Você já deve ter ouvido falar sobre as mudanças que o WhatsApp implementou na sua Política de Privacidade, não é verdade? Se você é um usuário recorrente desse aplicativo, saiba que essas mudanças te afetam profundamente e é importante estar antenado a elas.
O primeiro anúncio da empresa sobre essa questão, feito há mais de um ano, em 04 de janeiro de 2021, pegou muita gente de surpresa e causou desconforto em razão do compartilhamento de dados pessoais dos usuários do WhatsApp com as empresas do grupo econômico do Facebook (atualmente Meta), do qual é parte integrante.
De lá para cá a Autoridade Nacional de Proteção de Dados (ANPD) tem avaliado a questão, para garantir a adequação da política à LGPD. O órgão solicitou informações adicionais e realizou reuniões de trabalho sobre o tema com representantes da empresa e com outros órgãos públicos, como o Conselho Administrativo de Defesa Econômica (CADE), o Ministério Público Federal (MPF) e a Secretaria Nacional do Consumidor (SENACON).
Como resultado deste trabalho, a ANPD apresentou ao WhatsApp recomendações técnicas “visando ao aprimoramento da Política de Privacidade e à proteção aos direitos dos titulares”. Assim, no dia 06 de maio de 2022 expediu a 3ª Nota Técnica de nº 49/2022/CGF/ANPD que conclui a fase de avaliação das alterações feitas na Política de Privacidade do WhatsApp.
É justamente sobre esta nota técnica que trataremos neste artigo, destacando a posição da ANPD em relação aos principais pontos da política de privacidade do WhatsApp.
Índice
Por que a ANPD atuou neste caso?
Se fosse preciso responder a esta pergunta com uma só palavra, esta seria: transparência.
É a própria LGPD que prevê que é função da ANPD o zelo pela proteção dos dados pessoais, o estímulo da adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, dentre outros[1].
Como ressaltamos no nosso artigo sobre os direitos dos titulares, a proteção de dados pessoais é uma expansão do direito fundamental à privacidade, sendo que, como uma das consequências do desenvolvimento tecnológico, a proteção de dados foi alocada na categoria de direito específico, autônomo e atribuído a todas as pessoas, em igual patamar.
Em complemento, a proteção de dados pessoais é uma garantia fundamental da Constituição, conforme recente inclusão realizada pela Emenda Constitucional 115, em fevereiro de 2022. Ou seja, o seu direito à proteção dos seus dados pessoais (leia-se privacidade) não pode ser modificado e nem alterado por qualquer tipo de lei ou ato.
É por isso que a lógica das normas de proteção de dados pessoais, no fim das contas, é a proteção da pessoa humana. Assim, o titular dos dados pessoais é o núcleo da existência de qualquer lei de proteção de dados pessoais, já que eventuais violações aos direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade estão diretamente vinculados à pessoa.
A transparência é o cerne da LGPD. Ao titular de dados pessoais devem ser garantidas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Em geral, isto é feito na Política de Privacidade, documento que tratamos em detalhes em um artigo específico.
Natural que seja assim. Como afirma Rony Vaizof[2], “o objetivo da legislação é tutelar direitos fundamentais, como privacidade e o livre desenvolvimento da personalidade, por meio do tratamento ético, responsável e seguro dos dados pessoais; não há como garantir referida tutela sem a transparência.”
E ao atuar neste caso, a ANPD busca cumprir seu dever legal de garantir que a relação da empresa WhatsApp com os seus clientes, os titulares de dados pessoais, seja permeada pela transparência.
É justamente neste sentido que o comunicado publicado no site da ANPD descreve o objetivo da análise da adequação da nova Política de Privacidade do WhatsApp e a publicação da 3ª Nota Técnica de nº 49/2022/CGF/ANPD:
“Com a divulgação da 3ª Nota Técnica, a ANPD tem o objetivo de promover a orientação e o esclarecimento aos usuários do aplicativo quanto às mudanças ocorridas na Política de Privacidade, dar visibilidade para as recomendações feitas pelas instituições participantes, além de comunicar aos titulares de dados pessoais, que utilizam a ferramenta, quais são seus direitos e como exercê-los no WhatsApp’.
As principais recomendações da ANPD para a adequação da política de privacidade do WhatsApp
Adequação no Relatório de Impacto à Proteção de Dados
O Relatório de Impacto à Proteção de Dados (“RIPD”) é mais conhecido pela sigla em inglês “DPIA” (Data Protection Impact Assessment). Este é um documento concebido para descrever o tratamento de dados pessoais, avaliar a sua necessidade/proporcionalidade e ajudar a gerir os respectivos riscos aos direitos e liberdades, por meio da avaliação de tais riscos e da determinação de medidas para fazer frente a eles.
O RIPD é uma ferramenta importante de prestação de contas, já que auxilia os agentes de dados pessoais a cumprirem os requisitos da LGPD para tratamento de dados pessoais que estejam mais expostos há riscos negativos aos titulares de dados. Por meio dele é que se comprova que todo o tratamento foi realizado mediante um processo de conformidade da organização com a LGPD, no caso do Brasil.
É possível encontrar mais informações sobre o Relatório de Impacto à Proteção de Dados no nosso artigo específico sobre o assunto.
A ANPD havia determinado que o WhatsApp elaborasse um RIPD sobre a integração dos serviços WhatsApp Business e WhatsApp na Nota Técnica 02/2021/CGTP/ANPD (SEI n° 2461963). E, de acordo com o órgão, a empresa atendeu a determinação da entidade, elaborando o relatório com base nos padrões por esta determinados, observando as boas práticas realizadas no mercado em relação à questão.
A documentação elaborada pela empresa engloba informações sobre:
- a descrição das operações e o escopo do tratamento;
- categorias dos dados pessoais tratados;
- tratamento típico dos dados pessoais;
- identificação dos controladores e operadores envolvidos;
- atendimento dos princípios de proteção de dados pessoais;
- mecanismos para assegurar os direitos dos titulares;
- mecanismos para assegurar a conformidade dos demais operadores;
- mecanismos e procedimentos administrativos para assegurar o tratamento de dados de forma segura, e;
- avaliação dos riscos e meios de mitigação.
É importante destacar que a ANPD ressaltou o fato de que alguns documentos disponibilizados pelo WhatsApp ao titular estão em língua estrangeira (inglês ou espanhol), o que poderia ser alterado para aumentar a transparência das formas de proteção de dados pessoais pela empresa.
Entretanto, a própria ANPD reconhece a limitação da entidade no exercício do seu poder regulador a determinar o que está expressamente estabelecido na LGPD ou nos seus regulamentos.
Bases legais e finalidades para o tratamento
Em recomendações anteriores, a ANPD havia apontado a necessidade da criação de sessões na Política de Privacidade que informem aos titulares as bases legais utilizadas e as correlacione às finalidades e categorias de dados pessoais tratados.
Como já explicamos, a Política de Privacidade é o documento produzido pelo agente de tratamento, que descreve todas as práticas e medidas de privacidade e segurança por ele adotadas no tratamento dos dados, em conformidade com o determinado pela LGPD.
O principal objetivo deste documento é garantir a transparência, o pilar da legislação de proteção de dados.
Pela necessidade de ser transparente, esse importante documento deve também ser acessível, tanto do ponto de vista técnico – uso de terminologia de fácil compreensão – quanto do ponto de vista do alcance – o documento deve estar facilmente disposto nos principais meios de comunicação do agente de tratamento, como site e redes sociais.
A recomendação da ANPD era, portanto, extremamente importante para fins de transparência. De acordo com a nota técnica da entidade, a leitura da política de privacidade do WhatsApp era confusa, já que não trazia expressamente a indicação de aplicação aos titulares brasileiros.
Ou seja, a ANPD quis dizer que “a política não estava adaptada em sua plenitude às disposições da LGPD nem aparentavam terem sido elaboradas especialmente para o público brasileiro.”
Por sua vez, a versão da política de privacidade atual traz um tópico denominado “como tratamos seus dados” contendo um link apontando para as “categorias de informações utilizadas e por que e como são tratadas”.
Com as informações disponibilizadas de forma mais clara e completa, a ANPD considerou que a recomendação foi atendida.
Teste de balanceamento de legítimo interesse
Como desenvolvemos no artigo específico sobre o tema, a LGPD limita a aplicação da base legal do legítimo interesse por meio da previsão de critérios específicos. Isso acontece para impedir que tal base legal seja utilizada como carta branca para a realização de tratamentos de dados pessoais, servindo para balancear o interesse econômico do agente de tratamento e os direitos e liberdades fundamentais do titular.
O artigo 10 da LGPD prevê as condições para a aplicação do legítimo interesse. Como resultado das discussões no Congresso Nacional que refletiram uma preocupação com a alta carga de discricionariedade dos atores que viriam a fazer uso da base legal do legítimo interesse para tratar dados pessoais, o artigo 10 também incorpora alguns elementos normativos europeus, já que também na Europa esse debate ocorreu.
O Grupo de Trabalho do Artigo 29[3] desenvolveu um teste composto de quatro fases para a adequada utilização da base legal do legítimo interesse no tratamento de dados pessoais: o Legitimate Interests Assessment (LIA). O LIA, aplicado no contexto da Lei de Proteção de Dados da União Europeia, a chamada “GDPR” (General Data Protection Resolution), possui algumas variações quanto à sua aplicação. Alguns países aplicam o LIA em três fases, por exemplo. O artigo 10 da LGPD reflete a aplicação desse teste em quatro fases.
O objetivo do teste é balancear os direitos e interesses em jogo: do titular, cuja proteção dos dados pessoais é direito fundamental, e dos agentes que fazem uso de tais dados, especialmente para fins econômicos.
A ANPD havia determinado que o WhatsApp elaborasse novamente o teste de legítimo interesse, visando esclarecer as medidas de segurança adotadas que garantem a privacidade e a proteção dos dados pessoais dos usuários.
De acordo com a ANPD, o WhatsApp “atendeu à determinação de nova elaboração dos testes de balanceamento de legítimo interesse e demonstrou de forma clara seus objetivos específicos e legítimos”.
A própria entidade ressalta, contudo, que os testes apresentados não incluem atividades nas quais o WhatsApp atualmente compartilha dados com outras empresas da Meta ou terceiros em uma relação de controlador e operador.
Direitos dos titulares
A ANPD recomendou que o WhatsApp disponibilizasse em destaque as informações para que o titular possa exercer seus direitos na Política de Privacidade, fazendo constar uma seção específica intitulada “como exercer seus direitos”.
Esta recomendação mostra com clareza a preocupação da ANPD com a transparência, explicitando que não basta disponibilizar um canal de atendimento aos direitos dos titulares, mas que tal canal deve ser encontrado de forma extremamente simples do ponto de vista do titular.
Em resposta, o WhatsApp criou o “Aviso de Privacidade-Brasil”, reorganizando as informações em capítulos separados para facilitar o acesso e análise dos titulares e elaborou um FAQ específico sobre como os usuários podem exercer seus direitos.
Além disso, a empresa inseriu novas informações e maior detalhamento sobre o exercício dos direitos dos titulares. De acordo com a ANPD, “passou a constar do próprio Aviso de Privacidade informações sobre como acessar ou portar dados, como apagar a conta e sobre o eventual exercício do consentimento pelo usuário, incluindo a possibilidade de retirá-lo a qualquer momento”.
Ainda, o titular pode entrar em contato com a empresa ou com seu encarregado (DPO) para exercer quaisquer dos seus direitos por meio de um link disponibilizado no Aviso de Privacidade (em “Fale com o WhatsApp”).
Finalmente, o WhatsApp apresentou à ANPD duas cartilhas que facilitam e auxiliam na promoção da autodeterminação informativa e do acesso à informação pelo titular quanto ao exercício de seus direitos. As cartilhas abordam os seguintes assuntos: “orientações para os pais e responsáveis legais sobre o uso do WhatsApp” e “Segurança e Privacidade no WhatsApp”.
Conclusão
Como resultado da análise de adequação da nova Política de Privacidade do WhatsApp realizada pela ANPD, a entidade concluiu estarem atendidas todas as recomendações feitas à empresa.
Não obstante, a ANPD ressaltou que “mesmo após o atendimento das recomendações da ANPD pelo WhatsApp, a Autoridade seguirá analisando os desdobramentos da alteração da política de privacidade do aplicativo no País”.
Seguiremos acompanhando as análises realizadas pela ANPD sobre esta questão.
Gostou do conteúdo? Para receber nossos próximos conteúdos sobre proteção de dados pessoais, cadastre-se abaixo em nossa newsletter.
Você também pode nos avaliar no Google, seu feedback é o que nos motiva a continuar produzindo conteúdos relevantes e atualizados.
*Imagem de Getty Images, no Canva Pro.
[1] LGPD, Art. 55-J. Compete à ANPD: I – zelar pela proteção dos dados pessoais, nos termos da legislação; VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
[2] VAIZOF, Rony em LGPD: Lei Geral de Proteção de Dados Comentada. Coordenadores: Viviane Nóbrega Maldonado e Renato Opice Blum.2ª Edição. TR Revista dos Tribunais. São Paulo. 2020.
[3] O Grupo de Trabalho do Artigo 29 (“Art. 29 WP”), cujo nome completo é “Grupo de Trabalho para a Proteção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais”, era um órgão consultivo composto por um representante da autoridade de proteção de dados de cada Estado-Membro da União Europeia, da Autoridade Europeia para a Proteção de Dados e da Comissão Europeia. O nome “Grupo de Trabalho do Artigo 29“decorre do fato de sua composição e objetivo terem sido estabelecidos no Artigo 29 da Diretiva de Proteção de Dados (Diretiva 95/46 / CE) O Grupo foi substituído pelo Conselho Europeu de Proteção de Dados (European Data Protection Board).