A Agência Nacional de Proteção de Dados (ANPD) determinou ao grupo Meta que seja apresentada uma auditoria independente e um plano de conformidade com foco na transparência do tratamento de dados pessoais no WhatsApp, em razão do compartilhamento de informações com as demais operações do grupo.
O WhatsApp terá 45 dias úteis para contratar uma empresa de auditoria externa certificada e sem vínculos com a Meta, encarregada de avaliar se as medidas técnicas e organizacionais adotadas garantem que a Meta atue apenas como operadora — e não como controladora — dos dados processados no serviço de mensageria.
O relatório da auditoria deverá confirmar a efetividade dos controles de segurança, governança e descarte de dados compartilhados, além de analisar incidentes de segurança e a aderência a normas internacionais de proteção de dados, como ISO/IEC 27701 e 29151. Após a entrega, a ANPD prevê 20 dias úteis para a apresentação de planos de ação corretiva e, se houver falhas, 40 dias para a implementação das medidas recomendadas.
Paralelamente, a ANPD exige que o WhatsApp apresente, em 20 dias úteis, um plano de conformidade com prazo máximo de execução de 80 dias. Esse plano deve ampliar a transparência das informações aos usuários sobre o tratamento de dados, esclarecer quando a Meta atua como operadora ou controladora, e indicar situações de uso secundário dos dados para fins publicitários, caso o usuário integre ferramentas do grupo, como Facebook ou Instagram.
A decisão reconhece que o compartilhamento entre WhatsApp e Meta ocorre em dois eixos: a Meta como operadora, responsável pelo processamento necessário ao funcionamento do aplicativo, e, em determinados contextos, como controladora em ferramentas que conectam o WhatsApp a outros serviços do grupo. O relatório também aponta que, embora a maior parte dos dados seja tratada como operadora, há um “risco elevado aos titulares” por conta do volume de informações compartilhadas, da integração entre controlador e operador e do modelo de negócios orientado à publicidade.
Além disso, o despacho determina ajustes no Aviso de Privacidade Brasil, solicitando que o WhatsApp detalhe quais empresas da Meta participam de cada atividade de tratamento e esclareça quando o compartilhamento se dá para fins publicitários. Também serão exigidas telas de transparência e artigos explicativos sobre serviços que envolvem interoperabilidade com outras plataformas da Meta, bem como informações sobre hipóteses legais e categorias de dados tratados.
