O uso de WhatsApp sob a ótica da proteção de dados

Conhece gente interessada no assunto? Compartilhe clicando num botão abaixo!

(WORKING PAPER) WhatsApp é um dos aplicativos de mensagens mais usados no mundo, mas, do ponto de vista da proteção de dados, tem características comprometedoras, que não recomendam seu uso. Felizmente, há alternativas disponíveis. Leia mais no artigo!

Ao trabalhar na consultoria jurídica com proteção de dados pessoais, lidamos com um direito humano fundamental. É sob essa ótica que se pauta toda nossa atuação. Levamos em conta as normas técnicas do setor, mas quando encontramos conflitos entre as normas técnicas e os direitos humanos no uso de certa solução de software, optamos sempre por alertar nossos clientes para que encontremos uma solução que ponha fim à violação de direito.

Um dos casos mais controversos é o da recomendação às organizações para abandonar, ou restringir fortemente, o uso de WhatsApp em sua comunicação interna. Como também trabalhamos com uma perspectiva pedagógica na construção de políticas de proteção de dados, e reconhecemos além disso que há conflitos internos em todas as organizações que não cabe às assessorias externas resolver, partimos sempre da necessidade de entender os usos do WhatsApp na organização para sugerir alternativas, ou, se necessário, técnicas de mitigação do risco. A recomendação, entretanto, persiste; a solução pode mudar, mas a recomendação é a mesma.

As reclamações se repetiam. As recomendações de segurança eram ignoradas. Os argumentos centram-se, principalmente, no “fato” de que o WhatsApp é “mais rápido”, de que o WhatsApppermite comunicação “mais rápida”, “mais ágil”. Esses argumentos revelam o nível de informações equivocadas que gira em torno do WhatsApp, além de não levarem em conta vários fatores que criam essa impressão. (Impressão falsa, aliás, como demonstrarei.)

Na tentativa de qualificar o diálogo, resolvi reunir num só texto tudo o que explico verbalmente às equipes quando trato do assunto “WhatsApp e proteção de dados”. Minha esperança é fazer desse texto-base uma leitura básica nos processos de adequação à LGPD.

Apresento a seguir os argumentos em favor do abandono ou restrição severa de uso de WhatsApp em organizações, escalando-os desde questões práticas no uso cotidiano do aplicativo até violações muito sérias aos direitos de coletividades inteiras. Vão destacados abaixo em tópicos:

Tomei como base, ao escrever este artigo, a versão 2.21.17.24 do Whatsapp, disponível num Android 11 no dia 09 de setembro de 2021.

Este não é um texto de leitura rápida. Não tem “10 dicas” de nada, não tem “5 passos” para lugar algum. É um texto para estudo pausado, reflexão bem meditada. Leia-o devagar. Saboreie-o, mastigue-o. Se necessário, leia um tópico por dia, somente. Há muito mais em jogo do que simples orientações técnicas, como se espera que fique evidente ao final, onde são apresentadas alternativas ao uso do WhatsApp.

O WhatsApp viola de várias formas o direito à autodeterminação informativa

Este deveria ser o último item, mas é tão importante entender o que é autodeterminação informativa que o assunto precisa vir em primeiro lugar.

Autodeterminação informativa é o direito de escolher o que pode, ou não pode, ser feito com as informações a respeito de sua identidade e de seu comportamento (pessoal, social, econômico, político etc.). É seu direito, por exemplo, de pedir informações sobre como uma empresa chegou ao seu e-mail para te mandar propaganda. De ser informado sobre as consequências de um vazamento de dados que envolveu informações suas. De recusar-se a trocar impressão digital por descontos, e de demonstrar a ilegalidade dessa exigência.

Não é difícil de entender o fundamento desse direito. Hoje, vale ouro qualquer informação capaz de identificar uma pessoa, ou de facilitar indiretamente sua identificação. Desde dados aparentemente banais de navegação na internet até documentos pessoais, hábitos de consumo e informações detalhadas sobre perfil de crédito, esses dados servem ao Estado e às empresas para monitorar e influenciar o comportamento de indivíduos, muitas vezes sem seu consentimento. Para antecipar tendências de mercado e decidir, com base em massas de dados (big data), quais cidadãos são merecedores dos melhores serviços, e quais devem ser deles excluídos. Para reforçar preconceitos sob o argumento de que “a decisão foi da máquina”.

Por isso, vem sendo construído em todo o mundo, pelo menos desde os anos 1960, o entendimento de que toda informação capaz de identificar uma pessoa, seu comportamento, ou características próprias da identidade de um indivíduo, são parte integrante de sua personalidade, e devem receber proteção legal em nível constitucional.

No Brasil, o debate aprofundou-se em plena ditadura, com os debates em torno da criação do Registro Nacional de Pessoas Naturais (RENAPE), que pretendia reunir num só cadastro todas as informações de registro civil, identidade e outras informações dos cidadãos brasileiros num banco de dados gerido pelo SERPRO. Arquivado definitivamente em 1978, o projeto acendeu a discussão sobre a proteção de dados pessoais no Brasil, resultando no Projeto de Lei 4.365/1977, do deputado Faria Lima, que inaugurou o debate legislativo sobre o tema; no Projeto de Lei 2.796/1980, da deputada Cristina Tavares, primeiro a tentar disciplinar a questão de forma específica; e no trabalho acadẽmico pioneiro de René Ariel Dotti sobre o tema, que trouxe para o debate brasileiro o “estado da arte” sobre a proteção de dados, pautado principalmente pela experiência da constituição portuguesa.

O direito à autodeterminação informativa foi recepcionado pela Constituição Federal de 1988, ao proteger os direitos à dignidade da pessoa humana (art. 1º, III); à segurança (art. 5º, caput); à proibição do tratamento desumano ou degradante (art. 5º, III); à inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, ase de indenização pelo dano material ou moral decorrente de sua violação (art. 5º, X); e à inviolabilidade do sigilo de dados (art. 5º, XII).

Se o direito à autodeterminação ainda dependia, em grande parte, da interpretação da lei pelos juristas, ele foi explicitamente reconhecido em 2020 quando o Supremo Tribunal Federal (STF) julgou o caso da constitucionalidade da Medida Provisória 954/2020, por meio da qual o governo federal ordenava às empresas de telecomunicação o compartilhamento irrestrito com o IBGE dos nomes, números de telefone e endereços de todos os seus, sob o pretexto de auxiliar no combate à pandemia de COVID-19 (cf. Ação Direta de Inconstitucionalidade nª 6387/DF - 0090566-08.2020.1.00.0000).

Graças à autodeterminação informativa, é direito de todos os cidadãos brasileiros serem informados adequadamente a respeito do que é feito com informações que possam identificá-los. É seu direito, também, decidir o que fazer com tais informações, permitindo ou proibindo seu tratamento. Por último, é direito deles, também, serem protegidos contra qualquer forma de tratamento de dados que

O WhatsApp viola a autodeterminação informativa em diversas formas, que serão detalhadas a seguir.

Falta de proteção adequada aos arquivos de mídia armazenados nos aparelhos

O WhatsApp não dá proteção alguma às fotos, vídeos, áudios e demais anexos recebidos por meio dele.

Todos esses arquivos vão parar numa pasta do celular Android com a hierarquia “WhatsApp -> Media”. Dentro dessa pasta, qualquer pessoa com acesso ao celular pode ver os arquivos baixados. Pode também conectar o celular a um computador, acessar a pasta e copiar todo o conteúdo.

Este é, inclusive, um “método alternativo” muito comum para esvaziar a pasta e poupar espaço no aparelho.

O WhatsApp tem uma ferramenta interna de gestão de armazenamento que permite apagar os arquivos individualmente, e também selecionando-os por conversa; entretanto, o “método alternativo” tornou-se tão popular que poucos usam a ferramenta.

O WhatsApp, além de deixar essa pasta com acesso aberto por padrão, não oferece qualquer alternativa para proteger esses arquivos de acessos indesejados.

As únicas alternativas para garantir alguma segurança aos arquivos de mídia baixados dependem de algum conhecimento técnico, que não está ao alcance de todos os usuários do WhatsApp.

Mesmo assim, qualquer alteração na pasta “WhatsApp -> Media” (p. ex., criptografia, bloqueio com senha) pode comprometer a usabilidade normal do aplicativo e é expressamente proibida pelos Termos de Serviço do aplicativo:

Você não está autorizado, diretamente, indiretamente, por meios automatizados ou quaisquer outros a acessar, usar, copiar, adaptar, modificar, elaborar trabalhos derivados, distribuir, licenciar, sublicenciar, transferir, executar ou de qualquer forma explorar (ou prestar auxílio para que alguém o faça) nossos Serviços de maneira não permitida ou autorizada, ou de forma a prejudicar ou onerar a nós, nossos Serviços, sistemas, usuários ou terceiros, inclusive, seja diretamente ou mediante automação (grifo nosso)

Com isso, o sigilo e a confidencialidade dos dados tratados por meio do WhatsApp podem ficar comprometidas se houver acesso não-autorizado ao aparelho, fisicamente falando; ou se houver, por qualquer meio físico ou digital (presencial ou remoto), acesso não-autorizado à estrutura de pastas do aparelho que permita chegar à pasta “WhatsApp -> Media”.

Para isso, não é preciso ser um cracker com técnicas avançadas de invasão.

Basta, por exemplo, uma crise de ciúmes atacar a pessoa com quem você se relaciona para que ela, conseguindo a senha do aparelho e sabendo acessar a pasta “WhatsApp -> Media” (para o que basta uma pesquisa rápida na internet), tenha acesso não-autorizado a todos os arquivos de mídia enquanto você está longe, ou enquanto você dorme.

O acesso não-autorizado é incidente de segurança gravíssimo por si só.

Neste exemplo, entretanto, a situação agrava-se ainda mais. O que está salvo no aprelho pode ser verdadeiramente inócuo e inocente, mas uma imaginação inflamada pelo ciúme pode enxergar coisas que não existem, ou que simplesmente não são o que parecem. Daí para o fim de um relacionamento, ou mesmo para atos de violência, o caminho é muito curto.

Se o armazenamento inseguro de arquivos de mídia já é gravíssimo na esfera pessoal, a situação se agrava quando se trata da proteção de dados de organizações.

Um atacante pode usar várias técnicas de engenharia social e manipulação psicológica para conseguir a senha do celular de algum membro da organização. Depois, aproveita um momento de distração, copia todo o conteúdo da pasta “WhatsApp -> Media” em algum lugar, e, por fim, leva consigo a cópia para algum lugar onde possa analisar tranquilamente o que tem na pasta. Com isso, poderá, entre outras coisas:

Esta é a primeira violação à autodeterminação informativa encontrada. Já é gravíssima. Mas os riscos não param por aí.

Falta de controle sobre prints de tela compromete a privacidade e a confidencialidade

Capturas de tela, também conhecidas pelo nome inglês print, são imagens que registram o que está sendo exibido na tela no momento da captura.

A ferramenta é muito útil. Um uso legítimo da ferramenta, por exemplo, é o registro de erros em programas e aplicativos.

Por outro lado, capturas de tela podem ser violação à privacidade se servirem para capturar imagens de conversas que se esperava serem privadas.

É exatamente essa a expectativa dos usuários de WhatsApp, estimulada pelo marketing da empresa:

Privacidade e segurança estão no nosso DNA

Desde o primeiro momento, nós desenvolvemos o WhatsApp para ajudar pessoas a manter contato com amigos, compartilhar informações vitais em caso de desastres naturais, reconectar-se com familiares distantes ou buscar uma vida melhor. Alguns dos seus momentos mais pessoais são compartilhados por meio do WhatsApp e é por isso que nós implementamos a criptografia de ponta a ponta em nosso aplicativo. Quando protegidos com a criptografia de ponta a ponta, suas mensagens, fotos, vídeos, mensagens de voz, documentos e ligações estão seguros e não cairão em mãos erradas.

Se as pessoas esperam, ao usar o WhatsApp, poder conversar de forma privada, íntima e segura, falarão coisas que não diriam em outras circunstâncias. Usarão linguagem que não usariam em público. Mostrarão coisas muito, mas muito íntimas.

Se é assim, aplicam-se às mensagens de WhatsApp a proteção constitucional à inviolabilidade da vida privada e da intimidade, ao sigilo de correspondência e ao sigilo de dados.

Deveria haver ferramentas no WhatsApp que garantissem essas proteções.

A proteção dos dados em trânsito é garantida pelo uso de tecnologia que a WhatsApp LLC comprou da Open Whisper Systems (empresa que produz o aplicativo Signal). Apesar disso, no WhatsApp a proteção dos dados em repouso (ou seja, nos aparelhos) é muito frágil.

Já vimos como não existe proteção alguma que garanta a confidencialidade dos arquivos de mídia trocados por meio do WhatsApp.

Para piorar, não existe nenhuma proteção embutida no próprio WhatsApp que impeça alguém de capturar várias telas do aplicativo e montar uma verdadeira “linha do tempo” com todas as mensagens usadas numa conversa.

São os famosos “prints de zap”. Hoje, servem como “prova” de quase tudo.

Informações que se esperava circular apenas entre as pessoas envolvidas na conversa, por causa dos prints, circulam por onde quer que a pessoa que capturou a tela as tenhas enviado.

Pior ainda: depois que o print é compartilhado pela primeira vez, não há garantia alguma de que o compartilhamento pare por aí. Afinal, o que impede uma terceira pessoa de enviar aquele print a outro lugar? Nada. Melhor dizendo: a consciência dessas pessoas – e “consciência” não é bom fator de segurança, pois é imprevisível.

Esse argumento não é puro “achismo”. Recentemente, a 3ª Turma do Superior Tribunal de Justiça (STJ) julgou unanimemente que o compartilhamento de prints que violem o sigilo da correspondência e a privacidade da relação causa dano, e gera dever de indenizar:

Ao levar a conhecimento público conversa privada, também estará configurada a violação à legítima expectativa, à privacidade e à intimidade do emissor. Significa dizer que, nessas circunstâncias, a privacidade prepondera em relação à liberdade de informação […] Dessa forma, caso a publicização das conversas cause danos ao emissor, será cabível a responsabilização daquele que procedeu à divulgação […] Como ponderado pela Corte local, as mensagens enviadas pelo WhatsApp são sigilosas e têm caráter privado. Ao divulgá-las, portanto, o recorrente (réu) violou a privacidade do recorrido (autor) e quebrou a legítima expectativa de que as críticas e opiniões manifestadas no grupo ficariam restritas aos seus membros.(Recurso Especial nº 1903273/PR 2020/0284879-7)

É evidente que os prints podem ser usados como “último recurso” para garantir a defesa de direitos próprios ou de terceiros. Há vários casos confirmando-o (ver aqui, aqui, aqui, aqui, aqui, aqui, aqui, aqui), especialmente quando outras provas reforçam o que está nos prints.

Para isso, entretanto, é preciso demonstrar com muita robustez que não havia outro meio de prova à disposição. Sem essa prova, prints podem ser descartados como meio de prova (ver aqui, aqui, aqui, aqui, aqui, aqui, aqui, aqui, aqui). Podem, inclusive, ser tratados como violação de privacidade, violação de sigilo de correspondência, violação da autodeterminaçção informativa.

A possibilidade de tirar prints da tela do WhatsApp não existe por causa de algum obstáculo técnico incontornável. Aplicativos que aparentam ser tecnicamente similares ao WhatsApp dão aos seus usuários a opção entre permitir as capturas de telas, ou bloqueá-las em diversos níveis. Garantem, assim, a autodeterminação informativa – coisa que, nesse aspecto como em outros, o WhatsApp não faz.

Falta de temporizador de mensagens põe em risco a confidencialidade

As mensagens trocadas pelo WhatsApp são armazenadas em seu aparelho por um prazo indefinido. Em tese, duram “para sempre”, ou enquanto o aparelho estiver funcionando.

Existem formas de portar os dados do WhatsApp de um aparelho para o outro, usando as ferramentas embutidas no próprio aplicativo ou outros meios; isso é mais uma evidência do prazo indefinido de armazenamento das mensagens.

O armazenamento de mensagens e anexos sem prazo de expiração definido coloca um risco enorme à proteção de dados. Aquilo que não parecia ser um problema quando da criação do aplicativo, passou a sê-lo quando seus usos foram sendo alterados pelos próprios usuários.

Originalmente, o WhatsApp nem trocava mensagens, só notificações de status como “estou ocupado na academia”, que eram enviadas a toda a lista de contatos do telefone. Naquela altura, em 2009, os únicos concorrentes na troca de mensagens eram o GTalk e o Skype (baseado em protocolo de comunicação próprio).

Menos de um ano depois, os fundadores do WhatsApp perceberam o potencial de crescimento do aplicativo, pois ele se beneficiaria do hábito já então consolidado de comunicação rápida por meio de mensagens SMS (“torpedos”), tendo sobre ele a vantagem de transmitir informações por um meio com tarifação mais barata, ou sem limites de uso. Sairia beneficiado, também, pelo fato de existir desde 1999 uma ferramenta chamada protocolo extensível de mensagem e presença (XMPP – extensible message and presence protocol), transformada desde 2004 em padrão internacional para infraestrutura de software de mensagens instantâneas; bastava usar o XMPP, como o GTalk, ou modificá-lo para atender às suas necessidades (o que ainda é possível e legal, pois o padrão é aberto). A troca de mensagens do WhatsApp funciona usando, entre outras tecnologias, uma versão modificada do protocolo XMPP.

Com essa história, fica evidente que o WhatsApp foi projetado para trocar mensagens rápidas, para contatos ligeiros, mas principalmente para assuntos de menor importância. Não foi feito para a comunicação institucional. Tem severos limites para a comunicação profissional. Parte do princípio, comum na época de sua criação e desenvolvimento originais, de que existem dados irrelevantes, que não precisam de proteção adequada. Os sucessivos escândalos envolvendo o uso de dados pessoais para a manipulação do comportamento de cidadãos, para a discriminação com base em algoritmos, para o monitoramento de populações inteiras, tem evidenciado o contrário – mas as equipes responsáveis pelo desenvolvimento do WhatsApp seguem presas àquelas concepção original. Mesmo depois da “invasão” do WhatsApp em quase todos os aspectos da vida social, tratam todos os dados pessoais que transitam pelo aplicativo como se nada disso houvesse acontecido, como se ainda houvesse “dados irrelevantes”.

Apesar de haver uma ferramenta de busca de texto embutida no aplicativo, que permite localizar e resgatar mensagens antigas, não há meios para “indexar” adequadamente as mensagens no WhatsApp. Compare com um e-mail. Por maior que seja o volume de mensagens armazenadas, ainda é possível localizá-las rapidamente, mesmo sem as ferramentas de busca, usando o “assunto” das mensagens.

Com isso, uma mensagem trocada pode perder-se no “fluxo”, ao ponto de nem o rementente, nem o destinatário lembrarem-se mais de tê-la trocado.

Digamos, então, que uma pessoa transmita à outra uma informação sensível, ou confidencial. Uma senha de banco, por exemplo. Na pressa, foi necessário enviar a senha para um parente movimentar a conta em caixa eletrônico, e o WhatsApp pareceu ser o meio “mais rápido” e “menos burocrático” para resolver a questão.

Ocorre que, como as mensagens trocadas pelo WhatsApp ficam guardadas no aparelho por prazo indefinido, e portanto duram “para sempre”, a senha bancária ficou lá, guardada. Se alguém acessar indevidamente o aparelho do remetente ou do destinatário, pode acessar a senha bancária e, consequentemente, acessar indevidamente a conta.

Esse risco vale para todas as informações trocadas pelo WhatsApp.

Existem muitas medidas para mitigar esse risco. O WhatsApp não implementa nenhuma.

Digamos, por exemplo, que o WhatsApp tivesse um temporizador, ou seja, um mecanismo de destruição automática das mensagens ao alcançar-se um prazo predeterminado. Vários aplicativos que aparentam ser tecnicamente similares ao WhatsApp adotam essa medida; nenhum obstáculo técnico justifica que não a tenha adotado.

Usemos o mesmo exemplo: compartilhamento de uma senha de conta bancária. Neste caso, a situação seria bem diferente. Bastaria ao remetente ligar o temporizador com um intervalo longo o suficiente para que a situação em sua conta bancária fosse resolvida pelo destinatário (digamos, uma hora), mas que garantisse a eliminação da mensagem. Terminado o prazo, a mensagem seria automaticamente destruída pelo aplicativo nos dois aparelhos (remetente/destinatário), não deixando qualquer traço ou rastro capaz de comprometer a confidencialidade da informação compartilhada.

O uso de temporizadores de mensagem é outra técnica de garantia dos direitos à autodeterminação informativa e à proteção de dados que o WhatsApp pode implementar, mas não implementa. Nova violação a esses direitos, portanto. Há outras.

Cópias de segurança (backups) sem proteção no Google Drive e iCloud

Uma medida técnica importante para a proteção de dados é a criação de cópias de segurança (backups). Com as cópias de segurança, se acontecer qualquer incidente que comprometa a integridade ou a disponibilidade do aplicativo ou dos dados, é possível voltar ao estado correspondente a algum momento anterior ao incidente.

Quem trabalha com produção de texto, por exemplo, conhece bem o problema: horas e horas de escrita perdidas por causa da falta de salvamento periódico antes de uma queda de energia. Essa é uma versão light; pior ainda é a situação de quem perdeu todo o trabalho salvo, às vezes um esforço de semanas ou meses, porque um HD queimou, porque o pendrive sumiu…

Em tese, deveria ser possível a qualquer programa permitir a criação de cópias de segurança. Com o WhatsApp não é diferente, mas há problemas sérios envolvidos.

O WhatsApp permite dois tipos de cópias de segurança:

O primeiro método é o ideal, o mais seguro. Depende, entretanto, de vários fatores:

O segundo método tem vários problemas:

Em iPhones, o comportamento é parecido, substituindo o Google Drive pela iCloud.

Algumas hipóteses evidenciam o risco da operação.

Como uma conta do Google é condição necessária para o uso de determinados serviços num sistema Android, elas têm sido alvo de ataques e tentativas de invasão cada vez mais frequentes. Se um atacante conseguir acesso não-autorizado à conta do Google, terá acesso, por tabela, às cópias de segurança do WhatsApp de forma aberta, limpa, sem criptografia.

Um ataque mais sofisticado envolve o monitoramento e cópia dos pacotes de dados transmitidos pela conexão de internet. Este ataque usa, entre outras técnicas, aparelhos especializados em escuta e monitoramento de celulares que funcionam como “torres fantasmas”, chamados de interceptadores IMSI.

A técnica tem certas dificuldades de execução, mas, se operada corretamente, não deixa qualquer sinal, pista, rastro ou ruído capaz de levar um usuário a perceber que seu celular está conectado a uma “torre fantasma”, que pode abranger uma área relativamente grande e capturar, potencialmente, informações de todos os aparelhos ali presentes.

Esta ameaça é especialmente relevante contra indivíduos e organizações sujeitas a ataques por espionagem empresarial, ou por investigações irregulares/ilegais por parte de autoridades policiais que abusam de sua autoridade, pois os interceptadores IMSI são muito usados nesses contextos.

Sob essa forma de ataque, a cópia de segurança pode ser capturada quando ainda em trânsito para o Google Drive, copiada em algum lugar e analisada minuciosamente, violando, assim, a confidencialidade da comunicação e potencializando outras formas de ataque.

Como se vê, o WhatsApp induz seus usuários a fazer cópias de segurança inseguras, transfere irregularmente a responsabilidade pela segurança dessas salvaguardas, e exime-se de responsabilidade em caso de incidentes de segurança.

Modificações e versões não-oficiais do WhatsApp podem comprometer a segurança de quem usa a versão oficial

Já se viu, acima, que os Termos de Serviço do WhatsApp não permitem modificações. Qualquer modificação ilegal do WhatsApp sem autorização da WhatsApp LLC ou da Facebook Inc., portanto, é ilegal.

Não faltam na internet, entretanto, versões modificadas do WhatsApp, conhecidas como mods: WhatsApp Plus, Whatsapp Go, GBWhatsApp (e sua versão MiNi), YOWhatsApp, FMWhatsApp, WhatsApp Aero, OGWhatsApp, WhatsApp Prime, WhatsApp MA, WhatsApp Indigo, Soula WhatsApp Lite, YCWhatsApp, ZEWhatsApp, KRWhatsApp, Fouad WhatsApp, AZWhatsApp… tem para todos os gostos.

Nenhuma dessas modificações do WhatsApp conta com suporte oficial. Todas foram construídas com base em engenharia reversa, ou seja, “desmontando” o WhatsApp para descobrir seus princípios tecnológicos e seu funcionamento através da análise de sua estrutura, função e operação, para depois mudar um ou outro aspecto (cor, funcionalidades etc.).

Oficialmente, a WhatsApp LLC ou a Facebook Inc. desencoraja esses processos de “bricolagem” (tinkering). Podem mesmo processar alguns desenvolvedores. Por outro lado, não se pode descartar a hipótese de que WhatsApp LLC ou a Facebook Inc. monitorem à distância a atividade dos modificadores (modders) para avaliar quais novas utilidades podem ser incorporadas ao aplicativo oficial.

Todas as versões modificadas do WhatsApp representam, entretanto, um risco de segurança gravíssimo.

Mais à frente, se verá como a falta de transparência quanto ao compartilhamento de dados, e também quanto ao código-fonte, são dois riscos à segurança embutidos no próprio modo de ser do WhatsApp.

E estamos falando do aplicativo oficial!

Se o oficial não é transparente quanto a esses importantes elementos da proteção de dados, a situação com as versões modificadas é muito pior.

Para protegerem-se contra perseguições movidas pela WhatsApp LLC ou pela Facebook Inc., os modificadores evitam fornecer qualquer informação detalhada de contato. Além disso, seus métodos de engenharia reversa são secretos, tanto quanto os meios técnicos pelos quais implementaram as mudanças no aplicativo.

Como esperar transparência de quem precisa se esconder?

Não há, portanto, como avaliar se as modificações mantém todos os elementos do aplicativo original, alterando apenas os aspectos publicamente anunciados pelos modificadores, ou se, junto com as modificações anunciadas, não foi escondido algum software malicios, capaz de causar prejuízos sérios aos usuários. Alguns exemplos: invasão remota dos aparelhos, roubo de logins e senhas, controle dos aparelhos à distância (incluindo câmeras e microfones).

As versões modificadas do WhatsApp carregam um problema adicional: elas não “avisam” ao WhatsApp “oficial” que são versões “alteradas”.

Se uma versão modificada é identificada pela WhatsApp LLC ou pela Facebook Inc., todos os seus usuários ficam sob risco de banimento por violação dos Termos de Serviço. Para evitar a situação, as versões modificadas tentam reproduzir totalmente o comportamento do aplicativo oficial, disfarçando-se.

Um usuário do WhatsApp “oficial”, portanto, não tem como saber se está conversando com outro usuário do WhatsApp “oficial”, ou se seu interlocutor usa alguma versão modificada do WhatsApp.

Todos os riscos já apontados, e também aqueles a serem explicados adiante, são potencializados pelo uso de versões modificadas do WhatsApp. Na medida em que usuários do WhatsApp “oficial” conversam ou trocam fotos, vídeos, áudios e documentos com usuários das versões modificadas, multiplicam os riscos a que já estão sujeitos.

Os impactos sobre a autodeterminação informativa das versões modificadas do WhatsApp, e da incerteza quanto a seu uso por interlocutores, já são bastante óbvios a esta altura. Somam-se aos demais riscos associados a características de uso cotidiano do aplicativo. Mas os problemas vão mais fundo, e afetam a própria concepção, a estrutura, a arquitetura, o design do WhatsApp.

Restrições e desestímulos à interoperabilidade

Interoperabilidade é a capacidade de um sistema (informatizado ou não) de se comunicar de forma transparente (ou o mais próximo disso) com outro sistema (semelhante ou não). Para um sistema ser considerado interoperável, é muito importante que ele trabalhe com padrões ou ontologias abertos.

Dois exemplos ajudam a entender o conceito.

O primeiro é o arquivo PDF. Desde 2008, o desenvolvimento técnico deste formato de arquivo está sob gestão da International Standard Organization (ISO), que codificou na norma ISO 32000 para transformá-lo numa forma de apresentar texto e imagens de modo independente das máquinas, dos programas e dos sistemas operacionais para produzir o arquivo ou para lê-lo. Com ele, basta salvar ou exportar para este formato arquivos em qualquer formato prévio para que possam ser compartilhados sem maiores problemas. A explicação técnica corresponde ao que percebemos no dia a dia, abrindo arquivos PDF em computadores ou celulares sem maiores dificuldades. Como a interoperabilidade está entranhada na concepção do padrão PDF (interoperability by design), e este formato de arquivos é praticamente onipresente, chega a ser difícil imaginar como seria compartilhar arquivos que só podem ser lidos por uma marca específica de software.

Outro exemplo é o e-mail. Uma mensagem enviada por um GMail será recebida e lida sem maiores problemas por usuários de Hotmail, Yahoo, Protonmail, Tutanota, CTemplar etc. Ao usar e-mail, ningúem imagina, por exemplo, que usuários de GMail só se comunicarão com outros usuários do GMail. A interoperabilidade é tão entranhada na concepção dos padrões técnicos por trás do uso do e-mail (interoperability by design), também é muito difícil pensar como seria usar um e-mail que só permite conversar com usuários de serviços fornecidos pela mesma empresa.

Agora, vejamos como funciona o uso do WhatsApp.

Ao usar o aplicativo, quem manda mensagem pelo WhatsApp comunica-se somente com quem já tem WhatsApp instalado – e só.

O WhatsApp não manda direct para Twitter ou Instagram, não permite conversar com ninguém no Discord, não liga para telefone fixo, não serve para nada além de conversar e trocar arquivos com quem também usa WhatsApp.

Alguém pode argumentar que não foi essa a intenção dos criadores do WhatsApp – o que somente reforça o fato de que ele não foi construído com a interoperabilidade como princípio estruturante de seu desenvolvimento (interoperability by design).

A esse modelo de negócios que pressupõe construir software que torna seus usuários dependentes da tecnologia fornecida por um único fornecedor, os estudiosos da computação chamam de “jardim murado” (walled garden), ou “cercadinho”.

Para ser eficaz como modelo de negócio, o “cercadinho” precisa desenvolver várias táticas. Do contrário, o uso do software não cresce, e portanto não é possível extrair dessa operação qualquer lucro ou renda.

A mais conhecida tática implica em colocar dentro do “cercadinho” número cada vez maior de funcionalidades, para tornar cada vez mais “prática”, “rápida”, “funcional” e “desburocratizada” a experiência dos usuários dentro do “cercadinho”.

Para ilustrar, basta olhar novamente para a história do próprio WhatsApp:

O WhatsApp trouxe para dentro do “cercadinho” várias ferramentas, mas não acabou com nenhuma delas:

Apesar disso, a incorporação num só aplicativo das funcionalidades de seus concorrentes faz com que seus usuários passem cada vez mais tempo dentro do aplicativo. Ao fazẽ-lo, os aplicativos que funcionam como “cercadinhos” acostumam seus usuários com sua interface, habituam-nos a usar apenas ou preferencialmente suas ferramentas. Com isso, condicionam seus usuários a chamar de “perda de tempo”, “burocracia” ou “dificuldade” qualquer tentativa de trazê-los para fora do “cercadinho”. Deste modo, criam um “efeito manada”: como “todo mundo usa” o aplicativo, quem não o usa passa a sofrer pressões em seus ambientes pessoal e profissional para também usá-lo, e, se cedem e começam a usá-lo, passam a depender, também, do uso das ferramentas enclausuradas no “cercadinho”.

Agora, tendo refletido um pouco sobre a natureza dos “cercadinhos”, reveja sua experiência com o WhatsApp e compare-a com sua experiência com e-mail.

Você pode escolher se quer usar GMail, Protonmail, Hotmail, Tutanota, Yahoo, CTemplar ou qualquer outro serviço. Sua escolha não interfere na sua capacidade de enviar e receber e-mails.

Você pode ler e responder e-mails com a mesma velocidade, presteza e agilidade com que lê mensagens do WhatsApp. Inclusive, existe um aplicativo para Android, iOS e computadores chamado Delta Chat que, basicamente, usa seu e-mail para criar uma experiência de usuário parecida com a do WhatsApp, incluindo notificações de mensagem. A “conversa” que aparece no Delta Chat é uma simples troca de e-mails disfarçada por outra roupagem, e mais nada.

Para que o “cercadinho” funcione adequadamente, é preciso não somente reduzir ao mínimo a interoperabilidade dentro do aplicativo, como também criar nos usuários a impressão de que, quando feitas dentro do “cercadinho”, todas funcionalidades são feitas “mais rápido”. A experiência prática indica, entretanto, que no caso do WhatsApp todas as funcionalidades nele incorporadas podem ser feitas num smartphone sem qualquer prejuízo significativo de tempo, usando tecnologias e aplicativos que o WhatsApp pretendeu substituir.

Para exemplificar, pense no compartilhamento de um vídeo sem WhatsApp. Abre-se a galeria do aparelho, escolhe-se o vídeo, toca-se no botão “Compartilhar”, escolhe-se o aplicativo a ser usado, abre-se o aplicativo, compartilha-se o vídeo. A diferença de tempo entre esse processo e o compartilhamento por dentro do WhatsApp é insignificante, não chega a ser maior que dois ou três segundos em nenhum dos casos. Se a comparação quanto ao uso do tempo fosse entre mandar um documento por WhatsApp ou por correio físico, é evidente que o WhatsApp sairia ganhando; mas na comparação com qualquer de seus concorrentes instalados em smartphones, o que há é um “empate técnico”.

É possível, portanto, usar outros serviços para desempenhar tarefas habitualmente desempenhadas por meio do WhatsApp. O que acontece é que existe todo um esforço por parte da WhatsApp LLC e da Facebook Inc. para criar a impressão de que somente o WhatsApp é capaz de desempenhar essas tarefas adequadamente. Parte importante desse esforço envolve desconsiderar a interoperabilidade como princípio de design, e desenvolver conscientemente técnicas de mobilização da economia da atenção capazes de influenciar significativamente a autodeterminação informativa de seus usuários.

Mais à frente, quando forem apresentadas alternativas ao uso do WhatsApp, ficará evidente como o padrão técnico de telecomunicações original por trás do WhatsApp permite a interoperabilidade; por razões ignoradas, os desenvolvedores do aplicativo modificaram o padrão e “quebraram” a interoperabilidade.

O desrespeito à interoperabilidade, entretanto, é somente o primeiro dos aspectos relativos ao design do WhatsApp que violam a autodetermnação informativa.

Muitas situações de coleta de dados excessiva, obscura e/ou desnecessária

A proteção de dados e a autodeterminação informativa não pretendem impedir totalmente as atividades de tratamento de dados. Pretendem, na verdade, garantir aos usuários autonomia para decidir se querem ter dados pessoais seus tratados; quais dados permitem que sejam tratados; de que modo permitem que sejam tratados; como esperam que seus dados sejam tratados; por quanto tempo permitem que sejam tratados; e de que modo seus dados pessoais precisam ser protegidos para garantir o respeito a todos esses direitos.

Isso porque, para funcionar adequadamente, qualquer software precisa processar algum tipo de dado, e para processá-los, precisa coletá-los. O que se deve avaliar, durante o tratamento (coleta, armazentamento, processamento, armazenamento etc.), é a adequação desse tratamento a um regime jurídico baseado nos direitos à autodeterminação informativa e à proteção de dados, que a Constituição brasileira prevê e a LGPD detalhou.

Quais princípios a LGPD impõe ao tratamento de dados?

Para que sejam respeitados os direitos à proteção de dados e à autodeterminação informativa, a Lei Geral de Proteção de Dados definiu explicitamente sobre quais princípios o tratamento de dados deve ser construído para que seja legítimo:

Art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

É por esses critérios que se deve analisar a Política de Privacidade do Whatsapp. Quem nunca leu esse documento precisa lê-lo antes de continuarmos; o documento é grande, não será possível cobrir tudo.

Leitura do tratamento de dados feito pelo WhatsApp com base nos princípios da LGPD

Concentrando apenas em aspectos mais controversos, há muitas críticas a apresentar ao tratamento de dados feito pelo WhatsApp.

Dados fornecidos por você

O WhatsApp exige o fornecimento de um número de telefone e de um nome de usuário para funcionar.

Embora a documentação do WhatsApp explique o caráter opcional do carregamento de contatos para o aplicativo, parece bastante excessivo “que o WhatsApp acesse e carregue os números de telefone de todos os contatos da sua agenda regularmente, mesmo que eles não usem o WhatsApp” – afinal, isso significa compartilhar dados de terceiros sem seu consentimento. A anonimização desses dados por meio de sua substituição por hasbes criptográficos não eliminta o caráter desnecessário dessa coleta para as finalidades do aplicativo.

Apesar de a documentação do WhatsApp explicar como se pode usar o status, as informações sobre o tratamento de dados para essa funcionalidades não são suficientemente explícitas, não permitem informar adequadamente os usuários para conquistar seu consentimento.

Ao falar de “Dados de transações e pagamentos”, aparece novamente a obscuridade. Em vez de apresentar uma lista completa dos dados tratados para esta finalidade, há menções vagas, como “tratamos dados adicionais sobre você, como conta para pagamento e dados da transação”; e “informações necessárias para concluir a transação (como informações sobre sua forma de pagamento, dados de envio e valor da transação)”. Nos dois casos, os dados apresentados são exemplos, não listas completas capazes de informar adequadamente os usuários sobre os dados tratados. Aliás, não há qualquer indicação das finalidades a que essa varredura de dispositivo servem.

Dados coletados automaticamente

Justamente quando há dados mais delicados sob tratamento, a apresentação dos *dados de uso e registro coletados pelo WhatsApp, como em outros casos, é simplesmente exemplificativa, não é uma lista exaustiva. Mantém-se o padrão de obscuridade na prestação de informações. A lista exemplificativa apresenta, entre outros temas extremamente delicados, a coleta de dados sobre “como você interage com outras pessoas usando nossos Serviços — inclusive quando você interage com uma empresa —, e o tempo, a frequência e a duração de suas atividades e interações”; a coleta também “inclui dados sobre quando você se cadastrou para usar nossos Serviços; os recursos que você usa, como nossos recursos de grupos, Status, ligações ou mensagens (incluindo nome do grupo, imagem do grupo e descrição do grupo), recursos comerciais e de pagamentos; foto de perfil; recado; se você está online; quando usou nossos Serviços pela última vez (seu “visto por último”); e quando você atualizou seu recado pela última vez”. Muito difícil fornecer consentimento a essa coleta excessiva e desnecessária de dados, ainda mais quando feita automaticamente.

O WhatsApp afirma, ainda, que faz uma verdadeira varredura em todo o seu aparelho, porque coleta dados como “modelo de hardware, informações do sistema operacional, nível da bateria, força do sinal, versão do aplicativo, informações do navegador, rede móvel, informações de conexão como número de telefone, operadora de celular ou provedor de serviços de internet, idioma e fuso horário, endereço IP, informações de operações do dispositivo e identificadores (inclusive identificadores exclusivos para Produtos das Empresas do Facebook associados ao mesmo dispositivo ou conta)”. Além de excessiva, essa coleta indiscriminada de dados sobre conexões e dispositivos é, como em outros casos, excessiva e desnecessária para a finalidade do aplicativo.

Além de apresentar uma verdadeira varredura nos aparelhos, a política de privacidade do WhatsApp ainda afirma que “coletamos e utilizamos dados precisos de localização com sua permissão quando você escolhe usar recursos relacionados à localização, como quando você decide compartilhar sua localização com seus contatos ou visualizar as localizações próximas ou localizações que outras pessoas compartilharam com você”, e que “Mesmo se você não utiliza nossos recursos relacionados à localização, usamos endereços IP e outros dados como códigos de área de número de telefone para calcular sua localização geral (por exemplo, cidade e país)”. Existem algumas obrigações regulatórias que imṕõem o registro de conexões, mas o grau de precisão da coleta apresentada nesse documento é enorme, desnecessário e excessivo. Aliás, essa coleta não está vinculada a qualquer finaldade, como nos casos anteriores.

A documentação do WhatsApp tem página específica para apresentar a política de cookies. A página, entretanto, tem dois problemas graves: (a) mais uma vez, é meramente exemplificativa, não apresenta os cookies usados, refere-se a eles genericamente, não diz por quanto tempo eles funcionam, nada, nenhuma informação relevante para os usuários do aplicativo; (b) na verdade, não é um aviso de cookies do aplicativo, pois refere-se apenas à navegação na documentação em navegadores. As informações, ainda outra vez, são obscuras, não informam adequadamente, não se prestam a contribuir com a formação do consentimento dos usuários. Por sinal, as páginas de documentação do WhatsApp afirmam usar cookies, mas não dão aos usuários qualquer alternativa, qualquer escolha, nem mesmo um aviso de cookies (cookie banner).

Dados de terceiros

Aqui aparece uma das situações mais complicadas de tratamento de dados. Digamos que você não use o WhatsApp. Não importa o motivo. Mesmo assim, se algum usuário do WhatsApp tiver seu número de telefone na agenda do celular, e se essa pessoa tiver dado ao Whatsapp permissão para acesso à agenda do aparelho, o WhatsApp saberá qual é seu número de telefone, e de quem ele é. Apesar de afirmar na documentação exigir “que cada um desses usuários tenha autorização legal para coletar, usar e compartilhar seus dados antes de fornecê-los para nós”, não há meios para confirmar se o WhatsApp realmente cumpre essa exigência (aliás pouco plausível), nem é apresentada aos terceiros cujos dados foram compartilhados qualquer ferramenta que permita opor-se ao tratamento de seus dados.

É o próprio documento quem alerta: “qualquer usuário pode fazer capturas de tela das suas conversas ou mensagens, ou gravar suas ligações com ele e enviá-las para o WhatsApp, para outras pessoas, ou postá-las em outra plataforma”. Não existe, no WhatsApp, qualquer proteção contra prints de tela ou compartilhamento indiscriminado de áudios, vídeos, fotos e documentos, como há em aplicativos similares. A falha na proteção de dados é assumida explicitamente pelo WhatsApp, que prefere alertar os usuários sobre suas próprias falhas em vez de corrigi-las adequadamente.

A seção “Como usamos os dados”

Aqui aparecem as finalidades do tratamento de dados.

A seção anterior apresenta por alto, com exemplos, quais dados nossos são coletados pelo WhatsApp enquanto o usamos. Não consegue informar adequadamente os usuários a esse respeito.

Nesta seção do documento, as finalidades são apresentadas sem qualquer meio que permita aos usuários relacionar uma dada finalidade com uma dada atividade de coleta e tratamento de dados.

A própria estrutura do documento, portanto, é obscura.

Uma política irrevogável do “tudo ou nada”

Uma última observação sobre a Política de Privacidade do Whatsapp: é um documento no modelo “tudo ou nada”.

Quem recebeu no começo de 2021 as notificações para “aceitar” a nova política de privacidade reparou, também, que não havia alternativa: era aceitar os novos termos, ou ser impedido de usar a plataforma. A esta altura, com milhões de usuários no Brasil e milhares, senão milhões de empresas e trabalhadores autônomos cuja atividade depende das funcionalidades oferecidas pelo WhatsApp, a notificação era uma verdadeira coação coletiva.

A situação foi tão impactante que tornou necessária uma intervenção conjunta da Autoridade Nacional de Proteção de Dados (ANPD), do Conselho Administrativo de Defesa Econômica (CADE), do Ministério Público Federal (MPF) e da Secretaria Nacional do Consumidor (SENACON) para coibir abusos e impor à Facebook Inc. o respeito às normas brasileiras de proteção de dados.

Naquele momento, o WhatsApp oferecia a seus usuários apenas a opção de aceitar os termos da política de privacidade. Era isso, ou nada.

Não houve, naquele momento, qualquer tratamento granular do consentimento dos usuários, que destrinchasse as muitas finalidades do tratamento de dados pelo WhatsApp e solicitasse permissão específica para cada um deles.

Da mesma forma, toda a Política de Privacidade do Whatsapp é uma longa e convoluta autorização genérica para o tratamento de dados, proibida pela LGPD (art. 8ºm § 4º).

“Autorização genérica” não é, digamos, um texto que se resume a dizer que “concordo com todo o tratamento de dados feito pelo WhatsApp” e não especifique as finalidades do tratamento. Mesmo a Política de Privacidade do Whatsapp, documento longo e complexo, não dá aos usuários do aplicativo a possibilidade de opor-se a qualquer tratamento, ou a qualquer das finalidades indicadas. Só há um botão: “aceito”.

Este botão “aceito” é uma autorização genérica, portanto proibida.

Para piorar, ao menos até a data de fechamento deste artigo (10/09/2021), o WhatsApp não havia fornecido a seus usuários qualquer meio para revogar o consentimento viciado, coletado por coação, antes da intervenção conjunta da ANPD, CADE, MPF e SENACON.

Uma sucessão de violações

A cada novo elemento, fica evidente como a “praticidade”, a “rapidez”, a “agilidade” e a “desburocratização” que o WhatsApp promete só são alcançadas à custa da violação dos direitos à autodeterminação informativa, à privacidade e à proteção de dados, tanto no âmbito individual de cada usuário quanto no âmbito coletivo, da totalidade de usuários da plataforma.

As situações de coleta excessiva, obscura e/ou desnecessária não podem ser entendidas de modo isolado. Integram o modelo do “cercadinho” já referido anteriormente.

É preciso avançar mais para entender outros de seus elementos.

Falta de transparência quanto ao compartilhamento de dados

A Política de Privacidade do Whatsapp tem ainda outro problema muito sério: não há qualquer indicação transparente e bem informada sobre o compartilhamento de dados de usuários do WhatsApp com terceiros.

O documento fala muito vagamente em

Pode-se confiar no que o documento diz – mas o histórico de compartilhamento de dados do WhatsApp pela Facebook Inc. não é bom.

Em 2016 o WhatsApp começou a compartilhar informações com sua companhia-mãe, a Facebook Inc., permitindo que informações como números de telefone fosse usada para direcionamento e personalização de propaganda. A Facebook Inc. reconheceu o incidente de segurança, mas disse que os erros “não haviam sido intencionais”.

Crescimento da plataforma por meio de políticas de acesso patrocinado (zero rating)

Os desenvolvedores do WhatsApp restringiram ou desestimularam a interoperabilidade ao construir o aplicativo. Transformaram-no num “cercadinho”.

Dentro do “cercadinho” do WhatsApp, a Facebook Inc. coleta dados em massa, com base em descrições obscuras de finalidade e autorizações viciadas.

De posse dos dados coletados no “cercadinho” do WhatsApp, a Facebook Inc. compartilha os dados com seus “parceiros” de forma obscura, impedindo a fiscalização pública do tratamento adequado dos dados coletados por meio do sigilo comercial.

O último elemento do modelo de negócios de “cercadinho” adotado pelo WhatsApp é o uso intensivo de políticas de acesso patrocinado à internet, conhecidas pela expressão anglófona zero rating. Com tais políticas, o WhatsApp foi transformado num mecanismo perigoso de coleta massiva de dados.

O que é a navegação patrocinada?

Quem tem celular hoje sabe o que é a política de zero rating, acesso patrocinado ou “tarifa zero”. Basta olhar os planos que incluem “Whatsapp de graça”, “redes sociais à vontade” e outras ofertas semelhantes.

O modelo é controverso.

Empresas como Alphabet Inc. (empresa por trás do Google) e Facebook Inc., e organizações sem fins lucrativos como a Wikimedia Foundation Inc. (que financia a Wikipédia), criaram diversos programas e projetos para fazer a internet alcançar cada vez mais pessoas em países onde o grau de acesso à internet da população é muito baixo. Se, de um lado, o acesso à internet da população realmente aumenta, por outro lado este acesso se dá somente nos “cercadinhos” promovidos por estes programas.

A crítica mais leve dirigida a tais programas é de violação à neutralidade da rede, princípio fundamental da estrutura da internet pelo qual nenhum provedor de acesso à internet pode favorecer um tipo de tráfego na internet contra outros, privilegiar um software contra outros etc. A neutralidade da rede deriva do direito fundamental à igualdade entre os cidadãos, é seu equivalente digital.

Além disso, a gratuidade da navegação patrocinada seria apenas aparente, pois os investimentos das organizações patrocinadoras seriam pagos por meio da coleta em massa de dados pessoais dos beneficiários (ver aqui, aqui e aqui).

Críticas mais pesadas à navegação patrocinada acusam-na de promover, também, colonialismo digital (ver aqui, aqui, aqui e aqui). Para tais críticos, a navegação patrocinada favorece plataformas estrangeiras em vez de promover soluções locais de conectividade, adequadas à linguagem, costumes e cultura locais.

ANATEL, CADE e navegação patrocinada

No Brasil, o texto do Decreto 8.771/2016, que regulamentou o Marco Civil da Internet no Brasil, dá a entender que a navegação patrocinada é proibida:

Art. 9º. Ficam vedadas condutas unilaterais ou acordos entre o responsável pela transmissão, pela comutação ou pelo roteamento e os provedores de aplicação que:

I - comprometam o caráter público e irrestrito do acesso à internet e os fundamentos, os princípios e os objetivos do uso da internet no País;

II - priorizem pacotes de dados em razão de arranjos comerciais; ou

III - privilegiem aplicações ofertadas pelo próprio responsável pela transmissão, pela comutação ou pelo roteamento ou por empresas integrantes de seu grupo econômico.

Art. 10. As ofertas comerciais e os modelos de cobrança de acesso à internet devem preservar uma internet única, de natureza aberta, plural e diversa, compreendida como um meio para a promoção do desenvolvimento humano, econômico, social e cultural, contribuindo para a construção de uma sociedade inclusiva e não discriminatória.

Apesar da aparente proibição legal, as políticas de acesso patrocinado foram sendo implementas aos poucos pelas operadoras de telefonia e internet no Brasil.

A primeira vez em que um caso relativo à navegação patrocinada foi levado ao Conselho Administrativo de Desenvolvimento Econômico (CADE) pelo Ministério Público Federal (MPF), no Inquérito Administrativo nº08700.004314/2016-71, a questão envolveu as políticas de “redes sociais de graça” oferecidas pelas operadoras Claro, TIM, Oi e Vivo. Quais “redes” estariam sendo beneficiadas por esta política? Facebook e WhatsApp, principalmente.

Para melhor se informar sobre o caso, o CADE procurou o parecer técnico da ANATEL. Este parecer, apresentado pela agência no Informe nº 4/2016/SEI/SCP, misturou várias questões com frágil conexão para afirmar, no final, que “não foram demonstrados indícios suficientes de conduta contrária à ordem econômica que impacte o mercado de provimento de acesso a internet, bem como o mercado de provimento de conteúdo e aplicativos a ensejar a necessidade de abertura de processo administrativo por parte da Superintendência Geral do CADE”.

Por isso, o CADE decidiu na mesma linha em sua Nota Técnica nº 34/2017/CGAA4/SGA1/SG/CADE, dizendo que “não há indícios de que as práticas denunciadas pelo MPF, genericamente denominadas de zero rating, possam gerar prejuízos ao ambiente concorrencial, seja no mercado de SMP, seja no mercado de aplicativos”.

Essa decisão tornou-se o paradigma regulatório: a navegação patrocinada promovida pelas operadoras de telecomunicações estava, enfim, permitida.

O problema da captura em massa dos dados de navegação dos mais pobres

Os órgãos técnicos já decidiram. A impressão de que há algo errado, entretanto, não passa. Alguns dados podem elucidar a situação.

De acordo com a pesquisa TIC Domicílios 2019, do Comitê Gestor da Internet no Brasil (CGI.br), 90% dos brasileiros possuía aparelho celular naquele ano, dos quais 62% estavam vinculados a planos de telefonia pré-pagos (70% nas classes D e E).

Segundo a mesma pesquisa, 71% dos brasileiros acessa a internet, 58% deles por celular.

A pergunta que não se cala diante das decisões dos órgãos técnicos é: qual internet é acessada por essas pessoas quando acabam os créditos?

A resposta é simples: a que for “de graça”. Só a que “não use os créditos de seu plano”.

Mas essa “internet de graça” não existe. Melhor dizendo: só existe para o uso de certos aplicativos, redes sociais e sites. Entre eles, o WhatsApp.

Não faz sentido negar que as políticas de navegação patrocinada ajudam os mais pobres a manter-se em contato digital com outras pessoas. Mais difícil ainda é negar que as políticas de navegação patrocinada tem peso considerável na massificação do uso de internet no Brasil.

Mas a que custo!

Até aqui, tudo indica que o modelo de negócios dos “cercadinhos” beneficia-se enormemente com a navegação patrocinada.

Número considerável de pessoas não sabe mais a diferença entre internet e Facebook, entre internet e WhatsApp, é porque a única internet que acessam é aquela fornecida por essas plataformas.

Ao fazê-lo, seus dados pessoais são coletados e tratados de forma obscura, e compartilhados de forma igualmente obscura.

Com isso, é o comportamento, os pefis de consumo, os hábitos de lazer, os interesses pessoais, que vão sendo registrados e estruturados na forma de um verdadeiro perfil.

Estes perfis são usados como base para o negócio extremamente rentável da propaganda direcionada, promovido em larga escala, entre outras empresas, pela Facebook Inc. controladora do WhatsApp.

Pessoas em condições financeiras de pagar por planos de acesso à internet fixa ou móvel que lhes permitam navegar sem preocupações com o volume de tráfego conseguem deixar muito menos “pegadas digitais” dentro dos “cercadinhos”. Podem, inclusive, negar-se a entrar nos cercadinhos, seja usando plataformas e ferramentas situadas fora da “cerca”, seja implementando (gratuita ou remuneradamente) ferramentas que minimizem o impacto da captura de dados pessoais.

Os órgãos técnicos podem ter decidido que a navegação patrocinada não viola a neutralidade da rede. Que não é ameaça à concorrẽncia.

Mas a navegação patrocinada, vista no longo prazo, promove discriminação entre usuários de internet sujeitos a um tratamento mais cuidadoso de seus dados, porque podem pagar por ele, e os demais, para quem a navegação patrocinada transforma internet e “cercadinho” numa só coisa.

Pior: agora que milhões de pessoas têm nos “cercadinhos” seu principal meio de presença e comunicação no meio digital, não se pode simplesmente retirá-las de lá sem medidas que permitam fazê-lo sem impactar negativamente suas vidas.

Quem usa WhatsApp porque é “mais fácil”, “mais rápido”, “menos burocrático”, dificilmente reflete sobre essas coisas. Sua “facilidade” é baseada na cumplicidade com a violação massiva dos direitos fundamentais à privacidade, à intimidade, à autodeterminação informativa e à proteção de dados pessoais.

Ausência de auditorias independentes do código-fonte

Uma análise tão longa sobre o WhatsApp não seria necessária se a Facebook Inc. submetesse o aplicativo a auditorias indepententes e periódicas de seu código-fonte. Mas o segredo comercial impede tais auditorias.

Esta é a principal razão para que um defensor do software livre não recomende o uso de Whatsapp.

Do ponto de vista necessário para explicar a questão, todo software (programa ou aplicativo) é, na verdade, um conjunto de instruções finitas para alcançar determinada finalidade. Este conjunto é chamado de algoritmo; para alcançar a finalidade para a qual foi construído, um software pode ter dezenas, centenas, milhares de algoritmos dentro dele.

Para não demorar muito em explicações técnicas, este primeiro vídeo (9min44s) demonstra, de modo bem simples, o que é um algoritmo:

E este segundo vídeo (3min11s) demonstra como os algoritmos se aplicam na informática:

Uma pessoa com conhecimento técnico adequado pode pegar um software e analisar o emaranhado de algoritmos que o compõe. O enorme bloco de algoritmos forma o código-fonte. A análise do código-fonte pode ter várias finalidades, entre as quais:

A única forma de garantir que o software faz o que promete, e somente aquilo que promete, é um exame detalhado do código-fonte por quem entende do assunto. A isso chamamos auditoria de software.

Acontece que não é todo software que segue a filosofia do código-fonte aberto. Por razões que vão desde a proteção ao segredo industrial até a insegurança, há empresas e desenvolvedores que proíbem o acesso ao código-fonte. Esse tipo de software é conhecido como software proprietário.

Quando um software é proprietário, nenhuma auditoria independente pode ser feita nele. Deve-se confiar somente naquilo que seus desenvolvedores dizem. Se dizem que é seguro, por exemplo, não há garantia alguma da segurança além da palavra de quem o constrói.

Onde se pode descobrir se um software é proprietário? Em suas licenças, termos de uso ou termos de serviço.

A este respeito os termos de serviço do WhatsApp são bastante restritivos:

Você não está autorizado, diretamente, indiretamente, por meios automatizados ou quaisquer outros a acessar, usar, copiar, adaptar, modificar, elaborar trabalhos derivados, distribuir, licenciar, sublicenciar, transferir, executar ou de qualquer forma explorar (ou prestar auxílio para que alguém o faça) nossos Serviços de maneira não permitida ou autorizada, ou de forma a prejudicar ou onerar a nós, nossos Serviços, sistemas, usuários ou terceiros, inclusive, seja diretamente ou mediante automação: (a) fazer engenharia reversa, alterar, modificar, criar trabalhos derivados, descompilar ou extrair códigos dos nossos Serviços; (b) enviar, armazenar ou transmitir vírus ou outros códigos nocivos usando nossos Serviços; (c) obter ou tentar obter acesso não autorizado a nossos Serviços ou sistemas; (d) interferir ou interromper a segurança, a proteção, a confidencialidade, a integridade, a disponibilidade ou o desempenho de nossos Serviços; (e) criar contas por nossos Serviços usando meios não autorizados ou automatizados; (f) coletar informações de ou sobre nossos usuários de maneira não autorizada; (g) vender, revender, alugar ou cobrar por nossos Serviços ou por dados obtidos a partir dos nossos Serviços ou de nós de forma não autorizada; ou (h) distribuir ou disponibilizar nossos Serviços em rede para ser usado por vários dispositivos ao mesmo tempo, exceto conforme autorizado em ferramentas expressamente fornecidas por meio de nossos Serviços; (i) criar um software ou APIs que desempenham a mesma função que nossos Serviços e oferecê-los a terceiros de maneira não autorizada; ou (j) usar indevidamente canais de denúncia, como enviar denúncias ou contestações fraudulentas ou infundadas.

Com isso, é impossível fazer uma auditoria independente do WhatsApp.

Se precisamos usá-lo, devemos simplesmente confiar cegamente na palavra da Facebook Inc. de que o WhatsApp faz somente aquilo que promete, e nada mais.

É mais um elemento de violação à autodeterminação informativa e à proteção de dados. Com ele, fecha-se o conjunto de violações.

Alternativas ao uso do WhatsApp

Se o WhatsApp existe, se é adotado por milhões de pessoas, não é somente pelas práticas predatórias de mercado da Facebook Inc. e pelas violações cumulativas aos direitos à privacidade, à intimidade, à autodeterminação informativa e à proteção de dados.

É também porque o WhatsApp supre várias necessidades.

Se se pretende recomendar a uma organização que abandone ou restrinja fortemente o uso de WhatsApp em sua comunicação interna, não se pode deixar as necessidades supridas pelo WhatsApp sem um substituto à altura. Do contrário, a tendência é que as equipes retornem ao WhatsApp, colocando em risco seus direitos fundamentais, e também a segurança da informação na organização.

Critérios para um substituto do WhatsApp

Ao procurar aplicativos capazes de suprir a mesma necessidade de comunicação instantânea suprida pelo WhatsApp, deve-se ter como norte a superação das falhas do WhatsApp. Busca-se, portanto, aplicativos que reúnam as seguintes medidas garantidoras da autodeterminação informativa, ordenadas pela prioridade:

Existem muitas comparações de software de mensagens instantâneas disponíveis na internet. Cada software, entretanto, deve ser avaliado de acordo com as necessidades de cada organização. Por isso, não tome a lista a seguir como uma “bala de prata”, capaz de resolver de uma só vez suas necessidades de segurança e proteção de dados, ou de sua organização.

Vista a questão em abstrato, tendo somente os critérios acima como base, é possível apresentar uma lista de recomendações.

Servidor XMPP próprio

A melhor alternativa, quando bem configurada, pode garantir em altíssimo nível o direito à autodeterminação informativa e à proteção de dados pessoais. É a instalação e administração de um servidor XMPP próprio, usando software como:

  1. ejabberd
  2. Prosody

A troca de mensagens seria feita pelos usuários usando o seguintes clientes:

  1. Pidgin (macOS, Linux, Windows, Solaris, *BSD, Illumos)
  2. CoyIM (macOS, Linux, Windows)
  3. Gajim (Windows, Linux)
  4. Dino (Linux)
  5. Monal (macOS, iOS)
  6. ChatSecure (iOS)
  7. Conversations (Android)

A experiência de usuário nos aplicativos para Android e iOS é parecidíssima com a do WhatsApp. Tela parecida, visual parecido, formas parecidas de troca de mensagem e compartilhamento de arquivos. A transição para o novo software depende mais da intuição e dos hábitos dos próprios usuários que de treinamento (embora não seja totalmente dispensável).

Se a comunicação via XMPP tiver sua segurança reforçada por tecnologias como OTR ou OMEMO, a proteção de dados fica extremamente reforçada.

Esta alternativa, infelizmente, não está ao alcance de todos.

O custo de manutenção de um servidor próprio pode ser proibitivo para indivíduos e para organizações com fluxo de caixa mais modesto.

Além disso, a instalação e administração do servidor XMPP exige conhecimento técnico especializado, e dedicação de tempo para cuidar da segurança, das atualizações e das demais rotinas administrativas.

Por último, a configuração dos clientes XMPP é simples, mas poderá ser desafiadora para usuários com poucos conhecimentos de informática. Feita a configuração inicial, entretanto, o uso desses clientes flui sem maiores necessidades de mudanças.

Indivíduos ou organizações que já tenham uma infraestrutura de TI própria, e conexão à internet por banda larga estável, podem beneficiar-se enormemente com o uso dessa alternativa.

O servidor próprio pode ser substituído por algum servidor já existente. Alguns, inclusive, já vem configurados por padrão em certos clientes. O uso de servidores alheios, entretanto, exige uma avaliação robusta dos termos de uso e das políticas de privacidade, semelhante àquela feita com o próprio WhatsApp, para identificar possíveis vulnerabilidades.

Mensageiros instantâneos centralizados

Se o uso de XMPP não for viável, outra alternativa é o uso de mensageiros instantâneos.

O WhatsApp não é o único software nessa categoria. Frente ao uso de XMPP, os mensageiros instantâneos a seguir têm a desvantagem da centralização: seu modelo de negócios também é baseado nos “cercadinhos”. No interessante debate sobre “centralização vs. descentralização” no uso de software, seus desenvolvedores optaram por centralizar toda a estrutura para oferecer, por padrão e em massa, as maiores garantias à segurança e à privacidade dos usuários, mesmo daqueles com pouco ou nenhum conhecimento de informática.

Como contrapartida à centralização, todos os aplicativos nessa categoria já estão prontos para uso desde a instalação. Não é necessário qualquer conhecimento técnico além do básico para instalá-los ou usá-los de forma segura. Em alguns casos, sequer é preciso fazer qualquer configuração adicional: as opções com maior proteção aos dados e maior respeito à autodeterminação informativa são embutidas na própria estrutura dos aplicativos (privacy by design), e além disso já vem configuradas por padrão durante a instalação (privacy by default).

Nesta categoria de aplicativos, recomenda-se os seguintes:

  1. Signal, sob gestão e responsabilidade de Signal Messenger LLC, com sede em 650 Castro Street, Suite 120-223 Mountain View, CA 94041, Estados Unidos;
  2. Wire Messenger, sob responsabilidade de Wire Swiss GmbH, com sede em Gotthardstrasse 28, 6302 Zug, Suíça.

softwares muito bons nessa categoria que não foram recomendados única e exclusivamente por não serem gratuitos:

  1. Threema, sob responsabilidade de Threema GmbH, com sede em Churerstrasse 82, 8808 Pfäffikon SZ, Suíça.

Os indivíduos e organizações que puderem pagar pelo seu uso, entretanto, aproveitarão de um nível de proteção de dados e de privacidade igual, ou mesmo superior, ao das recomendações anteriores.

Mensageiros instantâneos distribuídos e federados

Há ainda outros bons softwares que não se pode recomendar – ao menos não ainda – porque ou ainda estão em desenvolvimento e testes, ou não são totalmente estáveis, ou porque levam a segurança tão a sério que comprometem parte da experiência de uso, e só devem ser recomendados em casos muito especificos onde há necessidade de uso de software com padrão de segurança altíssimo:

  1. Element, sob responsabilidade de Element c/o New Vector Ltd., com sede na 10 Queen Street Place, EC4R 1AG, Londres, Reino Unido;
  2. Jami, sob gestão, hospedagem e responsabilidade de Savoir Faire LINUX, com sede em 7275, rue Saint Urbain, Bureau 200, Montreal, QC H2R 2Y5, Canadá;
  3. Briar, sob responsabilidade de Sublime Software Ltd., com sede na 26 Carlyle Avenue, BN2 4DR, Brighton, East Sussex, Reino Unido.

Conclusão

A análise da política de privacidade do WhatsApp, assim como de várias brechas em sua segurança, impõem a esta consultoria recomendar que este aplicativo não seja usado para comunicações internas de organizações.

Dado o caráter massivo do uso de WhatsApp, é incontornável usar o aplicativo para relacionar-se com o público. Se é este o caso, recomenda-se a aquisição de um aparelho e de uma linha telefônica institucionais especificamente para lidar com esta função, a ser desempenhada por quem tenha, na organização, a atribuição de relacionar-se com público externo: recepcionistas, secretárias, integrantes de equipe de comunicação e relacionamento com público/clientes etc.

Para as mensagens instantâneas internas à organização, recomenda-se estudar as necessidades de comunicação da própria organização, seu perfil, sua capacidade financeira e tecnológica, para adotar algum dos substitutos indicados.

Se necessário, poderão ser feitos treinamentos curtos no uso da ferramenta de comunicação adotada.

O que esta consultoria não pode recomendar, de forma alguma, é que, em nome da “conveniência”, “praticidade”, “rapidez”, “agilidade”, “desburocratização” e outras justificativas, seja usado um aplicativo cujo desenvolvimento e uso envolve tantas violações a direitos humanos, e tantos riscos à segurança da organização.