SEI/ANPD - 0223192 - Despacho Decisório

O COORDENADOR-GERAL DE FISCALIZAÇÃO DA AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS, no uso de suas atribuições legais e regulamentares, em especial as dispostas no art. 55-J, I, IV e XVI, da Lei nº 13.709, de 14 de agosto de 2018, c/c o art. 17, incisos I, III e IV do Regimento Interno da ANPD e os arts. 5º, IV, 32, IV e §1º, e 36, da Resolução CD/ANPD nº 1, de 28 de outubro de 2021 (Regulamento de Fiscalização); examinando os autos do Processo em epígrafe, instaurado para avaliar o compartilhamento de dados pessoais entre o WhatsApp LLC e a Meta Platforms, Inc.; e em acolhimento ao teor da Nota Técnica nº 58/2025/FIS/CGF/ANPD (0222587), cujas razões acolhe e integra à presente decisão, inclusive como motivação, com fulcro no §1º do art. 50 da Lei nº 9.784, de 29 de janeiro de 1999; DECIDE:

DETERMINAR (Determinação 1), como medida preventiva nos termos dos arts. 5º, inciso IV, e 32, §1º, do Regulamento de Fiscalização, c/c os arts. 39, 46 e 55-J, inciso XVI, da Lei nº 13.709, de 14 de agosto de 2018, que o WhatsApp LLC contrate auditoria externa independente, com o objetivo de verificar se as medidas técnicas e organizacionais por ele adotadas para proteger e limitar o tratamento e o compartilhamento dos dados pessoais, descritas no item 6.14 da Nota Técnica nº 58/2025/FIS/CGF/ANPD (0222587), são implementadas e efetivas para circunscrever a Meta Platforms, Inc. à condição de operadora de dados pessoais no escopo das atividades de tratamento descritas nos Registros de Operação de Tratamento Anexo I (0052686) e Anexo II (0052687), nos termos abaixo:

i. O WhatsApp LLC deverá contratar, no prazo máximo de 45 (quarenta e cinco) dias úteis desta decisão, contados nos termos do art. 12, I, do Regulamento de Fiscalização, empresa especializada em auditoria externa, que seja devidamente certificada por organizações amplamente reconhecidas.

ii. A empresa auditora deve ser independente, sem vínculo societário ou de prestação de serviços direto com o WhatsApp LLC (controlador) ou o Meta Platforms, Inc. (operador), para não comprometer a imparcialidade da avaliação.

i. Verificar a adequação, a eficácia e a atualização das políticas, procedimentos e controles de segurança da informação e de governança de dados pessoais adotados pelo WhatsApp LLC e pela Meta Platforms, Inc. para circunscrever a Meta Platforms, Inc. à condição de operadora do tratamento de dados pessoais no escopo das atividades de tratamento descritas nos Registros de Operação de Tratamento Anexo I (0052686) e Anexo II (0052687), incluindo, mas não se limitando a:

a) efetiva implementação das medidas listadas no item 6.14 da Nota Técnica nº 58/2025/FIS/CGF/ANPD (0222587) e detalhadas na Petição em Resposta ao Ofício nº 6 (0179498);

b) política formal de retenção e descarte seguro dos dados pessoais de uso compartilhado entre o WhatsApp LLC e a Meta Platforms, Inc.; e

c) estratégias relacionadas a incidentes de segurança, incluindo eventuais incidentes que envolvam acessos indevidos pelos funcionários da Meta Platforms, Inc. a dados pessoais de usuários do WhatsApp, a exemplo de (mas não se limitando a) monitoramento e registro de incidentes (logs), de existência de testes de penetração e de plano de resposta a incidentes.

ii. Comparar os resultados obtidos com as seguintes normas técnicas nacionais e internacionais, e outras aplicáveis, no que se refere à proteção de dados pessoais, à privacidade e à segurança da informação:

a) ABNT NBR ISO/IEC 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes;

b) ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade; e

c) NBR ISO/IEC 29151: Tecnologia da informação: técnicas de segurança: código de prática para proteção de dados pessoais.

i. O WhatsApp LLC deverá enviar à ANPD o relatório final elaborado pela empresa de auditoria externa independente contratada, contendo conclusões, evidências, lacunas identificadas e eventuais recomendações corretivas, em até 5 (cinco) dias úteis após a conclusão da auditoria.

ii. O WhatsApp LLC e a Meta Platforms, Inc. deverão elaborar, cada um, plano de ação corretiva, caso sejam apontadas não‑conformidades. Esses planos deverão ser apresentados à ANPD pelo WhatsApp LLC em até 20 (vinte) dias úteis após a entrega do relatório de auditoria referido no item 'C.i' acima.

iii. A execução dos planos de ação corretiva referidos no item anterior não poderá ter duração superior a 40 (quarenta) dias úteis, contados da data de sua apresentação à ANPD, ressalvada autorização expressa desta Agência.

i. O WhatsApp LLC deverá apresentar à ANPD relatório da empresa de auditoria externa independente atestando o atendimento das recomendações e a implementação dos planos de ação corretiva pelo WhatsApp LLC e pela Meta Platforms, Inc., em até 20 (vinte) dias úteis após o encerramento dos planos de ação.

DETERMINAR, como medida preventiva nos termos do art. 32, IV, c/c o art. 36, ambos do Regulamento de Fiscalização, que o WhatsApp LLC. elabore e apresente Plano de Conformidade, com o objetivo de atender às seguintes Determinações e de indicar como serão tratadas as Recomendações abaixo:

Determinação 2 [referente ao item 6.34 da Nota Técnica nº 58/2025 (0222587)]. DETERMINA-SE ao WhatsApp LLC que:

abstenha-se de realizar atividades de tratamento com a finalidade de melhorar, aprimorar ou aperfeiçoar o serviço com fundamento na hipótese legal de execução do contrato; e

defina hipótese legal adequada para as atividades de tratamento que tenham por finalidade melhorar, aprimorar ou aperfeiçoar o serviço.

Determinação 3 [referente ao item 6.54 da Nota Técnica nº 58/2025 (0222587)]. DETERMINA-SE ao WhatsApp LLC que altere a página “Por que e como tratamos os seus dados”, que integra o Aviso de Privacidade Brasil, para:

explicitar em quais tratamentos (linhas da tabela) as empresas do Grupo Meta atuam como operadoras e em quais atuam como controladoras;

informar quais empresas do Grupo Meta estão envolvidas nas atividades de tratamento elencadas – seja para cada linha da tabela, seja por explicação agrupada, mas que permita ao titular saber a atividade que essas empresas realizam no tratamento;

reiterar que as atividades realizadas por operadores são aquelas em que estes atuam em nome do WhatsApp LLC e de acordo com suas instruções; e

incluir a informação explícita de que os dados compartilhados com as Empresas do Grupo Meta na condição de operadoras não podem ser usados para as suas próprias finalidades, incluindo publicidade.

Determinação 4 [referente ao item 6.56 da Nota Técnica nº 58/2025 (0222587)]. DETERMINA-SE ao WhatsApp LLC que adapte o texto da coluna “Principais categorias de informações usadas” para melhor comunicar em quais operações de tratamento ocorre variação efetiva dos dados tratados. Isso pode ocorrer: i) com explicação de que as categorias listadas correspondem ao patamar máximo de compartilhamento, e as variações são sempre para tratar menos categorias em relação às indicadas; ii) com o deslocamento da explicação para as atividades específicas (ou seja, linhas específicas) nas quais há, efetivamente, essa variação; ou iii) com outra solução proposta pelo WhatsApp LLC que resolva a questão apontada.

Determinação 5 [referente ao item 7.80 da Nota Técnica nº 58/2025 (0222587)]. DETERMINA-SE ao WhatsApp LLC que:

no Aviso de Privacidade Brasil, seja incluída a informação de que a Política de Privacidade da Meta se aplica aos recursos opcionais, listando-os;

no quadro “Por que e como tratamos seus dados”, separe as informações apresentadas para cada um dos recursos opcionais, de modo que cada um deles seja delimitado em uma linha própria;

após a separação indicada no item anterior, mantenha explícito que há compartilhamento de dados pessoais com a Meta como controladora no âmbito desses recursos opcionais;

indique, para cada um deles, que há incidência dos Termos de Serviço e da Política de Privacidade da Meta, com a disponibilização dos respectivos hiperlinks;

indique se há incidência de outros Termos e Políticas de Privacidade para aquele serviço opcional específico, indicando os respectivos hiperlinks;

elabore artigos na Central de Ajuda sobre cada serviço opcional, considerando como referência a estrutura e o conteúdo do artigo “Sobre os dados compartilhados quando você compartilha sua atualização de status no Facebook Stories”;

na linha referente a cada serviço opcional, referencie artigos da Central de Ajuda que ofereçam explicações adicionais sobre o tratamento de dados pessoais a ele relacionados, a exemplo dos mencionados anteriormente [itens 7.56, 7.58, 7.59, 7.60, 7.62, 7.63 e 7.67 da Nota Técnica nº 58/2025 (0222587)] e do previsto no item “f” acima;

adeque as telas de transparência para que sejam apresentadas ao usuário ao início de cada interação com o serviço opcional, ainda que com a opção, para o titular, de que tal aviso não seja apresentado novamente e com essa opção desmarcada por padrão (default);

implemente telas de transparência, no WhatsApp, para todos os serviços opcionais que ainda não possuem esse recurso;

informe nas linhas específicas de cada recurso opcional (item “b”), nos artigos modelo de cada recurso (item “f”) e nas telas de transparência (itens “h” e “i”) de maneira taxativa (e não exemplificativa) os dados que são compartilhados com a Meta;

informe com quais empresas do Grupo Meta há compartilhamento de dados pessoais para viabilizar cada serviço opcional.

Determinação 6 [referente ao item 7.92 da Nota Técnica nº 58/2025 (0222587)]. DETERMINA-SE ao WhatsApp LLC que explicite a informação de que, no Brasil, o tratamento de dados para oferecer sugestões de conexões de grupos ou de amigos, de conteúdo interessante e de personalização de recursos e de conteúdo não é realizado. Essa explicação deve ser feita no âmbito do Aviso de Privacidade Brasil, em respeito à padronização e à abrangência da atuação do WhatsApp LLC.

Determinação 7 [referente ao item 8.12 da Nota Técnica nº 58/2025 (0222587)]. DETERMINA-SE ao WhatsApp LLC que explicite, para cada serviço opcional, que o compartilhamento com a Meta possibilita que os dados pessoais compartilhados sejam utilizados para fins de publicidade. Isso deve ocorrer, ao menos, em três interfaces: i) nas telas de transparência apresentadas no próprio WhatsApp quando o usuário opta pela interoperabilidade; ii) no quadro “Por que e como tratamos seus dados”; e iii) no artigo específico da Central de Ajuda sobre cada recurso, conforme item "2.4.f” acima.

Recomendação 1 [referente ao item 6.38 da Nota Técnica nº 58/2025 (0222587)]. RECOMENDA-SE ao WhatsApp LLC incorporar, na tabela “Por que e como tratamos seus dados”, que o envio de comunicados de marketing é feito fora da plataforma.

Recomendação 2 [referente ao item 6.58 da Nota Técnica nº 58/2025 (0222587)]. RECOMENDA-SE ao WhatsApp LLC incluir as hipóteses legais de tratamento no quadro “Por que e como tratamos seus dados”, que compõe o Aviso de Privacidade Brasil, em aderência aos princípios da boa-fé, da finalidade, da adequação e da transparência.

O plano de conformidade deverá ser apresentado no prazo de 20 (vinte) dias úteis desta decisão, contados nos termos do art. 12, I, do Regulamento de Fiscalização, com clareza e abrangência, detalhando os objetivos específicos, os prazos para execução, as ações corretivas necessárias para reverter as irregularidades identificadas, os critérios de acompanhamento e monitoramento das medidas adotadas, bem como a trajetória prevista para alcançar os resultados esperados.

O plano de conformidade apresentado deverá ter prazo máximo de execução de 80 (oitenta) dias úteis, salvo autorização expressa da ANPD.

ADVERTIR que o descumprimento das medidas preventivas ora adotadas será considerado circunstância agravante no âmbito de eventual processo administrativo sancionador, nos termos do art. 32, §2º, II, do Regulamento da Fiscalização, além de implicar a progressão das ações da ANPD, que poderá, a seu critério, adotar outras medidas preventivas adicionais ou atuar de forma repressiva, aplicando providências compatíveis com a gravidade do caso, conforme estabelecido no Regulamento de Fiscalização e no Regulamento de Dosimetria (aprovado pela Resolução CD/ANPD nº 04/2023). O cumprimento das medidas preventivas, por outro lado, será considerado circunstância atenuante no âmbito de eventual processo administrativo sancionador, nos termos do art. 13 do Regulamento de Dosimetria.

DETERMINAR ao WhatsApp LLC que, no prazo de 5 (cinco) dias úteis desta decisão, contados nos termos do art. 12, I, do Regulamento de Fiscalização, se manifeste sobre os trechos indicados como restritos na Nota Técnica nº 58/2025/FIS/CGF/ANPD (0222587), em atenção ao disposto no art. 5º, §2º, do mesmo Regulamento.

Oficie-se o WhatsApp LLC para que seja intimado desta decisão para cumprimento dos itens 1, 2 e 4 e, se for o caso, apresentação de recurso em até 10 (dez) dias úteis, contados nos termos do art. 12, I, consoante previsão do art. 58, caput e §2º, todos do Regulamento de Fiscalização.

Documento assinado eletronicamente por Fabrício Guimarães Madruga Lopes, Coordenador(a)-Geral de Fiscalização, em 11/11/2025, às 16:04, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://anpd-super.mj.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0223192 e o código CRC 2512D603.

SCN Quadra 06, Ed. Venâncio 3000, Bloco A, 9º andar - Bairro Asa Norte, Brasília/DF, CEP 70716-900
Telefone: (61) 2017-3338 / 3339 - https://www.gov.br/anpd/pt-br