A Autoridade Nacional de Proteção de Dados (ANPD) determinou uma série de medidas inéditas e de grande impacto ao WhatsApp LLC e à Meta Platforms Inc., no âmbito do processo que apura o compartilhamento de dados pessoais entre as duas empresas. O Despacho Decisório nº 11/2025/CGF, assinado pelo coordenador-geral de Fiscalização, Fabrício Madruga Guimarães Lopes, estabelece obrigações rigorosas, prazos apertados e a contratação obrigatória de auditoria externa independente, além de um extenso plano de conformidade a ser apresentado pela plataforma de mensagens.
O despacho marca uma das decisões mais robustas da ANPD desde sua criação e sinaliza uma mudança concreta na postura de fiscalização em relação às big techs. O compartilhamento de dados entre WhatsApp e Meta é historicamente objeto de controvérsias no Brasil — desde 2021, quando mudanças nos termos de uso levaram a uma reação de órgãos de defesa do consumidor, Procons e autoridades internacionais.
Agora, pela primeira vez, a ANPD exige auditoria externa independente, prazos rígidos e reformulações substanciais de como o WhatsApp informa, trata e compartilha dados pessoais no Brasil.
A decisão decorre da análise feita pela Nota Técnica nº 58/2025 da Coordenação-Geral de Fiscalização, que apontou diversos riscos, lacunas de transparência e potenciais ilegalidades no tratamento e compartilhamento de dados pessoais entre WhatsApp e Meta — esta última responsável, globalmente, por serviços como Facebook e Instagram.
Auditoria externa independente
Como medida preventiva, a ANPD determinou que o WhatsApp contrate, em até 45 dias úteis, uma auditoria externa independente, certificada e sem qualquer vínculo societário com o WhatsApp ou com a Meta. O objetivo é verificar:
- se as medidas técnicas e organizacionais anunciadas pelo WhatsApp são efetivamente implementadas;
- se tais medidas são suficientes para limitar a atuação da Meta à condição de operadora no tratamento dos dados dos usuários brasileiros;
- se há mecanismos adequados para prevenir incidentes de segurança, incluindo acesso indevido de funcionários da Meta aos dados dos usuários.
A auditoria deverá analisar os controles, políticas e práticas das duas empresas à luz de normas internacionais como ISO/IEC 27701, ISO/IEC 29100 e ISO/IEC 29151. Ao final, o relatório deverá ser enviado à ANPD em até 5 dias úteis após sua conclusão. Se forem identificadas falhas, tanto o WhatsApp quanto a Meta terão 20 dias úteis para apresentar planos de ação corretiva, com prazo máximo de execução de 40 dias úteis.
Transparência
A decisão da ANPD obriga o WhatsApp a reformular amplamente o seu Aviso de Privacidade Brasil, sobretudo nas seções “Por que e como tratamos seus dados”.
Entre as imposições:
- Esclarecer quem é controlador e quem é operador
O WhatsApp deverá indicar, tratamento por tratamento, em quais operações as empresas do Grupo Meta atuam como operadoras (atuando sob instrução do WhatsApp) ou como controladoras (agindo com finalidades próprias).
- Informar quais empresas da Meta participam de cada tratamento
A decisão evidencia que o usuário brasileiro hoje não consegue identificar claramente quais empresas do conglomerado Meta tratam seus dados.
- Transparência sobre serviços opcionais integrados
A ANPD ordena que cada recurso opcional (como integrações com Facebook e Instagram) seja listado separadamente; para cada recurso seja explicitado que há compartilhamento de dados com a Meta como controladora; sejam incluídos hyperlinks para políticas de privacidade e termos específicos; sejam criados artigos próprios na Central de Ajuda explicando detalhadamente o fluxo de dados de cada recurso e as telas de transparência sejam apresentadas logo no início da interação com cada serviço opcional.
Além disso, deverá ficar explicitamente claro que os dados compartilhados com a Meta nos serviços opcionais podem ser usados para fins de publicidade — um ponto considerado crítico pela ANPD.
Outro ponto central da decisão é a Determinação 2, que impede que o WhatsApp continue utilizando a base legal de “execução do contrato” para justificar atividades de tratamento voltadas a aprimorar ou melhorar o serviço.
A ANPD determinou que a empresa deve:
- parar imediatamente de usar essa hipótese legal para finalidades de melhoria;
- definir nova base legal adequada para tais atividades.
- Essa mudança tem impacto direto no modelo de negócios e na arquitetura jurídica do WhatsApp, que, como aplicativo gratuito, frequentemente se vale de bases legais amplas para justificar tratamentos de dados.
- Proibições, recomendações e ajustes finos de conformidade
A decisão ainda determina incluir informação de que no Brasil não há tratamento para sugerir amigos, grupos ou conteúdos personalizados; ajustar a linguagem da coluna “principais categorias de informações usadas” para indicar com precisão quando o volume de dados varia; deixar explícito, serviço a serviço, que dados compartilhados com a Meta podem ser utilizados para publicidade e incluir no quadro de tratamentos as hipóteses legais correspondentes (recomendação).
O WhatsApp deverá apresentar, em até 20 dias úteis, um plano de conformidade detalhado, contendo os objetivos específicos; cronograma completo de execução; ações corretivas; mecanismos de acompanhamento.
A ANPD foi taxativa: o descumprimento das medidas preventivas será considerado circunstância agravante em eventual processo sancionador. O cumprimento, por outro lado, poderá atenuar eventuais penalidades. A decisão também determina que o WhatsApp se manifeste, em cinco dias úteis, sobre trechos classificados como restritos na Nota Técnica nº 58/2025.
