1) Introdução
A Coordenação-Geral de Tecnologia e Pesquisa da ANPD (CGTP) elaborou uma nota técnica (“Nota”) sobre a alteração da nova política de privacidade do WhatsApp (“Política”), que seria implementada em 15/05/2021 no Brasil. Vale lembrar que a CGTP é o órgão interno da Autoridade Nacional de Proteção de Dados (ANPD) responsável por, dentre outras atribuições, emitir pareceres técnicos nos autos de processos administrativos em trâmite na ANPD.
A Nota elenca as possíveis consequências da alteração, tendo sido feita, pelo que consta, com base nos documentos publicados pelo WhatsApp, e em respostas aos questionamentos feitos à empresa por meio de ofícios. Atualmente, existe processo administrativo na ANPD em andamento sobre o caso.
2) Prazo
A ANPD determinou um prazo de 15 dias para que o WhatsApp fornecesse as informações, devido ao pedido da empresa de aumento do prazo, que era inicialmente de apenas 5 dias. O curto período estabelecido demonstra a importância de as organizações estruturarem previamente seu programa de governança em proteção de dados.
3) Pontos da Nota Técnica
Apresentamos abaixo um resumo dos principais temas discutidos na Nota:
Transparência
- Aponta que indicar as bases legais pode ser uma boa prática, apesar de não ser exigida pela LGPD (itens 105-106); e
- Destaca que a correlação entre os dados coletados e as respectivas finalidades é necessária na política de privacidade (item 107).
Dados Sensíveis e Crianças e Adolescentes
- Entende que vale menção específica na Política sobre as circunstâncias em que poderia ocorrer tratamento (não intencional) de dados sensíveis e sobre as finalidades, bases legais e medidas de segurança empregadas nesses casos (item 172); e
- Destaca a ausência de adoção de condutas específicas para o tratamento de dados de crianças e adolescentes (item 174).
Direitos dos Titulares
- Considerou os formulários para o exercício de direitos adequados (item 167). Contudo, não houve análise técnica do direito de acesso e portabilidade por ainda não haver regulação da matéria (item 162);
- Exige que seja divulgada a identidade do DPO no aviso de privacidade (item 150); e
- Reforça o argumento de que deve haver menção explícita a todos os direitos na política de privacidade, mas que essa menção “não pode ser entendida como uma exigência abstrata de reprodução literal do dispositivo da lei” (itens 151-153).
Relatório de Impacto à Proteção de Dados (RIPD)
- Destaca que o Teste de Legítimo interesse não é suficiente para substituir a necessidade do RIPD (item 99);
- Indica que o RIPD será necessário sempre que houver um tratamento em larga escala e com um número elevado de titulares (item 97);
- Lista o conteúdo mínimo de um RIPD, especificamente (i) uma descrição sistemática das atividades de tratamento; (ii) uma avaliação da necessidade e proporcionalidade do tratamento em relação ao objetivo; (iii) uma matriz de probabilidade e impacto para que se possa identificar o risco identificado e o risco residual; e (iv) as medidas técnicas e administrativas adotadas para lidar com os riscos identificados.
Medidas de Prevenção e Segurança
- Entre controles organizacionais de segurança, incluiu: (i) controles de contratos com operadores de dados e terceiros; (ii) registros de compartilhamento de dados; (iii) inventário de dados; e (iv) registro das operações de tratamento (item 184);
- Faz menção às medidas da NBR-ISO 27700 como boa prática (item 182); e
- Exigiu a apresentação de exemplos de períodos de armazenamentos de dados de acordo com algumas finalidades como forma de comprovar a adequação das práticas de retenção de dados (item 186).
4) Comparação com UE
Interessante notar que ao longo de toda a Nota são feitas comparações com o cenário regulatório de proteção de dados da União Europeia. É feita, inclusive, comparação direta entre o caso em análise do WhatsApp Brasil e a multa aplicada pela CNIL, autoridade francesa de proteção de dados, ao Google França por falta de transparência na sua política de privacidade (item 30). Também foi questionado pela ANPD o porquê de haver uma diferença de conteúdo entre as políticas de privacidade do WhatsApp da União Europeia e do Brasil, já que as legislações são semelhantes. Essas características do documento parecem indicar que a UE será um referencial importante na aplicação da LGPD no Brasil.
5) Cooperação Institucional
Importante salientar que o CGTP afirma que a análise pode servir de subsídio para a atuação de outros órgãos ou entidades, o que parece indicar a disposição da ANPD de efetivamente atuar em conjunto com outros setores regulatórios.