Nota Técnica n° 02/2021/CGTP/ ANPD

PRESIDENCIA DA REPUBLICA
Autoridade Nacional de Prote9ifo de Dados

Brasilia, 22 de mar90 de 2021.
Nota Tecnica n° 02/2021/CGTP/ ANPD
Assunto: Atualização da Politica de Privacidade do WhatsApp
Referencia: processo/documento no. 00261.000012/2021-04

I. INTRODUÇÃO

1. A presente Nota Técnica tem por objetivo apresentar as implicações e possíveis consequências das alterações promovidas na Política de Privacidade e nos Termos de Serviço pela empresa WhatsApp Inc., por intermédio da análise das respostas aos questionamentos elaborados pela Autoridade Nacional de Proteção de Dados – ANPD e da avaliação dessa nova política, conforme registrado no Processo Eletrônico SEI n° 00261.000012/2021-04.
2. Em 04 de janeiro de 2021, o WhatsApp Inc. notificou os seus usuários, por meio do aviso de privacidade denominado “Atualizações Importantes”, sobre as alterações na sua Política de Privacidade e Termos de Serviço. O aviso de privacidade gerou forte repercussão nacional e internacional em razão do compartilhamento de dados pessoais dos usuários do WhatsApp com as empresas do grupo econômico do Facebook, do qual é parte integrante, conforme descrito na sua política.
3. O compartilhamento de dados pessoais de usuários do WhatsApp com o Facebook não é totalmente uma novidade, posto que o compartilhamento de metadados já ocorria entre as empresas do grupo desde 2016. Segundo a empresa, a alteração da sua política visa atualizar a linguagem para melhorar a legibilidade, introduzir uma formatação mais clara e adicionar alguns exemplos mais atualizados dos produtos e funcionalidades implementados desde a época.
4. Constata-se que o WhatsApp está apenas dando continuidade a uma política de compartilhamento de dados praticada desde 2016. Contudo, o ponto principal a ser analisado é o tratamento de dados que a empresa já realizava desde a época, bem como novas práticas de compartilhamento em razão do uso da ferramenta WhatsApp Business, quanto ao compartilhamento de dados dos usuários de seu aplicativo com a plataforma do Facebook, fato este que somente se tornou de grande conhecimento e comoção pública recentemente, com a atualização da Política de Privacidade da empresa. Ao tornar mais explícitas essas práticas, ou descrever novas práticas empresariais, é necessário que se apresentem mais esclarecimentos sobre o impacto à privacidade dos usuários.
5. Cumpre registrar que, na política atual, o WhatsApp informa que a Política de Privacidade vigente na União Europeia, Estados Unidos e Canadá é distinta dos demais países, sendo o provimento do serviço realizado por subsidiárias distintas; na Europa pela WhatsApp Ireland e no Brasil pela WhatsApp LLC.
6. A empresa comunicou que “devido às informações equivocadas acerca das recentes atualizações e, levando em consideração as preocupações de seus usuários, o WhatsApp anunciou que alterou a data limite em que os Termos se tornarão efetivos para o dia 15 de maio de 2021. O WhatsApp usará esse lapso temporal para melhorar a comunicação com os usuários e fornecer informações adicionais aos usuários sobre como privacidade e segurança funcionam no WhatsApp, para que todos possam estar totalmente cientes das atualizações e revisem os Termos no seu próprio ritmo.”
7. Cumprindo a responsabilidade de zelar pela proteção dos dados pessoais, nos termos do art. 55-J, incisos I e IV, da Lei 13.709/2018 (LGPD), a ANPD enviou o Ofício n° 16/2021/ANPD/PR (SEI 2324023) aos representantes do WhatsApp e do Facebook no Brasil, em 8 de janeiro de 2021, requerendo esclarecimentos acerca das atualizações nos seus Termos de Serviço e Política de Privacidade.
8. Na referida comunicação, a ANPD formulou uma série de questionamentos referentes às atividades de tratamento de dados pelo WhatsApp, buscando esclarecimentos e informações mais detalhadas relativas ao compartilhamento dos dados pessoais dos titulares: (i) tipos de dados pessoais compartilhados; (ii) informações adicionais sobre os agentes de tratamento com os quais os dados são compartilhados; (iii) fonte dos dados pessoais; (iv) forma de armazenamento e compartilhamento dos dados pessoais; (v) finalidade do compartilhamento e do tratamento de dados subsequente realizado pelos agentes com os quais os dados são compartilhados, incluindo mas não se limitando ao Facebook; (vi) base legal da LGPD que autoriza o compartilhamento dos dados pessoais; (vii) justificativa para a aplicação da referida base legal; (viii) forma de obtenção e de armazenamento de consentimento, se aplicável; (ix) forma e consequências de recusa de concessão de consentimento pelos titulares dos dados pessoais compartilhados, se aplicável; (x) forma de concessão dos direitos determinados no art. 18 da LGPD, aos titulares em relação ao compartilhamento dos dados pessoais; (xi) mecanismos de segurança adotados para o compartilhamento dos dados.
9. O Facebook, por intermédio do escritório Pinheiro Neto Advogados, em 14 de janeiro de 2021 (SEI 2342659), esclarece que “o fornecimento do serviço WhatsApp não faz parte das atividades do FACEBOOK BRASIL. O serviço WhatsApp pertence e é provido pela empresa norte-americana WhatsApp LLC, constituída no Estado de Delaware, conforme indicado em seus ‘Termos de Serviço'”.
10. O Facebook esclarece ainda que, “por esse motivo, o FACEBOOK BRASIL informa que os esclarecimentos cabíveis em resposta ao ofício n° 16/2021/ANPD/PR serão apresentados a essa D. Autoridade pela empresa WhatsApp LLC—a quem compete, na condição de provedora e responsável pelo aplicativo WhatsApp, fornecer quaisquer informações relacionadas aos seus ‘Termos de Serviço’ e/ou ‘Política de Privacidade'”.
11. O WhatsApp LCC, representada por seus advogados, apresentou resposta ao pedido de informações em 20 de janeiro de 2021 (SEI 2344974).
12. Na sequência, a ANPD requereu, em 10 de fevereiro de 2021, por meio do Ofício n° 49/2021/ANPD/PR (SEI 2385040), que fossem apresentados esclarecimentos adicionais, sobre pontos que restaram genéricos ou pendentes. Nessa segunda comunicação, a ANPD formulou uma série de novos questionamentos, solicitando informar: (i) todos os tipos de dados pessoais que o WhatsApp recebe, coleta, compartilha e/ou realiza outros tratamentos; (ii) a forma pela qual os dados pessoais são compartilhados; (iii) análise realizada para garantir que o tratamento não fere direitos e liberdades fundamentais e medidas que garantam o balanceamento entre o legítimo interesse do controlador e a legítima expectativa e direitos do titular de dados (conf. art. 7°, IX e art. 10 da Lei 13.709/2018), em relação aos tratamentos de dados cuja base legal apontada tenha sido o legítimo interesse; (iv) as finalidades e bases legais relacionadas aos serviços oferecidos às empresas que utilizam o WhatsApp Business e que tratam dados pessoais de usuários do WhatsApp; (v) finalidades e bases legais relacionadas ao compartilhamento de dados dos titulares usuários do WhatsApp que não possuem cadastro na plataforma do Facebook ou de outras empresas do grupo econômico; (vi) os mecanismos de segurança adotados em relação ao compartilhamento de dados no contexto do WhatsApp Business; (vii) o relatório de impacto à proteção de dados pessoais, nos termos do art. 10, § 3° da Lei 13.709/2018, em relação às operações de tratamento de dados cuja base legal apontada tenha sido o legítimo interesse; (viii) qualquer outra operação de tratamento de dados, bem como finalidade e base legal, que não tenha sido expressamente manifestada; e (ix) as razões do tratamento de dados diferenciado dos usuários do WhatsApp no Brasil, dos usuários dos Estados Unidos da América, Canadá e União Europeia.
13. Em 11 de fevereiro de 2021, o WhatsApp LLC encaminhou correspondência à ANPD (SEI 2387987), na qual informou que “o WhatsApp deu início ao levantamento das informações pertinentes. No entanto, considerando (i) a quantidade e complexidade dos questionamentos e documento solicitados; e (ii) a necessidade de obtenção de informações em escala global, diante da estrutura internacional do WhatsApp, o prazo requerido de 5 (cinco) dias para resposta revela-se de cumprimento inviável. Assim, e considerando o anúncio realizado pelo WhatsApp a respeito da prorrogação da data de entrada em vigor da atualização para o dia 15.05.2021, o WhatsApp requer, respeitosamente, que seu prazo para resposta do Ofício seja prorrogado até o dia 26.02.2021, de modo a que a empresa possa finalizar de maneira satisfatória as diligências internas para a obtenção das informações solicitadas”, o que foi atendido por essa Autoridade, conforme exposto no Ofício n° 54/2021/ANPD/PR (SEI 2389228), de 12 de fevereiro de 2021.
14. O WhatsApp enviou correspondência à ANPD, ainda em 18 de fevereiro (SEI 2393640), informando que “está disponibilizando uma nova notificação no seu aplicativo para melhor informar seus usuários sobre as atualizações dos seus Termos de Serviço e Política de Privacidade (conjuntamente ‘Termos’), que, como previamente indicado, entrarão em vigor em 15 de maio de 2021.”
15. Atendendo ao prazo dilatado, o WhatsApp LCC apresentou resposta ao pedido de esclarecimentos adicionais em 26 de fevereiro de 2021 (SEI 2412846), cuja análise, em conjunto com a manifestação inicial, constitui o objeto da presente Nota Técnica.
16. II. COMPETÊNCIAS DA ANPD
17. Conforme as disposições da Lei n° 13.709/2018 (LGPD), a ANPD é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais no País, sendo dotada de autonomia técnica e decisória. Para o desempenho desse mandato legal, entre outras funções relevantes previstas no art. 55-J da LGPD, a ANPD detém competência para:
18. (i) fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação;
19. (ii) promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
20. (iii) estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
21. (iv) dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial; e
22. (v) deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos.
23. É importante salientar que os dispositivos legais que tratam das sanções administrativas (arts. 52 a 54) entram em vigor no dia 1° de agosto de 2021, conforme expressa determinação do art. 65, I-A, da LGPD. Por tal razão, não constitui objeto desta Nota Técnica, assim como do presente processo, a apuração de ocorrência de infrações com a finalidade de aplicar penalidades administrativas ao WhatsApp.
24. Não obstante, é preciso considerar que os demais princípios e regras estabelecidos na LGPD constituem norma em vigor, de observância obrigatória por todos os agentes regulados. É o caso, em especial, das normas relativas à indicação de base legal adequada para o tratamento de dados pessoais (arts. 7°, 8°, 10, 11 e 33), à transparência na relação entre os agentes de tratamento e os titulares (arts. 6°, IV e VI; art. 9°), à adoção de medidas de prevenção e segurança (arts. 6°, VII e VIII; arts. 46 a 51) e à garantia de direitos dos titulares (arts. 17 a 22), inclusive de crianças e adolescentes (art. 14).
25. Nesse contexto, no exercício de seu mandato legal, a ANPD possui legitimidade e competência para analisar a Política de Privacidade do WhatsApp com vistas a garantir a sua conformidade com a legislação de proteção de dados pessoais. Vale dizer, a impossibilidade momentânea de aplicação de sanções não afasta a competência da ANPD para emitir opiniões técnicas, expedir recomendações e, se for o caso, determinar a adoção de providências por parte da empresa, sempre visando ao cumprimento das disposições da LGPD.
26. A relevância e a necessidade da atuação da ANPD no caso se evidenciam, ademais, ao se considerar que o WhatsApp possui mais de cem milhões de usuários no Brasil. O aplicativo está instalado em quase todos os celulares do país, o qual ocupa a segunda posição entre os que mais o utilizam no mundo. Assim, não seria exagero dizer que eventual descumprimento de obrigação legal ou tratamento de dados efetuado de forma irregular pela empresa pode ter proporções extraordinárias e implicar a violação de direitos de milhões de brasileiros.
27. Esse tipo de análise contextual encontra expressa guarida na LGPD. Nesse sentido, vale citar a norma que autoriza a exigência de elaboração de relatório de impacto nos casos de tratamento que possa gerar “riscos às liberdades civis e aos direitos fundamentais”, tal como ocorre nas hipóteses em que envolvidos dados sensíveis ou utilizada a base legal do legítimo interesse (arts. 5°, XVII; 10, § 3° e 38). Na mesma linha, a avaliação quanto à gravidade de incidente de segurança (art. 48) deve levar em conta os riscos e danos relevantes e a natureza dos dados pessoais afetados, entre outros elementos que demandem a análise do contexto e das circunstâncias fáticas envolvidas na hipótese.
28. Parâmetros legais similares regem a definição legal de tratamento de dados pessoais irregular. Conforme o art. 44 da lei, na análise da regularidade do tratamento, a ANPD deve considerar “as circunstâncias relevantes” do caso, incluindo “o modo pelo qual é realizado” o tratamento e “os resultados e riscos que razoavelmente dele se esperam” (art. 44). Da mesma forma, a ANPD pode estimular a adoção de padrões para serviços e produtos que facilitem o controle dos titulares sobre seus dados pessoais, levando em consideração “as especificidades das atividades e o porte dos responsáveis” (art. 55-J, VIII).
29. De outro lado, as circunstâncias relevantes e os elementos contextuais envolvidos no caso, incluindo o porte da empresa e o uso massivo do aplicativo no país, reforçam a importância do papel educativo exercido pela ANPD, a quem compete “promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança” (art. 55-J, VI). A esse respeito, a alteração na política de privacidade suscitou muitas dúvidas entre os usuários do aplicativo, o que levou a empresa a prorrogar para 15 de maio o prazo para sua entrada em vigor, como forma de ampliar a transparência e “esclarecer todas as informações incorretas sobre como a privacidade e a segurança funcionam no WhatsApp”.
30. Diante desse cenário, a presente Nota Técnica também tem por objetivo identificar pontos críticos e solicitar à empresa que adote medidas de ampliação da transparência.
31. Informações disponíveis nas seguintes páginas eletrônicas: https://www.statista.com/statistics/289778/countries-with-the-most-facebook-users/ e https://tccnoblog.net/326932/whatsapp-chega-a-99-por-cento-celulares-brasil-telegram-cresce/. Acesso em 4 mar. 2021.
32. 2 WHATSAPP. Prolongamos a data de aceitação da atualização da Política de Privacidade. Disponível em: https://blog.whatsapp.com/giving-more-time-for-our-recent-update. Acesso em 5 mar. 2021.
33. Fim de assegurar aos titulares o acesso a informações claras, precisas e facilmente acessíveis sobre as alterações efetuadas na política de privacidade e o uso seguro do aplicativo. Com o mesmo intuito, após a conclusão da fase de análise técnica e de interação com a empresa, a ANPD poderá, a juízo do Conselho Diretor, publicar informações de interesse público a respeito do caso, contendo, entre outros elementos relevantes, orientações aos titulares a respeito das ações adotadas no caso e dos princípios e direitos assegurados na LGPD.
34. Finalmente, a ANPD possui a obrigação legal de atuar de forma coordenada com outros órgãos e entidades públicas responsáveis pela regulação de setores específicos (art. 55-J, XXIII e §§ 3° a 5°). Trata-se de medida que possui claro intuito de conferir maior eficiência e coerência à regulação estatal, evitando-se, na medida do possível, a sobreposição de competências, a duplicação de esforços e a implementação de decisões contraditórias. Por conseguinte, considerando que a ANPD é o órgão regulador central, responsável pela interpretação, em caráter terminativo, das disposições da LGPD, a análise técnica, as recomendações e as providências apresentadas no presente caso poderão constituir relevante subsídio para a atuação de outros órgãos e entidades públicos em seus respectivos âmbitos de competência.
35. III. PRINCÍPIO DA TRANSPARÊNCIA
36. O princípio da transparência foi elencado como um dos princípios a serem aplicados na proteção de dados pessoais na Convenção 108 do Conselho da Europa, segundo a qual a existência de um banco de dados com dados pessoais deve ser de conhecimento público, seja mediante a autorização prévia para funcionar; da notificação a uma autoridade sobre sua existência; ou na divulgação de relatórios periódicos.
37. O princípio foi recepcionado na Diretiva 95/46 da União Europeia, através do dever de informar aos titulares sobre o tratamento de dados e, posteriormente, pelo Regulamento Geral de Proteção de Dados (RGPD), em seu art. 12°. De acordo com o exposto no Considerando 58 do RGPD, toda informação aos titulares deve ser concisa, transparente, inteligível e facilmente acessível. Ou seja, a informação deve ser concisa e transparente de modo que o titular de dados não fique sobrecarregado de informações desnecessárias ou excessivas.
38. Ainda no âmbito europeu, vale citar precedente relevante, no qual, em 2019, a autoridade de proteção de dados francesa (Commission Nationale de l’Informatique et des Libertés – CNIL), sancionou o Google em 50 milhões de euros, em razão da ausência de transparência em relação ao tratamento de dados dos usuários da plataforma e a falta de obtenção de consentimento válido.
39. As principais alegações sobre a falta de transparência foram: (i) informações não facilmente acessíveis aos usuários do Google; (ii) estrutura escolhida para fornecer a
40. Disponível em: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108.
41. Doneda, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de Dados. 2. Ed. São Paulo: Thomson Reuters Brasil, 2019. p. 181.
42. A prática de separar uma política/aviso de privacidade vai permitir ao titular navegar para a seção em particular, a qual se deseja acessar imediatamente, ao invés de ter que percorrer grandes quantidades de texto em busca de temas específicos”.7
43. No que concerne ao formato de acesso às informações, a LGPD estabelece o direito do livre acesso (art. 6°, IV), segundo o qual deve ser garantida aos titulares a consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como sobre a integralidade dos seus dados.
44. Não há definição de formato de disponibilização de informações imposta aos agentes de tratamento (política, avisos ou outro tipo de informativo), mas o art. 9° preconiza que o tratamento de dados pessoais seja informado de forma clara, adequada e ostensiva, o que reforça o princípio da transparência e a ele remete.
45. Tal qual a LGPD, o RGPD não estabelece o formato pelo qual a informação deve ser fornecida, mas seu art. 12 (1) menciona que o controlador deve tomar as medidas apropriadas em relação ao fornecimento das informações, o que leva ao entendimento de que o controlador deve considerar as circunstâncias nas quais os dados são coletados para definir os formatos em que as informações serão fornecidas e, consequentemente, como a transparência sobre o tratamento será concedida. 8
46. Quanto ao conteúdo de informações a serem disponibilizadas aos titulares, para cumprimento do princípio da transparência e efetivação do direito de livre acesso, o art. 9° da LGPD estabelece os requisitos legais mínimos sobre os tipos de informações que devem ser prestadas de ofício ou mediante requerimento dos titulares:
47. Art. 9° O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I – finalidade específica do tratamento; II – forma e duração do tratamento, observados os segredos comercial e industrial; III – identificação do controlador; IV – informações de contato do controlador; V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI – responsabilidades dos agentes que realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
48. A análise apresentada nesta Nota Técnica também levará em consideração o atendimento a esses itens específicos pela Política de Privacidade do WhatsApp.
49. Outro ponto sensível relacionado à transparência, diz respeito à necessidade de o titular ser informado sobre o uso de inteligência artificial para o tratamento de dados pessoais. Normalmente, o uso de inteligência artificial envolve o tratamento de grandes volumes de informações e o uso de algoritmos para detectar tendências e correlações, geralmente para fins de tomada de decisão e perfilização (profiling).
50. 7 Guideline on Transparency under Regulation 2016/674- 29 WP. p. 7.
51. 8 Op. cit. p. 14.
52. 43. A perfilização consiste na utilização de inteligência artificial para inferir ou prever interesses dos titulares sobre determinado assunto. Isso pode resultar em novas informações sobre as pessoas, além das coletadas originalmente. Segundo a Information Commissioner’s Office (ICO), se, por meio dessas análises de dados, forem criadas informações sobre os titulares, as quais fujam da expectativa razoável de que o controlador as possua, os titulares devem ser informados.9
53. A LGPD trata da informação em relação às decisões automatizadas em seu art. 20, § 1°, resguardando o segredo comercial e industrial, pelo que se conclui que não seria necessário revelar fórmulas algorítmicas, mas é imprescindível a transparência quanto aos dados coletados e finalidades pretendidas com o tratamento automatizado.
54. Na Política de Privacidade do WhatsApp, não há informação sobre o tratamento de dados de forma automatizada. Entretanto, é provável que ocorra, até mesmo para a finalidade apresentada de ‘mensagens comerciais’, o que será objeto de análise em seção específica desta Nota.
55. Finalmente, é importante acentuar que a prática de transparência na proteção de dados não reflete somente na esfera individual dos titulares, mas possui relevante aspecto de controle social. Nesse sentido, vale destacar que: Adotando a perspectiva de que a proteção de dados tutela bens jurídicos de interesse da coletividade, como a não discriminação e a dignidade humana, a publicidade sobre as práticas de tratamento é de extrema importância. Há casos em que o tratamento abusivo de dados leva a violações de direitos afetos a todo um segmento populacional, sendo conhecidas as situações de discriminação por raça, gênero e perfil socioeconômico em virtude de usos abusivos de dados pessoais. A transparência ativa das empresas desempenha também um papel de responsabilidade social, sujeitando suas próprias práticas à apreciação pública, de um lado; e criando uma cultura que padroniza essa atitude nos mercados, de outro.10
56. Assim delimitado, o princípio da transparência será utilizado como elemento-chave na análise efetuada na presente Nota Técnica a respeito da Política de Privacidade do WhatsApp, fundamentando boa parte das recomendações efetuadas na conclusão.
57. IV. ALTERAÇÕES EFETUADAS NA POLÍTICA DE PRIVACIDADE
58. A seguir são apresentadas as principais modificações identificadas entre a versão anterior da Política de Privacidade do WhatsApp, de julho de 2020 (‘PP 1’) e a nova versão proposta, de janeiro de 2021 (‘PP 2’). Para facilitar a compreensão, os trechos relevantes são destacados em tópicos, seguidos de comentários sobre as modificações.
59. O primeiro ponto a ser destacado diz respeito ao compartilhamento de dados com o Facebook. A esse respeito, na PP 1, o WhatsApp informa logo no início, na seção ‘atualizações importantes’:
60. 9 Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/the-right-to-be-informed/what-common-issues-might-come-up-in-practice/#id4.
61. 10 BIONI, Bruno; KITAYAMA, Marina; RIELLI, Mariana. O Legítimo Interesse na LGPD: quadro geral e exemplos de aplicação. São Paulo: Associação Data Privacy Brasil de Pesquisa, 2021. P. 35.”
62. Nada que você compartilha no WhatsApp (incluindo suas mensagens, fotos e dados da conta) será compartilhado no Facebook ou em qualquer outro aplicativo de nossa família para que outros vejam. Do mesmo modo, nada do que você publica nesses aplicativos será compartilhado no WhatsApp para que outros vejam.
63. Esta informação não está presente na PP 2. A ausência desta informação remove a restrição de compartilhamento com os produtos do Facebook e demais empresas da Família Facebook. De acordo com a resposta ao Ofício n° 49, o WhatsApp informou que “a Política de Privacidade anterior já previa e permitia esse tipo de compartilhamento. A atualização oferece aos usuários maior transparência, incluindo mais detalhes e exemplos dos tipos de dados que podem ser compartilhados com o Facebook.” (SEI 2412846, p. 9).
64. A PP 1 permitia que um usuário do WhatsApp não compartilhasse os dados de sua conta para receber anúncios no Facebook, conforme indicado na seção “atualizações importantes”: Se você já usa o WhatsApp poderá escolher não compartilhar os dados da sua conta do WhatsApp com o Facebook para melhorar suas experiências com anúncios e produtos no Facebook. Os usuários atuais que aceitarem os nossos Termos e Política de Privacidade atualizados terão 30 dias adicionais para definirem sua escolha em Configurações/Ajustes > Conta.
65. Esta informação não consta no PP 2, permitindo que o Facebook utilize dados dos usuários do WhatsApp para enviar anúncios personalizados no Facebook sem oferecer o direito de opt-out ao usuário. Contudo, é importante notar que esse opt-out só esteve disponível por 30 dias desde aquela versão de atualização da PP 1. Isto significa que mesmo sem a atualização trazida pela PP 2, o opt-out já não estava mais disponível.
66. No que concerne às categorias de dados coletadas pelo WhatsApp, tanto a PP 1 quanto a PP 2 trazem basicamente a mesma descrição: dados da conta, mensagens, contatos, suporte ao cliente, dados de uso e registro, dados sobre transações, dados sobre dispositivos e conexões, dados de localização, cookies, dados de status, dados divulgados por terceiros, prestadores de serviços terceirizados e serviços de terceiro.
67. Contudo, os detalhamentos de cada categoria apresentam algumas modificações que podem ser relevantes. No item “dados sobre conexões e dispositivos” foi acrescentado o seguinte texto “(…) (inclusive identificadores únicos para Produtos das Empresas do Facebook associados ao mesmo dispositivo ou conta)”.
68. O compartilhamento de identificadores únicos pode dar grande poder analítico ao Facebook, o que pode representar possível impacto à privacidade do usuário. Outro ponto a ser avaliado é a questão da transparência, pois da forma como está escrito, o usuário não é capaz de dimensionar este impacto.
69. No item “dados de localização” há o acréscimo do seguinte texto: Há determinadas configurações relacionadas a dados de localização que você pode encontrar nas configurações do seu dispositivo ou do aplicativo, como o compartilhamento de localização. Mesmo se você não utiliza nossos recursos relacionados a localização, usamos endereços IP e outros dados como códigos de área de número de telefone para calcular sua localização geral (por exemplo, cidade e país).”
70. 57. É preciso avaliar melhor o uso dessa categoria de dados. Inicialmente, a coleta de dados de localização em nível agregado ou geral não aparenta ser medida excessivamente invasiva ou desproporcional. Contudo, é necessário fornecer mais detalhes sobre o rol de informações de localização coletadas, pois da forma como está escrito, aparenta ser lista exemplificativa de dados, o que não elimina a possibilidade de coleta de dados de localização granulares, que permitam localização detalhada.
71. No item ‘Empresas no WhatsApp’, é colocado que as empresas com as quais o usuário interage podem fornecer dados sobre as interações delas com o usuário. Contudo, acrescenta-se ainda o seguinte texto na PP 2: ‘Lembre-se de que quando você troca mensagens com uma empresa no WhatsApp, o conteúdo que você compartilha pode ser visualizado por diversas pessoas naquela empresa. Além disso, algumas empresas podem trabalhar com provedores de serviços terceirizados (o que pode incluir o Facebook) para ajudar a gerenciar suas comunicações com seus clientes. Por exemplo, uma empresa pode fornecer acesso às suas comunicações para esses provedores de serviços terceirizados para enviar, armazenar, ler, gerenciar ou processar essas comunicações para a empresa. Para entender como uma empresa trata seus dados, inclusive como ela pode compartilhá-los com terceiros ou com o Facebook, consulte a política de privacidade da empresa em questão ou entre em contato com ela.’
72. Essa é uma forma pela qual o Facebook pode analisar o conteúdo de mensagens trocadas entre um usuário e uma empresa, na hipótese de o Facebook ser o terceiro a prestar o serviço. É preciso avaliar melhor o impacto dessa dupla coleta de informação do lado do usuário e do lado da empresa, o que será objeto de análise abaixo na seção ‘Análise dos Termos de Uso e Políticas do WhatsApp Business’.
73. A PP 2 adiciona a possibilidade de coleta de dados pessoais em casos de denúncias de usuários. Esta categoria adicional não aparenta gerar maiores riscos à privacidade e à proteção de dados.
74. A seção referente ao modo como os dados são utilizados pelo WhatsApp, ou seja, suas finalidades de tratamento, possui basicamente o mesmo conteúdo da versão anterior. A diferença é que algumas hipóteses possuíam um maior detalhamento. Ambas as PPs estabelecem que o WhatsApp poderá enviar aos usuários anúncios sobre seus Serviços e sobre os serviços das Empresas do Facebook, bem como proíbem o uso de banners com anúncios de terceiros na plataforma.
75. Nenhuma das PPs explicita quais são as bases legais (art. 7° da LGPD) nas quais essas finalidades de tratamento de dados estão embasadas, tema que será objeto de análise mais adiante nesta Nota Técnica.
76. Na seção sobre o compartilhamento de dados, ambas as PPs definem as seguintes hipóteses de compartilhamento: (i) comunicações entre usuários; (ii) disponibilização de dados da conta para outros usuários; (iii) compartilhamento de contatos entre usuários; (iv) prestadores de serviços terceirizados (análise, personalização, suporte, anúncios, etc.); (v) serviços de terceiros utilizados pelos usuários de forma integrada ao WhatsApp (ex. serviços de backup do Google Drive ou iCloud).”
77. serviços das Empresas do Facebook.
78. Promover a proteção, segurança e integridade para todos os produtos das Empresas do Facebook, como sistemas de proteção e combate a mensagens indesejadas (spams), ameaças, abusos ou infrações.
79. Aprimoramento dos serviços das Empresas do Facebook e sua experiência ao usá-los, como fazer sugestões a você (por exemplo, de conexões de grupos ou amigos, ou de conteúdo interessante), personalização de recursos e conteúdos, ajuda para realizar compras ou transações e exibição de ofertas e anúncios relevantes sobre os Produtos das Empresas do Facebook.
80. Fornecer integrações que possibilitem a conexão de suas experiências do WhatsApp com outros Produtos das Empresas do Facebook. Por exemplo, permitir que você conecte sua conta do Facebook Pay para realizar pagamentos no WhatsApp ou habilitar a conversa com seus amigos em outros Produtos das Empresas do Facebook, como o Portal, conectando sua conta do WhatsApp.” (grifo nosso)
81. “67. Além disso, em um link disponível na PP2, o WhatsApp explicita quais informações são compartilhadas com as Empresas do Facebook:
82. Atualmente, o WhatsApp compartilha categorias de informações específicas com as Empresas do Facebook. As informações que compartilhamos com as Empresas do Facebook incluem as informações de registro de sua conta (como seu número de telefone), dados de transações, informações relacionadas ao serviço, informações sobre como você interage com outras pessoas (incluindo empresas) ao usar nossos Serviços, informações do aparelho móvel, seu endereço de IP. Esse compartilhamento também pode incluir outras informações identificadas na seção ‘Informações que coletamos’ da nossa Política de Privacidade ou que foram obtidas por notificações que enviamos a você, ou com base no seu consentimento.
83. “68. Contudo, há uma informação que constava no PP 1, na seção ‘Empresas Afiliadas’ que não se faz mais presente na PP 2:
84. (…) suas mensagens do WhatsApp permanecem privadas e não serão compartilhadas no Facebook para que outros vejam. Na verdade, o Facebook não usará suas mensagens do WhatsApp por qualquer motivo que não seja nos auxiliar na operação e na execução dos Serviços.
85. “69. Deste modo, a nova Política de Privacidade deixa em aberto se o Facebook é capaz ou não de usar as mensagens do WhatsApp para quaisquer motivos. Se o conteúdo das mensagens pode ser acessado pelo Facebook para fins que não estão claros, pode haver um prejuízo à legítima expectativa dos titulares de dados pessoais, que acreditam que o conteúdo das mensagens nunca é acessado.
86. “70. As demais seções da Política de Privacidade, que dizem respeito a alteração no controle do WhatsApp, gerenciamento de dados, proteção jurídica e operações globais, possuem o mesmo conteúdo, apenas com pequenas diferenças quanto à redação.
87. “71. Finda a análise comparativa das Políticas de Privacidade do WhatsApp na jurisdição brasileira, prossegue-se para a comparação com a versão europeia da Política de Privacidade.
88. V. CENÁRIO EUROPEU
89. “72. A atualização da Política de Privacidade do WhatsApp ocorreu na mesma data em todas as regiões geográficas em que a plataforma opera. Contudo, a região europeia (European Economic Area – EEA), que inclui países da União Europeia (UE), recebeu uma atualização com conteúdos substancialmente distintos dos de outras regiões do globo. Presume-se que o principal motivo para tal distinção é a vigência do Regulamento Europeu de Proteção de Dados – RGPD, que possui um elevado grau de detalhamento de regras sobre o tratamento de dados pessoais.
90. “73. Contudo, é importante destacar que a legislação brasileira de proteção de dados, a LGPD, é fortemente inspirada no RGPD, e compartilha com esta regulamentação diversos elementos jurídicos. Por isso, espera-se que, naquilo em que houver convergência entre a LGPD e o RGPD, o WhatsApp possa fornecer um maior nível de detalhamento para a Política de Privacidade brasileira, de forma análoga ao que foi estabelecido no contexto europeu.
91. “74. De maneira geral, as seções existentes nas duas Políticas de Privacidade, brasileira e europeia, são essencialmente idênticas. Contudo, há três seções que não puderam ser identificadas na PP brasileira. A tabela 1 a seguir apresenta um comparativo entre as seções da PP europeia e as seções equivalentes na PP brasileira.

PP EEA	PP BR
Informações Legais do WhatsApp	Informações Legais do WhatsApp
Dados que coletamos	Dados que coletamos; Dados de Terceiros
Como usamos os dados	Como usamos os dados
Dados compartilhados por você e por nós	Dados compartilhados por você e por nós
Como trabalhamos com outras Empresas do Facebook	Como trabalhamos com outras Empresas do Facebook
Nossa base legal para tratar dados	N/A – Como tratamos seus dados
Como exercer seus direitos	N/A
Gerenciamento e manutenção dos seus dados	Gerenciamento e manutenção dos seus dados
Lei, nossos direitos e proteção	Lei, nossos direitos e proteção
Nossas operações globais	Nossas operações globais
Atualizações em nossa Política	Atualizações em nossa Política
Fale conosco	Fale conosco

75.

A seção “Nossa base legal para tratar dados” apresenta uma comparação entre as bases legais do RGPD, aplicáveis na região EEA, e as possibilidades de aplicação equivalente sob a LGPD no Brasil. O RGPD fornece um conjunto de bases legais para o tratamento de dados pessoais que inclui: consentimento, necessidade contratual, obrigações legais, proteção de interesses vitais, legítimo interesse e interesse público. Essas bases são fundamentais para justificar o tratamento de dados pessoais pelos controladores, incluindo aplicativos e serviços como o WhatsApp.

O RGPD e a LGPD compartilham vários princípios e bases legais, embora existam diferenças em seus textos e aplicações específicas. As bases legais como a necessidade contratual e o legítimo interesse possuem conceitos similares em ambas as legislações, permitindo uma comparação direta em termos de justificação para o tratamento de dados.

Na LGPD, as bases legais também incluem o consentimento do titular dos dados, o cumprimento de obrigação legal ou regulatória pelo controlador, a execução de políticas públicas, a realização de estudos por órgão de pesquisa, a execução de contrato ou procedimentos preliminares relacionados a contrato do qual o titular é parte, o exercício de direitos em processo judicial, administrativo ou arbitral, a proteção da vida ou da incolumidade física do titular ou de terceiro, a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias, e o legítimo interesse do controlador ou de terceiro.

A análise dessa seção sugere que, embora não esteja explicitamente mencionada na versão brasileira da Política de Privacidade do WhatsApp, uma discussão sobre as bases legais para tratamento de dados sob a LGPD poderia ser incluída, oferecendo aos usuários uma compreensão mais clara dos fundamentos jurídicos que permitem ao WhatsApp processar seus dados pessoais no Brasil. Isso poderia incluir uma explicação sobre como e por que cada base legal é aplicada, similar ao que é feito na versão europeia da política, adaptando-se às especificidades da legislação brasileira.

Necessidade Contratual

• RGPD (Art. 6º (1)(b)): O tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados.
• LGPD (Art. 7º, V): O tratamento é necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido deste.

Legítimo Interesse

• RGPD (Art. 6º (1)(f)): O tratamento é necessário para os interesses legítimos prosseguidos pelo controlador ou por terceiros, exceto quando tais interesses forem sobrepujados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que requerem proteção de dados pessoais, especialmente se o titular for uma criança.
• LGPD (Art. 7º, IX): O tratamento é necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Esta comparação evidencia a abordagem alinhada das duas legislações no que tange à proteção de dados pessoais, ressaltando a importância de uma base legal sólida para o tratamento de dados. Ambas as leis reconhecem a necessidade contratual e o legítimo interesse como fundamentos para o processamento de dados pessoais, embora sempre considerando a necessidade de proteger os direitos e liberdades dos indivíduos.

b) Como tratamos seus dados 78. Em sequência, esta seção apresenta as finalidades de tratamento dos dados pessoais e explicita quais categorias de dados são tratados para cada finalidade. Além disso, as bases legais aplicáveis são relacionadas com as distintas finalidades para o qual o aplicativo é utilizado. Por exemplo, para o acesso a configurações e ferramentas do dispositivo eletrônico (geolocalização, câmera, fotos), a base legal aplicável é o consentimento. Já para a realização de métricas e estatísticas (analytics) e comunicações de marketing, a base legal aplicável é o legítimo interesse.

79. Na PP brasileira, a seção “Como usamos seus dados” informa o conjunto de finalidades para qual os dados são coletados. Contudo, o titular de dados não é informado que bases legais justificam o tratamento de dados para cada uma dessas finalidades. Tampouco é informado quais categorias de dados pessoais (listadas nas seções “Dados que coletamos” e “Dados de terceiros”) são utilizadas para cada finalidade.

c) Como exercer seus direitos 80. Esta seção informa aos titulares de dados da região europeia quais são seus direitos expressos no RGPD e como exercê-los. Vários dos direitos listados pelo WhatsApp – acesso, retificação, portabilidade, eliminação e oposição, também se encontram presentes na LGPD (art. 18).

81. A seção é complementada pela seguinte, “Gerenciamento e manutenção dos seus dados”. Aqui também se nota que a versão europeia é mais completa, possuindo informações complementares tais como quais as justificativas para retenção de dados – obrigações e questões legais, necessidades de retenção operacional e exclusão de metadados e conversas; ou ainda, informações sobre quais dados são retidos e o porquê (subseção “Dados que retemos”). Mais uma vez, não se observa o motivo pelo qual essas informações não poderiam estar presentes na versão brasileira.
82. Dado o exposto, no que diz respeito à Política de Privacidade brasileira, recomenda-se que sejam adicionadas as seções acima destacadas, isto é, “Nossa base legal para tratar dados”, “Como tratamos os seus dados” e “Como exercer seus direitos”, com conteúdo análogo ao disponível na versão EEA, tendo por referência as bases legais e os direitos de titulares elencados na LGPD e as observações efetuadas nas seções seguintes desta Nota Técnica.

VI. ANÁLISE DOS TERMOS DE USO E POLÍTICAS DO WHATSAPP BUSINESS 83. As mudanças na Política de Privacidade do WhatsApp evidenciam as práticas de compartilhamento de dados do serviço de mensagens com as demais ferramentas do grupo empresarial. Uma delas, contudo, enseja análise especial, exatamente por seu largo uso comercial, o WhatsApp Business (WAB).

84. Trata-se de ferramenta totalmente diferenciada da versão pessoal e deve ser compreendida como uma aplicação servidora e não apenas como a ponta final de uma comunicação. Ao receber uma mensagem de um usuário, a ferramenta WAB disponibiliza uma série de funcionalidades de tratamento dessa mensagem diretamente pela ferramenta, que são objeto de configuração por uma empresa que utilize esse serviço especializado (“Empresa no WhatsApp”), como por exemplo o envio de respostas automatizadas, criação de marcadores, classificação e estatísticas diferenciadas.
85. Contudo, o WAB, por meio de sua API, funciona como uma porta de entrada de invocação de funcionalidades de outros sistemas. Por meio do uso de tecnologias como Docker, webhooks, entre outros, assim que uma mensagem chega ela pode ter seu tratamento desviado para um sistema de um terceiro.
86. Importante registrar que um sistema somente pode ser invocado pelo WAB depois de ter seu registro aprovado pelo Facebook, após o que, por meio da API, passa a encaminhar mensagens. Recebido o conteúdo, a aplicação da Empresa no WhatsApp dá o tratamento que lhe interessar.
87. Uma aplicação muito comum com a qual dados são compartilhados pelo WAB são os chatbots, que se destinam a interpretar uma solicitação de um usuário feita em linguagem natural, inferir sua intenção e dar seu devido tratamento. Existem diversos tipos de chatbots, desde alguns bem simplificados com cadastramento de termos e das respectivas respostas, até aqueles que provêm capacidade interpretativa de linguagem natural por meio de redes neurais artificiais.
88. Em qualquer caso, verifica-se que o uso do WAB permite que o conteúdo de mensagens e dados do usuário saiam do domínio do WhatsApp e entrem em domínio de terceiros (seja a Empresa no WhatsApp, Empresas do Facebook, ou outras empresas que ofereçam serviços para ambas), com regras de negócio e políticas de tratamento de dados que devem ser conhecidas. Ou seja, o WAB funciona como a porta de entrada para uma cadeia de tratamento de dados que deve ser conhecida e cuja transparência deve ser dada para que o usuário possa ter respeitada sua autodeterminação informativa, sendo capaz de exercer todos os direitos de titular de dados pessoais aplicáveis às operações de tratamento.
89. A última versão da Política de Privacidade do WhatsApp, na seção Dados de Terceiros, informa que as Empresas no WhatsApp, empresas com as quais o usuário interage usando o aplicativo, podem fornecer dados sobre as interações delas com o usuário, para o WhatsApp ou provedores de serviços terceirizados, o que pode incluir o Facebook.
90. O texto ainda informa que os provedores de serviços terceirizados poderão ter acesso às comunicações entre os usuários e as empresas no WhatsApp para “enviar, armazenar, ler, gerenciar ou processar essas comunicações”. Estas operações podem representar uma quebra na legítima expectativa de privacidade do usuário, que acredita que, por ter as comunicações protegidas por criptografia de ponta-a-ponta, não poderiam ter o conteúdo das comunicações compartilhados com terceiros, o que inclui a plataforma intermediária, o WhatsApp, e a família de empresas a que pertencem (“Empresas do Facebook”). Contudo, esse trecho da Política de Privacidade informa que uma das pontas da comunicação, a Empresa no WhatsApp, poderá compartilhar dados do usuário (o que pode incluir tanto metadados quanto o conteúdo das mensagens) com terceiros.
91. Para compreender a abordagem deste possível compartilhamento com o WhatsApp e outras Empresas do Facebook, verificaram-se os Termos de Serviço e a Política do “WhatsApp para empresas”, serviço composto pelo aplicativo WAB e por interface de programação API utilizada pelas Empresas no WhatsApp para interagir com Clientes, que em sua grande maioria são pessoas físicas, usuários tradicionais do WhatsApp.
92. A Política do WAB orienta as Empresas no WhatsApp a respeitarem legislações de proteção de dados dos países em que operem, trazendo orientações de cuidados a serem tomados.
93. Por sua vez, os Termos de Serviço possuem uma seção dedicada ao tratamento de dados pessoais (“Nossas Práticas de Dados”). Nela, informa que no contexto de comunicações via WAB, a Empresa no WhatsApp será o controlador de dados pessoais, enquanto o WhatsApp será o operador de dados, para entregar as mensagens da Empresa aos seus clientes.
94. Ainda, os Termos informam que, por meio dos Serviços Comerciais do WAB, a Empresa terá acesso aos dados pessoais, Dados do Cliente e Conteúdo da Empresa que ela fornecerá ao aplicativo, inclusive dados agregados relacionados às atividades de mensagens da Empresa, como o número agregado de mensagens enviadas, entregues, lidas e recebidas. Além disso, o documento informa outros dados que são coletados, armazenados e usados pelo WhatsApp: Outras informações. Você entende e concorda que o WhatsApp coleta, armazena e usa: (a) informações da sua conta comercial e cadastro; (b) informações de uso, log e informações funcionais geradas a partir do uso de nossos Serviços Comerciais; (c) informações de desempenho, diagnóstico e análise; (d) informações relacionadas aos seus pedidos de suporte técnico ou outros; e (e) informações sobre você de outras fontes, como outros usuários do WhatsApp, negócios, empresas de terceiros e Empresas do Facebook. Podemos compartilhar essas informações com as Empresas do Facebook, e nós e as Empresas do Facebook usaremos todas as informações que temos para desenvolver, operar, fornecer, aprimorar, entender, personalizar, dar suporte e comercializar nossos Serviços Comerciais, nossos outros serviços e os serviços e produtos das Empresas do Facebook. Não é possível desativar essas práticas de dados.
95. A linguagem utilizada nos Termos do WAB é ampla o suficiente para permitir que o WhatsApp e as Empresas do Facebook utilizem os dados pessoais de usuários tradicionais, compartilhados pelas Empresas no WhatsApp, para fins além daqueles esperados de um intermediário de serviços, o que extrapola a legítima expectativa de privacidade dos titulares de dados que utilizam a plataforma.
96. Inclusive, é questionável se o WhatsApp pode ser considerado simples operador de dados pessoais com esses compartilhamentos de operações, quando utiliza diversos dados pessoais obtidos via WAB para entender, personalizar e comercializar seus serviços, agindo em seu próprio interesse, o que lhe qualificaria como controlador de dados pessoais para essas finalidades de tratamento.
97. Tendo em vista que o WhatsApp trata dados pessoais em larga escala e possui um elevado número de titulares de dados utilizando a plataforma, a integração desse serviço com o WhatsApp Business deve ser precedida de um Relatório de Impacto à Proteção de Dados Pessoais – RIPD, para garantir que as operações de tratamento realizadas entre os dois serviços não implicam riscos às liberdades civis e aos direitos fundamentais dos titulares de dados.
98. Conquanto esta Autoridade ainda não tenha regulamentado o tema, recomenda-se que o WhatsApp apresente um Relatório de Impacto à Proteção de Dados – RIPD sobre a integração dos serviços WhatsApp Business e WhatsApp, tendo por referências as melhores práticas implementadas pelo mercado. Assim, o documento deve conter, ao menos:
99. a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive quanto aos legítimos interesses do responsável pelo tratamento, bem como quanto ao uso de inteligência artificial e decisões automatizadas;
100. b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
101. c) Uma avaliação dos riscos às liberdades civis e aos direitos fundamentais dos titulares de dados, compreendendo uma matriz de probabilidade e impacto para que se possa identificar o risco identificado e o risco residual; e
102. d) As medidas de segurança técnicas e administrativas previstas para lidar com os riscos e assegurar a proteção dos dados pessoais, considerando os direitos e as legítimas expectativas dos titulares dos dados.
103. Cabe ainda informar que o Relatório de Teste de Balanceamento do Legítimo Interesse sobre o “Compartilhamento de Informações pelo WhatsApp”, apresentado no Anexo I da resposta ao Ofício n° 49, não é suficiente para substituir a necessidade do RIPD, pois:
     a) Não possui o mesmo escopo do RIPD solicitado, que deve contemplar as operações de tratamento de dados relativos à integração dos serviços do WhatsApp Business com o WhatsApp;
     b) Não apresenta uma descrição sistemática das operações de tratamento e sua finalidade, fazendo um mapeamento completo de que categorias de dados são tratados para que tipos de operações e finalidades;
     c) Não realiza uma avaliação adequada da necessidade e proporcionalidade, que deve levar em consideração os princípios da finalidade, adequação e necessidade;
     d) Não realiza uma avaliação adequada dos riscos às liberdades civis e aos direitos fundamentais dos titulares de dados; e
     e) Não apresenta que medidas técnicas e organizacionais foram adotadas para lidar com os riscos, que incluem não apenas riscos relacionados a terceiros, mas também riscos relacionados ao tratamento inadequado de dados pessoais, em desrespeito à legislação aplicável.
104. Dados de conta de titulares de dados (celular, nome de perfil, foto de perfil, recado);
105. Mensagens (criptografadas e temporariamente armazenadas);
106. Contatos;
107. Dados de status;
108. Dados de transações e pagamentos;
109. Cópias de mensagens e e-mail (para serviços de suporte);
110. Dados de uso e de registro (dados sobre a atividade do usuário, arquivos de registro, diagnóstico, falha, site, bem como relatórios e registros de desempenho);
111. Dados sobre conexões e dispositivos (modelo de hardware, informações do sistema operacional, nível da bateria, força do sinal, versão do aplicativo, informações do navegador, rede móvel, informações de conexão como número de telefone, operadora de celular ou provedor de serviços de internet, idioma e fuso horário, endereço IP, informações de operações do dispositivo e identificadores – incluindo identificadores exclusivos para Produtos das Empresas do Facebook associados ao mesmo dispositivo ou conta);
112. Dados de localização (geolocalização criptografada, endereços IP, códigos de área de números de telefone);
113. Cookies;
114. Dados fornecidos por terceiros sobre o usuário (número de telefone, nome e demais dados disponíveis em agendas de contatos);
115. Mensagens enviadas mediante denúncias de usuários;
116. Interações com empresas no WhatsApp;
117. Dados relacionados a relatórios realizados por provedores de serviço de terceiros; e
118. Dados fornecidos por serviços de terceiros, incluindo os relacionados a atividades de marketing.
119. Essa lista corresponde às mesmas informações disponibilizadas na nova Política de Privacidade, nas seções “Dados que coletamos” e “Dados de terceiros”.
120. Quanto às finalidades de tratamento, algumas delas podem ser identificadas na seção “Como usamos os dados” da Política de Privacidade: 1. Operação e fornecimento de serviços – suporte, conclusão de compras e transações, correção e personalização dos serviços; 2. Aprimoramento e personalização de serviços a partir de análise comportamental de uso dos serviços; 3. Proteção, segurança e integridade da plataforma; 4. Comunicação sobre os serviços do WhatsApp e sobre as empresas da Família Facebook; e 5. Interações comerciais entre usuários comuns e empresas no WhatsApp (empresas que utilizam o serviço WhatsApp Business).
121. Além disso, na seção “Dados compartilhados por você e por nós” o WhatsApp informa que diversas categorias de dados pessoais podem ser compartilhadas com outras empresas para “nos ajudar a operar, fornecer, aprimorar, entender, personalizar, oferecer suporte e anunciar nossos Serviços”.
122. Em nenhum momento, a Política de Privacidade informa quais categorias de dados pessoais são utilizadas e suas respectivas finalidades. Tampouco são informadas as bases legais que justificam cada uma destas finalidades. Como mencionado acima, essas mesmas informações constam da política de privacidade do aplicativo na EEA, não se vislumbrando razões jurídicas que justifiquem a sua omissão no Brasil, haja vista a sua relevância para o esclarecimento dos usuários e a similaridade entre as disposições correspondentes da LGPD e do RGPD.
123. Apesar de a LGPD não estabelecer a obrigação de apontamento das bases legais no cumprimento do princípio da transparência ou direito de acesso, pode ser considerada uma boa prática para que os titulares possam exercer seus direitos. Inclusive, o RGPD, em seus artigos 13 e 14, traz em seu bojo a obrigatoriedade de informar ao titular as finalidades de tratamento e as suas bases legais.
124. Apresentar as bases legais aos titulares demonstra, ademais, a legitimidade do tratamento e traz clareza sobre este, o que leva a uma transparência efetiva. Somente com a transparência é que os titulares poderão exercer a chamada autodeterminação informacional e exercer seus direitos, em especial o de livre acesso.
125. Dessa forma, as finalidades apresentadas não podem ser consideradas específicas e suficientes no contexto da LGPD, já que não há correlação entre os dados coletados e as respectivas finalidades, além de não serem informadas as bases legais que justificam o tratamento de dados, nos termos da LGPD, o que poderia levar a maior clareza da finalidade.
126. Questionado sobre o compartilhamento, em resposta ao Ofício n° 16/2021/ANPD/PR (SEI 2344974), o WhatsApp informou quais as bases legais que autorizam o compartilhamento de dados pessoais, de acordo com as finalidades. A tabela a seguir resume as informações fornecidas:

Finalidade	Base Legal
Compartilhamento de dados com outras empresas do grupo do Facebook para a prestação de serviços	Necessidade contratual (LGPD, art. 7°, V) ou legítimo interesse (LGPD, art. 7°, IX).
Compartilhamento de informações com outras empresas do Facebook para promover a segurança e a integridade	Necessidade contratual (LGPD, art. 7°, V) ou legítimo interesse (LGPD, art. 7°, IX).
Compartilhamento de informações para fornecer integrações com outros produtos do Facebook	Necessidade contratual (LGPD, art. 7°, V) ou legítimo interesse (LGPD, art. 7°, IX).
Transferência de dados dos usuários para/nos Estados Unidos ou outros países	Necessidade contratual (LGPD, art. 7°, V e art. 33, IX).
Comunicação com os usuários sobre serviços	Necessidade contratual (LGPD, art. 7°, V).
Compartilhamento de informações para melhorar serviços e experiências dos usuários	Necessidade contratual (LGPD, art. 7°, V) ou legítimo interesse (LGPD, art. 7°, IX).
Fornecimento de serviços de mensuração e análise como controlador	Legítimo interesse (LGPD, art. 7°, IX).
Combate a condutas nocivas e promoção da segurança	Proteção da vida ou da incolumidade física do titular ou de terceiros (art. 7°, VII).
Cumprimento de obrigação legal ou regulatória para compartilhamento de dados	Cumprimento de obrigação legal ou regulatória (art. 7°, II).
Compartilhamento de dados com autoridades para cumprir termos e políticas	Legítimo interesse (LGPD, art. 7°, IX) ou exercício regular de direitos (LGPD, Art. 7°, VI).
No caso de envolvimento em fusão, aquisição, ou venda, compartilhamento de dados com novos proprietários	Legítimo interesse (LGPD, art. 7°, IX).

109. No Ofício nº 49, o WhatsApp foi questionado quanto às finalidades e bases legais relacionadas aos serviços oferecidos às empresas que utilizam o WhatsApp Business e que tratam dados pessoais de usuários do WhatsApp.
110. Em sua resposta (SEI 2412846, p. 18), o WhatsApp informou que: “[…] utiliza a base legal da necessidade contratual sempre que os dados forem necessários para operar e prestar os seus Serviços, incluindo fornecer suporte aos clientes, concluir compras ou transações, aprimorar, corrigir e personalizar seus Serviços e conectá-los aos Produtos das Empresas do Facebook que os usuários podem usar; ou quando o aprimoramento dos seus Serviços e a personalização dos seus recursos estão relacionados à experiência central dos usuários no aplicativo e, portanto, estão relacionados à prestação de seus Serviços.”
111. Informou ainda que utiliza a base legal do legítimo interesse para: “[…] tratar dados para aperfeiçoar seus serviços e oferecer uma experiência mais personalizada aos usuários, uma vez que (i) a empresa tem um interesse razoável e proporcional em fazê-lo, ao compreender como são utilizados os seus produtos e serviços, e (ii) o compartilhamento não representa riscos desproporcionais às liberdades e direitos dos usuários.”
112. Em primeiro lugar, cumpre observar que estas informações não respondem diretamente o questionamento quanto às finalidades e bases legais relacionados aos serviços oferecidos às empresas que utilizam o WhatsApp Business.
113. Ademais, nota-se que as finalidades de “aprimoramento de serviços” e “personalização de recursos” se valem de duas bases legais distintas – a necessidade contratual (LGPD, art. 7º, V) e o legítimo interesse (LGPD, art. 7º, IX). O critério diferenciador de qual base legal será usada é o fato de o aprimoramento/personalização estar relacionado ou não à “experiência central dos usuários no aplicativo”, expressão bastante abrangente e genérica que dificulta identificar no caso concreto em que situações uma base legal será utilizada ou outra.
114. Embora a ANPD ainda não tenha disponibilizado orientação específica quanto às bases legais, a LGPD já oferece alguns elementos que permitem identificar diferenças importantes entre a necessidade contratual e o legítimo interesse.
115. Com relação à necessidade contratual, é visível a importância do princípio da necessidade (art. 6º, III), uma vez que os dados pessoais só poderão ser tratados sob justificativa dessa base legal quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados (art. 7º, V).
116. É difícil visualizar na prática em quais situações o aprimoramento de serviços e a personalização de recursos podem ser relacionados à necessidade da relação contratual. O que o titular de dados usuário do WhatsApp busca ao utilizar esse serviço é se comunicar com outros indivíduos, em um ambiente seguro e confidencial, que proteja o conteúdo das comunicações da vista de terceiros. Neste contexto, atividades de suporte e correção de erros fazem parte do que é necessário para execução do contrato. Contudo, o aprimoramento dos serviços e a personalização de recursos parecem estar mais relacionados aos interesses legítimos da empresa de garantir que as funcionalidades oferecidas sejam sempre inovadoras e ampliem a experiência do usuário. É inclusive uma maneira da empresa se destacar frente a seus concorrentes.
117. Por sua vez, de acordo com o art. 7º, IX, o dado pessoal poderá ser tratado sob justificativa do legítimo interesse “quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”. Percebe-se, mais uma vez, a importância do princípio da necessidade, que implica que apenas os dados minimamente necessários para a realização das finalidades pretendidas devem ser tratados.
118. Ademais, o legítimo interesse só pode ser justificado quando não for sobreposto pelos direitos e liberdades fundamentais do titular. Essa análise de sobreposição implica um teste de balanceamento, em que irá se verificar o que prevalece – o legítimo interesse do controlador ou os direitos e liberdades do titular de dados.
119. Para auxiliar nessa avaliação, a LGPD oferece o art. 10, que traz informações importantes sobre o legítimo interesse. Conquanto a interpretação detalhada desse artigo ainda seja objeto de entendimento futuro a ser emanado por esta Autoridade, alguns pontos já podem ser facilmente compreendidos, com a simples leitura do artigo.
120. O primeiro deles, já mencionado, é o princípio da necessidade, que é trazido novamente à luz no § 1º do art. 10, ao estabelecer que: “quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”.
121. O segundo aspecto a ser citado é o destaque dado ao princípio da transparência, pois, conforme o §2º do mesmo artigo, “o controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.”
122. Cabe ressaltar que, “não é apenas ao titular dos dados que interessa, entretanto, que haja ampla transparência sobre o tratamento com base no legítimo interesse. Isso é importante também para permitir o escrutínio público por parte de grupos de interesse (stakeholders) relevantes, inclusive autoridades nacionais de proteção de dados”.17
123. Assim, medidas de transparência devem ser aplicadas especialmente no que se refere à base legal do legítimo interesse para que seja possibilitado o controle social em relação ao balanceamento entre os interesses do controlador e a legitimidade do

17 BIONI, Bruno; KITAYAMA, Marina; RIELLI, Mariana. O Legítimo Interesse na LGPD: quadro geral e exemplos de aplicação. São Paulo: Associação Data Privacy Brasil de Pesquisa, 2021, p. 34

tratamento. Isso implica a efetivação de outros princípios legais, tais como a prestação de contas e responsabilização. 124. Ora, tendo em vista as informações fornecidas até então e o disposto na atual Política de Privacidade do WhatsApp, não parece que a empresa tenha atendido adequadamente a esses dispositivos legais, pois: (i) embora tenha disponibilizado as categorias de dados pessoais que são tratadas em sua Política de Privacidade, o WhatsApp não esclareceu quais dessas categorias são tratadas sob justificativa do legítimo interesse e no contexto de quais finalidades; (ii) como consequência da primeira omissão, não foi possível verificar por que tais categorias de dados seriam estritamente necessárias para as finalidades pretendidas justificadas pelo legítimo interesse. 125. Nem mesmo o Relatório de Teste de Balanceamento do Legítimo Interesse sobre o “Compartilhamento de Informações pelo WhatsApp” (“Teste de Balanceamento”), disponibilizado no Anexo I da resposta ao ofício, deixa expressas quais categorias de dados são utilizadas para cada finalidade destacada, se limitando a trazer exemplos que não permitem visualizar todo o escopo de dados pessoais que poderiam ser tratados pelo WhatsApp para o alcance de determinada finalidade. 126. Apenas uma fração dessa informação é disponibilizada ao usuário, a partir do FAQ “Quais informações o WhatsApp compartilha com as Empresas do Facebook?” que, embora afirme estar vinculada à sua Política de Privacidade (SEI 2412846, p. 36), não pode ser facilmente localizada, o que dificulta para o titular de dados encontrar essa informação. Ainda que disponibilizado em uma segunda camada, o link para acesso deveria ser destacado para que o usuário possa identificá-lo com maior facilidade. 127. Cabe ainda destacar que esse FAQ responde apenas com alguns exemplos de informações que o WhatsApp compartilha com Empresas do Facebook, mas não deixa claro quais informações são compartilhadas com Empresas no WhatsApp, que utilizam o serviço WhatsApp Business. 128. As finalidades que têm por fundamento o legítimo interesse são agrupadas em duas grandes categorias: (1) risco, integridade, segurança e compliance; e (2) experiências, desenvolvimento e melhorias de produto. Os trechos da Política de Privacidade extraídos para justificar onde essas finalidades estão localizadas não revelam as categorias de dados pessoais que são tratados nesses contextos, impedindo verificar o atendimento ao princípio da necessidade (art. 6º, III c/c art. 10º, §2º). 129. O Teste de Balanceamento realizado pelo WhatsApp confunde a aplicação do princípio da necessidade ao questionar se “a atividade de tratamento é necessária para satisfazer o interesse legítimo do WhatsApp (ou de um terceiro)?” (SEI 2412846, p. 48), quando a pergunta a ser feita deveria ser “os dados pessoais tratados para a finalidade pretendida são estritamente necessários?”, em conformidade com o art. 10, §2º. 130. Prosseguindo, a seção que realiza o balanceamento entre os interesses legítimos do WhatsApp e os direitos e liberdades fundamentais dos titulares de dados também é precária. 131. Primeiramente, porque, ao analisar as expectativas razoáveis dos indivíduos, em nenhum momento é comentado sobre o impacto da integração dos serviços do WhatsApp Business à plataforma do WhatsApp. O fato de que a Política de Privacidade do WhatsApp não deixa muito explícita sua relação com os Termos de Uso e Políticas do WhatsApp Business impacta nas expectativas que os usuários do WhatsApp terão quanto ao tratamento de dados na plataforma e em nenhum momento essa questão é trazida à análise. 132. Segundo, as salvaguardas adotadas para minimizar o impacto sobre os indivíduos (SEI 2412846, p. 65-67) listam apenas controles de segurança da informação, mas não trazem à luz controles de privacidade da informação, que também são relevantes, uma vez que os mencionados impactos aos titulares de dados (SEI 2412846, p. 63-64) estão mais relacionados às suas preocupações dos compartilhamentos realizados pelo WhatsApp com terceiros, sejam estes Empresas do Facebook ou Empresas no WhatsApp (i.e., que utilizam o WhatsApp Business) e nem tanto com ataques de terceiros mal intencionados ao serviço de comunicação. Uma análise mais detalhada das medidas de segurança apresentadas é realizada mais adiante nesta Nota Técnica. 133. Por fim, é questionável a relevância da análise de “prejuízos para o usuário” no caso das atividades de tratamento que têm por base o legítimo interesse não serem realizadas (SEI 2412846, p. 79-80). Essa análise não pode ser utilizada para justificar a necessidade do tratamento uma vez que são benefícios que não estão vinculados à necessidade contratual, mas sim ao legítimo interesse. 134. Diante do exposto, fica perceptível que, embora o WhatsApp tenha se esforçado para apresentar e justificar suas atividades de tratamento, existem alguns elementos que ainda precisam ser mais bem informados, tanto a esta Autoridade quanto aos titulares de dados, para que o WhatsApp possa atender aos princípios da transparência e da necessidade, e fique em conformidade com a LGPD. 135. Deste modo, no que diz respeito às categorias de dados, bases legais e finalidades para o tratamento, recomenda-se que o WhatsApp: (a) disponibilize a esta Autoridade um inventário de dados com um mapeamento que revele quais categorias de dados pessoais são utilizadas para cada finalidade de acordo com as bases legais informadas; (b) refaça o teste de balanceamento do legítimo interesse levando em consideração as observações mencionadas nesta Nota Técnica, em particular as constantes nesta seção e na seção X – Medidas de Prevenção e Segurança; (c) Na Política de Privacidade, dê maior destaque ao link de segunda camada que informa “Quais informações o WhatsApp compartilha com as Empresas do Facebook?” de forma a aumentar a transparência ao usuário;

(d) Na Política de Privacidade, adicione um novo link, de forma destacada, e conteúdo análogo ao anterior que informe “Quais informações o WhatsApp compartilha com as Empresas no WhatsApp?”; e
(e) crie seções na Política de Privacidade que informem aos titulares as bases legais utilizadas e as correlacione às finalidades e às categorias de dados pessoais tratados, de forma semelhante às seções “nossa base legal para tratar dados” e “como tratamos seus dados” disponíveis na Política de Privacidade europeia.

VIII. DIREITOS DOS TITULARES
136. Entre as obrigações atribuídas aos agentes de tratamento, a LGPD exige a ampla divulgação das informações relativas aos direitos do titular. Nesse sentido, confira-se o disposto no art. 9º, VII, da lei:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
[…]
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

137. Por sua vez, o art. 18 elenca os principais direitos assegurados aos titulares e que podem ser exercidos em face do controlador e, subsidiariamente, da própria ANPD. A redação é a seguinte:
     Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
     I – confirmação da existência de tratamento;
     II – acesso aos dados;
     III – correção de dados incompletos, inexatos ou desatualizados;
     IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
     V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019)
     VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
     VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
     VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
     IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
     § 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
     § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
     § 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, ao agente de tratamento.
     § 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
     I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
     II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
     § 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
     § 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. (Redação dada pela Lei nº 13.853, de 2019)
     § 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
     § 8º O direito a que se refere o § 10 deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
138. Como se pode observar, a LGPD exige que o titular seja informado de que pode solicitar ao controlador, a qualquer momento, sem custos e mediante requisição, a adoção das providências ou a obtenção das informações a seguir descritas: (i) confirmação da existência do tratamento; (ii) acesso, correção, anonimização, bloqueio e eliminação de dados pessoais; (iii) portabilidade dos dados; (iv) oposição a tratamento realizado com dispensa de consentimento; (v) revogação do consentimento e informações sobre a possibilidade de não fornecê-lo; (vi) informações relativas ao uso compartilhado de dados; e (vii) possibilidade de reclamação perante a ANPD.
139. As informações em questão devem ser disponibilizadas de forma clara, adequada e ostensiva, de modo a assegurar o efetivo conhecimento do titular a respeito de seus direitos e da forma de exercê-los.
140. Fixados esses parâmetros, passa-se à análise da compatibilidade entre a política de privacidade do WhatsApp e as disposições da LGPD relativas aos direitos dos titulares.
141. A respeito do tema, a empresa esclareceu o seguinte: “Adicionalmente, em relação aos direitos dos usuários relativos a essas atividades de tratamento, o Aviso de Privacidade do WhatsApp no Brasil informa claramente aos usuários sobre como eles podem exercer seus direitos previstos pela LGPD. Por meio do referido Aviso, os usuários podem facilmente encontrar informações sobre como acessar, retificar, portar, excluir e confirmar que o WhatsApp trata seus dados e também se opor ao tratamento de determinados dados (SEI 2412846, p. 13).”
142. Por sua vez, o Aviso de Privacidade do WhatsApp possui o seguinte formato:

Aviso de Privacidade – Brasil
Este Aviso de Privacidade – Brasil (“Aviso”) se aplica às atividades de tratamento de dados pessoais sob a legislação brasileira e complementa nossa política de privacidade.
De acordo com a Lei Geral de Proteção de Dados (“LGPD”) do Brasil, você tem o direito de acessar, corrigir, portar, eliminar seus dados, além de confirmar que tratamos seus dados. Saiba mais sobre seus direitos e como você pode exercê-los acessando nossos artigos de ajuda para iPhone, Android e KaiOS. Em determinadas circunstâncias, você também tem o direito de se opor e restringir o tratamento de seus dados pessoais. Nossa política de privacidade fornece informações sobre como compartilhamos seus dados com terceiros. Para solicitar mais informações sobre nossas práticas de dados, toque ou clique aqui.
O WhatsApp LLC é o controlador de dados responsável por suas informações. Para entrar em contato com o Encarregado de Proteção de Dados do WhatsApp LLC, toque ou clique aqui. Você também tem o direito de enviar um requerimento à Autoridade Nacional de Proteção de Dados (“ANPD”) entrando em contato diretamente com a ANPD.
Este Aviso passa a vigorar na mesma data de entrada em vigor da LGPD.

Uma primeira observação é que o link de acesso a este Aviso de Privacidade não se encontra disponível na Política de Privacidade atualizada, estando apenas presente na versão anterior, de julho de 2020. O acesso era disponibilizado na opção “Lei Geral de Proteção de Dados no Brasil”, que possuía o seguinte formato – como mencionado, não reproduzido na atual Política de Privacidade: “Para saber mais sobre seus direitos e como exercê-los sob a Lei Geral de Proteção de Dados do Brasil, clique aqui.”

Ressalte-se que o Aviso de Privacidade também pode ser acessado pelo aplicativo. O acesso, porém, não é intuitivo e nem simplificado, uma vez que, além das diversas camadas de informação, não há indicação prévia de que se trata do local onde se encontram disponíveis as informações sobre o exercício de direitos dos titulares. Por exemplo, em um celular com sistema operacional Android, o usuário deve seguir o caminho: “configurações”, “ajuda”, “termos e política de privacidade” e “aviso de privacidade – Brasil”.

Por sua vez, ao ingressar na página em que está disponibilizado o Aviso, o titular terá acesso a informações sobre alguns de seus direitos. Não obstante, a página possui sete hyperlinks, alguns levando para a Política de Privacidade antiga (julho de 2020) e outros levando a tutoriais extensos sobre configurações do WhatsApp em diferentes dispositivos (iPhone, Android e KaiOS).

O link que explica como o titular pode exercer seus direitos de acesso, portabilidade, retificação, eliminação e oposição, não aparece em destaque. Para acessá-lo o titular deve clicar no link “aqui” da frase “Para solicitar mais informações sobre nossas práticas de dados, toque ou clique aqui.”

Note-se, ainda, que este link compreende uma terceira camada de informação, ao se considerar que a primeira camada é a Política de Privacidade e a segunda é o Aviso de Privacidade – Brasil. Essa interface não parece acessível e limita o titular de dados em exercer seus direitos.

Em síntese, conclui-se que, seja mediante a interface do aplicativo ou diretamente pela página da atual Política de Privacidade, os titulares de dados terão dificuldades de acesso às informações relacionadas ao exercício de seus direitos, o que contraria as disposições da LGPD. Por isso, a empresa deve efetuar ajustes em sua Política de Privacidade para tornar mais acessíveis as informações pertinentes e facilitar o exercício dos direitos previstos na lei, conforme as recomendações específicas apresentadas ao final desta seção.

Quanto ao conteúdo do Aviso de Privacidade, verifica-se que se trata de um complemento à Política de Privacidade, do qual, como mencionado, há menção expressa aos direitos de acessar, corrigir, portar e eliminar os dados, bem como a possibilidade de confirmação, oposição e restrição ao tratamento. Consta, ainda, descrição acerca da possibilidade de entrar em contato com o Encarregado (sendo disponibilizado um e-mail para tanto) e de apresentar requerimento à ANPD. Por fim, há a indicação de que a Política de Privacidade contém informações sobre o compartilhamento de dados com terceiros.

Registre-se que o art. 41, § 1°, da LGPD exige que, além das informações de contato, seja divulgada publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador, “a identidade” do Encarregado. Tal informação, no entanto, não consta do Aviso de Privacidade, devendo ser providenciado o respectivo ajuste.

O Aviso de Privacidade não contém referência expressa aos seguintes direitos previstos no art. 18 da LGPD: (i) anonimização e bloqueio; e (ii) revogação do consentimento e informação sobre a possibilidade de não o fornecer.

Em relação aos dois primeiros itens, o exercício desses direitos está contemplado pela possibilidade de “se opor e restringir o tratamento de seus dados pessoais”, conforme indicado no Aviso de Privacidade. Isso porque a solicitação de anonimização, bloqueio ou eliminação de dados ou, ainda, a possibilidade de revogação ou de não fornecer consentimento, conforme previsto no art. 18, IV, VIII, e IX, da LGPD, significa também se opor ou solicitar restrição ao tratamento dos dados.

Sobre o tema, é importante notar que a necessidade de menção explícita aos direitos previstos no art. 18 da LGPD não pode ser entendida como uma exigência abstrata de reprodução literal do dispositivo da lei. De forma diversa, o controlador deve privilegiar a utilização de linguagem simples, com informações claras, precisas e facilmente acessíveis, que assegurem ou que, conforme o contexto, sejam adequadas e suficientes para a compreensão do usuário, tal como ocorre no presente caso.

Vale mencionar que, como informado pela empresa em sua primeira manifestação nos autos (SEI 2344974, p. 17), “o WhatsApp atualmente não se utiliza do consentimento como base legal para tratar dados pessoais no Brasil”. Por isso, os direitos relacionados ao consentimento possuem aplicação restrita na hipótese.

De qualquer modo, a Política de Privacidade contém expressa informação sobre como o usuário pode realizar o gerenciamento de seus dados, incluindo a possibilidade de apagar a conta do aplicativo. Tais informações complementam o que consta do Aviso de Privacidade e reforçam a divulgação dos direitos previstos no art. 18 da LGPD. Confira-se:

Gerenciamento e manutenção dos seus dados

Você pode acessar ou controlar seus dados usando nosso recurso “solicitar dados da conta”. Abra o WhatsApp e toque em Configurações/Ajustes > Conta. Os usuários de iPhone podem aprender a acessar, corrigir e excluir os dados por meio dos nossos artigos de ajuda. Os usuários de Android podem aprender a acessar, corrigir e excluir os dados por meio dos nossos artigos de ajuda. Armazenamos dados pelo tempo necessário para as finalidades identificadas nesta Política de Privacidade, inclusive para fornecer nossos Serviços ou por algum outro motivo legítimo, como cumprir obrigações legais, evitar violações de nossos Termos, proteger ou defender nossos direitos, nossa propriedade e nossos usuários. O período de armazenamento varia de acordo com cada caso e depende de fatores como a natureza dos dados e o motivo pelo qual são coletados e processados, e das necessidades de retenção operacional ou legal relevantes.

Se você também quiser gerenciar, alterar, limitar ou apagar seus dados, pode fazê-lo por meio dos seguintes recursos:

Configurações dos Serviços: Você pode alterar as configurações dos Serviços para controlar a disponibilidade de determinados dados para outros usuários. Também é possível gerenciar seus contatos, grupos e listas de transmissão ou usar nosso recurso “bloquear” para gerenciar os usuários com quem se comunica.

Alteração de número de celular, nome, foto de perfil e recado: Se você mudar de número de celular, precisará atualizá-lo usando o recurso de mudança de número no aplicativo e transferir sua conta para o novo número. Também é possível alterar seu nome de perfil, foto de perfil e recado a qualquer momento.

Apagar sua conta do WhatsApp: É possível apagar sua conta do WhatsApp a qualquer momento, inclusive revogar o consentimento de uso de seus dados de acordo com as leis aplicáveis, usando o recurso “apagar minha conta”. Quando você apaga sua conta do WhatsApp, as mensagens que você enviou são apagadas de nossos servidores, juntamente com outras informações associadas à sua conta. Observe que se o WhatsApp for apagado apenas do seu dispositivo, sem usar o recurso “apagar minha conta”, seus dados serão armazenados conosco por mais tempo. Lembre-se de que apagar sua conta não afeta os dados relacionados aos grupos em que você participou, os dados relacionados a você que estão em posse de outros usuários e cópias das mensagens que você enviou.

156. Ressalte-se que a menção ao consentimento efetuada no item “Apagar sua conta do WhatsApp” pode conferir ao titular uma falsa ideia de que a base legal para o tratamento de seus dados é o consentimento, quando, na verdade, trata-se da revogação da aceitação de termos de uso, e não da revogação do consentimento como base legal. Assim, com base no princípio da transparência, também se recomenda que seja efetuado o devido ajuste quanto a este ponto na Política de Privacidade.
157. Efetuada a análise quanto à divulgação de informações relativas aos direitos dos titulares, cabe avaliar se estão asseguradas as possibilidades de efetivo exercício desses direitos. Para tanto, a empresa disponibiliza aos usuários a opção “Fale com o WhatsApp – Dúvidas sobre a Lei Geral de Proteção de Dados”, conforme abaixo reproduzido:

Conforme a análise efetuada acima, o acesso ao formulário pode ser efetuado pelo Aviso de Privacidade na opção “Para solicitar mais informações sobre nossas práticas de dados, toque ou clique aqui” ou diretamente pelo endereço https://www.whatsapp.com/contact/?subject=LGPD.

Fale com o WhatsApp Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD) Se você é o titular de seus próprios dados pessoais e tem 15 anos ou mais, entre em contato conosco através do seu aplicativo WhatsApp. Você é um indivíduo no Brasil e possui uma conta ativa no WhatsApp? ( ) Sim ( ) Não Insira seu número de telefone no formato internacional completo. Para mais informações, leia e aceite a nossa política de privacidade.

158. Após a inserção de um número de telefone válido, o formulário interativo confere ao usuário a possibilidade de escolher entre as seguintes opções para o exercício de seus direitos: (i) “como acessar, portar e corrigir meus dados”; (ii) “como eliminar meus dados”; e (iii) “como posso me opor ao tratamento dos meus dados”.
159. A seguir, reproduzimos as orientações fornecidas ao usuário que optar pela primeira alternativa: O que você gostaria de saber em relação à LGPD? ( ) a. Como acessar, portar e corrigir meus dados ( ) b. Como eliminar meus dados ( ) c. Como posso me opor ao tratamento dos meus dados Como usuário do WhatsApp, você pode acessar e portar os dados que temos sobre você utilizando as ferramentas no nosso aplicativo para Android, iPhone e KaiOS. Quando você usa o recurso “Solicitar dados da conta” no WhatsApp, nós fornecemos seus dados em um arquivo HTML de fácil visualização e um arquivo JSON que você pode portar para outro aplicativo. Você também pode corrigir seus dados, como sua foto de perfil, seu nome e recado, e mudar suas configurações de privacidade no Android, iPhone e KaiOS. Para uma consulta rápida sobre o tipo de dados que o WhatsApp trata em seu nome, acesse nossa Política de Privacidade. O relatório não incluirá suas mensagens. Se você deseja exportar seu histórico de conversas, acesse nossa Ajuda. Recomendamos que você leia nossa Política de Privacidade e os Termos de Serviço, nos quais descrevemos os dados que coletamos e como eles são usados e compartilhados. Saiba mais sobre as categorias de dados que compartilhamos e as categorias de destinatários com os quais compartilhamos esses dados nas seções “Dados compartilhados por você e por nós” e “Empresas afiliadas” da nossa Política de Privacidade. Caso tenha outras dúvidas, visite nossa Central de Ajuda.
160. Conforme a descrição do formulário, o usuário pode corrigir diretamente os seus dados ou solicitar um relatório sobre os dados de sua conta. Esta solicitação pode ser efetuada pelo aplicativo. Por exemplo, em um celular com sistema operacional Android, o caminho de acesso é “configurações”, “conta” e “solicitar dados da conta”. A tela disponibilizada é a seguinte:

161. Em um teste realizado pela equipe da ANPD, foi verificado que o relatório foi efetivamente disponibilizado poucos dias após a solicitação. O relatório contém informações básicas sobre o usuário, como nome, e-mail, fabricante do aparelho, foto do perfil, contatos e grupos. Além disso, o relatório inclui informações relacionadas ao aceite dos termos de serviço, informações de registro, configurações e pagamentos.
162. É importante ressaltar que, devido à ausência de regulamentação que especifique as informações que devem ser fornecidas ao titular nessas situações, bem como os parâmetros relacionados à portabilidade de dados, não será realizada uma análise técnica sobre o conteúdo do relatório fornecido pelo WhatsApp.
163. A segunda opção do formulário (“como eliminar meus dados”) fornece ao usuário as seguintes informações:

O que você gostaria de saber em relação à LGPD? 0 a. Como acessar, portar e corrigir meus dados @ b. Como eliminar meus dados 0 c. Como posso me opor ao tratamento dos meus dados Como usuário do WhatsApp, você pode apagar sua conta a qualquer momento usando o recurso “Apagar minha conta” no aplicativo. Saiba como apagar sua conta no [link para a página de suporte do WhatsApp]. Para obter mais informações sobre o que acontece quando você apaga sua conta do WhatsApp, leia a seção “Gerenciamento de dados” em nossa [link para a Política de Privacidade]. Se tiver outras dúvidas, visite nossa [link para a página de ajuda].

O que você gostaria de saber em relação à LGPD? a. Como acessar, portar e corrigir meus dados b. Como eliminar meus dados c. Como posso me opor ao tratamento dos meus dados De acordo com a LGPD, você tem o direito de se opor ao tratamento de seus dados pessoais. Para que possamos entender melhor o seu pedido, pedimos que forneça as seguintes informações: Seu nome completo: Número do seu celular (o nome e modelo do seu aparelho): Versão do sistema operacional do seu celular: O tipo de tratamento de dados ao qual você deseja se opor: Por favor, preencha os campos acima e toque ou clique no botão abaixo para enviar sua solicitação. Esta abordagem aberta está alinhada com o direito de oposição previsto na LGPD e permite que os titulares apresentem os motivos que consideram relevantes para questionar o tratamento de seus dados, conforme estipulado pela LGPD. Além disso, como indicado no Aviso de Privacidade acima, você também pode entrar em contato com o Encarregado da empresa por e-mail, que está disponível para “aceitar reclamações e comunicações dos titulares, fornecer esclarecimentos e adotar medidas”​​.

providências”, nos termos do art. 41, § 2°, I, da LGPD, sem prejuízo do direito de “peticionar em relação aos seus dados contra o controlador perante a autoridade nacional”, conforme assegurado no art. 18, § 1 °, da mesma lei.

Diante do exposto, conclui-se que o formulário disponibilizado aos titulares permite o exercício dos direitos previstos no art. 18 da LGPD, assegurando-lhes a apresentação, a qualquer momento e sem custos, do requerimento correspondente. No entanto, como observado na análise acima, o acesso às informações pertinentes e ao próprio formulário não é intuitivo e nem simplificado, o que impõe barreiras significativas ao exercício dos direitos previstos na LGPD.

Portanto, no que diz respeito às informações relativas ao exercício dos direitos dos titulares, recomenda-se:

(a) a disponibilização em destaque, na primeira camada de informação, ou seja, na própria Política de Privacidade, das informações para que o titular possa exercer seus direitos, de modo similar ao previsto na Política de Privacidade Europeia, que inclui uma seção específica intitulada “Como exercer seus direitos”;

(b) a inserção, em seção específica na Política de Privacidade atualizada, da informação sobre o Aviso de Privacidade – Brasil, eliminando uma camada de acesso à informação;

(c) a correção dos links disponibilizados no Aviso de Privacidade, que redirecionam o titular para o acesso à Política de Privacidade antiga, de julho de 2020;

(d) a correção da referência ao consentimento no item “Apagar sua conta do WhatsApp”, esclarecendo que se trata da revogação da aceitação dos termos de uso, e não da revogação do consentimento enquanto base legal; e

(e) a divulgação pública da identidade do Encarregado, conforme exige o art. 41 da LGPD​​.

Fale com o WhatsApp Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD)

19. Conforme a análise efetuada acima, o acesso ao formulário pode ser efetuado pelo Aviso de Privacidade na opção “Para solicitar mais informações sobre nossas práticas de dados, toque ou clique aqui” ou diretamente pelo endereço https://www.whatsapp.com/contact/?subject=LGPD.
20. No formulário, os usuários podem exercer seus direitos previstos no art. 18 da LGPD, garantindo-lhes a apresentação, a qualquer momento e sem custos, do requerimento correspondente. No entanto, o acesso às informações pertinentes e ao próprio formulário não é intuitivo nem simplificado, o que impõe barreiras significativas ao exercício dos direitos previstos na LGPD.
21. Portanto, recomendamos: (a) A disponibilização em destaque, na primeira camada de informação, ou seja, na própria Política de Privacidade, das informações para que o titular possa exercer seus direitos, de modo similar ao previsto na Política de Privacidade Europeia, que contém uma seção específica intitulada “Como exercer seus direitos”; (b) A inserção, em seção específica na Política de Privacidade atualizada, da informação sobre o Aviso de Privacidade – Brasil, eliminando uma camada de acesso à informação; (c) A correção dos links disponibilizados no Aviso de Privacidade, que remetem o titular para o acesso à Política de Privacidade antiga, de julho de 2020; (d) A correção da referência ao consentimento no item “Apagar sua conta do WhatsApp”, tendo em vista tratar-se da revogação da aceitação dos termos de uso, e não da revogação do consentimento enquanto base legal; e (e) A divulgação pública da identidade do Encarregado, conforme exige o art. 41 da LGPD.

O que você gostaria de saber em relação à LGPD? a. Como acessar, portar e corrigir meus dados b. Como eliminar meus dados c. Como posso me opor ao tratamento dos meus dados

Como usuário do WhatsApp, você pode apagar sua conta do WhatsApp a qualquer momento no app com o recurso “Apagar minha conta”. Saiba como apagar sua conta no Android, iOS e Windows Phone. Para saber mais sobre o que acontece quando você apaga sua conta do WhatsApp, leia a seção “Gerenciamento de dados” da nossa Política de Privacidade.

Caso tenha outras dúvidas, visite nossa página de ajuda.

Ao clicar no detalhamento das informações conforme o seu sistema operacional, o usuário receberá orientações específicas sobre como apagar a sua conta e as consequências pertinentes, incluindo as relativas à eliminação dos dados.

O que você gostaria de saber em relação à LGPD? a. Como acessar, portar e corrigir meus dados b. Como eliminar meus dados c. Como posso me opor ao tratamento dos meus dados

Concorda com, se sim, você tem o direito de se opor ao tratamento de seus dados pessoais. Para que possamos entender melhor o seu pedido, pedimos que forneça as seguintes informações: Seu nome completo: Modelo do seu celular (o nome e modelo do seu aparelho): Versão do sistema operacional do seu celular: O tipo de tratamento de dados ao qual você deseja se opor: Por favor, preencha os campos acima e toque ou clique no botão abaixo para enviar sua solicitação.

O que você gostaria de saber em relação à LGPD? a. Como acessar, portar e corrigir meus dados b. Como eliminar meus dados c. Como posso me opor ao tratamento dos meus dados

Como usuário do WhatsApp, você tem o direito de se opor ao tratamento de seus dados pessoais. Para exercer esse direito, fornecemos um formulário onde você pode explicar suas razões para a oposição. Pedimos que preencha os seguintes campos: Nome completo: Número do seu celular (incluindo código de país): Modelo do seu celular: Versão do sistema operacional do seu celular: O tipo de tratamento de dados ao qual você deseja se opor: Por favor, preencha seus dados e clique no botão abaixo para enviar sua solicitação.

Diante do exposto, conclui-se que o formulário disponibilizado aos titulares permite o exercício dos direitos previstos no art. 18 da LGPD, assegurando-lhes a apresentação, a qualquer momento e sem custos, do requerimento correspondente. No entanto, o acesso às informações pertinentes e ao próprio formulário não é intuitivo nem simplificado, o que impõe barreiras significativas ao exercício dos direitos previstos na LGPD.

Portanto, recomendamos: (a) A disponibilização em destaque, na primeira camada de informação, ou seja, na própria Política de Privacidade, das informações para que o titular possa exercer seus direitos, de modo similar ao previsto na Política de Privacidade Europeia, que contém uma seção específica intitulada “Como exercer seus direitos”; (b) A inserção, em seção específica na Política de Privacidade atualizada, da informação sobre o Aviso de Privacidade – Brasil, eliminando uma camada de acesso à informação; (c) A correção dos links disponibilizados no Aviso de Privacidade, que remetem o titular para o acesso à Política de Privacidade antiga, de julho de 2020; (d) A correção da referência ao consentimento no item “Apagar sua conta do WhatsApp”, tendo em vista tratar-se da revogação da aceitação dos termos de uso, e não da revogação do consentimento enquanto base legal; e (e) A divulgação pública da identidade do Encarregado, conforme exige o art. 41 da LGPD.

Seu país ou território, seus pais ou responsáveis legais deverão aceitar nossos Termos em seu nome. Peça para seus pais ou responsáveis legais lerem estes Termos com você.

Contudo, na Política de Privacidade do WhatsApp, não é possível identificar quaisquer informações quanto ao tratamento de dados de crianças e adolescentes.

Conquanto o tema ainda seja objeto de futura regulamentação da ANPD, levando em conta a regra constante no artigo 14 da LGPD, em que consagrado o princípio da proteção integral em relação ao tratamento de dados de crianças e adolescentes, entende-se prudente que o WhatsApp observe as melhores práticas quanto ao tratamento de dados de crianças e adolescentes, e caso considere pertinente, acrescente na Política de Privacidade informações a respeito de operações de tratamento de dados de crianças e adolescentes.

MEDIDAS DE PREVENÇÃO E SEGURANÇA No Relatório de Teste de Balanceamento do Legítimo Interesse, o WhatsApp informou as salvaguardas que foram adotadas para minimizar o impacto sobre os titulares de dados. Em suma, a seguinte lista de medidas técnicas e administrativas foi apresentada:

• Segurança física e segurança no ambiente;
• Controles organizacionais;
• Controles técnicos;
• Limite ao armazenamento;
• Criptografia de ponta-a-ponta;
• Controles de acesso;
• Direitos individuais.

A lista de salvaguardas apresentadas parece estar alinhada com as boas práticas de segurança e privacidade da informação, como por exemplo, os controles de segurança das normas da família NBR-ISO 27700. No entanto, uma análise pormenorizada de algumas salvaguardas revela questões que precisam ser mais bem exploradas.

Com relação à segurança física e à segurança no ambiente, o WhatsApp menciona que possui procedimentos para exclusão e descarte seguro de dados, “de acordo com o item ‘Limites ao Armazenamento”. Ao verificar o item mencionado, a única informação encontrada é que “Como mencionado no item ‘Segurança Física e Segurança no Ambiente’, o WhatsApp tem procedimentos para o descarte e a exclusão segura de dados.” Ou seja, um item se refere ao outro, mas nenhum é capaz de informar quais são as práticas de descarte e exclusão segura de dados.

Quanto aos controles organizacionais, o WhatsApp menciona controles de segurança em recursos humanos (controles para antes da contratação, durante e após a contratação), controles de acesso e controles de gestão de incidente de segurança da informação. No entanto, nada é dito quanto a controles organizacionais relevantes da privacidade da informação, tais como: (i) a construção de um inventário de dados, que correlacione as categorias de dados tratadas com as respectivas finalidades e bases legais que justificam o tratamento; (ii) registros das operações de tratamento de dados pessoais – conforme a LGPD, art. 37, esses registros devem ser mantidos por controladores e operadores, especialmente quando baseados no legítimo interesse; (iii) controles de contratos com operadores de dados pessoais e com terceiros; (iv) registros de compartilhamento, transferência e divulgação de dados pessoais, tanto em âmbito nacional quanto internacional – em conformidade, mais uma vez, com o art. 37.

No que diz respeito aos controles técnicos, o WhatsApp apresenta medidas para garantir a segurança nas operações e nas comunicações, em conformidade com as boas práticas da segurança da informação. No entanto, nada é mencionado com relação às medidas relacionadas à privacidade da informação, também conhecidas como “privacy by design and by default”, tais como limites de coleta e de tratamento (minimização de dados), precisão e qualidade do tratamento, e técnicas de anonimização e/ou pseudonimização utilizadas.

Quanto aos limites de armazenamento, o WhatsApp informa que os propósitos de armazenamento são determinados caso a caso de acordo com as finalidades informadas na Política de Privacidade, e que é possível aos usuários gerenciar, alterar, limitar ou excluir certas informações, ou até mesmo suas contas. Seria importante que o WhatsApp informasse a esta Autoridade alguns exemplos de períodos de armazenamento de acordo com algumas finalidades (por exemplo, personalização de conteúdo e oferta de anúncios) para que se possa verificar se a política de retenção de dados se encontra adequada. Sem isso, não é possível verificar se a salvaguarda adotada está adequada.

Com relação à criptografia ponta-a-ponta, o WhatsApp informa que os conteúdos das mensagens só podem ser acessados por remetentes e destinatários da comunicação, não sendo possível o acesso do conteúdo por terceiros. Esta medida é implementada por padrão (by default). Este controle é muito bem-vindo, mas é importante observar que ele apenas anonimiza uma categoria de dados pessoais – as mensagens. Além disso, considerando que com a integração do WhatsApp Business com o WhatsApp, uma das pontas de uma comunicação são Empresas que oferecem serviços no WhatsApp, as quais estão autorizadas a compartilhar o conteúdo de suas comunicações com o WhatsApp (e este por sua vez com as Empresas do Facebook). Embora tais compartilhamentos não sejam ilícitos, é importante garantir maior transparência ao usuário quanto a esta possibilidade de compartilhamento do conteúdo das mensagens, conforme mencionado anteriormente.

No que diz respeito aos controles de acesso, o WhatsApp apresenta uma série de medidas para garantir que apenas aqueles que estejam autorizados possam acessar os dados. No entanto, não são fornecidos detalhes específicos sobre como esses controles são implementados.

O texto aborda a análise da Política de Privacidade do WhatsApp, destacando aspectos relacionados à segurança, direitos individuais dos usuários e recomendações para o aprimoramento da conformidade com a legislação de proteção de dados pessoais (LGPD). Abaixo está uma versão resumida do texto:

O WhatsApp demonstra medidas de segurança, porém, algumas salvaguardas precisam ser reforçadas, como o descarte seguro de dados e a implementação de controles administrativos relacionados à privacidade da informação, incluindo inventários de dados e registros de operações de tratamento. Além disso, é necessário enfatizar a privacidade por design e por padrão, além da criptografia de ponta a ponta.

Em relação aos direitos dos titulares, o WhatsApp permite que os usuários acessem, retifiquem, portem, excluam e confirmem seus dados, bem como se oponham ao tratamento de certos dados. No entanto, é recomendado aprimorar a transparência e simplificar o processo para exercer esses direitos.

As recomendações incluem a realização de um Relatório de Impacto de Proteção de Dados para a integração dos serviços WhatsApp Business e WhatsApp, aprimoramentos na Política de Privacidade, correção de links e a divulgação pública da identidade do Encarregado, conforme exigido pela LGPD.

Recomenda-se também fornecer informações claras sobre bases legais, finalidades e categorias de dados tratados, aumentando a transparência para os usuários. Além disso, devem ser incluídas informações sobre o tratamento não intencional de dados sensíveis e operações de tratamento de dados de crianças e adolescentes, se aplicável.

Após a análise técnica e interação com a empresa, é sugerido que o Conselho Diretor avalie a publicação de informações de interesse público relacionadas ao caso, fornecendo orientações aos titulares sobre as ações adotadas e os princípios da LGPD

THIAGO GUIMARAES MORAES
Coordenador de Tecnologia e Pesquisa Autoridade Nacional de Proteção de Dados

Marcelo Santiago Guedes
Coordenador de Tecnologia e Pesquisa Autoridade Nacional de Proteção de Dados