Topo

ANPD fiscaliza de WhatsApp a TikTok sobre uso e proteção de dados no Brasil

Pete Linforth/ Pixabay
Imagem: Pete Linforth/ Pixabay

Camila Montagner

Colaboração para Tilt, em São Paulo

25/07/2023 04h01Atualizada em 26/07/2023 09h55

A primeira multa no Brasil pelo descumprimento da LGPD (Lei Geral de Proteção de Dados) foi aplicada no início do mês contra a Telekall Infoservice, do ramo de telefonia, mas não é só ela que está na mira das autoridades brasileiras.

WhatsApp, ByteDance (dona do TikTok) e outras companhias e órgãos públicos estão sendo fiscalizados pela Autoridade Nacional de Proteção de Dados (ANPD). O objetivo é avaliar se as organizações cumprem as regras da lei ao proteger informações pessoais e garantir a privacidade e segurança das mesmas.

O que rolou

A lista, divulgada pela ANPD em maio deste ano, cita 16 processos e nomeia 27 instituições. Os casos mais antigos foram iniciados em 2021 e continuam em andamento:

  • Bytedance
  • Serpro (Serviço Federal de Processamento de Dados
  • Ministério da Justiça e Segurança Pública
  • Unitfour Tecnologia da Informação Ltda
  • Zappo Tecnologia da Informação e Publicidade Ltda.-ME (Contact Pró)
  • Claro S.A. e Serasa S.A.
  • INEP (Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira)
  • WhatsApp
  • INSS (Instituto Nacional do Seguro Social) e Dataprev
  • Governo do Estado do Paraná, Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar) e Algar Soluções em TIC S.A. (Algar Telecom)
  • Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Estude em Casa, Explicaê, Manga High e Stoodi
  • RaiaDrogasil S.A., Stix Fidelidade e Inteligência S.A. e Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias)
De acordo com a ANPD, os 16 processos não correspondem ao total de fiscalizações realizadas até o momento. Alguns já concluídos e que não resultaram em sanções ainda não foram tornados públicos. Eles seguem sem data prevista de publicação.

WhatsApp e TikTok

O coordenador-geral de fiscalização da ANPD, Fabrício Lopes, explica que o processo atual aberto envolvendo o WhatsApp tem como foco analisar o compartilhamento de dados entre a plataforma e o Facebook, outra empresa do catálogo do mesmo grupo Meta, que controla o aplicativo mensageiro.

O WhatsApp, diz o profissional, respondeu para a ANPD que, em termos de dados pessoais, a companhia usa o número de telefone, apelido e grupos públicos. O serviço de mensagens acrescentou ainda que "tudo passa criptografado na comunicação" — recebe uma camada de segurança que embaralha os dados para dificuldade os acessos indevidos).

A ANPD deve analisar as respostas da organização e decidir se encerra a fiscalização ou se o WhatsApp será alvo de um processo com punição. Não existe um prazo oficial, mas isso pode acontecer em até três anos. Como ele foi aberto em 2022, a Autoridade tem até 2025.

Em 2022, o WhatsApp já havia sido investigado para esclarecer se estava em conformidade com a LGPD. A investigação foi concluída em maio do ano passado sem a necessidade de sanção. Ou seja, sem multas e outras punições.

Esse processo anterior foi focado na política de privacidade do aplicativo mensageiro. O WhatsApp fez a adequação de seus termos à LGPD. Os pontos principais do roteiro seguido pela ANPD na sua análise foram tornados públicos no seu site por meio de nota técnica.

"O processo de fiscalização informado dá continuidade aos diálogos iniciados com a autoridade após o caso concluído em 2022, que teve 100% das recomendações da ANPD atendidas pela companhia. Nesse sentido, o WhatsApp segue cooperando, como de costume, de forma próxima e colaborativa com a Autoridade" diz a Meta, responsável pela plataforma, em comunicado.

Quando à ByteDance no Brasil, responsável pelo TikTok, a análise da autoridade gira em torno de assegurar que a empresa faça um tratamento de dados pessoais de crianças e adolescentes conforme as regras da LGPD. Esse processo envolve etapas como: coletar informações, cruzar com outras e mantê-las armazenadas em segurança nos bancos de dados da companhia.

Lopes explicou que um pai entrou entrou na Justiça contra do TikTok por conta do uso dos dados do filho. O caso é conduzido pela defensoria pública do Rio de Janeiro, que formalizou a denúncia no sistema da ANPD.

Como a fiscalização funciona

Nessa etapa de fiscalização, a ANPD ainda não decide sobre eventuais multas e punições. O que pode ocorrer é a autoridade definir que determinada organização deve cumprir medidas preventivas ou corretivas para se adequar à LGPD dentro de um prazo determinado — como ocorreu com o WhatsApp em 2022.

Segundo Lopes, oito outros processos foram direcionados para o chamado Processo Sancionador, no qual as investigações seguirão e medidas mais duras poderão ser tomadas.

"Só em oito casos eu tive que de fato abrir o processo de sanção. Outros casos consegui resolver com outros instrumentos à disposição: pressão, ameaça de abrir o processo sancionador, aviso, indicar o que está errado", afirma o coordenador.

A fase sancionadora pode ser iniciada de imediato ou encaminhada após a fase de supervisão dentro dos processos de fiscalização ser encerrada. Ela ocorre, por exemplo, quando o órgão fiscalizado não corrige falhas ou não coopera com a ANPD.

A Autoridade ainda não divulgou detalhes sobre cada uma dessas 16 fiscalizações em andamento e nem desses oito processos administrativos na etapa de sanção.

Para Lopes, a divulgação de informações nessa fase de supervisão pode atrapalhar as investigações ou fazer com que as pessoas se adiantem tomando os processos como guias de como elas devem agir em relação à proteção de dados antes de uma decisão embasada ser de fato tomada pela ANPD.

O coordenador reforça que os 16 processos partiram do princípio de boa fé, no qual a ANPD não assume que existe algo errado sendo feito pelas organizações até que reúna provas disso.

O caso da Contact Pró

Em algumas situações, o foco da fiscalização fica mais definido diante de um trabalho prévio realizado antes da denúncia oficial para a ANPD (que qualquer pessoa ou organização pode fazer). É o caso do processo envolvendo a Contact Pró, ferramenta de marketing e vendas.

A ANPD recebeu uma denúncia feita pela seção da Bahia da Ordem dos Advogados do Brasil (OAB-BA) por suposta venda de dados pessoais para fazer captação de clientes para advogados.

"Certamente isso é uma infração ética, mas eu tenho que determinar se é uma infração LGPD", ressalta Lopes.

Procurada, a Contact Pró afirmou a Tilt que vem fornecendo informações solicitadas pela ANPD "colaborando com os levantamentos e saneando as dúvidas manifestadas pelo corpo técnico da ANPD", além de prezar "pelo atendimento à legislação e pela boa-fé nas relações com titulares de dados, clientes e fornecedores."

"A Contact Pró não vende dados pessoais, mas presta serviços a partir de dados pessoais publicamente acessíveis, sejam eles dados públicos ou tornados públicos pelo próprio titular. Entre os serviços prestados estão os serviços de fornecimento de mailing e os serviços de comunicação em massa, sendo que o uso dos mailings e a produção dos textos de mensagem (áudios, imagens ou textos) são da responsabilidade dos clientes da empresa, incluindo a declaração da finalidade de uso quando da contratação do serviço, o que leva a Contatc Pró, na condição de operadora de dados, a realizar ou não o serviço", afirma Evandro Salles, sócio-comercial da companhia.

"Dependendo do serviço contratado, a Contact Pró fornece ferramentas digitais para disparo de mensagens e o cliente opera diretamente, sem a participação da equipe da Contact Pró", complementa.

O que esperar agora

O coordenador destaca que, uma vez concluída as fiscalizações, a divulgação dos processos que não resultaram na aplicação de punições e dos 16 ainda em andamento façam com que os tratadores de dados no Brasil (pessoas responsáveis nas organizações por assegurar a proteção de informações pessoais) não demorem "para começar a se mexer."

Além disso:

Os processos concluídos serão organizados pela ANPD para divulgação — ainda sem data definida.

Os processos fiscalizadores em andamento devem ter seus status atualizados com novas informações no site do órgão a cada três meses, segundo Lopes.

As listas com nomes das empresas e órgãos públicos que passam atualmente por fiscalização podem ser consultadas no site oficial da ANPD.

Como fazer uma denúncia na ANPD

É preciso acessar o canal que a ANPD usa para receber denúncias: o Sistema Único de Processo Eletrônico em Rede (Super.gov.br).

A pessoa física pode denunciar tanto se ela for titular dos dados usados pela organização denunciada (seria a chamada petição de titular) quanto se ela perceber que uma instituição de modo geral não cumpre a LGPD. Há opções distintas de formulários para essas duas possibilidades.

Até 2022, antes da plataforma existir, as denúncias eram feitas via SEI (Sistema Eletrônico de Informações). Se a pessoa quiser fazer uma denúncia anônima, o canal disponível é o Falabr.gov.

Para mais vídeos com notícias, dicas e curiosidades de tecnologia e de ciência, siga @tilt_uol no TikTok.