ANPD
PRESIDÊNCIA DA REPÚBLICA
Autoridade Nacional de Proteção de Dados
Coordenação-Geral de Fiscalização
Nota Técnica nº 49/2022/CGF/ANPD

  1. INTERESSADO
    1.1. WhatsApp LLC (WhatsApp); WhatsApp lnc.; Facebook Serviços Online do Brasil Ltda (Facebook).
  2. ASSUNTO
    2.1. Atualização da Política de Privacidade do WhatsApp.
  3. REFERÊNCIAS
    3.1. Processo sei n2 00261.000012/2021-04;
    3.2. Lei nQ 13.709, de 14 de agosto de 2018 – Lei de Geral de Proteção de Dados Pessoais – LGPD;
    3.3. Portaria nº 1, de 8 de março de 2021- Regimento Interno da Autoridade Nacional de Proteção de Dados;
    3.4. Nota Técnica nº 02/2021/CGTP/ANPD (SEI nº 2461963);
    3.5. Nota Técnica n2 19/2021/CGF/ANPD (SEI n2 2675286);
    3.6. Documentos do Processo SEI/ANPD n2 00261.000012/2021-04:
    3.7. Anexo WhatsApp Business Terms o/Service (SEI nº 2675477);
    3.8. Anexo WhatsApp Business Doto Processing Terms (SEI nº 2675478};
    3.9. Anexo WhotsApp Business Doto Transfer Addendum (SEI nº 2675479);
    3.10. Anexo WhotsApp Business Doto Security Terms (SEI nº 2675480);
    3.11. Oficio nº 146/2021/3ªCCR (SEI nº 2692461);
    3.12. Petição Oficio nº 70/2021/CGF/ANPD/PR (SEI nº 2764246);
    3.13. Anexo Doe. 1 (SEI n2 2764 247);
    3.14. Petição (SEI nº 2847074);
    3.15. Anexo li (SEI nº 2847075);
    3.16. Petição Complementar• NT 19_15 + Does (SEI nº 2951339)
    3.17. Documentos do Processo Sigiloso SEI/ANPD nº 00261.001022/2021-59:
    3.18. Despacho CGF/ANPD (SEI n2 2838364);
    3.19. Certidão 11 (SEI nº 2847987);
    3.20. Petição do WhatsApp (SEI n2 2848064);
    3.21. Anexo li – RIPO (SEI n2 2848074);
    3.22. Anexo Ili – Teste de Balanceamento – Legitimo Interesse (SEI nº 2848076);
    3.23. Anexo IV• Teste de Balanceamento – Legitimo Interesse (SEI nº 2848097);
    3.24. Anexo V• Direitos de Privacidade (SEI nº 2848110);
    3.25. Anexo VI – RIPO (SEI nº 2848120);
    3.26. Anexo VII – Registro de Operações de Tratamento (SEI nº 2848125};
    3.27. Anexo VIII – Registro de Operações de Tratamento (SEI n2 2848126);
    3.28. Anexo IX• Registro de Operações de Tratamento (SEI nº 2848137);
    3.29. Anexo X• Contrato Geral de Patrocínio de Eventos (SEI nº 2848142);
    3.30. Anexo XI· WhatsApp Eleições2020 (SEI nº 2848155);
    3.31. Petição Complementar (SEI n2 3044585);
    3.32. Anexo Doe 01 (SEI nº 3044586);
    3.33. Anexo Doe 02 (SEI nº 3044587);
    3.34. E-mail de compartilhamento (SEI nº 2848178);
    3.35. Memória dos documentos compartilhados (SEI nº 2848246);
    3.36. E-mail Encaminha Informações (SEI nº 3325041); e
    3.37. Petição WhatsApp Informações Adicionais (SEI nº 3325042).
  4. RELATÓRIO
    00261.000012/2021-04
    4.1. Trata-se de análise após a realização de reuniões técnicas e o recebimento de documentação complementar do WhatsApp lnc., visando o
    acompanhamento por esta Autoridade Nacional de Proteção de Dados (ANPD) das alterações promovidas na Política de Privacidade e nos Termos de Serviço
    pela referida empresa, com intuito de identificar sua adequação à legislação nacional de proteção de dados pessoais e eventuais providências a serem tornadas.
    4.2. Considerando o relatório e a análise descritos na Nota Técnica n!! 19 (SEI nº 2675286) como ponto de partida, foram recebidos os documentos
    enumerados nos itens 3.6 e 3.7 desta Nota Técnica, após as determinações previstas na Nota Técnica nº 19 (SEI nº 2675286), item 6.145.
    4.3. No processo SEI/ANPD n2 00261.000012/2021-04, destacam-se os seguintes documentos:
    4.3.1. Os documentos Anexo WhatsApp Business Terms of Service (SEI n~ 2675477), Anexo WhatsApp Business Data Processing Terms (SEI nQ 2675478),
    Anexo WhatsApp Business Data Transfer Addendum (SEI nQ 2675479) e Anexo WhatsApp Business Data Security Terms (SEI nQ 2675480) foram analisados em
    conj unto com as versoes digitais disponiveis ate o dia 23/11/2021.
    4.3.2. Peti~ao Offcio n2 70/2021/CGF/ANPD/PR (SEI nQ 2764246), em resume, solicitou dila~ao de prazo. E o documento Anexo Doc. 1 (SEI nQ 2764247)
    reproduziu as apresenta~oes das reunioes tecnicas.
    4.3.3. Os documentos Petil;iio (SEI nQ 2847074) e Peti~iio Complementar – NT 19_15 + Docs (SEI nQ 2951339) apresentam os argumentos e evidencias
    que visam responder as determina~oes pendentes ap6s a analise da Nota Tecnica 19 (SEI n2 2675286).
    4.3.4. Os documentos do item 4.3.3 anterior foram complementados por evidencias e documentos do Processo sigiloso nQ 00261.001022/2021-59,
    conforme enumerado no item 3.7 desta nota.
    4.3.5.
    5.
    5.1.
    Toda documenta~ao foi enviada no prazo e analisada nos respectivos t6picos correspondentes as determina~oes desta Autoridade.
    ANALISE
    Analise dos documentos encaminhados ap6s a Nota Tecnica 19 (SEI nQ 2675286) para atendimento das determina~oes pendentes.
    5.2. Reitera-se, nesta oportunidade, que anteriormente, conforme analise da Nota Tecnica 19 (SEI nQ 2675286), foram considerados atendidos os itens
    b.2, c.2, c.3, c.5 do item 191 da Nota Tecnica 02/2021/CGTP/ANPD (SEI nQ 2461963).
    5.3. Restaram as determina~oes previstas nos itens a, b.1, b.3, c.1, c.4, d.1, d.2, e.1, e.2 e e.3 para envio de informa~oes complementares ea analise
    ora realizada. 0 ponto de partida foi a analise da Nota Tecnica nQ 19 (SEI nQ 2675286). Todas as referencias, deste ponto em diante, sao relativas a essa nota
    tecnica, aos documentos enviados ap6s sua elabora~ao e as reunioes tecnicas realizadas entre a Autoridade e o controlador.
    5.4.
    5.4.1.
    5.4.1.1.
    ANALISE DOS TERMOS DE USO E POLITICAS DO WHATSAPP BUSINESS
    Determina~ao (a) Condu~ao de Reiatorio de lmpacto de Prote~ao de Dados sob re a integra~ao dos servi~os WhatsApp Business e WhatsApp
    Analise
    5.4.1.2. Supera-se a questao da fun~ao de controlador da empresa, conforme argumento apresentado no item 5.11 e seguintes da Nota Tecnica n2 19 (SEI
    nQ 2675286). A alternativa, que contraria as evidencias analisadas, seria considerar as empresas contratantes do aplicativo como controladoras e solicitar a todas
    os respectivos RIPD; ademais nao se percebe que estas empresas detenham a capacidade de imper os temos de contrato ou termos de uso ao WhatsApp Inc,
    por exemplo, conforme o art. 39 da LGPD, ja que as empresas aderem aos termos de uso e de privacidade do WhatsApp Inc e nao o inverse. Neste ponto,
    relembra-se que este processo se refere ao aplicativo WhatsApp Messenger, WhatsApp for Business e WhatsApp for business – API. Caso a determina~ao de
    elabora~ao do RIPD nao fosse observada, seria flagrante a infra~ao administrativa ao Art. 38 da LGPD, passfvel de processo administrative sancionador e
    respectiva penalidade.
    5.4.1.3. Relative a determina~ao “a”, o principal fato encontrado na analise da Nota Tecnica n2 19 (SEI n2 2675286) foi o declarado nos itens 5.20 e 5.21,
    transcritos abaixo.
    5.4.1.4.
    5.20. Todavia, com exce-;:3o dos Termos de Segurort~o de Dados do WhatsApp Business, os documentos fazem refer~ncia e condicionam sua validade aos cases de
    aplical’1!o do Regulamento Geral de Prote~fo de Dados – RGPD do Parlamento Europeu. Desse mode, e possivel entender que os titulares de dados pessoals sob a
    guarda exclusiva da LGPO nao estao cobertos nem protegidos por esses dispositivos ou documentos.
    5.21. Consequentemente, exceto pela afirma~o constante na Petir;iio • Resposta 4 do WhatsApp aos Oficios 43 e 51 (2557107), entende·se que ha um vacuo nos
    Termos de Servi~o do WhatsApp Business sobre a situa~o dos titular-es de dados protegidos somente pela LGPD e que nao existem elementos suficientes que possam
    caracterizar o WhatsApp excluslvamente como operador de dados. !Grifos e italico no original)
    Na analise promovida pela referida nota tecnica, acrescentou-se uma segunda determina~ao, conforme o item 5.22, transcrita abaixo.
    5.22. Desse modo, recomenda·se ao WhatsApp que:
    b) documente a atividade relacionada a prote~ao aos titulares de dados pessoais abrangidos pela LGPD, seja pela adaptai;ao dos atuais documentos Termos de Servi,o
    do WhotsApp Business, aos Termos de Trotomento de Dodos do WhatsApp Business e Adendo sabre Tronsferencio de Dodos do WhotsApp Business, seja pela edii;ao
    de documentos especificos para titulares de dados pessoais abrangiclos pela LGPD. [Grifos e italicos no original)
    5.4.1.5. Em rela~ao ao item 161. “a” da Nota Tecnica 02/2021/ CGTP/ANPD (SEI n2 2461963), que determina “a condu,ao de Relat6rio de lmpacto de
    Prate,iio de Dados sabre a integra,iio dos servi,os WhatsApp Business e What5App, tendo por referencias as me/hores praticas imp/ementadas pelo mercado,
    bem como o exposto na se,iio Vl[Jl desta Noto Tecnica, de modo a identificar os riscos relativos as opera,iies de tratamento de dados pessoais realizadas entre
    as duos aplica~oes”, entende-se que o formate do RIPD adotado atendeu as melhores praticasi.i do mercado e abrangeu os seguintes pontos no tratamento de
    dados pessoais:
    Justificativa da elabora~ao;
    Descri~ao das opera~oes e o escopo do tratamento;
    Categorias dos dados pessoais tratados;
    Tratamento ti pico dos dados pessoais;
    ldentifica~ao dos controladores e operadores envolvidos;
    Atendimento dos princfpios de prote~ao de dados pessoais;
    Base legal usada para justificar o tratamento de dados pessoais;
    Mecanismos para assegurar os direitos dos titulares;
    Mecanismos para assegurar a conformidade dos demais operadores;
    Mecanismos e procedimentos administrativos para assegurar t ratamento de dados de forma segura; e
    Avalia~ao de riscos e meios de mitiga~ao, inclusive os riscos encontrados.
    5.4.1.6. 0 relat6rio de impacto a prote~ao de dados foi elaborado por determina~ao da Autoridade. 0 descumprimento de tal determina~ao conduziria ao
    flagrante descumprimento do Art. 38 e do Art. 55-J pelo controlador. Conforme informa~ao prestada pela pr6pria empresa WhatsApp LLC, sua atua~ao no
    tratamento de dados pessoais ocorre como controlador e operador, dependendo do aplicativo avaliado.
    “Para os fins deste RIPD, o WhatsApp atua come controlador de dados pessoais limitados apenas no contexto do WhatsA,pp Messenger e analytics e recurses para
    WhatsApp Business. J;j no t ratamento de dados pessoais de clientes na comunicai;ao de empresas pelo WhatsApp Business, o WhatsApp atua apenas come operador
    e as empresas s~o as controladoras.”w
    5.4.1.7. Apesar das inumeras oportunidades nas quais e afirmado o papel de operador do WhatsApp, entende-se que ha varia~ao de fun~ao dependendo
    do memento analisado, principalmente considerando que sao, no minimo, 03 (tres) solu~oes: o WhatsApp Consumer App ou “WhatsApp Messenger”,
    “WhatsApp Business App” e “WhatsApp Business APr’. Apesar de a determina~ao ter sido emanada com escopo limitado a integra~ao dos servi~os WhatsApp
    Business e WhatsApp, o controlador se esfor~ou em demonstrar o impacto nos 03 (tres) aplicativos.
    5.4.1.8. Ao longo do relat6rio, em diversas passagens, houve a associa,ao entre o risco significativo como justificativa para elabora,ao do RIPD, o que niio
    esta previsto na LGPD. 0 RIPD niio se confunde com incidentes de seguran,a, por exemplo, e pode ser determinada sua elabora~o sempre que a Autoridade
    entender necessaria.
    Lei n• 13. 709/2018 • LGPD
    Art. 38. A autoridade nacional podera determinar ao controlador que elabore relat6rio de impacto a prote~ao de dados pessoais, inclusive de dados sensiveis,
    referente a suas opera~Oes de tratamento de dados, nos termos de r,egulamento, observados os segredos comerdal e industrial.
    Paragrafo unico. Observado o disposto no ca put deste artigo, o relat6rio devera center. no minimo, a descri~ao dos tipos de dados coletados, a metodologia utilizada
    para a coleta e para a garantia da seguran,a das informa,oes ea analise do controlador com rela,ao a medidas, salvaguardas e mecanismos de mitiga,ao de risco
    adotados
    5.4.1.9. Conforme o Art. 38 da LGPD, o RIPD deve conter, no minimo, a descri,ao dos tipos de dados coletados, a metodologia utilizada para a coleta e
    para a garantia da seguran,a das informa,oes e a analise do controlador com rela,ao a medidas, salvaguardas e mecanismos de mitiga,ao de risco adotados.
    Considera-se que os requisites mfnimos do referido artigo foram atendidos.
    5.4.1.10. Passa-se, entao a ser analisada a necessidade de melhor especifica,ao dos tipos de dados pessoais tratados nas 03 (tres) aplica,oes.
    5.4.1.11. Na Nota Tecnica n2 19 (SEI n2 2675286), item 5.22, foi adicionada uma segunda determina,ao ao item 191, letra “a”, da XI. Conclusiio da Nota
    Tecnica n2 02/2021/CGTP/ANPD (SEI n2 2461963), t ranscrita abaixo:
    b) documente a atividade relacionada a protec;3o aos titulares de dados pessoais abrangidos pela LGPD, seja pela adaptac;3o dos atuais documentos Termos de ServifO
    do WhotsApp Business, aos Termos de Tratamento de Dados do WhotsApp Business e Adendo sobre Transferencia de Dados do WhatsApp Business, seja pela edi,ao
    de documentos especlficos para titulares de dados pes.soais abrangidos pela LGPD. (lt~licos no original]
    5.4.1.12. Conforme a determina,ao acima, foram conferidas as versoes atuais disponfveis para os titulares dos seguintes documentos: Termos de Servi,:o do
    WhatsApp Business, Termos de Tratamento de Dados do WhatsApp Business e Adendo sabre Transferencia de Dados do WhatsApp Business.
    5.4.1.13. Alem da analise anterior, foi rea lizada a an.Ilise de todos os links das paginas referenciadas no Processo SEI n2 00261.001022/2021·59, no Anexo II


How to use WhatsApp responsibly

and get help for banned accounts

——————




Como verificar as confirmações de leitura, https://faq.whatsapp.com/android/security-and-privacy/how-to-check-read-receipts;
Sobre as mensagens temporárias, https://faq.whatsapp.com/general/chats/about-disappearing-messages?lang=pt_br;
Como mudar suas configurações de privacidade, https://faq.whatsapp.com/general/security-and-privacy/how-to-change-your-privacysettings/?
lang=pt_br;
Como bloquear e denunciar contatos, https://faq.whatsapp.com/iphone/security-and-privacy/how-to-block-and-unblock-contacts?
lang=pt_br;
O que é o WhatsApp Business? https://faq.whatsapp.com/general/account-and-profile/what-is-whatsapp-business/?lang=pt_br;
Como utilizar o WhatsApp Business para se comunicar com seus clientes, https://faq.whatsapp.com/general/security-and-privacy/using-thewhatsapp-
business-app-to-communicate-with-your-customers/;
Sobre banimento de contas, https://faq.whatsapp.com/general/account-and-profile/about-account-bans?lang=pt_br;
O vídeo não está traduzido para o português e não há legendas.
Figura 4 – Tela de Exemplo do Sobre como usar o WhatsApp de forma responsável e contas banidas. Fonte: Página do WhatsApp LLC.
Sobre conteúdos e mensagens indesejadas (spam), https://faq.whatsapp.com/general/security-and-privacy/about-spam-and-unwantedmessages/?
lang=pt_br;
Redes globais de apoio emocional e prevenção de suicídio, https://faq.whatsapp.com/general/security-and-privacy/global-suicide-hotlineresources/?
lang=pt_br;
Política de Privacidade do WhatsApp, https://www.whatsapp.com/legal/privacy-policy, exibe ao final um link para página específica com
orientações do Brasil (Link acima);
Termos de Serviço do WhatsApp, https://www.whatsapp.com/legal/terms-of-service#terms-of-service-privacy-policy-and-user-data;
Termos de Serviço do WhatsApp Business, https://www.whatsapp.com/legal/business-terms/?lang=pt_br;
Informa sobre a aplicabilidade da LGPD.
Termos de Tratamento de Dados do WhatsApp Business (“Termos de Tratamento de Dados”) https://www.whatsapp.com/legal/businessterms-
20210927:
Informa sobre a aplicabilidade da LGPD;
Política do WhatsApp Business, https://www.whatsapp.com/legal/business-policy/
Termos de Tratamento de Dados do WhatsApp Business (“Termos de Tratamento de Dados”), https://www.whatsapp.com/legal/businessdata-
processing-terms-20210927;
Termos de Segurança de Dados do WhatsApp Business (“Termos de Segurança de Dados”), https://www.whatsapp.com/legal/business-datasecurity-
terms;
não cita diretamente a LGPD, mas está alinhado com os Art. 46 a 49;
Adendo sobre Transferência de Dados do WhatsApp Business, https://www.whatsapp.com/legal/business-data-transfer-addendum-20210927;
Termos de Serviço do WhatsApp Business, https://www.whatsapp.com/legal/business-terms-20210927;
Conteúdo Jurídico do WhatsApp, https://www.whatsapp.com/legal/?lang=pt_br;







0





0

0



0






How to use WhatsApp responsibly
and get help for banned accounts
Figura 5 – Informação gráfica sobre segurança. Fonte: FAQ do WhatsApp.[5]
5.4.1.15. Conclusão
5.4.1.16. Conclui-se que:
O controlador atendeu a determinação da Autoridade para elaboração do RIPD. Não obstante, discorda-se dos argumentos apresentados para
o atendimento e indica-se que o não atendimento conduziria a flagrante de infração administrativa;
Foi elaborado o respectivo RIPD, o modelo adotado foi satisfatório e observou os principais tópicos indicados pelas boas práticas
internacionais;
Considerando a persistência de documentos apresentados apenas na língua inglesa ou na espanhola, ainda existem situações que poderiam
ser alteradas para melhorar a transparência das formas de proteção de dados pessoais pela WhatsApp LLC nas plataformas ou aplicativos
WAM, WAB e WAB-API, principalmente adotando os princípios de experiência dos usuários, entretanto, no exercício do poder regulador, a
Autoridade Nacional de Proteção de Dados deve limitar-se a determinar o que está estabelecido na LGPD ou nos seus regulamentos. Desta
forma, nesta oportunidade, indica-se que sejam observadas as melhores práticas para o atendimento dos princípios previstos no Art. 6º,
principalmente a transparência;
Neste ponto da análise, foi considerado o já elaborado pelo controlador e disponibilizado na página do aplicativo[6], na página sobre
segurança do aplicativo[7] e na página da central de ajuda[8]; e
Considerando os limites da LGPD e o estado atual da regulamentação considera-se que a recomendação “a” foi atendida; da mesma forma,
considera-se que a recomendação “b” do item 5.22 da Nota Técnica 19 (SEI nº 2675286) foi cumprida, já que foram feitas alterações pontuais
que indicam a aplicação da LGPD.
5.5. CATEGORIAS DE DADOS, BASES LEGAIS E FINALIDADES PARA O TRATAMENTO
5.5.1. Determinação (b.1) Criação de seções na Política de Privacidade que informem aos titulares as bases legais utilizadas e as correlacione às
finalidades e categorias de dados pessoais tratados, de forma semelhante às seções ‘nossa base legal para tratar dados’ e ‘como tratamos seus dados’
disponíveis na Política de Privacidade europeia.
5.5.1.1. Análise
5.5.1.2. Foi apresentado cronograma de implantação das alterações determinadas pela ANPD, aguardando-se o prazo de 30 de novembro de 2021 para a
verificação da determinação (b.1).




0 WhatsApp protege e mantem a seguran9a
das suas mensagens pessoais
O WhatsApp e o Facebook niio podem ler sues mensagens
pessoais nem ouvir sues chamadas.
0 WhatsApp nio mantem
nenhum registro das
pessoas para as quais voca
ligou ou enviou mensagens.
O WhatsApp nio
compartilha seus contatos
com o Facebook.
Voci! pode utilizer as
mensagens temporaries.
O Whats.App e o
Facebook niio podem ver
a localiza9io que vocl!
compartilha.
As converses em grupo
continuam privadas.
Voci! pode baixar
seus dados .
Trad~ do WhatsApp Enayption Overview
d.l. Tradu,;ao para o Portugues do 15 de outubro de 2021
WhatsApp Enayption Ol-etview
Trad~o do Progresso em Privacidade
Tradu<;ao para o Portugues da pagina 15 de outubro de 2021
Privacy Progress
Materials Educaclonals
cartilha sobre “Seguranc;a no WhatsApp” 15 de outubro de 2021
(artilha sobre o “Uso do WhatsApp para 15 de outubro de 2021
Neg6cios”
cartilha sobre “Orientac;6es para Pais sobre 15 de outubro de 2021
o Uso do WhatsApp”
Figura 6 – Cronograma das Alterações propostas pelo WhatsApp. Fonte: inserir referência.
5.5.1.3. A leitura da política de privacidade do aplicativo WhatsApp, disponível na respectiva página[9], é, em parte, confusa já que não traz expressamente
a indicação de aplicação aos titulares brasileiros, principalmente considerando seus dois primeiros parágrafos, ambos reproduzidos na figura abaixo.
5.5.1.4. Conforme analisado na determinação (a) as diversas páginas não se encontram adaptadas em sua plenitude às disposições da LGPD e nem
aparentam terem sido elaboradas especialmente para o público brasileiro. Apesar desta constatação, percebe-se o limite da legislação e da regulamentação
atual de privacidade para focalizar as condutas que são exigíveis do controlador sob fiscalização.
Última modificação: 4 de janeiro de 2021 (versões arquivadas)
Política de Privacidade do WhatsApp
Se você reside na Região Europeia, o WhatsApp Ireland Limited fornece os Serviços para você de acordo com esses Termos de Serviço e Política
de Privacidade.
Informações Legais do WhatsApp
Se você não reside na Região Europeia, o WhatsApp LLC (“WhatsApp”, “nossos”, “nós” ou “conosco”) fornece os Serviços para você de acordo
com esses Termos de Serviço e Política de Privacidade.
Figura 7 – Trecho da Política de Privacidade do Aplicativo WhatsApp. Fonte: https://www.whatsapp.com.
5.5.1.5. O trecho da política de privacidade “Dados que Coletamos[10]”, que dispõe sobre quais dados são coletados, traz informações gerais sobre quais
dados são coletados sob uma justificativa ampla de “operar, fornecer, melhorar, entender, personalizar, oferecer suporte e anunciar nossos Serviços”. Considerase
que a informação está dispersa e sem a especificação necessária.
5.5.1.6. Ao final da página, percebe-se texto específico para titulares de dados pessoais do Brasil e sobre a LGPD, conforme figura abaixo, que encaminha
para Aviso de Privacidade – Brasil[11].
Lei Geral de Proteção de Dados do Brasil
Para saber mais sobre seus direitos e como exercê-los sob a Lei Geral de Proteção de Dados do Brasil, clique aqui.
Figura 8 – Trecho da Política de Privacidade do Aplicativo WhatsApp relativo à LGPD. Fonte: https://www.whatsapp.com.
5.5.1.7. A leitura do conteúdo da página Aviso de Privacidade – Brasil pouco acrescenta para correlacionar em sua política de privacidade quais categorias
de dados pessoais são tratadas para quais finalidades. Não obstante, nesta página, no tópico “Como tratamos seus dados”, consta link[12] apontando para as
“categorias de informações utilizadas e por que e como são tratadas”.
Como tratamos seus dados
De acordo com a Lei Geral de Proteção de Dados (a “LGPD”) do Brasil, as empresas devem ter finalidades legítimas e específicas para tratar seus
dados. As categorias de informações utilizadas e por que e como são tratadas são descritas aqui.
Figura 9 – Trecho do Aviso de Privacidade do Aplicativo WhatsApp.
5.5.1.8. Nesta nova página, de título “Por que e como tratamos seus dados:”, constam informações sobre as informações coletadas e tratadas pelo
WhatsApp, associadas à finalidade para qual são tratadas. O conteúdo da página condiz com o teor do Anexo Doc 02 (SEI nº 3044587), constante do processo
sigiloso SEI/ANPD nº 00261.001022/2021-59.
5.5.1.9. Da leitura dessa página, nota-se que o teor do documento Anexo Doc 02 (SEI nº 3044587), espelhado na página “Por que e como tratamos seus
dados:”, se assemelha a como essas informações são apresentadas na política de privacidade da EEA[13].
5.5.1.10. Conclusão
5.5.1.11. Conclui-se que, considerando o exposto nos itens 103 a 104 da Nota Técnica nº 02/2021 (SEI nº 2461963), os itens 5.26 e 5.27 da Nota Técnica nº
19/2021 (SEI nº 2675286), que a recomendação b.1 (item 6.145.2.1, da Nota Técnica nº 19/2021) foi atendida.
5.5.2. Determinação (b.1 NT02/6.145.2.2 NT19) – Refazer o teste de balanceamento de legítimo interesse, levando em consideração as observações
mencionadas na Nota Técnica nº 02/2021, em particular as dos parágrafos 124 a 134 e da seção X – Medidas de Prevenção e Segurança.
5.5.2.1. Análise
Cronograma de lmplantac;io – Anexo I
Tipo de alter~ e documento que Cronograma para implemen~o
seria atterado.
-119MS no Avlso de Privacldade do Brasil
b.1. Altera<;ao no Aviso de Privacidade para 30 de novembro de 2021
o Brasil referente a transpar€:ncia sabre as
categorias de dados tratadas
c.1. Alterac;ao no Aviso de Prtvacidade para 15 de outubro de 2021
o Brasil sobre direitos dos titulares de
dados
c.4. Alterac;ao no Aviso de Prtvacidade para 15 de outubro de 2021
o Brasil sobre “consentimento” como base
legal
Atuallza~ na DoaJmen~ do WhatsApp Business
a. Atualiz~o nos Termos de Servi~ do 15 de outubro de 2021
WhatsApp Business e no Termo de
Tratamento de Dados do WhatsApp
Business para incluir men~o a LGPD
Cria~o de novas FAQs ou alter~ aos FAQs existentes
c. l. Cliac;ao de um novo FAQ sobre os 15 de outubro de 2021
direitos dos titulares de dados no Brasil
d.l. Alterac;oes nos FAQs atuais sobre 15 de outubro de 2021
criptografia de ponta a ponta
e.1. Alterac;5es no FAQ vinculado a Politica 15 de outubro de 2021
de Plivacidade sobre “Como apagar sua
conta”.
5.5.2.2. O controlador atendeu à determinação de nova elaboração dos testes de balanceamento de legítimo interesse e demonstrou de forma clara seus
objetivos específicos e legítimos, levando em conta determinados tipos de situações, como:
apoio e promoção de suas atividades;
prestação de serviços que gerem vantagens ao titular dos dados;
coleta de informações para identificar ou prevenir fraudes; e
processamento de dados pessoais para análise de perfil de consumidores.
5.5.2.3. Conforme informado pelo controlador, a versão anterior do teste de balanceamento tinha como objetivo (i) definir as hipóteses em que o
WhatsApp se fundamentava no legítimo interesse como base legal para compartilhar dados pessoais e (ii) efetuar o teste de balanceamento necessário para
verificar e demonstrar que as referidas atividades de compartilhamento de dados são realizadas no legítimo interesse do WhatsApp e em respeito aos direitos
dos usuários.
5.5.2.4. Esta autoridade determinou que o WhatsApp elaborasse novamente o teste de balanceamento de legítimo interesse, visando esclarecer as
medidas de segurança adotadas que garantem a privacidade e a proteção dos dados pessoais dos usuários. O documento foi dividido em duas partes (i)
segurança, proteção, integridade e conformidade; e (ii) experiências, desenvolvimento e melhorias de produtos.
5.5.2.5. Vale ressaltar que os testes apresentados não incluem atividades nas quais o WhatsApp atualmente compartilha dados com outras Empresas do
Facebook ou terceiros em uma relação de Controlador e Operador.
5.5.2.6. Foram informados de forma substancial:
o contexto no qual ocorre o tratamento de dados pessoais com base no legítimo interesse, inclusive com a descrição da atividade de
tratamento, a indicação do conteúdo dos termos de serviço e da política de privacidade que indicam tais disposições, quais dados pessoais
são objeto de uso compartilhado;
a identificação do interesse que embasa a alegação do legítimo interesse, os benefícios para o WhatsApp e para as Empresas do Facebook,
usuários dos serviços do WhatsApp e dos produtos das empresas do Facebook. Apesar de afirmarem que não há risco aos titulares no
tratamento de dados pessoais[14], avaliaram os riscos e apontaram o seu devido tratamento;
quais dados são coletados e a respectiva forma de coleta;
a adequação da atividade de tratamento de dados pessoais;
a análise da justificativa da necessidade do tratamento de dados pessoais com base no legítimo interesse, alternativa de método para
atingimento dos objetivos da atividade sem o tratamento de dados pessoais; e
a análise dos direitos e liberdades dos indivíduos em relação ao tratamento de dados pessoais promovido pelo controlador, as expectativas
dos titulares, sua informação, impacto, medidas para mitigar este impacto, meios de exercício dos direitos.
5.5.2.7. Concorda-se com a conclusão do teste de balanceamento de legítimo interesse elaborado pelo controlador e com as conclusões alcançadas sobre
a identificação do legitimo interesse, teste de necessidade e o teste de balanceamento, sem prejuízo de futuras revisões, principalmente nos casos de alterações
das operações de tratamento de dados pessoais, dos termos de uso ou política de privacidade, por exemplo, de quaisquer das plataformas deste controlador.
5.5.2.8. Conclusão
5.5.2.9. Conclui-se que, considerando o exposto acima, a recomendação b.1 (item 6.145.2.2, da Nota Técnica nº 19/2021) foi atendida.
5.5.3. Determinação (b.3) Inserção na Política de Privacidade de um novo link, de forma destacada, e conteúdo análogo ao anterior que informe
“Quais informações o WhatsApp compartilha com as Empresas no WhatsApp?”.
5.5.3.1. Análise
5.5.3.2. Em relação ao item “b.3”, as seções “Dados que coletamos”, “Dados de terceiros”, “Como usamos os dados”, “Dados compartilhados por você e
por nós” e “Como trabalhamos com outras Empresas do Facebook” trazem as informações objeto da determinação b.3, entretanto, não estão dispostas de
forma objetiva para facilitar a compreensão do titular de quais tipos de dados são usados de forma compartilhada com quais empresas e qual a base legal que
ampara tal tratamento. No mínimo, considera-se o uso de tabelas para facilitar a associação das informações, apesar de se reconhecer sua eficácia limitada e
talvez certo desinteresse dos titulares por documentos e páginas ainda mais longas e técnicas.
5.5.3.3. Na Nota Técnica 19 (SEI nº 2675286), a recomendação b.3 havia sido considerada não-atendida, conforme item 5.53. Solicitou-se que ficassem
explícitas ao titular de dados quais categorias de dados pessoais são compartilhadas com as empresas no WhatsApp e quais as finalidades para que esses dados
são compartilhados. Além disso, foi solicitado que o WhatsApp explicitasse para o titular que a criptografia fim-a-fim não impede que as empresas possam
utilizar as conversas dos usuários para fins de marketing, uma vez que elas se encontram numa das pontas do canal de comunicação.
5.5.3.4. Na Petição de 30 de agosto de 2021 (SEI nº 2848064), o WhatsApp se manifestou quanto às duas solicitações.
5.5.3.5. Sobre o primeiro ponto, alegou que “o WhatsApp não compartilha dados pessoais do usuário com empresas que estão usando o WhatsApp
Business App ou a WhatsApp Business API além daqueles que a empresa acessa por meio da comunicação com o usuário no aplicativo e a partir da interação
do usuário no ‘Clique para o WhatsApp’ (CTWA)” Concluiu, portanto, que “não há necessidade de alterar a Política de Privacidade nesse aspecto.”
5.5.3.6. Com respeito ao CTWA, o WhatsApp explica, na nota de rodapé nº 26 da Petição de 30 de agosto, que “o Clique para o WhatsApp (“Click to
WhatsApp” ou “CTWA”) é um recurso que permite a uma empresa adicionar um botão ‘Enviar Mensagem’, por exemplo, em uma página da empresa no
Facebook ou em um anúncio no Facebook ou Instagram, o qual encaminhará o usuário que clicar nele para um chat no WhatsApp Messenger. Do lado da
empresa, o chat irá abrir no contexto do WhatsApp Business.” Mais informações podem ser encontradas nos FAQs do WhatsApp, mais especificamente na seção
“Sobre os recursos comerciais”.[15] Entre outras informações, é explicado que, ao interagir com anúncios no Facebook ou Instagram, os titulares podem ser
encaminhados para chats com as empresas via WhatsApp, e essas interações podem ser utilizadas para personalizar os anúncios que serão vistos no Facebook.
5.5.3.7. Além disso, o WhatsApp informou que, em seus FAQs, existem informações para os titulares que as Empresas no WhatsApp poderão usar os
conteúdos das conversas com os titulares para fins de marketing, incluindo anúncios no Facebook, de acordo com as políticas de privacidade por elas adotadas,
uma vez que, nesse contexto, essas empresas são as controladoras de dados.[16] Essas informações podem ser acessadas diretamente pelo site do FAQ ou ainda
como um segundo nível da Política de Privacidade, através de link disponível na seção “Dados que coletamos”.
5.5.3.8. Como reforço às práticas de transparência, o WhatsApp desenvolveu algumas cartilhas educativas, dentre as quais se destaca aqui a Cartilha sobre
o “Uso do WhatsApp para Negócios e seus Clientes” (Doc. 10 da Petição Complementar de 15 de outubro de 2021, SEI nº 2951339), em que informa aos
titulares que as empresas contratantes poderão usar as conversas com usuários para seus próprios fins de marketing, incluindo anúncios no Facebook, se assim
desejarem.
5.5.3.9. O documento também explica as diferenças entre o WhatsApp Business App e o WhatsApp Business API, quais os portes das empresas para os
quais essas soluções foram desenvolvidas e apresenta a figura dos Business Solution Providers (BSPs), intermediários que podem atuar no contexto do WhatsApp
Business API, informando como a presença deste agente de tratamento impacta nas atividades de compartilhamento de dados com terceiros.
5.5.3.10. Conforme explicado pelo WhatsApp, quando o titular de dados se comunica com uma Empresa que utiliza uma BSP como intermediária, ele
recebe uma mensagem no aplicativo informando sobre o fato, de modo que possa optar por se recusar a continuar a conversa (ver Figura 10 abaixo).
Figura 10 – Informações para o usuário do WhatsApp sobre a existência de BSPs na comunicação com empresas[17].
5.5.3.11. Presumindo que sejam verdadeiras as alegações do WhatsApp, de que o compartilhamento de dados pessoais dos titulares com empresas do
WhatsApp Business (App e/ou API) se limita àqueles dados que estas empresas acessam por meio de comunicação direta com o titular, ou a partir da interação
via CTWA, é possível concluir que as informações ora presentes na Política de Privacidade, complementadas pelos FAQs em um segundo nível, e ainda pela
Cartilha Educativa, trazem maior transparência aos titulares sobre de que maneira esse compartilhamento é realizado. Assim, quanto a este ponto (item
6.145.3.1 da NT19), não se verifica necessidade de informações adicionais neste momento.
5.5.3.12. Passa-se ao segundo ponto, que diz respeito à recomendação de que ficasse explícito para o titular que a criptografia fim-a-fim não impede que as
empresas possam usar as conversas dos usuários para fins de marketing, uma vez que elas se encontram numa das pontas do canal de comunicação. Aqui,
verifica-se que a Petição de 30 de agosto não enfrentou a questão diretamente, mas parece ter buscado fazê-la em conjunto com o primeiro ponto, ao
mencionar sobre as informações disponibilizadas pelos FAQs (ver parágrafo 5). Como já mencionado, essas informações podem ser acessadas via hyperlinks
disponibilizados na Política de Privacidade.
5.5.3.13. Além disso, é possível identificar práticas de melhorias da transparência quanto à criptografia fim-a-fim em documentos apresentados na Petição
de 15 de outubro.
5.5.3.14. Em primeiro lugar, foi disponibilizada, de forma inédita, uma versão traduzida do documento técnico sobre a Visão Geral da Criptografia do
WhatsApp (Doc. 8 – 2951339). Este documento apresenta o protocolo de criptografia fim-a-fim e explica como ele é integrado à API do WhatsApp Business.
Neste cenário, é possível que a gestão do endpoint da API seja delegada a um prestador de serviço, o BSP, e que nesse caso, como o usuário da API do WhatsApp
Business escolheu um terceiro para gerenciar seu endpoint, o WhatsApp não considera essas mensagens como protegidas com a criptografia de ponta a ponta. O
mesmo raciocínio é válido para hipóteses em que o Facebook atue como esse gerenciador do endpoint (pág. 14 do Doc. 8 – 2951339).
5.5.3.15. Além disso, na Cartilha Educativa sobre o “Uso do WhatsApp para Negócios e seus Clientes” (Doc. 10 – 2951339) também é informado que,
“quando uma empresa de grande porte opta por contratar uma BSP para operar a API do WhatsApp Business em seu nome, o WhatsApp não considera que as
mensagens trocadas especificamente nestas conversas comerciais são criptografadas de ponta a ponta, pois a empresa para a qual o usuário está enviando
mensagens optou por dar acesso a esse conteúdo para terceiros”. E, ainda, informa que “este também será o caso se a empresa contratada para atuar como BSP
e para hospedar as mensagens fora do Facebook, que somente gerenciará as interações em nome da empresa contratante como uma operadora.” Avançando, a
Cartilha afirma que “O WhatsApp informa você quando um terceiro está envolvido na comunicação e que essas comunicações não são chamadas de
‘criptografadas de ponta a ponta’, embora ainda seja utilizado o mesmo protocolo avançado de criptografia utilizado para mensagens pessoais”.
5.5.3.16. Algumas informações sobre a criptografia fim-a-fim também são apresentadas na Cartilha Educativa de “Orientações para pais e responsáveis
legais sobre o uso do WhatsApp” (Doc. 11 – 2951339), voltada para a proteção de dados de crianças e adolescentes. Contudo aqui só é trazida a explicação mais
geral dessa tecnologia, sem trazer menções ou referências às informações trazidas na outra Cartilha, ou alertar ao público-alvo, pais e responsáveis legais de
crianças e adolescentes, sobre a possibilidade de que os dados pessoais de suas crianças e adolescentes sejam tratados por empresas no WhatsApp, ou ainda,
os BSPs intermediários, nos termos do que é informado na outra Cartilha.
5.5.3.17. Por fim, a criptografia fim-a-fim também é destacada na Cartilha Educativa de “Segurança e Privacidade no WhatsApp” (Doc. 12 – 2951339),
sendo que esta é destinada ao público em geral. Mais uma vez, é destacada a importância dessa tecnologia que “que garante que somente você e a pessoa com
quem você está se comunicando podem ler ou ouvir o que é enviado”. Avançando, a Cartilha ainda afirma que “Nem o WhatsApp, nem o Facebook, podem
visualizar o conteúdo de mensagens pessoais nem ouvir chamadas no WhatsApp.”
5.5.3.18. Conclusão
5.5.3.19. Em relação à recomendação “b.3”, subdividida nos itens 6.145.3.1 e 6.145.3.2 da Nota Técnica 19 (SEI nº 2675286), conclui-se que as
recomendações foram atendidas.
5.6. INFORMAÇÕES RELATIVAS AOS DIREITOS DOS TITULARES
5.6.1. No que concerne às informações relativas aos direitos dos titulares, foram apresentadas, inicialmente, cinco recomendações ao WhatsApp,
conforme descritas no item “c” da conclusão da Nota Técnica nº 02/2021/CGTP/ANPD (2461963).
5.6.2. Após a manifestação da empresa, a análise efetuada na Nota Técnica nº 19/2021 (2675286) considerou atendidas ou devidamente esclarecidas
três das cinco recomendações: (c.2) inserção da informação sobre o Aviso de Privacidade – Brasil em seção específica na Política de Privacidade atualizada,
eliminando uma camada de acesso à informação; (c.3) correção dos links disponibilizados no Aviso de Privacidade, que remetiam o titular para o acesso à
Política de Privacidade antiga, de julho de 2020; e (c.5) divulgação pública da identidade do Encarregado, conforme exige o artigo 41 da LGPD.
When a Business Chooses to
Use a Partner
TODAY
O This busaiess wo,ks …, ,th other cornpan,es
to man.aQe thb cf’l,3t Tap 10 team more
I’d like to order some dinnerware
sets please.
Thanks for messaging Home Store!
Here’s a sneak peek of our new
Premier Collection.
When a Business Chooses to Use
Facebook’s Hosting Services
TODAY
0 Th•& bus.ness uses a ~ecore senice from
tlie Focdlool< con..,ny lO “‘8MII” 1hls
cMt Top 1010.,m mo,r
I’d like to ordef some dinnerware
~ ts please.
Thanks for me:.~aging Home Store!
Here’s a sneak peek of our new
Premier Collection.
5.6.3. De outro lado, foram consideradas parcialmente atendidas as recomendações efetuadas nos itens c.1. e c.4. Em razão disso, foram apresentadas
recomendações adicionais na Nota Técnica nº 19/2021 (2675286), as quais, por sua vez, foram respondidas pelo WhatsApp em suas últimas manifestações no
processo (2847074; 2951339).
5.6.4. A seguir, passamos a analisar as informações apresentadas pela empresa visando ao atendimento dessas duas recomendações.
5.6.5. Recomendação (c.1) Disponibilização em destaque das informações para que o titular possa exercer seus direitos na primeira camada de
informação, ou seja, na própria Política de Privacidade, de modo similar ao previsto na Política de Privacidade Europeia, da qual consta seção específica
intitulada “Como exercer seus direitos”. (recomendação c.1., NT 02/2021; item 6.145.5.1, NT 19/2021)
5.6.5.1. Análise
5.6.5.2. Por meio da recomendação efetuada no item c.1 da Nota Técnica nº 02/2021 foi solicitada ao WhatsApp a atribuição de maior destaque às
informações relativas aos direitos dos titulares, nos seguintes termos:
(c.1.) disponibilização em destaque das informações para que o titular possa exercer seus direitos na primeira camada de informação, ou seja, na própria Política de
Privacidade, de modo similar ao previsto na Política de Privacidade Europeia, da qual consta seção específica intitulada ‘Como exercer seus direitos’.
5.6.5.3. Na análise apresentada na Nota Técnica nº 19/2021 (2675286), considerou-se como positiva a inclusão de seção específica na Política de
Privacidade, intitulada Lei Geral de Proteção de Dados do Brasil, com expressa referência ao exercício dos direitos previstos na LGPD.
5.6.5.4. Não obstante, em atenção ao princípio da transparência, verificou-se a necessidade de melhoria, em particular diante da “ausência de destaque
para o link de acesso ao ‘Fale com o WhatsApp – Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD)’, principal canal por meio do qual o usuário pode,
efetivamente, exercer os seus direitos.” (Nota Técnica nº 19/2021, 2675286).
5.6.5.5. Como alternativa, foram apresentados ao WhatsApp cinco exemplos de medidas que poderiam ser adotadas pela empresa visando à ampliação
da transparência:
a) inclusão de link para acesso direto ao canal ‘Fale com o WhatsApp – Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD)’ entre as opções
disponíveis ao titular, ao clicar na opção ‘Ajuda’, que consta das ‘Configurações’ do aplicativo;
b) inclusão de link para acesso direto ao canal ‘Fale com o WhatsApp – Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD)’ entre as opções
disponíveis ao titular ao clicar na opção ‘Termos e Política de Privacidade’, disponível na seção ‘Ajuda’, que consta das ‘Configurações’ do
aplicativo;
c) revisão do texto do ‘Aviso de Privacidade – Brasil’ a fim de conferir maior destaque ao link de acesso ao canal ‘Fale com o WhatsApp –
Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD)’ e tornar mais claro que este link se destina aos interessados em conhecer e exercer
seus direitos;
d) inclusão de artigo na ‘Central de Ajuda’ com informações simplificadas sobre os direitos assegurados ao titular e como este pode exercê-los,
em especial mediante o acesso ao canal ‘Fale com o WhatsApp – Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD)’; e
e) disponibilização de página específica e direcionada ao público sobre como exercer os seus direitos e acessar ao canal ‘Fale com o WhatsApp
– Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD)’, similar à inciativa adotada no México e mencionada na petição do WhatsApp
(2557107, p. 25).
5.6.5.6. Assim, a Nota Técnica nº 19/2021 (item 6.145.5.1) recomendou que o WhatsApp apresentasse solução capaz de conferir maior destaque e
simplificação de acesso ao canal “Fale com o WhatsApp – Dúvidas sobre a Lei Geral de Proteção de Dados (LGPD)”, observadas as sugestões acima referidas.
5.6.5.7. Em sua resposta Petição Petição (2847074), o WhatsApp informou que, em atendimento à recomendação efetuada pela ANPD, seriam adotadas
as seguintes providências: (i) alteração do Aviso de Privacidade – Brasil, reorganizando as informações em capítulos separados para facilitar o acesso e análise
dos titulares; e (ii) elaboração de um FAQ específico sobre como os usuários podem exercer seus direitos.
5.6.5.8. Essas alterações já foram efetuadas, conforme relatado pela empresa no documento Petição Petição Complementar – NT 19_15 + Docs (SEI nº
2951339) juntado aos autos. De fato, a nova versão do Aviso de Privacidade – Brasil[18] é dividida em duas seções, facilitando a identificação dos conteúdos pelo
usuário: “Como você pode exercer seus direitos de acordo com a LGPD?” e “Entre em contato com o WhatsApp ou com o Encarregado de Proteção de Dados
(DPO, na sigla em inglês)”.
5.6.5.9. Nessas duas seções, foram inseridas novas informações e maior detalhamento sobre o exercício dos direitos dos titulares. Assim, passou a constar
do próprio Aviso de Privacidade informações sobre como acessar ou portar dados, como apagar a conta e sobre o eventual exercício do consentimento pelo
usuário, incluindo a possibilidade de retirá-lo a qualquer momento.
5.6.5.10. Além disso, o titular pode entrar em contato com a empresa ou com seu encarregado para exercer outros direitos. O link para acesso a este canal
(“Fale com o WhatsApp”)[19] é disponibilizado para acesso em ambas as seções do Aviso de Privacidade.
5.6.5.11. Assim, o acesso ao canal “Fale com o WhatsApp” pode ser realizado mediante clique na palavra “aqui” da frase: “Nossa Política de Privacidade
fornece informações sobre como compartilhamos seus dados com terceiros. Para solicitar mais informações sobre nossas práticas de dados, toque ou clique
aqui.” O mesmo link também pode ser acessado pelo titular ao clicar na expressão “contato conosco” da seguinte frase, que expressamente se refere ao
exercício dos direitos dos titulares: “Caso você tenha outras questões sobre este Aviso ou como exercer seus direitos de acordo com a LGPD, entre em contato
conosco.”
5.6.5.12. A seguir, reproduzimos a íntegra da versão atualizada do Aviso de Privacidade – Brasil:
Aviso de Privacidade – Brasil
Este Aviso de Privacidade – Brasil (“Aviso”) se aplica às atividades de tratamento de dados pessoais sob a legislação brasileira e complementa
nossa Política de Privacidade.
Como tratamos seus dados
De acordo com a Lei Geral de Proteção de Dados (a “LGPD”) do Brasil, as empresas devem ter finalidades legítimas e específicas para tratar seus
dados. As categorias de informações utilizadas e por que e como são tratadas são descritas aqui.
Como você pode exercer seus direitos de acordo com a LGPD?
De acordo com a Lei Geral de Proteção de Dados (“LGPD”) do Brasil, você tem o direito de acessar, corrigir, portar, eliminar e confirmar que
tratamos seus dados. Em determinadas circunstâncias, você também tem o direito de se opor e restringir o tratamento de seus dados pessoais.
Você pode acessar ou portar seus dados usando nosso recurso “Solicitar dados da conta” (abra o WhatsApp e toque em Configurações/Ajustes

Conta). Você pode acessar ferramentas para corrigir, atualizar e apagar suas informações diretamente no aplicativo, conforme descrito na
seção “Gerenciamento e manutenção de seus dados” de nossa Política de Privacidade.
Dependemos de seu consentimento de acordo com a LGPD em circunstâncias limitadas. Por exemplo, quando coletamos e usamos informações
que você nos autoriza receber por meio das configurações do seu aparelho ao ativar certos recursos e serviços, como o acesso a sua localização
GPS, câmera ou fotos, para que possamos fornecer estes recursos e serviços. Quando tratamos dados com base em seu consentimento, você
tem o direito de retirá-lo a qualquer momento.
Você pode apagar sua conta do WhatsApp a qualquer momento no aplicativo com o recurso “Apagar minha conta” (disponível em
Configurações > Conta). Quando você apaga sua conta do WhatsApp, as mensagens que não foram entregues são apagadas de nossos
servidores junto com outros dados que não mais necessitamos para operar e executar nossos Serviços. Ao apagar sua conta, por exemplo, você
apagará os dados da conta e sua foto de perfil, removerá você de todos os grupos do WhatsApp e apagará seu histórico de mensagens do
WhatsApp. Observe que se o aplicativo do WhatsApp for apagado apenas do seu dispositivo, sem o uso do recurso Apagar minha conta, suas
informações podem ser armazenadas conosco por mais tempo. O processo para apagar seus dados do WhatsApp poderá levar até 90 dias para
ser concluído. É possível que cópias de informações suas permaneçam após os 90 dias no armazenamento de backup que usamos com
finalidades legítimas ou para fins de conformidade com obrigações legais. Lembre-se também de que apagar sua conta não afeta as
informações relacionadas aos grupos que você criou ou as informações relacionadas a você e que outros usuários possuem, como as cópias das
mensagens que você enviou. Saiba mais sobre como apagar sua conta no Android, iPhone ou KaiOS.
Saiba mais sobre seus direitos e sobre como você pode exercê-los acessando nossos artigos de ajuda para iPhone, Android e KaiOS em
nossa Central de ajuda.
Nossa Política de Privacidade fornece informações sobre como compartilhamos seus dados com terceiros. Para solicitar mais informações sobre
nossas práticas de dados, toque ou clique aqui.
Entre em contato com o WhatsApp ou com o Encarregado de Proteção de Dados (DPO, na sigla em inglês).
Se você tiver outras perguntas sobre este Aviso ou como exercer seus direitos nos termos da LGPD, você pode saber mais aqui ou entrar em
contato conosco.
O WhatsApp LLC é o controlador de dados responsável por suas informações. Para entrar em contato com o Encarregado de Proteção de Dados
do WhatsApp LLC, clique aqui. Você também tem o direito de enviar um requerimento à Autoridade Nacional de Proteção de Dados (“ANPD”)
entrando em contato diretamente com a ANPD.
Se o seu contato é sobre outro assunto, verifique a Central de ajuda para recursos adicionais.
Fonte: https://www.whatsapp.com/legal/brazil-privacy-notice/?lang=pt_br
5.6.5.13. Vale ressaltar que o formulário disponibilizado para o exercício dos direitos dos titulares também sofreu algumas alterações. O novo formato é o
seguinte:
Figura 11 Captura da Tela para Exercício dos Direitos do WhatsApp.
5.6.5.14. De forma geral, em comparação com o formato anterior,[20] o novo modelo é mais simples e intuitivo, especialmente ao se considerar que foram
excluídas as exigências de (i) responder à pergunta “você é um indivíduo no Brasil e tem uma conta ativa do WhatsApp?”; e de (ii) fornecer o número de telefone
no formato internacional completo. Além disso, foi incluída a opção “preciso de ajuda com a minha conta do WhatsApp”, que não constava da versão anterior.
5.6.5.15. Ao lado dessas modificações no Aviso de Privacidade – Brasil e no canal “Fale com o WhatsApp”, a empresa ainda elaborou um FAQ específico
sobre como os usuários podem exercer seus direitos (2951339, p. 7-9).[21] Intitulado “Como exercer seus direitos de privacidade no WhatsApp”, o artigo traz
informações mais detalhadas sobre como mudar configurações de privacidade, acessar, corrigir e portar dados pessoais, apagar a conta, solicitar informações
adicionais, revogar o consentimento, entre outros aspectos.
5.6.5.16. Por fim, o WhatsApp apresentou duas cartilhas que também facilitam e auxiliam na promoção da autodeterminação informativa e do acesso à
informação pelo titular quanto ao exercício de seus direitos. As cartilhas, que foram juntadas aos autos (2951339, p. 95-143), abordam os seguintes assuntos:
“orientações para pais e responsáveis legais sobre o uso do WhatsApp” e “segurança e privacidade no WhatsApp”.
5.6.5.17. Conclusão
5.6.5.18. Diante do exposto, considerando a revisão do texto do Aviso de Privacidade – Brasil e a elaboração de artigo e cartilhas que ampliam e facilitam o
acesso à informação pelos titulares a respeito dos direitos assegurados na LGPD, conclui-se que a recomendação apresentada no item 6.145.5.1. da Nota Técnica
nº 19/2021 e no item c.1. da Nota Técnica nº 02/2021 foi atendida pela empresa, não se vislumbrando, por ora, a necessidade de adoção de quaisquer
providências adicionais em relação a esse ponto.
5.6.6. Recomendação (c.4) Correção, na Política de Privacidade, da referência ao consentimento no item ‘Apagar sua conta do WhatsApp’, tendo em
vista se tratar de revogação da aceitação dos termos de uso, e não de revogação do consentimento enquanto base legal. (recomendação c.4., NT 02/2021;
item 6.145.6, NT 19/2021)
5.6.6.1. Análise
5.6.6.2. Por meio da recomendação efetuada no item c.4. da Nota Técnica nº 02/2021, foi solicitado ao WhatsApp a correção da referência ao
consentimento efetuada na Política de Privacidade, a fim de facilitar a compreensão pelos usuários, nos seguintes termos:
(c.4.) correção, na Política de Privacidade, da referência ao consentimento no item ‘Apagar sua conta do WhatsApp’, tendo em vista se tratar de revogação da
aceitação dos termos de uso, e não de revogação do consentimento enquanto base legal.
5.6.6.3. De acordo com a análise efetuada na Nota Técnica nº 02/2021/CGTP/ANPD (2461963, p. 32), o ajuste seria necessário, pois essa menção ao
consentimento poderia ‘conferir ao titular uma falsa ideia de que a base legal para o tratamento de seus dados é o consentimento, quando, na verdade, trata-se
da revogação da aceitação de termos de uso, e não da revogação do consentimento enquanto base legal.’
Fale com o WhatsApp
Duvidas sabre privacidade
Use este formulario para solicitar mais informa9oes relacionadas a seus Direitos de Privacidade.
Sobre qua I t6pico voce gostaria de entrar em contato com o WhatsApp?
Como posso acessar e/ou baixar meus dados?
Como eu posso apagar meus dados?
Como eu posso me opor ao tratamento dos meus dados?
Preciso de ajuda com a minha conta do WhatsApp.
5.6.6.4. Inicialmente, o WhatsApp se manifestou pela necessidade de manutenção da referência ao consentimento no trecho citado. As justificativas
apresentadas foram as seguintes: (i) como a política de privacidade é aplicável às operações globais do WhatsApp, a referência ao consentimento atende à
legislação de países que o adotam como única ou principal base legal para o tratamento de dados pessoais; (ii) por isso, consta a ressalva, ao final do trecho
questionado, de que a revogação do consentimento se dará ‘de acordo com as leis aplicáveis’; (iii) além disso, a referência ao consentimento seria importante,
tendo em vista que o WhatsApp pode vir a utilizar essa base legal no Brasil, caso, por exemplo, assim seja determinado por regulamento da ANPD.
5.6.6.5. Na análise apresentada na Nota Técnica nº 19/2021 (2675286), considerou-se plausível o argumento apresentado pela empresa. Não obstante, foi
solicitada a apresentação de uma proposta visando à melhoria da compreensão dos usuários sobre o uso do consentimento. Confira-se:
6.145.6. quanto à recomendação emitida no item ‘c.4’, consideram plausíveis os argumentos apresentados pela empresa, razão porque foram acolhidos
parcialmente, sob a condição de que o WhatsApp apresente uma proposta para esta Autoridade para melhorar a compreensão pelos usuários, ‘de que a base legal
para o tratamento de seus dados não é o consentimento, quando, na verdade, trata-se da revogação da aceitação de termos de uso, e não da revogação do
consentimento enquanto base legal’, particularmente no ‘Aviso de Privacidade – Brasil’, tendo em vista, em especial, a expressa ressalva às leis aplicáveis que consta
da sua Política de Privacidade.
5.6.6.6. Diante dessa recomendação, o WhatsApp sugeriu incluir no Aviso de Privacidade – Brasil esclarecimento sobre a possibilidade de o consentimento
ser solicitado em casos específicos e limitados, como para fornecer acesso à localização GPS ou câmera.
5.6.6.7. Essas informações foram, efetivamente, incluídas no Aviso de Privacidade – Brasil, conforme mencionado no item anterior. Transcrevemos abaixo,
mais uma vez, o trecho em questão:
Aviso de Privacidade – Brasil
(…)
Dependemos de seu consentimento de acordo com a LGPD em circunstâncias limitadas. Por exemplo, quando coletamos e usamos informações
que você nos autoriza receber por meio das configurações do seu aparelho ao ativar certos recursos e serviços, como o acesso a sua localização
GPS, câmera ou fotos, para que possamos fornecer estes recursos e serviços. Quando tratamos dados com base em seu consentimento, você
tem o direito de retirá-lo a qualquer momento. (…)
Fonte: https://www.whatsapp.com/legal/brazil-privacy-notice/?lang=pt_br
5.6.6.8. Conclusão
5.6.6.9. Na medida em que esclarece o uso do consentimento pelo WhatsApp, incluindo a informação sobre a possibilidade de revogação a qualquer
momento, a alteração efetuada no Aviso de Privacidade – Brasil atende à recomendação efetuada pela ANPD no item c.4. da Nota Técnica nº 02/2021 e no item
6.145.6 da Nota Técnica nº 19/2021.
5.7. DADOS SENSÍVEIS E DADOS DE CRIANÇAS E ADOLESCENTES
5.7.1. Recomendação (d.1) Identificação de circunstâncias em que poderia ocorrer o tratamento não intencional de dados sensíveis, devendo ser
identificados, se for o caso, os dados sensíveis objeto de tratamento, a finalidade e a base legal utilizada para tanto, bem como as medidas de segurança
utilizadas para prevenir riscos e danos aos usuários.
5.7.1.1. Análise
5.7.1.2. O conteúdo da Nota Técnica nº 19/2021/CGF/ANPD (SEI nº 2675286) desta ANPD, no item 5.102, recomenda à empresa WhatsApp que:
a) … deixe mais claro para o titular de dados como ocorre o compartilhamento de dados do Status com outros apps, bem como qual a finalidade para o tratamento de
dados sensíveis (o Status do WhatsApp) e quais medidas de segurança são utilizadas para prevenir riscos e danos aos titulares;
b) disponibilize na página principal de sua Política de Privacidade um link para a página ‘Sobre a privacidade do status’;
c) reescreva a informação sobre o compartilhamento do status para deixar mais transparente para o usuário que as informações compartilhadas podem revelar dados
pessoais sensíveis e qual o controle que os titulares têm sobre esse compartilhamento; e
d) avalie os limites dessa atividade de tratamento de dados sensíveis. Sem uma base legal e salvaguardas adequadas, o WhatsApp deve se abster do tratamento de
categorias de dados pessoais sensíveis.
5.7.1.3. Em resposta, o WhatsApp reafirma que “não processa dados pessoais para revelar ou inferir dados pessoais sensíveis sobre seus usuários” (SEI nº
2848064, pág. 38). Ainda, informa que implementa criptografia ponta a ponta (remetente-destinatário) e que a empresa limitou por meio de privacy by design e
privacy by default a sua capacidade de inferir dados sensíveis.
5.7.1.4. Com relação às recomendações da ANPD a respeito da ferramenta “Status”, ratifica que este também é criptografado. As atualizações de status
somente serão visíveis para os contatos salvos na agenda do celular do usuário que também tenham o número de telefone de tal usuário salvo. Os usuários
podem escolher compartilhar atualizações de status com todos seus contatos ou somente com contatos selecionados.
5.7.1.5. Desta forma, a empresa se posiciona concluindo que “nenhuma atualização ou alteração na documentação atual é necessária para lidar com esse
tratamento de dados”. No entanto, no mesmo documento, ofereceu mais informações sobre a criptografia ponta a ponta, conforme:
a) Atualização do FAQ.
Para dar mais transparência, o WhatsApp atualizará o FAQ sobre “Como usar o Status” para informar que o Status do WhatsApp também é criptografado de ponta a
ponta. Isso será finalizado de acordo com o Cronograma de Implantação (Anexo I).
b) Tradução do WhatsApp Encryption Overview Whitepaper
O WhatsApp traduzirá o WhatsApp Encryption Overview Whitepaper (atualmente disponível apenas em inglês) para o português e o fornecerá à ANPD, também de
acordo com o Cronograma de Implantação (Anexo I).
5.7.1.6. Em 15 de outubro de 2021, em doc. Petição Complementar – NT 19_15 + Docs (SEI nº 2951339) o WhatsApp, por meio de seu representante,
informa que atualizou os FAQs sobre “Como usar o Status” (Doc. 6) para “esclarecer que essa ferramenta também é criptografada de ponta-a-ponta. Tais
informações estão de acordo com os esclarecimentos prestados a respeito do fato de o WhatsApp não processar dados pessoais para revelar ou inferir dados
pessoais sensíveis sobre seus usuários”, de acordo com a figura abaixo:
Como usar o status
Com o recurso status do WhatsApp, você pode compartilhar textos, fotos, vídeos e GIFs animados que são protegidos com a criptografia de
ponta a ponta e desaparecem após 24 horas. Para enviar e receber as atualizações de status de um contato, você e seu contato devem ter o
número de telefone um do outro salvo na lista de contatos dos seus celulares.
5.7.1.7. No Doc 6, anexo citado pela empresa associado à Petição Complementar (SEI nº 2951339), pág. 36 a 40, é apresentado o passo a passo em Como
usar o Status para os diferentes sistemas operacionais dos telefones (Android, iPhone e KaiOS).
5.7.1.8. Assim, entende-se que a orientação desta ANPD, para que o WhatsApp “disponibilize na página principal de sua Política de Privacidade um link
para a página ‘Sobre a privacidade do status’”, foi atendida.
Última modificação: 4 de janeiro de 2021 (versões arquivadas)
Política de Privacidade do WhatsApp
Dados que coletamos
(…)
● Dados de status. Você pode compartilhar conosco seu status caso decida adicioná-lo à sua conta. Saiba como usar o status no Android, no
iPhone ou no KaiOS.
5.7.1.9. Adicionalmente, em doc. Petição WhatsApp Informações Adicionais (SEI nº 3325042) o WhatsApp, acerca do compartilhamento de dado do Status
com outros explicativos explicou que a funcionalidade é decorrente da possibilidade de compartilhar conteúdos, nativa dos sistemas operacionais android ou
iphone. Enfatiza que essas informações constam no FAQ[22] do WhatsApp e que nada além do próprio conteúdo (do Status) que o usuário escolhe compartilhar
é repassado para o aplicativo indicado pelo usuário.

  1. Ou seja, exceto pelo próprio conteúdo que o usuário escolha compartilhar em outra plataforma, nenhuma informação da conta do WhatsApp será compartilhada
    com o Facebook ou qualquer outro aplicativo como parte dessa funcionalidade, pois ela é baseada nos recursos padrão “Compartilhar com” e “Troca de Aplicativo”
    do Sistema Operacional (SO) do dispositivo móvel do usuário. [Grifos no original]
    5.7.1.10. Com relação à ferramenta “Status”, em respeito ao princípio da boa-fé, frente a ratificação do WhatsApp, “que essa ferramenta também é
    criptografada de ponta-a-ponta. Tais informações estão de acordo com os esclarecimentos prestados a respeito do fato de o WhatsApp não processar dados
    pessoais para revelar ou inferir dados pessoais sensíveis sobre seus usuários” tem-se como atendida a recomendação.
    5.7.1.11. Relativo à tradução do WhatsApp Encryption Overview e do Privacy Progress Update, a empresa afirma que já o fez para o português e a fornece
    para a ANPD. Informa, ainda, que o WhatsApp também atualizou a sua página de segurança para incluir essa versão do material ao público, de modo a dar ainda
    mais conhecimento sobre a criptografia e como ela funciona em prol da privacidade no WhatsApp.
    5.7.1.12. Entrega o “Doc 8” (SEI nº 2951339, pg. 50 a 64) a título de comprovação, no qual é possível observar os tópicos abordados em seu índice:
    Apresentação………………………………………………………………………….. 3
    Termos…………………………………………………………………………………… 3
    Registro do cliente…………………………………………………………………… 4
    Configuração da sessão inicial…………………………………………………… 4
    Configuração da sessão do destinatário……………………………………… 5
    Troca de mensagens………………………………………………………………… 6
    Transmissão de arquivos de mídia e outros anexos……………………… 7
    Mensagens em ………………………………………………………………………. 8
    Configuração da …………………………………………………………………….. 9
    Status……………………………………………………………………………………. 9
    Localização em tempo real………………………………………………………. 9
    “Definição de Criptografia Ponta a Ponta………………………………….. 11
    Implementação nos Serviços do WhatsApp………………………………. 11
    Verificando as chaves…………………………………………………………….. 12
    Segurança do transporte………………………………………………………… 12
    Não é possível desativar a criptografia…………………………………….. 13
    Exibição do status da criptografia de ponta a ponta………………….. 13
    Conclusão……………………………………………………………………………. 15
    5.7.1.13. Ainda que sejam necessários diferentes passos para chegar à informação desejada, conforme reproduzido abaixo, esta se encontra disponibilizada
    e traduzida para o português.
    Passo 1 Passo 3
    Passo 2 Passo 4
    f- Configur.i~oes (9 WhatsApp WKATSAPPWEB RECURSOS DOWNlOAO SEGURA.NGA CENTRALOEAJUOA e PT(BR).
    lley tlle<e I arn us,ng Wh<ltsApp.
    Conteudo Juridico do WhatsApp
    WhatsApp .. Notifica;oes • At, liza.,:6- mportantes
  • Termos de Servu;o
    C> Terna • Poot1 :a d~ privactdad@
  • Av, ~ de PflV&c1dade Bras I
    [.;) Papel de parede da conve<sa
  • Av1it0de Pnvactdade da Callf6rnla
    0 Bloqueados
  • P10tet;io da Privactdade
  • Pol t ca dfl’ Propr1edadE>- lntelectual
    0 Atalhos do t<><:lado • Cookies
  • Pag.mwntos
    ([ AJuda :=:> • Pollt,ca de Pnvacldade do Lo1as oo WhatsApp
  • Av1so dP. Dados do What AA.pp para o USO do Sf>rv~ da Nov, no WhatsApp
    5.7.1.14. Conclusão
    5.7.1.15. Frente ao exposto, com base no item d.1. da Nota Técnica nº 02/2021 e nos itens 5.102 e 6.145.7 da Nota Técnica nº 19/2021 é possível afirmar
    que as recomendações foram acatadas.
    5.7.2. Recomendação (d.2) Inclusão na Política de Privacidade de informações sobre as operações de tratamento de dados de crianças e
    adolescentes, caso considere pertinente, tendo em consideração as melhores práticas quanto ao tratamento dessa categoria especial de dados pessoais.
    5.7.2.1. Ao considerar como não satisfatórios os argumentos apresentados pelo WhatsApp, a ANPD reiterou a necessidade de a empresa apresentar o
    relatório de impacto à proteção de dados pessoais, consoante itens 6.145.8, 6.145.8.1 e 6.145.8.2 reproduzidos abaixo, com fundamento nos itens 5.103 a
    5.125, todos da Nota Técnica nº 19/2021/CGF/ANPD:
    6.145.8. em relação à recomendação contida no item ‘d.2’, entendem que os argumentos apresentados pelo WhatsApp não são satisfatórios para esclarecer e
    confirmar a ausência de risco de tratamento de dados de crianças e adolescentes em desacordo com os ditames da LGPD, motivo pelo qual recomendam, nos termos
    do artigo 38 da LGPD, a apresentação de relatório de impacto à proteção de dados pessoais para o tratamento de dados de crianças e adolescentes.
    6.145.8.1. O relatório deve demonstrar, de forma clara, as ferramentas técnicas adotadas ou a serem implementadas pelo WhatsApp para evitar que usuários
    qualificados como crianças e adolescentes tenham seus dados tratados de forma irregular.
    6.145.8.2. Requer-se a indicação expressa no referido relatório de impacto à proteção de dados das formas de tratamento, os tipos de dados tratados, a base legal
    adotada e a comprovação de que o apontado tratamento atende ao melhor interesse desses titulares.
    5.7.2.2. Análise
    5.7.2.3. Aspectos gerais
    5.7.2.4. No item d.2 da petição apresentada pelo WhatsApp (SEI nº 2848064), foram apresentadas as respostas às recomendações relativas aos dados de
    crianças e adolescentes.
    5.7.2.5. A empresa mantém o argumento já apresentado em outra petição e reunião técnica, de que o aplicativo não é voltado a menores de 13 anos. E,
    ainda, que o público de usuários com idade entre 13 e 18 anos deve estar assistido pelos pais no uso da plataforma.
    5.7.2.6. Portanto, segundo a empresa objetiva-se tratar os dados apenas de adolescentes maiores de 13 anos e adultos.
    5.7.2.7. Informa que há ferramenta para denunciar o uso do aplicativo por menores de 13 anos de idade e que as contas são desativadas após a
    verificação do fato.
    5.7.2.8. De forma geral, o WhatsApp alega ainda cumprir os princípios da necessidade e minimização de dados, o que protegeria dados de crianças e
    adolescentes também.
    5.7.2.9. Além disso, apresenta salvaguardas disponíveis a todos os titulares de dados, quais sejam: publicações limitadas e capacidades de
    compartilhamento; controles sobre contato com usuários; ferramentas de segurança para silenciar, bloquear ou denunciar interações indesejadas.
    5.7.2.10. Relatório de Impacto à Proteção de Dados (RIPD)
    5.7.2.11. Foi apresentado o RIPD específico para o tratamento de dados de crianças e adolescentes (SEI nº 2848125), conforme recomendado pela ANPD
    (Notas Técnicas nº 02/2021 e nº 19/2021). Na apresentação do RIPD, a empresa ressalta que não concorda com a necessidade de elaboração do documento,
    pois não entende corresponder a um tratamento de alto risco.
    5.7.2.12. A empresa alega que, se houver tratamento de dados de crianças menores de 13 anos, esse tratamento não é intencional, já que o aplicativo não
    permitiria o seu cadastramento.
    5.7.2.13. Contudo, apesar de existir a vedação expressa do uso do aplicativo por menores de 13 anos em seus Termos de Serviço, a empresa não toma
    medidas de segurança para verificar a idade dos usuários e impedir o cadastramento de menores de 13 anos, e alega que esse filtro já seria feito na venda de
    linhas telefônicas.
    5.7.2.14. Apesar de não oferecer medidas de segurança no cadastro, oferece o recurso da denúncia, após a qual a conta utilizada indevidamente por
    menores de 13 anos seria desativada mediante a verificação pela empresa. A verificação ocorre de forma que os próprios responsáveis pela linha telefônica
    devem comprovar a titularidade e informar que a criança se encontra sob sua autoridade parental.
    5.7.2.15. Portanto, o RIPD explica que o tratamento de dados de menores de 13 anos ocorre: (i) não intencionalmente pela empresa, no caso de
    descumprimento dos Termos de Serviço; (ii) quando há denúncia a respeito da utilização do aplicativo por menores de 13 anos.
    5.7.2.16. Em relação aos dados de adolescentes (maiores de 13 anos), ocorre compartilhamento com: (i) empresas do Facebook, em relação aos serviços
    do WhatsApp; (ii) Provedores de Serviço Terceiros, como de backup. Da análise, pode-se concluir que os dados de adolescentes são compartilhados da mesma
    forma que dos usuários adultos, ainda mais quando a empresa ratifica (item 100, SEI nº 2848064):
    “100. Como todos os usuários recebem o mais alto grau possível de proteção desde a concepção, o WhatsApp não faz distinção entre os usuários.” (Grifo nosso)
    f- Ajuda
    Versao 22202.9
    f> Central de aj uda
    ·..-.· Fale conosco
    Termos e Polftica de Privacidade
    (5;) WhatsApp WHATSAPP WE8 R£CURSOS DOWNLOAD SEGURANCA C~AJ.. OE A.AIOA C PT (BR)·
    i
    Vetj• voc:O IT!ffmo
    O wna1sApp permlte que voe~ conf1rme
    que as chamadas que voce faze as
    mensagens que voce envia 5’50
    p,otegldas com a crlp100,af1a de ponta a
    po,11a EIH lnl0tma~o• t dblda
    dlrel:unente nn converM II! mHI telH dos
    d.ados do con1ato ou dos dados da
    empresa.
    II
    Saiba mais
    Lel3 e~ ~1 a , t 0
    desenv~ t:nl PJitEI Id CO/ ii J Open
    Whisper Systems sobre a criptograf1a de
    ponta a ponta do WhatsApp,
    Para $8ber mals sobre es atuahz~s
    de .seguranc;a periodicas. lt”ia os Av o
    de _.gu(arn;a (dlsponlvels em lngl~s).
    5.7.2.17. A assertiva acima é reforçada pela informação de que os dados de adolescentes seriam tratados da mesma forma que os demais dados,
    considerando que a empresa não faz a inferência de idade dos usuários (item C do RIPD).
    5.7.2.18. A empresa apresenta diversas medidas administrativas e técnicas de segurança, que acredita corroborarem o conceito de melhor interesse da
    criança e adolescente, apesar de aplicáveis a todos os usuários do aplicativo (como o uso da criptografia, configurações de privacidade e limitação de coleta de
    dados pela empresa).
    5.7.2.19. No entanto, ainda que existam tais medidas de segurança, aplicáveis a todos os usuários do aplicativo, a presença do público menor de 18 anos no
    mundo digital traz riscos digitais que precisam ser considerados.
    5.7.2.20. Segundo Livingstone e Stoilova (2021), Apud Angelini et all (2021)[23] temos que:
    Em uma categorização atualizada dos riscos digitais, agrupam tais desafios em quatro dimensões: “conteúdo”, “contato”, “conduta” e “contrato”. A primeira delas
    considera a exposição de crianças a conteúdos potencialmente prejudiciais; o segundo (o contato e interação) potencialmente prejudicial com adultos na rede e o
    terceiro a possibilidade de a criança testemunhar, participar ou ser vítima de condutas prejudiciais (como é o caso de Bullying). Além disso, em decorrência da maior
    repercussão da coleta e processamento de dados pessoais para fins comerciais, a classificação de riscos passou a incorporar o risco de “contrato”, que considera o
    potencial envolvimento ou exploração comercial de crianças e adolescentes no ambiente digital. Em um ecossistema digital baseado na coleta e processamento de
    grandes volumes de dados, por meio das mais diferentes plataformas digitais, a utilização de dados pessoais pode atingir patamares indesejáveis e violar o direito à
    privacidade.
    5.7.2.21. Assim, devido às várias facetas quanto aos riscos digitais a que crianças e adolescentes estão sujeitos, a ausência de medidas assecuratórias
    específicas para menores não parece ser a prática mais adequada, frente a necessidade social de proteção.
    5.7.2.22. As bases legais eleitas para os tratamentos de dados de menores de 18 anos constam do item ‘c’ do Passo 3 do RIPD e são: consentimento;
    legítimo interesse; cumprimento de obrigação legal ou regulatória; e proteção da vida.
    5.7.2.23. A utilização da base legal do consentimento não parece considerar o uso do aplicativo por menores de 13 anos, ou seja, não observa o disposto no
    art. 14, § 1º da LGPD, segundo o qual é exigido o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
    5.7.2.24. Especificidades de bases legais, direitos dos titulares e medidas de segurança ocorrem da mesma forma que para o tratamento de dados de
    adultos.
    5.7.2.25. Contudo, há medidas contra a exploração infantil, conforme relatado no RIPD:
    “Medidas contra a exploração infantil: Para detectar a exploração sexual infantil, o WhatsApp se baseia em todas as informações não criptografadas disponíveis. O
    WhatsApp relata todos os casos aparentes de exploração infantil que aparecem em seu serviço de qualquer lugar do mundo para o Centro Nacional para Crianças
    Desaparecidas e Exploradas (Center for Missing and Exploited Children – “NCMEC”), incluindo conteúdo chamado a atenção do WhatsApp por solicitações
    governamentais. O NCMEC coordena com o Centro Internacional para Crianças Desaparecidas e Exploradas (International Centre for Missing and Exploited Children) e
    autoridades policiais de todo o mundo. Além disso, quando o WhatsApp recebe uma denúncia de cyber bullying/comportamento impróprio por meio do uso de texto,
    imagens ou vídeos no WhatsApp para menores, ele o faz com base nas políticas do CEI.”
    5.7.2.26. A empresa considera baixo o risco aos titulares de dados crianças (item 2 da tabela de riscos do RIPD), já que os serviços não são direcionados a
    estes titulares e há a possibilidade de denúncia.
    5.7.2.27. Mesmo discutível, é possível acreditar em algum grau de maturidade intelectual e capacidade cognitiva nos adolescentes. No entanto, esta
    condição difere-se enormemente de eventual conclusão no sentido de que estas pessoas estejam aptas de compreender toda a extensão e as consequências de
    termos e condições contratuais que, diversas vezes, se revelam ininteligíveis inclusive para adultos.[24]
    5.7.2.28. A mesma autora complementa: “a utilização de serviços e plataformas digitais, ante os inúmeros desdobramentos da coleta e tratamento de
    dados de seus usuários, constitui negócio jurídico cujos efeitos são muito mais complexos e gravosos do que grande parte dos contratos previstos no Código
    Civil, sendo, portanto, bastante problemática a dispensa do consentimento parental a partir dos 12 anos”.
    5.7.2.29. O artigo 8º da norma europeia dispõe que, quando da aplicação do artigo 6º, “a”, – base legal do consentimento – o tratamento dos dados
    pessoais delas será legal quando tiverem pelo menos 16 anos de idade. Caso a pessoa tenha menos de 16 anos, o tratamento só será lícito se o consentimento
    for dado ou autorizado pelos titulares da autoridade parental.
    5.7.2.30. São inúmeras as publicações acadêmicas e jornalísticas nacionais documentando um crescente números de menores acessando a internet,
    conforme já apresentado e discutido na Nota Técnica nº 19/2021/CGF/ANPD (SEI nº 2675286) produzida pela ANPD para o caso em comento. A conjuntura atual,
    por conta da epidemia vivenciada, incrementou essa realidade, uma vez que diferentes plataformas passaram a ser utilizadas para estudos à distância, exigidas
    pelo distanciamento sanitário.
    5.7.2.31. Destaca-se o esforço da empresa no tratamento de eventuais denúncias para o caso de menores de 13 anos estiverem utilizando o app, conforme:
    Denunciar uma pessoa menor de idade
    Caso seu filho ou filha tenha idade inferior à idade mínima permitida e criou uma conta no WhatsApp, saiba como apagar essa conta em nossa
    Central de ajuda.
    Caso queira denunciar uma conta que pertence a uma pessoa menor de idade, envie um e-mail. No seu e-mail, forneça os documentos abaixo.
    Lembre-se de apagar ou ocultar as informações pessoais não relacionadas:
    ● Comprovante de que o número de telefone no WhatsApp pertence a você (por exemplo, cópia do RG e conta de celular no mesmo nome).
    ● Comprovante de tutela (por exemplo, cópia da certidão de nascimento ou declaração de adoção da pessoa menor de idade).
    ● Comprovante da data de nascimento do menor (por exemplo, cópia da certidão de nascimento ou declaração de adoção da pessoa menor de
    idade).
    Se for possível comprovar que a conta do WhatsApp pertence a uma pessoa menor de idade, essa conta será desativada imediatamente. Você
    não receberá uma confirmação de que essa ação foi concluída. As informações solicitadas acima devem estar completas para que possamos
    analisar e tomar as medidas necessárias em relação à denúncia.
    Fonte: https://faq.whatsapp.com/general/security-and-privacy/minimum-age-to-use-whatsapp/?lang=pt_br. Data da extração: 02/02/2022
    5.7.2.32. Porquanto grandes esforços sejam feitos de forma reativa, não se observa a mesma preocupação de atuação preventivamente.
    5.7.2.33. Existem diferentes soluções técnicas no sentido de evitar que crianças façam uso do aplicativo, sem recorrer ao tratamento de dados que envolva
    data de nascimento. Teffé, C.S. (2021)[25], sugere, a título exemplificativo, uma gama grande de soluções que poderiam minimizar o risco de menores de 13 anos
    acessar programas ou conteúdos inadequados, conforme:
    Sugere-se a implementação de medidas de verificação de idade como, por exemplo: fazer uma pergunta que uma criança não seja capaz de responder, solicitar que o
    menor forneça o e-mail de seus pais para que eles manifestem o consentimento por escrito, solicitar o número de determinados documentos do menor e de seu
    responsável (como o CPF e o número de um cartão de crédito) e/ou analisar o hábito de navegação do sujeito para verificar se é compatível com a idade que diz ter.
    5.7.2.34. Frente ao todo exposto, entende-se possível e desejável a adoção de medidas adicionais de segurança para a verificação de idade no sentido de
    garantir o não cadastramento de menores de 13 anos, considerando que é sabido que as crianças utilizam o aplicativo.
    5.7.2.35. Ainda, igualmente desejável seriam medidas adicionais de segurança específicas para usuários adolescentes, no intuito de protegê-los dos riscos
    digitais citados no item 5.7.2.20.
    5.7.2.36. Conclusão
    5.7.2.37. Diante dos esforços tanto estatais quando da empresa envolvida, é possível avaliar avanços quanto à questão proteção de dados discutida neste
    processo.
    5.7.2.38. Considerando que o WhatsApp apresentou o RIPD conforme recomendado pela ANPD (Notas Técnicas nº 02/2021 e nº 19/2021), itens 6.145.8,
    6.145.8.1 e 6.145.8.2 e que avaliou a pertinência de incluir na Política de Privacidade de informações sobre as operações de tratamento de dados de crianças e
    adolescentes, para fins do presente processo, considera-se atendida a recomendação d.2, sem prejuízo de eventual análise posterior em processo específico
    instaurado para avaliar o tema, inclusive de forma mais ampla, envolvendo a proteção de dados de crianças em outros aplicativos e no ambiente digital de forma
    geral.
    5.7.2.39. Encaminhamento
    5.7.2.40. Por oportuno, a partir da análise do mérito da documentação fornecida, percebe-se que existem medidas que poderiam intensificar o resguardo à
    privacidade das crianças e adolescentes. Nesse sentido, muito embora tenha sido considerando satisfatórios os esclarecimentos prestados, foram identificados
    determinados pontos de atenção que podem vir a ser objeto de posterior ação preventiva e fiscalizadora por parte da ANPD, entre os quais destacamos:
    medidas adicionais de segurança (i) para a verificação de idade e (ii) específicas para usuários adolescentes, no intuito de protegê-los dos riscos digitais
    abordados no item 5.7.2.20.
    5.8. MEDIDAS DE PREVENÇÃO DE SEGURANÇA E PRIVACIDADE
    5.8.1. Recomendação (e.1) Reforço de medidas de ‘descarte e exclusão seguros de dados’
    5.8.1.1. Análise
    5.8.1.2. Na Nota Técnica 19 (SEI nº 2675286) a recomendação e.1 solicitou que o WhatsApp apresentasse à ANPD informações mais detalhadas sobre qual
    técnica de pseudonimização é utilizada a fim de salvaguardar a segurança de dados remanescentes após um pedido de exclusão. Embora tenha-se considerado
    atendida a recomendação da Nota Técnica nº 02/2021 (SEI nº 2461963), quanto às informações de descarte, recomendou-se breve descrição acerca de qual
    técnica de pseudonimização o WhatsApp utiliza.
    5.8.1.3. Na Petição de 30 de agosto de 2021 (SEI nº 2848064), o WhatsApp se manifestou quanto a essa solicitação.
    5.8.1.4. O WhatsApp alegou que “atualizou o FAQ ‘Como apagar sua conta’ no tocante à técnica de dissociação de dados dos titulares (Doc. 7) com as
    informações adicionais fornecidas a esta Autoridade.” Na seção do FAQ em referência, o WhatsApp informa que a manutenção de dados após o pedido de
    exclusão de uma conta ocorre por meio de dissociação desses dados a informações de identificação, por meio de sua substituição por um identificador que não
    poderia ser vinculado à conta apagada.
    5.8.1.5. No documento em referência (Doc. 7), o WhatsApp incluiu seção da Central de Ajuda que informa ao titular sobre como apagar sua conta. A
    página informa sobre o prazo de até 90 dias para que os dados sejam excluídos, bem como a possível manutenção para fins legais (como, por exemplo, o prazo
    de armazenamento exigido pelo Marco Civil da Internet), ou de forma dissociada de informações de identificação.
    5.8.1.8. Por oportuno, o WhatsApp informa que o processo de dissociação utilizado para os usuários brasileiros é o mesmo processo de dissociação de
    dados explicado na Política de Privacidade da União Europeia.
    5.8.1.9. Na petição de 30 de agosto de 2021 (SEI nº 2847074), ao tratar sobre o período de retenção de mensagens, o WhatsApp afirma que “não retém
    mensagens no curso normal do fornecimento dos Serviços aos usuários”, e que “uma vez que as mensagens são entregues, elas são apagadas dos servidores do
    WhatsApp. As mensagens são armazenadas no próprio dispositivo do usuário.” Ou seja, dados de mensagens em trânsito seriam armazenados temporariamente
    nos servidores do WhatsApp e apagados imediatamente após sua entrega.
    5.8.1.10. Cumpre ressaltar também que, ao afirmar sobre os prazos de armazenamento de dados pessoais, na petição de 30 de agosto de 2021 (SEI nº
    2847074), o WhatsApp informa que “retém logs de IP por 6 meses nos termos do Marco Civil da Internet no Brasil”, e que “a técnica de dissociação não afeta a
    retenção de dados exigida pelo artigo 15 do Marco Civil da Internet”.
    5.8.1.11. Os Relatórios de Impacto à Proteção de Dados Pessoais (“RIPD”) sobre Dados Pessoais de Menores apresentado pelo WhatsApp (SEI nº 2848120)
    e sobre Interação dos Serviços do WhatsApp Business com o WhatsApp Messenger (SEI nº 2848074) corroboram essas informações, com referência específica ao
    armazenamento para além do prazo de operacionalização da exclusão por dissociação:
    O WhatsApp armazena informações pelo tempo necessário para as finalidades identificadas na Política de Privacidade do WhatsApp, inclusive para fornecer os
    Serviços do WhatsApp ou para algum outro motivo legítimo, como cumprir com obrigações legais, executar ou evitar violações dos Termos do WhatsApp ou proteger
    ou defender os direitos, propriedade e usuários do WhatsApp. O período de armazenamento varia de acordo com cada caso e depende de fatores como natureza dos
    dados, o motivo pelo qual são coletados e tratados, necessidades de retenção operacional ou legal relevantes e obrigações legais.
    5.8.1.12. Conclusão
    5.8.1.13. Ante o exposto, com fundamento no item 5.130 da Nota Técnica nº 19/2021/CGF/ANPD, que recomendou que o WhatsApp apresentasse para a
    ANPD informações mais detalhadas sobre qual técnica de pseudonimização é utilizada, entende-se que recomendação (e.1) foi atendida.
    5.8.2. Recomendação (e.2) A implementação de controles administrativos relativos à privacidade da informação: (i) inventários de dados; (ii) registro
    de operações de tratamento de dados pessoais, que devem incluir informações quanto ao compartilhamento, transferência e divulgação de dados pessoais;
    (iii) controles de contratos com operadores de dados pessoais e com terceiros.
    5.8.2.1. Análise
    5.8.2.2. Na Nota Técnica 19 (SEI nº 2675286), a recomendação e.2 foi considerada não-atendida. Solicitou-se que fossem implementados e apresentados
    os controles administrativos relativos à privacidade da informação, quais sejam: (i) inventários de dados; (ii) registro de operações de tratamento de dados
    pessoais, que devem incluir informações quanto ao compartilhamento, transferência e divulgação de dados pessoais; (iii) controles de contratos com operadores
    de dados pessoais e com terceiros.
    5.8.2.3. Na Petição de 30 de agosto de 2021 (SEI nº 2848064), o WhatsApp se manifestou quanto a esta solicitação.
    5.8.2.4. Em primeiro lugar, informou que seu inventário de dados compreende o seguinte conjunto de documentos:
    a) Relatório de Impacto à Proteção de Dados (RIPD) sobre a Interação dos Serviços do WhatsApp Business com o WhatsApp Messenger –
    Anexo II;
    b) Teste de Balanceamento do Legítimo Interesse (LIA, sigla em inglês) sobre o “Compartilhamento de Informações pelo WhatsApp”-
    Experiências, Desenvolvimento e Melhorias de Produto – Anexo III;
    c) Teste de Balanceamento do Legítimo Interesse (LIA) sobre o “Compartilhamento de Informações pelo WhatsApp – Segurança, Proteção,
    Integridade e Conformidade – Anexo IV;
    d) Relatório de Impacto à Proteção de Dados (RIPD) sobre Dados Pessoais de Menores – Anexo VI;
    e) Registro de Operações de Tratamento de Dados Pessoais (RoPA, sigla em inglês) – Serviços do WhatsApp – Anexo VII;
    f) Registro de Operações de Tratamento de Dados Pessoais (RoPA) – Proteção e Segurança – Anexo VIII; e
    g) Registro de Operações de Tratamento de Dados Pessoais (RoPA) – Compartilhamento de Dados FB/WA – Anexo IX.
    5.8.2.5. Além disso, o WhatsApp apresentou, no Anexo X, uma relação de modelos contratuais para relações com operadores de dados pessoais e
    terceiros.
    5.8.2.6. Considerando que os RIPDs e os LIA são discutidos com mais detalhes em outras seções, a primeira parte desta seção concentrará a análise nos
    RoPAs, e, subsidiariamente, nos RIPDs e LIAs, conforme sua pertinência. Na segunda parte, serão analisados os modelos contratuais de compartilhamento de
    dados.
    5.8.2.7. Os três RoPAs, embora digam respeito a operações de tratamento distintas, possuem uma estrutura muito similar e alguns campos preenchidos
    de forma idêntica. As informações são apresentadas por registros que informam sobre os seguintes campos:
    Controlador;
    Produto;
    Categoria da atividade de tratamento;
    Descrição da atividade de tratamento;
    Finalidade;
    Base legal;
    Sistemas / Aplicações;
    Categorias dos dados pessoais;
    Período de retenção;
    Período de exclusão;
    Operadores de dados / destinatários;
    Transferência de dados;
    Categorias de dados pessoais compartilhados com operadores;
    Potenciais riscos à privacidade;
    Mitigações dos riscos à privacidade;
    Data de início do tratamento; e
    Segurança dos dados:
    Segurança física;
    Segurança técnica;
    Segurança organizacional; e
    Controles de acesso.
    5.8.2.8. O primeiro RoPA possui 10 (dez) registros, o segundo 8 (oito), e o terceiro 2 (dois). Algumas observações, consideradas pertinentes para destaque
    são trazidas a seguir.
    .
    .• .
    .• .
    .• .

    .• .
    .• .
    0
    0
    0
    0

5.8.2.18. Presumindo como verdadeiras as informações prestadas, o WhatsApp apresenta uma série de medidas de segurança que certamente contribuem
para salvaguardar a segurança e privacidade dos dados pessoais tratados pela organização.
5.8.2.19. Contudo, o RoPA suscita alguns questionamentos no que diz respeito à definição de bases legais utilizadas para o tratamento de dados pessoais
em certas operações. Em alguns casos, como para a finalidade de “Aprimoramento, correção e personalização dos Serviços”, duas bases legais são apresentadas
a serem utilizadas de acordo com distintas condições:
A execução de contrato será utilizada quando o tratamento dos dados está relacionado com alguma correção dos Serviços ou com
aprimoramento e personalização relacionada ao núcleo (core) da prestação dos Serviços ao usuário;
O legítimo interesse será utilizado quando o aprimoramento e personalização não está relacionada ao núcleo da prestação dos Serviços ao
usuário.
5.8.2.20. Ocorre que não é possível identificar, em nenhuma documentação (nem nas petições apresentadas, nem em seus anexos), o que seria esse
núcleo. A falha em delimitar quais são essas atividades principais dificulta a análise se a escolha de uma base legal ou outra é mais adequada.
5.8.2.21. Discussão análoga pode ser feita para a finalidade “para entender como as pessoas usam os Serviços e para analisar e usar as informações de que
o WhatsApp dispõe para avaliar e aprimorar os Serviços”. Este registro também apresenta as bases legais de execução de contrato e legítimo interesse, cuja
distinção de aplicabilidade é baseada no núcleo (core) dos serviços.
5.8.2.22. Com relação aos RoPAs sobre Proteção e Segurança (Anexo VIII) e sobre Compartilhamento de Dados Facebook (FB)/ WhatsApp (WA) (Anexo IX), a
dúvida sobre qual base legal aplicar (se execução de contratos ou legítimo interesse) também surge, uma vez que não está claro quando se aplica a base legal de
execução de contrato ou a de legítimo interesse.
5.8.2.23. Prosseguindo para uma análise mais geral, uma crítica aplicável a todos os RoPAs apresentados é quanto à forma que foram informados os dados
pessoais tratados. Nos três documentos, o WhatsApp informa que, para as operações de tratamento, trata três tipos de dados pessoais: (i) dados fornecidos pelo
usuário, (ii) dados coletados automaticamente e (iii) dados de terceiros.
5.8.2.24. Como os RoPAs não discriminam de forma mais granular que dados pessoais são tratados para diferentes tipos de finalidades, fica prejudicada
uma eventual análise do risco de haver tratamento excessivo de dados ou do atendimento ao princípio da necessidade. Se este fosse o objetivo desta análise, as
informações fornecidas seriam insuficientes.
5.8.2.25. Ao se consultar o RIPD do Anexo II, é possível identificar que essas três categorias consistem em todos os tipos possíveis de dados pessoais dos
usuários do WhatsApp Messenger (seção 2.A.2 do RIPD). Não é possível aferir, portanto, o atendimento ao princípio da necessidade, uma vez que os registros
apontam, para as maiorias das operações de tratamento, que as três categorias são passíveis de serem utilizadas, sem trazer uma discriminação mais granular
dos tipos de dados tratados.
5.8.2.26. Embora o risco de tratamento excessivo de dados exista em praticamente todas as atividades de tratamento, a existência deste risco não foi
mencionada em nenhum dos RoPAs, o que também impede que medidas de mitigação a ele sejam propostas.
5.8.2.27. No Anexo X, o WhatsApp apresenta o modelo de três contratos gerais que envolvem compartilhamento de dados, dentre os quais, dados
pessoais, com terceiros. São eles:
a) Contrato Geral de Patrocínio de Eventos (CGPE);
b) Contrato Geral de Assinatura (CGA); e
c) Contrato de Serviços Profissionais (CSP).
5.8.2.28. Em todos os contratos, é possível identificar algumas cláusulas e/ou anexos que trazem regras quanto ao tratamento de dados pessoais e quanto
à conformidade com legislações de proteção de dados pessoais aplicáveis. A análise a seguir destaca as principais salvaguardas identificadas levando em
consideração o escopo de aplicabilidade no território nacional brasileiro.
5.8.2.32. Conclusão
5.8.2.33. Ante o exposto, com fundamento nos itens 5.136 e 6.145.10 da Nota Técnica nº 19/2021/CGF/ANPD, que recomendou que o WhatsApp
apresentasse os controles administrativos relativos à privacidade da informação entende-se que recomendação (e.2) foi atendida.
5.8.2.34. Encaminhamento
5.8.2.35. Não obstante, considerando as informações apresentadas e o exposto acima, recomenda-se a abertura de procedimento específico para avaliar o
compartilhamento de dados pessoais entre WhatsApp e as empresas do grupo Facebook, no intuito de apurar sua adequação aos termos da LGPD.
5.8.3. Recomendação (e.3) Implementação de medidas de privacy by design and by default
5.8.3.1. Na Nota Técnica 19 (SEI nº 2675286), a recomendação ‘e.3’ solicitou que o WhatsApp informasse à ANPD quais medidas de privacy by design
(privacidade desde a concepção) e de privacy by default (privacidade por padrão) foram adotadas pelo WhatsApp, para além da criptografia fim-a-fim de suas
mensagens na aplicação.
5.8.3.2. Na Petição de 30 de agosto de 2021 (SEI nº 2848064), o WhatsApp se manifestou quanto a essa solicitação.
5.8.3.3. Análise
5.8.3.4. e.3.a – Autenticação em duas etapas
5.8.3.5. Nas reuniões técnicas com a ANPD, o WhatsApp informou que o recurso de confirmação em duas etapas está relacionado à “segurança das contas
e não é uma medida de privacy by default. É um recurso opcional fornecido pelo WhatsApp que fornece uma camada adicional de proteção de segurança para
as contas dos usuários” (SEI nº 2848064). Além disso, a empresa explicou que a autenticação em dois fatores não seria uma prática usual da indústria, e que
criaria dificuldades adicionais a seus usuários na hipótese de esquecimento do PIN de acesso à conta.
5.8.3.6. Tradicionalmente, essa tem sido uma abordagem de empresas que resistem à implementação de funcionalidades de privacidade por padrão: o
entendimento de que a privacidade seria obtida às custas de outras funcionalidades, apresentando dicotomias como “privacidade x usabilidade”, “privacidade x
funcionalidade”, “privacidade x benefício comercial” e até mesmo “privacidade x segurança”. Sua lógica seria a de um jogo de soma zero, no qual esses conceitos
seriam mutuamente exclusivos, quando, na verdade, seria recomendável que funcionalidade, usabilidade e segurança não fossem condicionados à perda de
privacidade, inclusive por padrão.[26]
5.8.3.7. O WhatsApp informou, no entanto, que disponibiliza artigos específicos sobre o tema em sua central de ajuda, bem como campanhas em
diferentes mídias explicando a usuários como habilitar a autenticação em dois fatores em suas aplicações.
5.8.3.8. Em sua petição complementar, de 15 de outubro de 2021 (SEI nº 2951339), o WhatsApp apresentou uma proposta de cartilha de segurança para
usuários (Doc. 12), “que pretende promover a conscientização sobre medidas de privacidade e segurança e encorajar os usuários a habilitar o recurso de
confirmação em duas etapas”. Esse material pretende aprimorar não apenas a adoção da autenticação em dois fatores, mas também outras medidas de
privacidade. Apesar de essas medidas não terem sido habilitadas por padrão pelo WhatsApp, seu estímulo tem o condão de aumentar a segurança e a
privacidade de usuários, já que a cartilha fornece maiores informações sobre esses recursos, como evitar fraudes e como utilizar a aplicação de forma

responsável.

5.8.3.9. Na última seção da cartilha, a empresa informa a seus usuários que a “privacidade é automática”, fazendo referência à criptografia ponta-a-ponta
como uma funcionalidade instituída por padrão na aplicação.
5.8.3.10. e.3.b – Minimização de tratamento de dados
5.8.3.11. No que diz respeito à minimização de dados, a empresa também afirmou que implementa uma “abordagem de minimização de dados, que
garante que a empresa só trata os dados pessoais que sejam realmente necessários para fornecer os serviços WhatsApp aos usuários” (SEI nº 2848064).
5.8.3.12. Isso pode ser evidenciado, por exemplo, quando a empresa declara não coletar dados relativos à data de nascimento de seus usuários, a fim de
minimizar o tratamento de dados pessoais necessários ao fornecimento de seus serviços.
5.8.3.13. O Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”) sobre a Interação dos Serviços do WhatsApp Business com o WhatsApp Messenger
(SEI nº 2848074) informa ainda que o WhatsApp não processa dados para revelar ou inferir dados pessoais sensíveis sobre os usuários, bem como que a
criptografia de ponta-a-ponta impede a leitura ou escuta de mensagens e ligações pessoais pela empresa, o que consistiria em uma medida de privacy by design
e privacy by default. Essa informação acerca do tratamento de dados sensíveis é reiterada no Teste de Balanceamento de Legítimo Interesse sobre o
Compartilhamento de Informações pelo WhatsApp (SEI nº 2848076).
5.8.3.14. É importante ressaltar, no entanto, que várias das aplicações oferecidas pela empresa, como o Facebook Pay, a integração Clique para o
WhatsApp (CTWA) e a interação com BSP podem dar ensejo a inferências acerca de dados pessoais sensíveis.[27] Metadados decorrentes dessas aplicações
revelam padrões de atividade de titulares que, com o auxílio de ferramentas de análise e ciência de dados, aliadas a bases de dados já tratadas pelas empresas
do grupo, permitem a concretização de diversas inferências, inclusive sobre dados sensíveis, especialmente para fins de publicidade direcionada e crescimento
orgânico de suas redes (sugestão de contas a adicionar – “people you may know”). Muito embora esse risco não seja motivo para invalidar as ferramentas de
privacy by design[28] e privacy by default apresentadas, não restou suficientemente claro como as ferramentas de privacy by design atualmente instituídas
poderiam mitigar eventuais riscos à privacidade e proteção de dados sensíveis de titulares nesses contextos.
5.8.3.15. e.3.c – Medidas adicionais de segurança
5.8.3.16. O WhatsApp também lista algumas medidas adicionais de segurança que a empresa adota, para além da criptografia ponta-a-ponta. Por exemplo,
existem controles de acesso físico às instalações em que ocorre o tratamento de dados pelo WhatsApp, bem como controles de acesso de colaboradores a seus
sistemas. Também é informada a existência de controles organizacionais, como registro de acesso a banco de dados e planos de resposta a incidentes, que
coadunam com uma postura proativa de boas práticas administrativas recomendadas à proteção de dados pessoais.
5.8.3.17. Entre os controles técnicos que o WhatsApp afirma manter, estão programas de gerenciamento de vulnerabilidades, recompensas para usuários
que reportam vulnerabilidades e protocolos de confidencialidade para dados em trânsito, entre outros.
5.8.3.18. e.3.d – Autodeterminação de configurações de privacidade
5.8.3.19. Ao relacionar o exercício de direitos individuais às funcionalidades de privacy by design, o WhatsApp afirma que seus usuários têm direito de
acessar, retificar, portar, excluir e confirmar que o WhatsApp trata seus dados, além de se opor ao tratamento de certos dados.
5.8.3.20. A empresa também deixa a critério de seus usuários o gerenciamento de alguns dados pessoais, como o número de telefone, nome, foto e
descrição de perfil:
Os usuários podem gerenciar, alterar, limitar ou excluir suas informações de certas maneiras, incluindo por meio da (i) alteração de suas configurações de privacidade;
(ii) alteração do seu número de telefone celular, nome e foto de perfil, e informações “Sobre” si mesmos; ou (iii) exclusão de suas contas. Como mencionado no item
“Segurança Física e Segurança no Ambiente”, o WhatsApp tem procedimentos para o descarte e a exclusão segura de dados (SEI nº 2848064).
5.8.3.21. O WhatsApp informou também que oferece outras medidas de escolha de configuração de privacidade a seus usuários, como: o controle das
configurações de privacidade de seus grupos (quem pode adicionar o usuário a um grupo); a autenticação biométrica para acessar o aplicativo (Touch ID e Face
ID); o ajuste de configurações de leitura de mensagens; a habilitação opcional da funcionalidade “visto por último”, que informa a outros usuários o último
momento em que o titular acessou o aplicativo; o controle acerca de quem pode acessar sua foto de perfil e suas atualizações de status no WhatsApp (SEI nº
2848064).
5.8.3.22. Essas estratégias de privacidade por concepção listadas pela empresa, de acordo com as informações prestadas, não são por padrão. Ou seja,
assim como a autenticação em dois fatores, a empresa oferece uma variedade de funcionalidades que poderiam aumentar o grau de privacidade e de segurança
de seus usuários, desde que eles as habilitem posteriormente à inscrição na aplicação.
5.8.3.23. Pelas informações fornecidas pelo WhatsApp, as configurações de personalização de privacidade (autenticação em dois fatores, restrição de
visualização de foto e status somente a contatos do usuário, restrição à possibilidade de inclusão em grupos etc.) tampouco são estimuladas no momento da
instalação da aplicação, algo que poderia corroborar a adoção por padrão de configurações mais robustas de segurança e privacidade.
5.8.3.24. e.3.e – Privacidade desde a concepção e por padrão
5.8.3.25. As melhores práticas de privacidade e proteção de dados recomendam que a configuração padrão desde a concepção das aplicações seja definida
no nível que fornece a máxima privacidade possível. Se o usuário não modificar a configuração, sua privacidade seria garantida e permaneceria intacta, pois
estaria integrada ao sistema e constituiria sua configuração padrão.
5.8.3.26. A proteção de dados por padrão preconiza que a empresa, além de processar apenas os dados necessários para atingir suas finalidades de
tratamento, adote uma postura de ‘privacidade em primeiro lugar’ com quaisquer configurações de sistemas e aplicativos, garantindo que os dados pessoais não
sejam automaticamente disponibilizados publicamente a terceiros, a menos que o usuário decida disponibilizá-los. Ou seja, a privacidade por padrão envolve
funcionalidades de privacidade opt out, em que o usuário pode escolher diminuir seu grau de privacidade por padrão, e não o contrário.
5.8.3.27. É recomendável que a empresa desenhe seus sistemas, serviços, produtos e práticas comerciais para proteger os dados pessoais
automaticamente. Com a privacidade efetivamente incorporada aos sistemas da aplicação, o usuário não precisaria tomar providências adicionais para proteger
seus dados, já que sua privacidade existe por padrão, sem que sejam necessários passos adicionais.
5.8.3.28. Inclusive, a justificativa do WhatsApp de que a autenticação por dois fatores criaria dificuldades adicionais para os seus usuários é a mesma que
favorece o argumento da adoção de medidas por padrão de outras funcionalidades relacionadas à privacidade: se elas fossem automaticamente viabilizadas
pela plataforma, sem que o usuário tivesse que escolher ativamente habilitá-las (opt in), isso evitaria dificuldades adicionais na proteção de sua privacidade e
segurança ao usar o aplicativo, provavelmente de maneira mais efetiva que qualquer campanha de conscientização ou seção destacada no FAQ.
5.8.3.29. Conclusão
5.8.3.30. Diante das informações fornecidas, é possível avaliar que existem esforços da empresa no sentido de oferecer mecanismos de privacidade desde a
concepção e privacidade por padrão, todavia, entende-se que essas aplicações apresentadas pelo WhatsApp atendem minimamente, os requisitos inicialmente
formulados.
5.8.3.31. Para atender de forma ideal, o usuário não teria que tomar providências para proteger seus dados, já que sua privacidade existiria por padrão,
sem que fossem necessários passos adicionais, por exemplo: (i) a funcionalidade “visto por último” viria desabilitada por padrão; (ii) a visualização de foto
pessoal e de status viriam pré-marcadas como somente a contatos do usuário; e (iii) a possibilidade de inclusão em grupos viria pré-marcada somente por
contatos.
5.8.3.32. Igualmente, a implementação dessas escolhas e a autenticação em dois fatores poderiam ser incentivadas quando um usuário se cadastra no
aplicativo (configurações iniciais).
5.8.3.33. Ante o exposto, com fundamento nos itens 5.144 e 6.145.11 da Nota Técnica nº 19/2021/CGF/ANPD, que recomendou que o WhatsApp
apresentasse medidas de privacy by design e privacy by default entende-se que recomendação (e.3), para fins do presente processo, foi atendida, sem prejuízo
de eventual análise posterior em processo específico instaurado para avaliar o tema, inclusive de forma mais ampla, envolvendo a proteção de dados pessoais
em outros aplicativos e no ambiente digital de forma geral.
5.8.3.34. Encaminhamento
5.8.3.35. Por oportuno, a partir da análise da documentação fornecida, percebe-se que existem medidas que poderiam intensificar o resguardo à
privacidade dos usuários. Nesse sentido, foram identificados acima determinados pontos de atenção que podem vir a ser objeto de posterior ação preventiva e
fiscalizadora por parte da ANPD.
5.9. DA RECOMENDAÇÃO CONJUNTA ANPD/CADE/MPF/SENACON
5.9.1. Em tempo, importa resgatar os termos da recomendação conjunta, no intuito de prestar contas acerca de sua observância ou atendimento,
considerando todas as medidas adotadas pelo WhatsApp para atender as recomendações da ANPD constantes da Nota Técnica nº 02/2021/CGTP/ANPD e da
Nota Técnica nº 19/2021/CGF/ANPD. Em 7 de maio de 2021, ANPD, CADE, MPF e SENACON expediram recomendação conjunta nos seguintes termos:
RECOMENDAÇÃO CONJUNTA
Para proteção dos direitos e interesses dos consumidores brasileiros e dos princípios da ordem econômica prevista na Constituição Federal, com objetivo de que as
empresas abaixo indicadas, sob pena de estarem violando a legislação brasileira e participando de prática que viola os direitos do consumidor brasileiro e o direito
fundamental à proteção de dados, reconhecido pelo Supremo Tribunal Federal no julgamento das Ações Diretas de Inconstitucionalidade nº 6387, 6388, 6389, 6390 e
6393, adotem as obrigações adiante especificadas:
(A) ao WHATSAPP INC:
(I) proceder ao adiamento da vigência de sua Política de Privacidade enquanto não adotadas as recomendações sugeridas após as análises dos órgãos reguladores;
(II) abster-se de restringir o acesso dos usuários às funcionalidades do aplicativo, caso estes não adiram à nova política de privacidade, assegurando-lhes a
manutenção do atual modelo de uso e, em especial, a manutenção da conta e o vínculo com a plataforma, bem como o acesso aos conteúdos de mensagens e
arquivos, pois configuraria conduta irreversível com potencial altamente danoso, inclusive aos direitos dos consumidores, antes da devida análise pelos órgãos
reguladores competentes;
(III) adotar as providências orientadas às práticas de tratamento de dados pessoais e de transparência, nos termos da LGPD, conforme Relatório nº 9/2021/CGF/ANPD
e Nota Técnica nº 02/2021/CGTP/ANPD;
(B) Ao FACEBOOK MIAMI INC., ao FACEBOOK GLOBAL HOLDINGS III, LLC, ao FACEBOOK SERVIÇOS ONLINE DO BRASIL LTDA., sociedade empresária limitada que possui
como únicas sócias as duas primeiras pessoas jurídicas citadas, e a quaisquer outras empresas do grupo FACEBOOK:
(I) abster-se de realizar qualquer tipo de tratamento ou compartilhar dados recebidos a partir do recolhimento realizado pelo WhatsApp Inc. com base nas alterações
da Política de Privacidade do aplicativo previstas para entrar em vigor no dia 15 de maio de 2021, enquanto não houver o posicionamento dos órgãos reguladores.
Análise
5.9.2. Em atenção às recomendações dirigidas ao WhatsApp, especificamente quanto ao item A.I, importa observar que esta recomendação se deu em
função da leitura preliminar dos quatro órgãos, ANPD, CADE, MPF e Senacon acerca da alteração na política de privacidade. Naquele momento, justificou-se tal
medida preventiva diante do receio de que a alteração da política de privacidade alterasse o tratamento de dados realizado pelo WhatsApp ou os dados que o
WhatsApp compartilha com o Facebook.
5.9.3. Em um segundo momento, diante das informações prestadas pelo WhatsApp de que atualização da política não ocasionou qualquer mudança
substancial, material que causasse um aumento da capacidade de o WhatsApp compartilhar dados com o Facebook (ver itens 5.9.6 a 5.9.8 abaixo), entende-se
que a recomendação A.I foi observada uma vez que o WhatsApp não teria implementado alterações neste compartilhamento por conta da atualização da
política com base nas alterações da Política de Privacidade do aplicativo previstas para entrar em vigor no dia 15 de maio de 2021.
5.9.4. Quanto ao item A.II, cumpre esclarecer que, em 10 de maio de 2021, o WhatsApp expressamente informou a esta Autoridade no documento
Petição – Resposta 4 do WhatsApp aos Ofícios 43 e 51 (SEI nº 2557107) que não limitaria as funcionalidades ou acesso ao aplicativo e que nenhum usuário teria a
conta suspensa ou limitada em razão da não aceitação da atualização da política de privacidade.

  1. Em linha com o seu interesse de continuar a conscientização de seus usuários sobre a atualização dos Termos, o WhatsApp serve-se desta para comunicar que não
    suspenderá funcionalidades ou acessos de usuários nas semanas seguintes ao dia 15 de maio, o que significa agora que nenhum usuário terá o acesso à sua conta
    suspenso ou limitado em razão da não aceitação da atualização.
  2. Essa informação já foi, inclusive, publicamente anunciada pelo WhatsApp, conforme consta na página da empresa na seção “O que acontecerá quando os Termos de
    Serviço e Política de Privacidade atualizados entrarem em vigor?”[29] [Grifos e itálicos no original]
    5.9.5. No que se refere ao item A.III, seu atendimento foi justamente objeto da análise da Nota Técnica nº 19/2021/CGF/ANPD (SEI nº 2675286) e desta
    Nota Técnica e as conclusões constam no tópico a seguir.
    5.9.6. No que se refere a recomendação B.I, importa citar trecho da resposta do WhatsApp encaminhada a esta Autoridade, em 20 de janeiro de 2021,
    por meio do documento Correspondência – Resposta do WhatsApp ao OFÍCIO 16 (SEI nº 2344974):
    É importante destacar que os Termos atualizados não expandem a capacidade do WhatsApp de compartilhar dados com o Facebook. O WhatsApp já possui a
    prerrogativa de compartilhar dados com o Facebook, de acordo com a sua Política de Privacidade atual, em vigor desde 2016. Além disso, ressalta-se que atualizações
    periódicas de termos e políticas de privacidade são comuns no setor, e esta atualização tem como objetivo fornecer aos usuários mais transparência sobre as práticas
    de tratamento de dados do WhatsApp, incluindo recursos comerciais e opcionais do WhatsApp que permitem uma melhor comunicação entre pessoas e empresas no
    WhatsApp.
    5.9.7. Tal resposta foi reforçada no documento Petição – Resposta 4 do WhatsApp aos Ofícios 43 e 51 (SEI nº 2557107)
    Em outras palavras, os novos Termos do WhatsApp fornecem, na verdade, informações adicionais e mantém os usuários ainda mais informados sobre como a
    empresa lida com os dados de seus usuários e sobre o seu compromisso com a privacidade. Por exemplo, a linguagem foi atualizada para melhorar a legibilidade e
    introduzir uma formatação mais clara. Como mencionado anteriormente, a atualização não importa qualquer mudança substancial, material ou significativa na
    prestação dos serviços ou na coleta de dados pessoais pelo WhatsApp. A atualização foi implementada para conferir maior transparência aos usuários, sem expandir a
    capacidade de compartilhamento de dados pelo WhatsApp para uso próprio do Facebook.
    5.9.8. Nesse sentido, considerando a alegação supra, de que atualização da política não ocasionou qualquer mudança substancial, material que causasse
    um aumento da capacidade de o WhatsApp compartilhar dados com o Facebook, entende-se que a recomendação B.I foi observada uma vez que o WhatsApp
    não teria realizado qualquer tipo de tratamento ou compartilhado dados com base nas alterações da Política de Privacidade do aplicativo previstas para entrar
    em vigor no dia 15 de maio de 2021.
    5.9.9. Conclusão
    5.9.10. Ante o exposto no tópico acima e considerando as medidas adotadas pelo WhatsApp em atenção às recomendações ‘a’ até ‘e’ da Nota Técnica nº
    02/2021, atualizadas pela Nota Técnica nº 19/2021/CGF/ANPD, entende-se que os itens constantes da Recomendação Conjunta foram observados e atendidos
    pela WhatsApp, não se vislumbrando a necessidade de adoção de quaisquer providências adicionais em relação a esse ponto.
  3. CONCLUSÃO
    6.1. Diante de todo o exposto, considerando as recomendações constantes da Nota Técnica nº 02/2021/CGTP/ANPD (SEI nº 2461963), da
    Recomendação Conjunta Cade, MPF, ANPD e Senacon (SEI nº 2572034), e da Nota Técnica nº 19/2021/CGF/ANPD, em atenção às informações trazidas pelo
    WhatsApp, tanto nos autos deste processo quanto nos autos do processo sigiloso nº 00261.001022/2021-59, a Coordenação-Geral de Tecnologia e Pesquisa e a

Coordenação-Geral de Fiscalização informam o que segue.

6.2. Considerando o relatório e a análise descritos na Nota Técnica 19 (SEI nº 2675286) como ponto de partida, principalmente o item 6.145, haviam
restado pendentes naquela oportunidade as determinações previstas nos itens a, b.1, b.3, c.1, c.4, d.1, d.2, e.1, e.2 e e.3.
6.3. Após a análise da extensa documentação encaminhada de forma cooperativa pelo controlador concluiu-se que foram atendidas as
determinações relativas aos itens ‘a’ (subitens 6.145.1, 6.145.1.1 e 6.145.1.2 da Nota Técnica nº 19/2021); ‘b.1’ (subitens 6.145.2, 6.145.2.1 e 6.145.2.2 da Nota
Técnica nº 19/2021); ‘b.3’ (subitens 6.145.3, 6.145.3.1 e 6.145.3.2 da Nota Técnica nº 19/2021); ‘c.1’ (subitens 6.145.5 e 6.145.5.1 da Nota Técnica nº 19/2021);
‘c.4’ (subitens 6.145.6 da Nota Técnica nº 19/2021); ‘d.1’ (subitens 6.145.7, 6.145.7.1, 6.145.7.2, 6.145.7.3 e 6.145.7.4 da Nota Técnica nº 19/2021); ‘d.2’
(subitens 6.145.8, 6.145.8.1 e 6.145.8.2 da Nota Técnica nº 19/2021); ‘e.1’ (subitem 6.145.9 da Nota Técnica nº 19/2021); ‘e.2’ (subitem 6.145.10 da Nota
Técnica nº 19/2021) e ‘e.3’ (subitem 6.145.11 da Nota Técnica nº 19/2021)
6.4. Igualmente, os itens constantes da Recomendação Conjunta Cade, MPF, ANPD e Senacon (SEI nº 2572034) foram observados e atendidos pela
WhatsApp, não se vislumbrando a necessidade de adoção de quaisquer providências adicionais em relação a esse ponto.
6.5. Após a análise, diante das informações prestadas e procedimentos adotados, a Coordenação-Geral de Fiscalização constatou a necessidade de
encaminhamentos, que constam dos itens 1 a 5 na Seção 7. Encaminhamentos.
6.6. Recapitulando-se a situação das determinações expedidas no item 6.145 da Nota Técnica 19 (SEI nº 2675286), tem-se o quadro abaixo.
Determinação NT 019 Teor da Determinação Situação
Após Análise Encaminhamentos/Pendências
6.145.1 (a) 6.145.1.1 Relatório de Impacto à Proteção de Dados – Integração entre WA
e WAB Atendida Não
6.145.1 (a) 6.145.1.2
Adaptar Termos de Serviço do WAB, Termos de Tratamento de
Dados do WAB e Adendo sobre Transferência de dados do WAB
(NT19)
Atendida Não
6.145.2 (b.1) 6.145.2.1 Seção “Finalidades e categorias de dados pessoais tratados” –
Política de Privacidade (vide política europeia) Atendida Não
6.145.2 (b.1) 6.145.2.2 Refazer Teste de Balanceamento do Legítimo Interesse (NT19) Atendida Não
b.2 – Seção “Compartilhamento de Dados com o Facebook” – Política
de Privacidade Atendida Não
6.145.3 (b.3) 6.145.3.1
Seção “Compartilhamento de Dados com as Empresas” – Política
de Privacidade

  1. ENCAMINHAMENTOS
    7.1. Em atenção as conclusões acima, com fundamento na análise constante na seção 5 Análise, adote-se os seguintes encaminhamentos:
    7.1.1. Remeta-se esta nota técnica ao controlador para conhecimento e, se for de seu interesse, indicação, mediante manifestação fundamentada, em
    até de 5 (cinco) dias úteis, dos trechos desta Nota cuja divulgação poderia violar o sigilo comercial e industrial;
    7.1.2. Em razão do esforço dos quatro órgãos – ANPD, CADE, MPF e Senacon –, que resultou na expedição da Recomendação Conjunta (SEI nº 2572034),
    no intuito de reconhecer o valor a oportunidade de manter uma atuação conjunta e concertada, remeta-se esta nota técnica aos demais órgãos de fiscalização
    envolvidos, CADE, Senacon e Ministério Público Federal;
    7.1.3. Elabore-se nota pública para inserção no sítio da ANPD para atualizar a sociedade, com disponibilização da Nota Técnica nº 19/2021 e desta Nota
    Técnica, uma vez transcorrido o prazo previsto no item 7.1.1 supra sem manifestação do interessado; e
    7.1.4. Instaure-se procedimento específico para avaliar o compartilhamento de dados pessoais entre WhatsApp e as empresas do grupo Facebook
    (Meta), no intuito de apurar sua adequação aos termos da LGPD.
    [1] VI. Análise dos Termos de Uso e Políticas do WhatsApp Business, páginas 16 a 19 da Nota Técnica 02/2021/CGTP/ANPD (SEI nº 2461963).
    [2] Conforme exemplo do ICO, disponível em https://ico.org.uk.
    [3] Página 45 do RIPD apresentado para atendimento do item “a” do item 191 da Nota Técnica 02/2021/CGTP/ANPD (SEI nº 2461963).
    [4] Nesta página é indicado artigo técnico sobre a criptografia adotada. https://scontent.whatsapp.net/v/t39.8562-
    34/245305453_164135225913586_984940580742492749_n.pdf/whatsapp_security_whitepaper_PT_BR.pdf?ccb=1-
    5&_nc_sid=2fbf2a&_nc_ohc=xkkYzDYpfJUAX-h1RJs&_nc_ht=scontent.whatsapp.net&oh=1238958587698d85be403464a1bdfa67&oe=61A2B8E7
    [5] Disponível em https://faq.whatsapp.com/general/security-and-privacy/answering-your-questions-about-whatsapps-privacy-policy.
    [6] Disponível em https://www.whatsapp.com/.
    [7] Disponível em https://www.whatsapp.com/security.
    [8] Disponível em https://faq.whatsapp.com/.
    [9] Disponível em https://www.whatsapp.com/legal/updates/privacy-policy.
    [10] Disponível em: https://www.whatsapp.com/legal/updates/privacy-policy
    [11] Disponível em: https://www.whatsapp.com/legal/brazil-privacy-notice
    [12] Disponível em: https://www.whatsapp.com/legal/brazil-privacy-notice/why-and-how-we-process-data
    [13] EEA: European Economic Area. Área econômica europeia.
    [14] Discorda-se de qualquer avaliação que afirme não haver risco no tratamento de dados pessoais, já que mesmo os controladores que se encontram no estado da
    arte podem ser afetados por incidentes de segurança, causados por atacantes externos ou por falha explorada junto a sua equipe de trabalho. Em regra 20% (vinte por
    cento) dos incidentes de segurança ocorrem com controladores que se encontram em condições ideais de cibersegurança.
    [15] Disponível em: https://faq.whatsapp.com/general/security-and-privacy/about-new-business-features-and-whatsapps-privacy-policy-update/?lang=pt_br.
    Visitado em 5 de novembro de 2021.
    [16] Disponível em: https://faq.whatsapp.com/general/security-and-privacy/end-to-end-encryption-for-business-messages e
    https://faq.whatsapp.com/general/security-and-privacy/end-to-end-encryption. Visitados em 5 de novembro de 2021.

[17] Fonte: https://faq.whatsapp.com/general/chats/about-chatting-with-businesses/?lang=pt_br









[18] Disponível em: https://www.whatsapp.com/legal/brazil-privacy-notice/?lang=pt_br.
[19] Disponível em: https://www.whatsapp.com/contact/forms/263782518833525/.
[20] O formulário anterior pode ser consultado na Nota Técnica nº 02/2021 (SEI 2461963, p. 33).
[21] Disponível em: https://faq.whatsapp.com/general/exercising-your-privacy-rights-on-whatsapp?region=Brazil.
[22] Disponível em: < https://faq.whatsapp.com/general/status/how-to-share-whatsapp-status-updates-to-other-apps >. Visitado em 26 abr. 2022.
[23] Angelini K., et all., Privacidade e proteção aos dados pessoais de crianças e adolescentes na Internet: marco legal e ações estratégicas para prover direitos na era
digital. In PRIVACIDADE E PROTEÇÃO DE DADOS DE CRIANÇAS E ADOLESCENTES. LATERÇA, Priscilla Silva; FERNANDES, Elora; TEFFÉ, Chiara
Spadaccini de; BRANCO, Sérgio (Coords.). Rio de Janeiro: Instituto de Tecnologia e Sociedade do Rio de Janeiro; Obliq, 2021. E-book.
[24] Frazão, Ana. Proteção de dados, inteligência artificial e crianças. In PRIVACIDADE E PROTEÇÃO DE DADOS DE CRIANÇAS E ADOLESCENTES.
LATERÇA, Priscilla Silva; FERNANDES, Elora; TEFFÉ, Chiara Spadaccini de; BRANCO, Sérgio (Coords.). Rio de Janeiro: Instituto de Tecnologia e Sociedade
do Rio de Janeiro; Obliq, 2021. E-book.
[25] Teffé, C. Spadaccini de. Dados sensíveis de crianças e adolescentes: aplicação do melhor interesse e tutela integral. In. In PRIVACIDADE E PROTEÇÃO DE
DADOS DE CRIANÇAS E ADOLESCENTES. LATERÇA, Priscilla Silva; FERNANDES, Elora; TEFFÉ, Chiara Spadaccini de; BRANCO, Sérgio (Coords.). Rio
de Janeiro: Instituto de Tecnologia e Sociedade do Rio de Janeiro; Obliq, 2021. E-book.
[26] Agência Espanhola de Proteção de Dados. A Guide to Privacy by Design. Outubro 2019, p. 8-9. Disponível em: A Guide to Privacy by Design (aepd.es)
[27] Ver: WACHTER, Sandra; MITTELSTADT, Brent. A right to reasonable inferences: re-thinking data protection in the age of Big Data and AI. Columbia
Business Law Review, 2019(2), Outubro 2018. Disponível em: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3248829, p. 497-498; WACHTER, Sandra.
Affinity Profiling and Discrimination by Association in Online Behavioral Advertising. Berkeley Technology Law Journal, Vol. 35, No. 2, 2020. Disponível em:
https://ssrn.com/abstract=3388639; O´FLAHERTY, Kate. All the data WhatsApp and Instagram send to Facebook. Wired, 24 de julho de 2021. Disponível em:
https://www.wired.co.uk/article/whatsapp-instagram-facebook-data.
[28] Privacidade desde a concepção e privacidade por padrão, respectivamente.
[29] Disponível em: https://faq.whatsapp.com/general/security-and-privacy/what-happens-when-our-terms-and-privacy-policy-updates-take-effect. Acesso em 10
mai. 2021 e em 05 mai. 2022.
Documento assinado eletronicamente por Marcelo Santiago Guedes, Coordenador(a)-Geral, em 06/05/2022, às 20:42, conforme horário oficial de Brasília, com
fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020. .
Documento assinado eletronicamente por Fabricio Guimarães Madruga Lopes, Coordenador(a)-Geral, em 06/05/2022, às 20:49, conforme horário oficial de
Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020. .
Documento assinado eletronicamente por Lucas Costa dos Anjos, ANPD – Autoridade Nacional de Proteção de Dados, em 06/05/2022, às 21:42, conforme
horário oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020. .
A autenticidade do documento pode ser conferida informando o código verificador e o código CRC no site:
https://sei-pr.presidencia.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0
Referência: Processo nº 00261.000012/2021-04 SEI nº 3349643
1111

Membro
Cadastramento

Por favor, preencha todos os campos abaixo para prosseguir com o seu cadastro. Ao concluir, você será direcionado à página de pagamento. Seu cadastro é o primeiro passo para acessar nossos serviços exclusivos. Agradecemos a preferência!”

Preencha os dados do cartão de crédito abaixo.