Decisão da Agência Nacional de Proteção de Dados (ANPD) colocou o WhatsApp sob exigência de auditoria externa para esclarecer como ocorre o compartilhamento de informações pessoais com a Meta, empresa responsável pelo aplicativo. A determinação foi tomada após a análise das alterações feitas na política de privacidade em 2021.

O objetivo da agência é verificar se a Meta atua apenas como operadora de dados — usando as informações exclusivamente para manter o funcionamento do WhatsApp — ou se também assume o papel de controladora, quando decide finalidades de uso, como ações relacionadas a publicidade. Pela Lei Geral de Proteção de Dados (LGPD), essa distinção é essencial, já que define quem toma decisões e quem apenas executa o tratamento das informações.

De acordo com a determinação, o WhatsApp terá até 45 dias úteis para contratar uma empresa externa independente que realizará a auditoria. A verificação deve confirmar se as medidas adotadas pela plataforma garantem que a Meta utilize os dados somente para a operação do serviço, sem desvio de finalidade.

Além da auditoria, a ANPD determinou que o aplicativo elabore um plano de conformidade. O documento deverá explicar de forma clara aos usuários quando a Meta age como operadora ou controladora e detalhar o tratamento dos dados pessoais. A agência quer ampliar a transparência e facilitar a compreensão sobre o fluxo dessas informações.

Em nota divulgada à imprensa, a ANPD disse que “A ANPD entendeu como necessária uma auditoria externa independente para verificar a efetiva implementação das medidas descritas.”

Durante a análise, a agência reconheceu que o WhatsApp possui mecanismos capazes de limitar o papel da Meta ao de operadora. Porém, identificou pontos que elevam o risco no compartilhamento de dados, como o grande volume de informações envolvidas, o fato de controlador e operadora pertencerem ao mesmo grupo econômico e o interesse da Meta nos dados, considerando que seu modelo de negócios depende do uso de informações pessoais.

Caso a auditoria identifique irregularidades, o WhatsApp terá até 20 dias úteis para apresentar um plano de ação, e a implementação das medidas corretivas deverá ocorrer em no máximo 40 dias úteis. A empresa também precisará entregar relatórios detalhando como está colocando as recomendações em prática.

No campo da privacidade, o aplicativo terá de atualizar o aviso de privacidade brasileiro, com informações mais claras sobre quais dados são compartilhados, em que situações a Meta atua como controladora ou operadora e quando as informações podem ser usadas em serviços opcionais relacionados à publicidade.

Em resposta ao Estadão, o WhatsApp enviou nota afirmando: “Reiteramos nosso compromisso em cumprir as leis e regulações aplicáveis e continuaremos engajando de forma construtiva com a ANPD.”

A agência também determinou que o aplicativo deixe explícito quais tipos de dados coleta, reforçando o compromisso com a transparência exigida pela LGPD.