Notícias

ANPD conclui a análise sobre compartilhamento de dados pessoais entre WhatsApp e Meta

Fonte:https://www.gov.br/anpd/pt-br

13/11/2025

A Agência Nacional de Proteção de Dados (ANPD) concluiu, em 11/11/2025, a avaliação sobre o compartilhamento de dados pessoais do WhatsApp com o Grupo Meta, no contexto das alterações da Política de Privacidade de 2021 do aplicativo de mensagens.

A decisão, constante no Despacho Decisório de nº 11/2025/CGF, impôs duas determinações principais ao WhatsApp: a realização de auditoria externa independente, com o objetivo de avaliar se a atuação da Meta está limitada à condição de operadora nas atividades de tratamento que lhe impõem esse papel; e a elaboração de Plano de Conformidade, com o objetivo de contemplar as determinações voltadas, em sua maior parte, a aprimorar a transparência das informações prestadas aos titulares.

Em sua análise (v. Nota Técnica nº 58/2025/FIS/CGF/ANPD), a ANPD identificou que o compartilhamento dos dados pessoais de usuários do WhatsApp com a Meta ocorre em dois eixos. O primeiro, em que a Meta atua como operadora, estão as atividades de tratamento relacionadas ao funcionamento do serviço de mensageria do WhatsApp. No segundo, a Meta atua como controladora, e as atividades de tratamento estão voltadas, principalmente, ao funcionamento de ferramentas que conectam o WhatsApp a outros serviços da Meta.

A análise do processo evidenciou que o tratamento mais volumoso, expressivo e significativo de dados pessoais – assim considerados em termos de variedade de atividades, finalidade e hipótese legal do tratamento, e dos dados pessoais tratados – ocorre no escopo em que a Meta atua como operadora, isto é, prestando serviço ao WhatsApp. Por isso, o WhatsApp foi instado a informar sobre as medidas técnicas e administrativas adotadas para que a Meta não utilize os dados pessoais compartilhados para suas próprias finalidades, como o direcionamento de publicidade. A partir dos documentos no processo, foi possível verificar que o WhatsApp teria mecanismos gerenciais e técnicos necessários para garantir que a Meta atue apenas como operadora, o que estaria de acordo com a LGPD.

No entanto, a ANPD entendeu que existem elementos que criam um elevado risco para os titulares: i) o elevado volume de dados pessoais compartilhado entre as empresas; ii) o fato de controlador e operador integrarem o mesmo grupo econômico; e, sobretudo, iii) a Meta ter interesses diretos e explícitos quanto aos dados pessoais a que tem acesso nessa condição, tendo em vista o seu modelo de negócios baseado no tratamento intensivo de dados pessoais. Por esse motivo, a ANPD entendeu como necessária uma auditoria externa independente para verificar a efetiva implementação das medidas descritas.

Outras necessidades de adequação se referem às melhorias de transparência para que os usuários tenham acesso a informações completas sobre o tratamento realizado pelo WhatsApp e sobre os diferentes papéis desempenhados pela Meta. O Plano de Conformidade deverá abordar essas questões, que envolvem, por exemplo, a indicação das situações em que a Meta atua como operadora ou controladora, e a indicação de que a Meta pode realizar uso secundário dos dados pessoais para publicidade direcionada caso o titular opte por utilizar ferramentas da Meta conectadas ao WhatsApp.

O Despacho Decisório nº 11/2025/CGF pode ser consultado 

A versão pública da Nota Técnica nº 58/2025/FIS/CGF/ANPD será incluída em breve no processo nº 00261.001450/2023-43 e poderá ser então acessada pela Pesquisa Pública do Sistema Eletrônico de Informação (SEI) da ANPD, no link https://anpd-super.mj.gov.br/sei/modulos/pesquisa/md_pesq_processo_pesquisar.php?acao_externa=protocolo_pesquisar&acao_origem_externa=protocolo_pesquisar&id_orgao_acesso_externo=0.

A lista de determinações ao WhatsApp pode ser consultada a seguir:

Determinação 1

DETERMINAR, como medida preventiva nos termos dos arts. 5º, inciso IV, e 32, §1º, do Regulamento de Fiscalização, c/c os arts. 39, 46 e 55-J, inciso XVI, da Lei nº 13.709, de 14 de agosto de 2018, que o WhatsApp LLC contrate auditoria externa independente, com o objetivo de verificar se as medidas técnicas e organizacionais por ele adotadas para proteger e limitar o tratamento e o compartilhamento dos dados pessoais, descritas no item 6.14 da Nota Técnica nº 58/2025/FIS/CGF/ANPD (0222587), são implementadas e efetivas para circunscrever a Meta Platforms, Inc. à condição de operadora de dados pessoais no escopo das atividades de tratamento descritas nos Registros de Operação de Tratamento Anexo I (0052686) e Anexo II (0052687), nos termos abaixo:

A) Contratação de auditoria externa independente:

i. O WhatsApp LLC deverá contratar, no prazo máximo de 45 (quarenta e cinco) dias úteis, contados nos termos do art. 12, I, do Regulamento de Fiscalização, empresa especializada em auditoria externa, que seja devidamente certificada por organizações amplamente reconhecidas.

ii. A empresa auditora deve ser independente, sem vínculo societário ou de prestação de serviços direto com o controlador ou o operador, para não comprometer a imparcialidade da avaliação.

B) Escopo da auditoria:

i. Verificar a adequação, a eficácia e a atualização das políticas, procedimentos e controles de segurança da informação e de governança de dados pessoais adotados pelo WhatsApp LLC e pela Meta Platforms, Inc. para circunscrever a Meta Platforms, Inc. à condição de operadora do tratamento de dados pessoais no escopo das atividades de tratamento descritas nos Registros de Operação de Tratamento Anexo I (0052686) e Anexo II (0052687), incluindo, mas não se limitando a:

a) efetiva implementação das medidas listadas no item 6.14 da Nota Técnica nº 58/2025/FIS/CGF/ANPD (0222587), e detalhadas na Petição em Resposta ao Ofício nº 6 (0179498);

b) política formal de retenção e descarte seguro dos dados pessoais de uso compartilhado entre o WhatsApp LLC e a Meta Platforms, Inc.; e

c) estratégias relacionadas a incidentes de segurança, incluindo eventuais incidentes que envolvam acessos indevidos pelos funcionários da Meta Platforms, Inc. a dados pessoais de usuários do WhatsApp, a exemplo de (mas não se limitando a) monitoramento e registro de incidentes (logs), de existência de testes de penetração e de plano de resposta a incidentes.

ii. Comparar os resultados obtidos com as seguintes normas técnicas nacionais e internacionais, e outras aplicáveis, no que se refere à proteção de dados pessoais, à privacidade e à segurança da informação:

a) ABNT NBR ISO/IEC 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes;

b) ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade; e

c) NBR ISO/IEC 29151: Tecnologia da informação: técnicas de segurança: código de prática para proteção de dados pessoais.

C) Entrega do relatório de auditoria:

i. O WhatsApp LLC deverá enviar à ANPD o relatório final elaborado pela empresa de auditoria externa independente contratada, contendo conclusões, evidências, lacunas identificadas e eventuais recomendações corretivas, em até 5 (cinco) dias úteis após a conclusão da auditoria.

ii. O WhatsApp LLC e a Meta Platforms, Inc. deverão elaborar, cada um, plano de ação corretiva, caso sejam apontadas nãoconformidades. Esses planos deverão ser apresentados à ANPD pelo WhatsApp LLC em até 20 (vinte) dias úteis após a entrega do relatório de auditoria referido no item acima.

iii. A execução dos planos de ação corretiva referidos no item anterior não poderá ter duração superior a 40 (quarenta) dias úteis, contados da data de sua apresentação à ANPD, ressalvada autorização expressa desta Agência.

D) Implementação de recomendações:

i. O WhatsApp LLC deverá apresentar à ANPD relatório da empresa de auditoria externa independente atestando o atendimento das recomendações e a implementação dos planos de ação corretiva pelo WhatsApp LLC e pela Meta Platforms, Inc., em até 20 (vinte) dias úteis após o encerramento dos planos de ação.

Determinação 2

DETERMINA-SE À REGULADA que:

i) abstenha-se de realizar atividades de tratamento com a finalidade de melhorar, aprimorar ou aperfeiçoar o serviço com fundamento na hipótese legal de execução do contrato; e

ii) defina hipótese legal adequada para as atividades de tratamento que tenham por finalidade melhorar, aprimorar ou aperfeiçoar o serviço.

Determinação 3 

DETERMINA-SE À REGULADA que altere a página “Por que e como tratamos os seus dados”, que integra o Aviso de Privacidade Brasil, para:

i) explicitar em quais tratamentos (linhas da tabela) as empresas do Grupo Meta atuam como operadoras e em quais atuam como controladoras;

ii) informar quais empresas do Grupo Meta estão envolvidas nas atividades de tratamento elencadas – seja para cada linha da tabela, seja por explicação agrupada, mas que permita ao titular saber a atividade que essas empresas realizam no tratamento;

iii) reiterar que as atividades realizadas por operadores são aquelas em que estes atuam em nome da regulada e de acordo com suas instruções; e

iv) incluir a informação explícita de que os dados compartilhados com as Empresas do Grupo Meta na condição de operadoras não podem ser usados para as suas próprias finalidades, incluindo publicidade.

Determinação 4 

DETERMINA-SE À REGULADA que adapte o texto da coluna “Principais categorias de informações usadas” para melhor comunicar em quais operações de tratamento ocorre variação efetiva dos dados tratados. Isso pode ocorrer: i) com explicação de que as categorias listadas correspondem ao patamar máximo de compartilhamento, e as variações são sempre para tratar menos categorias em relação às indicadas; ii) com o deslocamento da explicação para as atividades específicas (ou seja, linhas específicas) nas quais há, efetivamente, essa variação; ou iii) com outra solução proposta pela regulada que resolva a questão apontada.

Determinação 5 

DETERMINA-SE À REGULADA que:

i) no Aviso de Privacidade Brasil, seja incluída a informação de que a Política de Privacidade da Meta se aplica aos recursos opcionais, listando-os;

ii) no quadro “Por que e como tratamos seus dados”, separe as informações apresentadas para cada um dos recursos opcionais, de modo que cada um deles seja delimitado em uma linha própria;

iii) após a separação indicada no item anterior, mantenha explícito que há compartilhamento de dados pessoais com a Meta como controladora no âmbito desses recursos opcionais;

iv) indique, para cada um deles, que há incidência dos Termos de Serviço e da Política de Privacidade da Meta, com a disponibilização dos respectivos hiperlinks;

v) indique se há incidência de outros Termos e Políticas de Privacidade para aquele serviço opcional específico, indicando os respectivos hiperlinks;

vi) elabore artigos na Central de Ajuda sobre cada serviço opcional, considerando como referência a estrutura e o conteúdo do artigo “Sobre os dados compartilhados quando você compartilha sua atualização de status no Facebook Stories”;

vii) na linha referente a cada serviço opcional, referencie artigos da Central de Ajuda que ofereçam explicações adicionais sobre o tratamento de dados pessoais a ele relacionados, a exemplo dos mencionados anteriormente (itens [7.56], [7.58], [7.59], [7.60], [7.62], [7.63] e [7.67]) e do previsto no item “vi” acima;

viii) adeque as telas de transparência para que sejam apresentadas ao usuário ao início de cada interação com o serviço opcional, ainda que com a opção, para o titular, de que tal aviso não seja apresentado novamente e com essa opção desmarcada por default;

ix) implemente telas de transparência, no WhatsApp, para todos os serviços opcionais que ainda não possuem esse recurso;

x) informe nas linhas específicas de cada recurso opcional (item “ii”), nos artigos modelo de cada recurso (item “vi”) e nas telas de transparência (itens “viii” e “ix”) de maneira taxativa (e não exemplificativa) os dados que são compartilhados com a Meta;

xi) informe com quais empresas do Grupo Meta há compartilhamento de dados pessoais para viabilizar cada serviço opcional.

Determinação 6 

DETERMINA-SE À REGULADA que explicite a informação de que, no Brasil, o tratamento de dados para oferecer sugestões de conexões de grupos ou de amigos, de conteúdo interessante e de personalização de recursos e de conteúdo não é realizado. Essa explicação deve ser feita no âmbito do Aviso de Privacidade Brasil, em respeito à padronização e à abrangência da atuação da regulada.

Determinação 7 

DETERMINA-SE À REGULADA que explicite, para cada serviço opcional, que o compartilhamento com a Meta possibilita que os dados pessoais compartilhados sejam utilizados para fins de publicidade. Isso deve ocorrer, ao menos, em três interfaces: i) nas telas de transparência apresentadas no próprio WhatsApp quando o usuário opta pela interoperabilidade; ii) no quadro “Por que e como tratamos seus dados”; e iii) no artigo específico da Central de Ajuda sobre cada recurso, conforme item [7.80], “vi”.

Nº / Item da NT

Teor da recomendação

Recomendação 1 

RECOMENDA-SE À REGULADA incorporar, na tabela “Por que e como tratamos seus dados”, que o envio de comunicados de marketing é feito fora da plataforma.

Recomendação 2 

RECOMENDA-SE À REGULADA incluir as hipóteses legais de tratamento no quadro “Por que e como tratamos seus dados”, que compõe o Aviso de Privacidade Brasil, em aderência aos princípios da boa-fé, da finalidade, da adequação e da transparência.