vinculativa no âmbito do mecanismo de cooperação entre autoridades de controlo de proteção de dados num processo de violação de proteção de dados conduzido à Twitter International Company (Twitter) pela autoridade de controlo irlandesa, que tem também em curso investigações ao Facebook e WhatsApp.
No final de 2018, a empresa Twitter sofreu uma violação de dados pessoais devido à exploração de uma vulnerabilidade do seu sistema. No início de janeiro de 2019, voltaria a ser alvo de uma outra violação que permitiu um acesso não autorizado a contas privadas do Twitter. Neste contexto, a autoridade de controlo irlandesa, autoridade do país onde se encontra sedeada a empresa tecnológica que explora a plataforma Twitter, abriu uma investigação por forma a verificar se as notificações das violações de dados tinham sido feitas oportunamente à autoridade de controlo e aos utilizadores da plataforma pela empresa.
O Regulamento Geral de Proteção de Dados (RGPD) impõe que, em caso de violação de dados, a organização comunique a violação, no prazo máximo de 72 horas, a contar do seu conhecimento, à autoridade de controlo e, quando for provável que dessa violação resulte um elevado risco para os titulares dos dados, a dar-lhes conhecimento, sem demora injustificada.
Uma vez concluída a investigação, a autoridade de controlo irlandesa apresentou, no dia 22 de maio de 2020, o seu projeto de decisão a outras autoridades de controlo interessadas, as quais são chamadas a pronunciar-se, ao abrigo do mecanismo de cooperação entre autoridades de controlo, quando estejam em causa tratamentos de dados transfronteiriços, como é o caso. O projeto de decisão da autoridade de controlo da Irlanda viria a ser alvo de objeções por diversas autoridades de controlo, no que versava, entre outras questões, sobre o papel da Twitter enquanto responsável único pelo tratamento de dados e sobre a medida da coima proposta.
Em caso de discordância do projeto de decisão da autoridade de controlo principal por uma ou várias autoridade(s) de controlo, como aconteceu, o CEPD é chamado a intervir, fazendo uso do mecanismo previsto no artigo 65.º do RGPD, e a proferir decisão vinculativa.
No dia 9 de novembro de 2020, o CEPD adotou, assim, a sua primeira decisão vinculativa (que não é pública, pelo que não se conhece ainda o seu teor) devendo agora notificar as autoridades de controlo interessadas. A autoridade de controlo irlandesa tem o prazo máximo de um mês para adotar a sua decisão final tendo em conta a decisão vinculativa do CEPD. Espera-se, assim, que durante o próximo mês venha a ser conhecida a decisão aplicada à Twitter, que arrisca incorrer numa pesada coima, que pode atingir os 20 milhões de euros ou 4% do seu volume de negócios anual a nível mundial.