A Agência Nacional de Proteção de Dados determinou ao grupo Meta que apresente auditoria independente e um plano de conformidade voltado à transparência no tratamento de dados pessoais, por conta do compartilhamento de informações do Whatsapp com as demais operações do grupo.
O WhatsApp terá 45 dias úteis para contratar uma empresa de auditoria externa, que deverá ser certificada e sem vínculos com o grupo Meta, a fim de avaliar se as medidas técnicas e organizacionais adotadas garantem que a Meta atue apenas como operadora — e não como controladora — dos dados pessoais tratados no contexto do serviço de mensageria.
O relatório da auditoria deverá comprovar a efetividade dos controles de segurança, governança e descarte de dados compartilhados, além de avaliar incidentes de segurança e aderência a normas internacionais de proteção de dados, como as ISO/IEC 27701 e 29151. Após a entrega do relatório, o WhatsApp e a Meta terão 20 dias úteis para apresentar planos de ação corretiva e, caso existam falhas, 40 dias úteis para executar as medidas recomendadas.
A decisão da ANPD também obriga o WhatsApp a apresentar, em 20 dias úteis, um plano de conformidade, com prazo máximo de execução de 80 dias. O plano deverá aprimorar a transparência das informações oferecidas aos usuários sobre o tratamento de dados e esclarecer em quais situações a Meta atua como operadora ou controladora, bem como indicar quando há possibilidade de uso secundário dos dados para fins publicitários, caso o usuário opte por integrar ferramentas do grupo, como Facebook ou Instagram.
A ANPD concluiu que o compartilhamento de informações entre WhatsApp e Meta se dá em dois eixos. No primeiro, a Meta atua como operadora, realizando o tratamento necessário para o funcionamento do aplicativo. No segundo, a empresa exerce papel de controladora, especialmente em ferramentas que conectam o WhatsApp a outros serviços do grupo.
Embora o maior volume de dados pessoais seja tratado sob o papel de operadora, a autoridade considerou haver “risco elevado aos titulares” devido ao grande volume de informações compartilhadas, à integração entre controlador e operador em um mesmo grupo econômico e ao modelo de negócios da Meta, baseado no uso intensivo de dados para publicidade.
Além da auditoria e do plano de conformidade, o despacho determina ajustes no Aviso de Privacidade Brasil, exigindo que o WhatsApp detalhe quais empresas da Meta participam de cada atividade de tratamento e esclareça quando o compartilhamento é feito para fins publicitários.
A ANPD também quer que sejam apresentadas telas de transparência e artigos explicativos sobre cada serviço opcional que envolva interoperabilidade com outras plataformas da Meta, bem como incluídas informações sobre hipóteses legais e categorias de dados tratados.
