Declaração da Coalizão Direitos na Rede sobre a atualização na política de privacidade do WhatsApp
Em janeiro deste ano, o aplicativo de mensagens mais utilizado no Brasil, o WhatsApp, passou a notificar os usuários do serviço sobre mudanças em seus termos de uso e política de privacidade que seriam implementadas em 8 de fevereiro. Dada a repercussão negativa da medida, a empresa adiou o prazo para aceitação dos novos termos até 15 de maio. Recentemente, confirmou que a funcionalidade básica do aplicativo não mais estará disponível para quem não aceitar a nova política. Atenta a esta mudança, a Coalizão Direitos na Rede, coletivo de 45 organizações acadêmicas e da sociedade civil que atuam em defesa dos direitos digitais e que participaram ativamente da construção dos processos de discussão e aprovação do Marco Civil da Internet e da Lei Geral de Proteção de Dados Pessoais, alerta para os seguintes problemas da nova política de privacidade do WhatsApp.
Em primeiro lugar, cabe destacar o que poucos usuários têm ciência: o fato de que essas mudanças tiveram início em 2016, dois anos após a compra do WhatsApp pelo Facebook, por US$ 22 bilhões, quando a empresa alterou globalmente sua política de privacidade para permitir que dados pessoais de usuários do aplicativo de mensagens passassem a ser compartilhados com outras empresas do grupo empresarial. Na oportunidade, foi apresentada ao usuário uma opção de opt-out, ou seja, o usuário de WhatsApp que não quisesse que seus dados fossem compartilhados, por exemplo, com o Facebook, poderia dizer “não” à integração. O recurso, porém, só ficou disponível por 30 dias. Quem não escolheu o “opt-out” na época já tem, desde então, seus dados compartilhados com outras empresas do grupo – mesmo que isso só tenha ficado explícito para muitos no início deste ano.
Os novos termos anunciados pelo WhatsApp vêm, em 2021, para consolidar este compartilhamento forçado, piorando a situação ao remover opções de controle de dados e expandir a integração dos mesmos por meio de novos serviços. Entre as mudanças anunciadas, o Facebook obrigará os usuários, caso queiram seguir utilizando o WhatsApp, a concordar em compartilhar, entre suas empresas constituintes, informações pessoais e conversas realizadas com empresas que usam o WhatsApp Business e que contrataram o Facebook para gerenciar a comunicação entre empresa e usuário, ou seja, sem criptografia ponta a ponta.
No Brasil, essas mudanças são especialmente preocupantes, em função da posição dominante de mercado do WhatsApp, onde 99% dos celulares possuem o aplicativo instalado e 93% dos usuários o utilizam diariamente1. Além disso, quase a totalidade de planos de telefonia móvel oferecidos no país tem o WhatsApp inserido em acordos de zero rating2, o que é especialmente importante em um contexto em que a maioria da população acessa a internet pelo celular e por meio de planos “pré-pago” ou “controle”. Ou seja, o aplicativo é ferramenta de comunicação essencial para significativa parcela da população, que pode ser seriamente impactada se tiver que abrir mão de seu uso caso não concorde com a nova política do grupo Facebook.
PEGAR OU LARGAR: O CONSENTIMENTO FORÇADO DO WHATSAPP
Se em 2016 foi a minoria de usuários do aplicativo que disse “não” ao compartilhamento anunciado, o problema do “consentimento forçado” se torna ainda mais forte com a entrada em vigor no país, em 2019, da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, LGPD). Entre diferentes princípios e normas para o tratamento de dados, a LGPD estabelece bases legais para o compartilhamento dessas informações, sendo uma delas o consentimento livre e informado do usuário, que deixa de existir quando o usuário, para poder seguir usando o aplicativo, é obrigado a aceitar todos os compartilhamentos informados na nova política.
O WhatsApp declara que o compartilhamento de dados realizado com empresas do grupo é amparado em outras bases legais previstas na LGPD que não o consentimento. Uma delas seria o chamado “legítimo interesse” da empresa, hipótese de tratamento que, pela LGPD, para ser legal, deve estar em equilíbrio com as expectativas, direitos e liberdades dos usuários, também garantidas na lei.
A LGPD também determina que qualquer compartilhamento de dados realizado deve ser o estritamente necessário para atingir o propósito de uso de um aplicativo, o que não parece ser o caso em questão, já que os dados compartilhados e suas finalidades apresentadas na nova política do WhatsApp são extremamente genéricas e estão longe do interesse e expectativa do usuário. Tampouco o compartilhamento generalizado já em curso comprova-se necessário para a execução do serviço de mensagens.
Ou seja, em 2021, com a LGPD em vigor, a nova política de privacidade do WhatsApp não dá ao usuário a possibilidade de controlar seu fluxo de informações, não permite o direito de se opor ao tratamento de dados não essenciais pelo grupo, tampouco oferece escolhas granulares e específicas em cada etapa do processamento do dado – direitos esses que qualquer usuário deveria ter mesmo que houvesse uma base legal para o tratamento, o que, como indicado, a empresa sequer foi capaz de demonstrar existir.
DOIS PESOS E DUAS MEDIDAS
Depois de ser condenado em vários países da Europa por alterações em sua política de privacidade em 2016, o Facebook assinou compromissos com as autoridades regulatórias locais³ que garantiram que os cidadãos europeus tivessem um grau de proteção de dados pessoais mais elevado do que em outros lugares do mundo – entre eles, o Brasil. Com a nova política, essa desigualdade de tratamento entre os usuários se ampliará, porque as regras que passarão a valer aqui a partir de maio são diferentes das aplicadas aos cidadãos europeus. Um exemplo da disparidade é que, enquanto na política de privacidade brasileira os dados são compartilhados com propósitos extremamente amplos e desconectados do contexto inicial de coleta, nos termos de uso aplicáveis a União Europeia4, os dados compartilhados são usados em nome do WhatsApp e em conformidade com suas instruções e não podem ser usados para finalidades próprias das empresas do Facebook. Há uma explícita diferenciação nos limites que são colocados ao tratamento de dados de cada cidadão.
Ou seja, fica nítido que o compartilhamento de dados que já vem sendo feito desde 2016 para a maioria dos usuários do WhatsApp no Brasil e cuja concordância explícita passa a ser obrigatória a partir de agora não é necessário para o funcionamento do serviço. Trata-se de uma decisão da empresa de tratar os cidadãos não-europeus como de segunda classe.
CRIANÇAS E ADOLESCENTES
Outro grande problema dos novos termos de uso e política de privacidade do WhatsApp refere-se ao tratamento de dados de crianças e adolescentes. A única menção a este grupo de usuários é extremamente genérica e sucinta, limitando-se a estabelecer a idade mínima de treze (13) anos para possuir uma conta no aplicativo e indicando a necessidade leitura conjunta da nova política pelos pais. Contudo, pela LGPD e em consonância com o art. 227 da Constituição Federal, a proteção à criança e ao adolescente merece atenção especial, tendo em vista a necessidade de preservação do interesse maior da criança com absoluta prioridade.
Nesse sentido, a coleta e o compartilhamento de dados de crianças e adolescentes pelo aplicativo deveriam ser especialmente restritos àqueles estritamente necessários para a oferta do serviço e para sua segurança, não devendo ocorrer para finalidades como a de melhoria do serviço ou oferta de publicidade. Vale lembrar que, em virtude da hipervulnerabilidade deste grupo, o direcionamento de publicidade para crianças e adolescentes já é considerado abusivo pelo Código de Defesa do Consumidor, art. 39, IV, e pela resolução n. 163, de 13 de março de 2014, do Conselho Nacional dos Direitos da Criança e do Adolescente.
O WhatsApp, portanto, deve utilizar meios adequados para a verificação da idade do usuário, a fim de que a tutela mais rigorosa seja aplicável, e os dados utilizados para essa verificação também devem ser limitados, ponderando-se os riscos da coleta com o bem a ser alcançado. Lamentavelmente, a falta de clareza sobre as finalidades do compartilhamento de dados de usuários – mesmo daqueles com mais de 13 anos – com o Facebook impede que elas sejam cotejadas com o melhor interesse, a fim de se compreender se são legítimas à luz da Convenção sobre os Direitos da Criança, da qual o Brasil é signatário.
O PODER ECONÔMICO DO WHATSAPP E DO GRUPO FACEBOOK
Como mencionado anteriormente, em um contexto em que a maioria da população brasileira acessa a Internet por meio do celular e de planos pré-pagos, é difícil dizer que esse enorme poder de mercado do grupo Facebook é fruto da livre escolha do usuário, quando quase todos os planos são oferecidos com WhatsApp “ilimitado” em pacotes de zero-rating. Além disso, os efeitos de rede (quando o valor/poder do serviço aumenta com o número de usuários) tornam difícil para o cidadão migrar de aplicativos. Não estar na plataforma que 93% dos usuários de smartphone no país utilizam diariamente significa estar sujeito a prejuízos sociais e profissionais. Assim, os cidadãos se vêem obrigados a concordar com a nova política do Whatsapp e a ratificar seus termos de uso, mesmo tendo seu direito de controle sobre seus dados violado. Na prática, neste contexto, não existe real liberdade de escolha de aplicativo para troca de mensagens.
Entendemos que o abuso dessa posição dominante no mercado, convertida em exercício de poder econômico, pode ser uma das condutas que legitima o WhatsApp a perpetuar infrações concorrenciais, práticas lesivas e abusivas contra o consumidor, e incorrer com frequência em ilícitos contra o direito à proteção de dados, já considerado um direito fundamental pelo Supremo Tribunal Federal (ADI 6387). Conforme ocorre em outros países como a Alemanha, onde uma empresa como o Facebook está sujeita a obrigações especiais devido à sua posição dominante de mercado, mostra-se urgente que, no Brasil, um grupo econômico com tamanho poder de mercado seja submetido a um escrutínio rígido por parte das autoridades.
* * *
Considerando os motivos acima mencionados e o claro conflito entre as novas regras de privacidade anunciadas pelo WhatsApp e a legislação brasileira vigente – sobretudo a Lei Geral de Proteção de Dados Pessoais, as organizações que integram a Coalizão Direitos na Rede e demais instituições que subscrevem a presente carta requerem:
- A suspensão da alteração da política de privacidade prevista para 15 de maio e sua imediata adequação às regras e limitações de compartilhamento de dados pessoais dispostas na LGPD;
- A suspensão da integração de dados entre o WhatsApp e outras empresas do grupo Facebook, mesmo no caso de usuários que aceitaram o compartilhamento em 2016 ou que venham a aceitar em 2021, considerando ter a falta de provisão de informações adequadas para o usuário impedido a expressão de consentimento válido;
- A continuidade da oferta do serviço aos usuários que não aceitarem a modificação da política de privacidade, caso seus termos não sejam alterados; e
- Que as autoridades brasileiras, em especial a Autoridade Nacional de Proteção de Dados, cooperem e analisem o caso à luz do ecossistema legal de proteção de dados vigente no país, em especial a Constituição Federal, a Lei Geral de Proteção de Dados, o Marco Civil da Internet, o Estatuto da Criança e do Adolescente, o Código de Defesa do Consumidor e a Lei de Defesa da Concorrência, e tomem as providências cabíveis para resguardar o direito à privacidade e proteção de dados dos brasileiros.
Entendemos que o atendimento aos pedidos apresentados na presente carta seria benéfico ao conjunto da população que utiliza o WhatsApp, bem como um passo importante para a garantia do direito de escolha dos usuários acerca dos aplicativos de mensageria em operação no país.
Brasília, 3 de maio de 2021.
1 Tecnoblog. WhatsApp chega a 99% dos celulares no Brasil. Disponível em:https://tecnoblog.net/326932/whatsapp-chega-a-99-por-cento-celulares-brasil-telegram-cresce/
2 Prática em que as prestadoras de serviços de telecomunicações aplicam um preço zero para o tráfego de dados móveis de determinadas aplicações, resultando na não contabilização desse tráfego na franquia de dados contratada para acesso à internet.
3 O Facebook firmou acordo com o Information Commissioner’s Office (ICO), autoridade de dados do Reino Unido, determinando que, após vigência do GDPR, o compartilhamento de dados, controlador para controlador, com a finalidade de melhoramento dos serviços ou publicidade, só poderia ser feito em acordo com os requerimentos da GDPR e trabalhando com o Lead Supervisory Authority (a autoridade irlandesa, no caso), sob o artigo 56 da GDPR. Mais do que o compromisso, a investigação do ICO descobriu que não havia base legal para o tratamento de dados, as finalidades eram incompatíveis com o tratamento e as informações eram insuficientes.
4 Quando recebemos serviços das Empresas do Facebook, os dados que compartilhamos com elas são usados em nome do WhatsApp e em conformidade com nossas instruções. Todos os dados que o WhatsApp compartilha nessas condições não podem ser usados para as finalidades próprias das Empresas do Facebook. Disponível em: https://www.whatsapp.com/legal/updates/privacy-policy-eea#7Mcuy6Kejv5eYg4Z2