Em 04 de janeiro de 2021, o WhatsApp notificou os seus usuários, por meio do aviso de privacidade denominado "Atualizações Importantes", sobre as alterações na sua Política de Privacidade e Termos de Serviço.  


Através do Oficio  nº 16/2021/ANPD/PR, em 8 de janeiro de 2021, a Autoridade Nacional de Proteção de Dados notificou a empresa requerendo esclarecimentos acerca das atualizações nos seus Termos de Serviço e Política de Privacidade.  O WhatsApp, apresentou resposta ao pedido de informações em 20 de janeiro de 2021.

 

Na sequência, a ANPD requereu, em 10 de fevereiro de 2021, por meio do Oficio                nº 49/2021/ANPD/PR, que fossem apresentados esclarecimentos adicionais, sobre pontos que restaram genéricos ou pendentes. Em 11 de fevereiro de 2021, o WhatsApp encaminhou correspondência à ANPD solicitando prorrogação do prazo para resposta do Oficio nº 49/2021/ANPD/PR. 


Já em 18 de fevereiro, o WhatsApp enviou correspondência à ANPD indicando que iria disponibilizar nova notificação no seu aplicativo para melhor informar seus usuários sobre as políticas que entrariam em vigor em 15 de maio de 2021.  


Por fim, o WhatsApp apresentou resposta ao pedido de esclarecimentos adicionais do Ofício n.º 49, em 26 de fevereiro de 2021, cuja análise, em conjunto com a manifestação inicial, constitui o objeto da Nota Técnica nº 02/2021/CGTP/ANPD, emitida em 22 de março de 2021 


Muito embora a Nota Técnica nº 02/2021/CGTP/ANPD, tenha sido emitida somente em 22 de março de 2021, o processo eletrônico em tramitação (SEI Processo Eletrônico SEI nº 00261.000012/2021-04) ainda não teve decisão final e é importante destacar que os novos termos de uso do WhatsApp estão sendo objeto de avaliação multidisciplinar, que conta com a participação da Autoridade Nacional de Proteção de Dados (ANPD), do Ministério Público Federal (MPF), do Conselho Administrativo de Defesa Econômica (Cade) e da Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública (Senacon). 


Ressalta-se ainda que após a Nota Técnica, a Autoridade Nacional de Proteção de Dados (ANPD) em 07 de maio de 2021, conjuntamente com o  Conselho Administrativo de Defesa Econômica (Cade), o Ministério Público Federal (MPF), a e a Secretaria Nacional do Consumidor (Senacon) emitiram recomendação ao WhatsApp e ao Facebook relacionada à nova política de privacidade do aplicativo de mensagens. Além de indicar providências sobre o acesso dos usuários à plataforma, os órgãos recomendaram ao WhatsApp o adiamento da data de vigência de sua nova política, prevista para 15 de maio, enquanto não fossem adotadas as recomendações sugeridas após as análises dos órgãos reguladores. 


Desta forma, no curso do citado Processo Eletrônico o WhatsApp fez acordo com as citadas autoridades no sentido de prorrogar por mais 90 (noventa) dias o prazo para aceitação dos termos de uso do aplicativo. 


O processo ainda se encontra em curso e, caso constatada eventual infração à LGPD, esta poderá ser objeto de sanção por parte da ANPD Enquanto isso está ocorrendo a continuidade da fase de interação com a empresa, visando assegurar que esta adote as providências mencionadas tanto na Nota Técnica quando na Recomendação conjunta .


Recentemente, em 11 de agosto, a temática voltou novamente à pauta com a publicação da Nota Técnica do Comitê Gestor da Internet no Brasil emitindo recomendações à empresa.  

 

 

ANÁLISE DA NOTA TÉCNICA NO QUE DIZ RESPEITO AO WHATSAPP BUSINESS E APPLICATION PROGRAMMING INTERFACE -  API 

 

Da Nota Técnica retira-se os seguintes conceitos: 

 

WhatsApp Business - WAB, por meio de sua API, funciona como uma porta de entrada de invocação de funcionalidades de outros sistemas. Por meio do uso de tecnologias como Docker, webhooks, entre outros, assim que uma mensagem chega ela pode ter seu tratamento desviado para um sistema de um terceiro. 

 

Importante registrar que um sistema somente pode ser invocado pelo WAB depois de ter seu registro aprovado pelo Facebook, após o que, por meio da API, passa a encaminhar mensagens. Recebido o conteúdo, a aplicação da Empresa no WhatsApp dá o tratamento que lhe interessar. 

 

Em qualquer caso, verifica-se que o uso do WAB permite que o conteúdo de mensagens e dados do usuário saiam do domínio do WhatsApp e entrem em domínio de terceiros (seja a Empresa no WhatsApp, Empresas do Facebook, ou outras empresas que ofereçam serviços para ambas), com regras de negócio e políticas de tratamento de dados  que devem ser conhecidas. Ou seja, o WAB funciona como a porta de entrada para uma cadeia de tratamento de dados que deve ser conhecida e cuja transparência deve ser dada para que o usuário possa ter respeitada sua autodeterminação informativa, sendo capaz de exercer todos os direitos de titular de dados pessoais aplicáveis às operações de tratamento. 

 

A Lei Geral de Proteção de Dados Pessoais brasileira fundamenta-se em princípios que devem ser observados pelas empresas no tratamento dos dados pessoais durante todo o ciclo de vida da informação. Estes princípios e regras estabelecidos na LGPD constituem norma em vigor, de observância obrigatória por todos os agentes regulados. É o caso, em especial, das normas relativas à indicação de base legal adequada para o tratamento de dados pessoais (arts. 7º, 8º, 10, 11 e 33), à transparência na relação entre os agentes de tratamento e os titulares (arts. 6°, IV e VI; art. 9°), e é sobre essas questões que a Nota Técnica versa.  


Ao analisar a última versão da Política de Privacidade do WhatsApp, na seção Dados de Terceiros, a Nota cita que o documento informa que as Empresas no WhatsApp - empresas com as quais o usuário interage usando o aplicativo - podem fornecer dados sobre as interações delas com o usuário, para o WhatsApp ou provedores de serviços terceirizados. 


 O texto ainda informa que os provedores de serviços terceirizados poderão ter acesso às comunicações entre os usuários e as empresas no WhatsApp para "enviar, armazenar, ler, gerenciar ou processar essas comunicações".  


Nesse sentido, a Nota Técnica ao longo de todo seu arrazoado faz menção à necessidade de que as Empresas no WhatsApp usem o princípio da transparência para informar os titulares sobre a possibilidade de compartilhamento com terceiros, principalmente quando eles tenham acesso às comunicações entre os usuários e a Empresa no WhatsApp. 


No mesmo sentido, devem ser obedecidos os demais princípios, como o da necessidade (coleta e tratamento dos dados necessários), a finalidade bem delineada para a coleta e o tratamento e a definição de prazo de armazenamento. 


Outro ponto de destaque é a definição das bases legais apropriadas para o tratamento. A Nota Técnica cita que embora a ANPD ainda não tenha disponibilizado orientação específica quanto às bases legais, a LGPD já oferece alguns elementos que permitem identificar diferenças importantes entre a necessidade contratual e o legítimo interesse. 


Outra orientação significativa da Nota Técnica é que o WhatsApp, apresente Relatório de Impacto à Proteção de Dados - RIPD sobre a integração dos serviços WhatsApp Business e WhatsApp, tendo por referências as melhores práticas implementadas pelo mercado.

 

 

NOTA TÉCNICA DO COMITÊ GESTOR DA INTERNET NO BRASIL – CGI.br 

 

Após reunião do Comitê Gestor da Internet no Brasil que teve como único e exclusivo ponto de pauta a Atualização da Política de Privacidade do WhatsApp, em 11 de agosto o CGI emitiu Nota Técnica levando em consideração pontos de convergência nos quais as mudanças pontuadas levantam questões fundamentais sobre o direito à privacidade e proteção de dados dos usuários, bem como questões de transparência e aderência a leis vigentes no país que possui tais direitos estampados como princípios constitucionais e demais legislações de referencia como no Código de Defesa do Consumidor (Lei 8.078/1990); no Marco Civil da Internet (Lei 12.965/2014); na Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018).  

No documento, o CGI manifesta seu integral apoio à atuação das autoridades nacionais competentes no sentido de proteger os direitos dos usuários da plataforma, em especial no que se refere à ANPD, ao MPF, ao CADE, e à SENACON, fazendo clara referencia à recomendação ao WhatsApp e ao Facebook relacionada à nova política de privacidade do aplicativo de mensagens (citado abaixo no item Andamento Processual). 


As recomendações do CGI constantes na Nota dizem respeito a necessidade da empresa WhatsApp LLC, que é a responsável pela provisão do serviço WhatsApp no Brasil, tomar providências urgentes para aumentar os mecanismos de transparência de seus serviços no que concerne ao cumprimento da legislação brasileira, em especial a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), com o objetivo de demonstrar as formas como a empresa assegura as devidas proteções dos cidadãos usuários da plataforma no país. 


Orienta a Nota, que a empresa WhatsApp que cesse de exibir reiteradamente a solicitação de aceite aos novos termos de serviço aos usuários brasileiros, enquanto esta discussão estiver sob avaliação da Autoridade Nacional de Proteção de Dados (ANPD), do Conselho Administrativo de Defesa Econômica (CADE), do Ministério Público Federal (MPF) e da Secretaria Nacional do Consumidor (Senacon). 


A necessidade da empresa assegurar a continuidade dos serviços inclusive para os usuários que rejeitaram, na política de privacidade de 2016, o compartilhamento de seus dados com as empresas do grupo Facebook. 


Que a empresa permita aos usuários revogarem o aceite aos novos termos, uma vez que a própria empresa informou publicamente que este aceite não é mais requisito para o uso completo do aplicativo. 


 OBSERVAÇÕES DA NOTA TÉCNICA NAS OPERAÇÕES DA FORTICS 


É importante destacar que a FORTICS Tecnologia, na relação jurídica que estabelece com seus clientes no contexto de comunicações via WAB, a Empresa no WhatsApp será a controladora de dados pessoais, enquanto a FORTICS é a operadora, contratada para tratar os dados (gerenciamento e armazenamento). 


Tal relação está inclusive bem definida no Anexo de Privacidade e Proteção de Dados do Contrato de Licenciamento de Software. Portanto, como OPERADORA não cabe à FORTICS interferir na definição da base legal para a coleta, nem tão pouco obrigar o CONTROLADOR a desenvolver políticas e procedimentos claros e transparentes aderentes com as legislações de privacidade e as melhores práticas.  


A FORTICS está desenvolvendo seu Programa de Gestão de Privacidade, adequando suas soluções às normas de Privacidade e Diretrizes de Privacy by Design e com procedimentos de privacidade como padrão. As políticas desenvolvidas prezam pela segurança das informações e segurança de privacidade tanto no nível técnico quanto organizacional.  


Portanto, no que a Nota Técnica define como pontos fundamentais para o tratamento dos dados, entendemos que são definições dos CONTROLADORES, a FORTICS enquanto OPERADORA trata os dados nos limites que contratualmente é designada a fazer, sendo, portanto, a Execução Contratual a base legal que garante esse tratamento.