Regras descumprem LGPD e dão brecha para abusos no compartilhamento de dados de usuários
O Ministério Público Federal (MPF) e o Instituto de Defesa de Consumidores (Idec) ajuizaram uma ação civil pública para que o WhatsApp seja condenado a pagar indenização de R$ 1,733 bilhão por danos morais coletivos, entre outras obrigações. Sem apresentar informações adequadas sobre as mudanças de sua política de privacidade em 2021, a empresa violou direitos dos usuários do aplicativo no Brasil ao forçar a adesão às novas regras e, com isso, viabilizar a coleta e o compartilhamento abusivo de dados pessoais com outras plataformas do Grupo Meta, entre elas o Facebook e o Instagram. A Autoridade Nacional de Proteção de Dados (ANPD) também é alvo da ação.
A indenização exigida baseia-se em valores que o WhatsApp já foi condenado a pagar na Europa por irregularidades semelhantes, considerando-se a proximidade das legislações brasileira e europeia sobre proteção de dados. De 2021 a 2023, a União Europeia impôs à empresa multas de 230,5 milhões de euros por omissões e ilegalidades na política de privacidade do aplicativo que ampliaram o compartilhamento de informações pessoais dos usuários no continente. Após recursos, as sanções foram mantidas judicialmente.
Ao adotarem a quantia em euros como parâmetro para indenização no Brasil, os autores da ação levaram em conta a conversão monetária e o fato de que o país é um dos maiores mercados do WhatsApp no mundo (cerca de 150 milhões de usuários) para chegarem ao valor estabelecido de R$ 1,733 bilhão. O montante é compatível com a capacidade financeira do Grupo Meta, que em 2023 registrou lucro de 39 bilhões de dólares. Caso a Justiça Federal acolha o pedido de condenação, o pagamento não será destinado individualmente aos usuários lesados, mas a projetos financiados pelo Fundo de Defesa de Direitos Difusos (FDD).
Além da indenização, o MPF e o Idec pedem que o WhatsApp seja obrigado a interromper imediatamente o compartilhamento de dados pessoais para finalidades próprias das demais empresas do Grupo Meta, como a veiculação personalizada de anúncios de terceiros. A ação requer também que o aplicativo disponibilize funcionalidades simples que permitam aos usuários o exercício de seu direito de recusar as mudanças trazidas pela política de privacidade da plataforma a partir de 2021 – caso não estejam de acordo com seus termos – ou mesmo de voltar atrás e cancelar a adesão que eventualmente já tenham feito a essas regras, sem que, com isso, sejam proibidos de continuar utilizando o serviço de mensageria.
Segundo a ação, as práticas do WhatsApp desrespeitam vários dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/18), entre eles o direito conferido aos cidadãos de estarem amplamente informados e livres de coação ao manifestarem o consentimento para que seus dados pessoais sejam utilizados no mercado. As irregularidades violaram também garantias previstas no Marco Civil da Internet (Lei 12.965/14) e no Código de Defesa do Consumidor (Lei 8.078/90).
Sem transparência
Ao implementar a versão atual de sua política de privacidade, o WhatsApp deixou de esclarecer os usuários sobre as alterações que seriam feitas e praticamente os forçou a manifestar anuência a essas mudanças. O anúncio veio no início de 2021, no auge da pandemia de covid-19, quando o uso do aplicativo se fazia ainda mais necessário para a comunicação com parentes e amigos, a solicitação de serviços e o acesso a notícias.
A partir de janeiro daquele ano, ao abrir o WhatsApp, milhões de brasileiros se depararam com um aviso breve e genérico sobre as alterações nas condições de privacidade. O alerta apontava que todos deveriam aceitar os novos termos até o mês seguinte; do contrário, teriam seu acesso impedido ao aplicativo. Assim, induzidos a acreditar que se tratava de uma exigência para seguir utilizando a plataforma, muitos usuários simplesmente clicaram em “concordar” – opção que aparecia em destaque na mensagem.
Esse gesto aparentemente banal tornou uma série de informações pessoais suscetíveis ao compartilhamento com as empresas coligadas do Grupo Meta. O WhatsApp garante a inviolabilidade do conteúdo das mensagens trocadas por meio do aplicativo, mas tem acesso a diversos outros dados relativos a elas e aos usuários, como seus nomes completos, fotos dos perfis, listas de contatos, os grupos e as comunidades que integram e até mesmo suas localizações, o tempo de uso da plataforma, os modelos de seus smartphones e o nível de carga da bateria dos aparelhos. É a coleta e a disponibilização dessas informações que, sem saber, muitas pessoas acabaram autorizando.
Os dados e metadados coletados pelo WhatsApp sinalizam hábitos, preferências e características dos usuários, como o nível socioeconômico, os horários que acordam ou vão dormir e os estabelecimentos que costumam frequentar. Essas informações são muito valiosas porque, quando compartilhadas com o Facebook e o Instagram, podem ser cruzadas com outras bases de dados e, assim, permitir o direcionamento de anúncios e conteúdos pagos e a sugestão de perfis para seguir nas redes sociais, entre outras ações que geram engajamento e expressivos lucros atualmente.
Mesmo aqueles que resistiram em concordar instantaneamente com a nova política de privacidade e buscaram mais informações encontraram dificuldades para obter os esclarecimentos. Os detalhes das mudanças trazidas à época foram apresentados de maneira dispersa e confusa, por meio de várias páginas da internet, sem uma compilação clara e objetiva do conteúdo. Só para compreender os termos do compartilhamento de dados com as empresas do Grupo Meta, por exemplo, as pessoas eram obrigadas a acessar três links diferentes. Ainda assim, chegavam a informações vagas, que não indicavam precisamente quais dados seriam coletados nem a finalidade disso.
“Esse conjunto de práticas – de desenho de incentivos à aceitação irrefletida pelos implicados, de dispersão de explicações e de mobilização de termos genéricos e subjetivos – configura uma violação direta e grave ao direito à informação dos usuários do WhatsApp, que na prática os levou a ‘concordarem’ com modificações trazidas pela política de privacidade de 2021 que não foram, pela esmagadora maioria deles, sequer minimamente compreendidas em suas consequências”, destacam o MPF e o Idec na ação.
Abuso
A falta de transparência e a coação para obter a anuência dos usuários não foram as únicas violações da LGPD que o WhatsApp cometeu, segundo a ação. A mudança na política de privacidade também possibilitou que a empresa passasse a coletar e compartilhar um volume de informações muito superior ao permitido pela lei.
Segundo a LGPD, o tratamento de dados deve se restringir ao mínimo necessário para a prestação do serviço. No entanto, o WhatsApp foi muito além da coleta de números de telefone e outras informações imprescindíveis ao funcionamento do aplicativo e à habilitação dos usuários. Dados como fotos do perfil, localização e referências sobre o aparelho utilizado podem ser relevantes para os interesses econômicos da empresa, mas não são essenciais para a operação de sua plataforma.
A política de privacidade do WhatsApp no Brasil sequer cita as bases legais que supostamente autorizariam o tratamento dos dados pessoais de seus usuários. Essa omissão, também verificada na União Europeia, foi um dos principais motivos para as pesadas multas aplicadas à companhia naquela região. Após as sanções, o WhatsApp adotou uma redação mais clara em sua política no continente e passou a explicitar que as informações compartilhadas não podem ser usadas para finalidades próprias de outras empresas do Grupo Meta. A versão brasileira do texto, porém, segue até hoje sem esses ajustes.
“Embora o WhatsApp tenha sido condenado, por diversas instituições de controle europeias, por uma postura que ele demonstra ter em nível global (de falta de transparência perante seus usuários e de tratamentos de dados pessoais à margem das bases legais vigentes e dos princípios de necessidade e mínimo impacto), desde então ele apenas corrigiu seus rumos em nível local”, ressaltam os autores da ação. “O WhatsApp deve reconhecer, a seus usuários brasileiros, o mesmo respeito e a mesma consideração dada a seus usuários europeus”, concluem.
ANPD
A ação civil pública ajuizada também inclui entre os réus a Autoridade Nacional de Proteção de Dados, autarquia criada após a edição da LGPD para fiscalizar o cumprimento da lei no país e aplicar sanções a quem a desrespeitar. O MPF e o Idec verificaram falhas graves na atuação da ANPD sobre a conduta do WhatsApp. Os pedidos judiciais visam ao aperfeiçoamento da instituição, cuja postura nas apurações sobre o caso passou da colaboração e da proatividade iniciais para a omissão e a falta de cooperação.
A mudança de posição da Autoridade ocorreu repentinamente, ainda em 2021. A ANPD integrava um grupo de instituições – ao lado do MPF, do Conselho Administrativo de Defesa Econômica (Cade) e da Secretaria Nacional do Consumidor (Senacon) – que enviou uma recomendação ao WhatsApp com medidas relativas à sua política de privacidade, em maio daquele ano. A iniciativa resultou no adiamento do início de vigência das novas condições e no compromisso da empresa em não impedir o acesso ao aplicativo de usuários que deixassem de manifestar concordância com os termos.
Por alguns meses, a ANPD manteve sua atuação alinhada à das instituições parceiras e passou a concentrar a análise sobre os ajustes necessários nas novas regras de privacidade do WhatsApp. A Autoridade chegou a publicar duas notas técnicas críticas à política do aplicativo, manifestando preocupação com o compartilhamento de dados previsto no texto. Porém, a partir de julho de 2021, a instituição mudou radicalmente sua orientação, impôs sigilo sobre o procedimento referente à empresa e deixou de prestar informações a entidades da sociedade civil interessadas.
Quase um ano se passou sem andamentos relevantes na apuração da ANPD, até que, em maio de 2022, a autarquia emitiu uma terceira nota técnica indicando que a recomendação expedida ao WhatsApp teria sido cumprida. A manifestação ignorava os problemas envolvidos no compartilhamento de informações com as empresas do Grupo Meta. O assunto, segundo a Autoridade, continuaria sob análise em um procedimento à parte. A nova apuração foi instaurada, mas também apresentou poucos avanços.
Desde então, a ANPD manteve o sigilo sobre a tramitação do caso e negou continuamente o acesso a documentos requeridos pelo MPF e pelo Idec, que vinha investigando as violações da política de privacidade do aplicativo aos direitos dos consumidores. Em dado momento, o WhatsApp passou a seguir o exemplo da ANPD e também deixou de prestar contas ao MPF. Na prática, as condutas da instituição fiscalizadora e da empresa fiscalizada convergiram para a obstrução dos trabalhos de apuração do caso e criaram obstáculos à sociedade para o acompanhamento de