WhatsApp Business API e proteção de dados (RGPD)

O que precisa de saber sobre transferência para um país terceiro, base legal e opt-in no envio de mensagens WhatsApp

O envio através da WhatsApp Business API é apelativo para muitos casos de uso B2C: confirmações de reserva, notificações de envio, lembretes de marcação, apoio ao cliente. Em paralelo, este canal levanta questões em matéria de proteção de dados que o utilizador, enquanto responsável pelo tratamento, tem de esclarecer antes de avançar para produção.

Auf einen Blick

  • As mensagens passam obrigatoriamente por servidores da Meta nos EUA. Base legal: EU-US Data Privacy Framework, complementado por cláusulas contratuais-tipo.
  • Necessita de um Acordo de Tratamento de Dados (DPA) com a seven.io e deve conhecer os WhatsApp Business Terms e o DPA da Meta.
  • O envio para utilizadores finais exige um consentimento documentado, idealmente por double opt-in.
  • A sua política de privacidade tem de ser complementada com uma secção sobre WhatsApp.

Quem está envolvido?

Interveniente Papel Sede
O utilizador, enquanto cliente da seven.io Responsável pelo tratamento de dados O seu país
seven.io Subcontratante (Art. 28.º RGPD) Alemanha
Meta Platforms Ireland Ltd. Parte contratante para o WhatsApp Business no EEE Irlanda
Meta Platforms, Inc. Opera a infraestrutura cloud EUA
Destinatário final Titular dos dados Mundial

É assim que os dados fluem:

diagramdiagram

Transferência para um país terceiro para a Meta (EUA)

Em cada envio, são obrigatoriamente transferidos dados pessoais para os sistemas da Meta:

  • o número de telefone do destinatário,
  • o conteúdo da mensagem (texto, multimédia, modelos, variáveis),
  • metadados técnicos (data de entrega, estado de leitura/receção, códigos de erro).

Segundo a Meta, o conteúdo das mensagens WhatsApp entre a empresa e o utilizador final é cifrado em trânsito, mas continua acessível à Meta enquanto operadora cloud, na medida do necessário para a prestação do serviço. O tratamento nos EUA pela Meta Platforms, Inc. é, portanto, tecnicamente inevitável e constitui uma transferência para um país terceiro nos termos do Capítulo V do RGPD.

Desde 10 de julho de 2023, o EU-US Data Privacy Framework (DPF) constitui uma decisão de adequação da Comissão Europeia. A Meta Platforms, Inc. declara estar certificada ao abrigo do DPF. As transferências para destinatários nos EUA certificados ao abrigo do DPF podem, em princípio, ser baseadas no Art. 45.º do RGPD.

Adicionalmente, a Meta e a seven.io continuam a recorrer a cláusulas contratuais-tipo da UE (SCCs, Art. 46.º RGPD) como mecanismo de salvaguarda, caso o estatuto DPF cesse ou determinados tratamentos não estejam cobertos.

Achtung

Apesar do DPF, mantêm-se riscos residuais decorrentes do acórdão Schrems II: poderes de acesso das autoridades de segurança dos EUA (FISA 702, Executive Order 12333), eficácia prática dos mecanismos de tutela criados pela Executive Order 14086, bem como possíveis processos futuros do TJUE. Para dados sensíveis, recomenda-se uma avaliação de risco documentada (Transfer Impact Assessment, TIA).

Que contratos são necessários

1. Acordo de Tratamento de Dados (DPA) com a seven.io

Uma vez que a seven.io envia mensagens em seu nome, deve celebrar um DPA nos termos do Art. 28.º do RGPD. A seven.io disponibiliza um modelo para o efeito.

2. Base contratual com a Meta

A utilização rege-se ainda pelos WhatsApp Business Terms of Service e pelo WhatsApp Business Data Processing Addendum (DPA) da Meta. Em determinados tratamentos a Meta atua como subcontratante, noutros (segurança/integridade da plataforma) potencialmente como responsável autónomo ou conjunto. O papel concreto da Meta em cada caso resulta dos documentos contratuais atualmente em vigor.

Tipp

Documente o papel da Meta em cada etapa de tratamento no seu Registo das Atividades de Tratamento (RAT).

A transferência para a Meta é uma das vertentes. Igualmente importante: com que base legal envia, antes de mais, mensagens aos seus destinatários?

O consentimento como regra

Para o envio de mensagens WhatsApp é, em regra, exigido um consentimento expresso e documentado ao abrigo do Art. 6.º, n.º 1, alínea a), do RGPD. O WhatsApp é um canal privado, pelo que o limiar para um contacto direto é, correspondentemente, elevado.

Aplicam-se ainda:

  • § 7 da UWG (Lei alemã contra a concorrência desleal) - o contacto promocional exige consentimento prévio.
  • TDDDG (anteriormente TTDSG) - requisitos adicionais sempre que se aceda ao dispositivo do destinatário ou nele se armazenem dados.

Transacional vs. promocional

Critério Transacional Promocional
Exemplos Confirmação de reserva, estado de envio, lembrete de marcação Promoções, descontos, newsletters, cross-selling
Base legal Contrato/diligências pré-contratuais (Art. 6.º, n.º 1, al. b)), opt-in recomendado Consentimento obrigatório (Art. 6.º, n.º 1, al. a))
§ 7 UWG Em regra, não diretamente aplicável Aplica-se
Recomendação prática Opt-in documentado e específico do canal Opt-in documentado e específico do canal

Wichtig

Exemplo: um restaurante confirma reservas via WhatsApp. No formulário de reserva consta uma caixa de seleção clara e não pré-marcada "Enviar confirmação por WhatsApp". É a abordagem correta, ainda que a mensagem em si seja transacional.

Recomendação: double opt-in

No double opt-in, o destinatário introduz o seu número e confirma posteriormente de forma ativa via WhatsApp (por exemplo, enviando uma palavra-chave ou clicando num link de confirmação). Desta forma, fica demonstrado que o número pertence efetivamente à pessoa que consente.

Para cada consentimento, registe pelo menos: data e hora, redação, fonte (por exemplo, URL do formulário web), endereço IP ou prova equiparável e uma associação clara ao número de telefone.

Adaptação da política de privacidade

Conteúdo O que deve constar
Identificação do canal "WhatsApp Business API"
Destinatários Meta Platforms Ireland Ltd. e Meta Platforms, Inc. (EUA)
Transferência para país terceiro Indicação dos EUA, EU-US Data Privacy Framework, SCCs complementares
Base legal Art. 6.º, n.º 1, al. a), do RGPD (eventualmente al. b) em caso de execução contratual)
Período de conservação Para números, conteúdos das mensagens e dados de log
Revogação Indicação do direito de retirada a todo o tempo e meio simples para o exercer (por exemplo, "STOP" via WhatsApp)
Risco residual Indicação, em linguagem acessível, da transferência para os EUA

Uma orientação possível para a redação (não constitui texto jurídico final):

Utilizamos a WhatsApp Business API para o contactar pelos canais por si
escolhidos. Neste contexto, o seu número de telefone, bem como o conteúdo
da mensagem, são transferidos para a Meta Platforms Ireland Ltd. e para a
Meta Platforms, Inc. (EUA). A base legal é o seu consentimento ao abrigo
do Art. 6.º, n.º 1, alínea a), do RGPD. A transferência para os EUA
realiza-se com base no EU-US Data Privacy Framework, complementado por
cláusulas contratuais-tipo. Pode revogar o seu consentimento a todo o
tempo, com efeitos para o futuro.

Vorsicht

A redação concreta deve ser revista pelo seu encarregado da proteção de dados ou por um advogado especializado. Não substitui aconselhamento jurídico.

Lista de verificação prática

  • Recolher o opt-in por destinatário e por canal de forma documentada (data e hora, redação, fonte).
  • DPA com a seven.io celebrado e arquivado no DMS.
  • WhatsApp Business Terms e DPA da Meta revistos e papéis devidamente atribuídos.
  • Política de privacidade complementada com a secção sobre WhatsApp.
  • Registo das Atividades de Tratamento (RAT) complementado com o envio via WhatsApp.
  • Processos de acesso, retificação, eliminação e revogação definidos.
  • Transfer Impact Assessment (TIA) para a transferência para os EUA elaborado e atualizado.
  • Colaboradores que enviam ou respondem a mensagens WhatsApp formados em proteção de dados.

Perguntas frequentes

Necessito de opt-in mesmo para meras confirmações de encomenda?

Juridicamente, o tema é controverso. O § 7 da UWG, em regra, não se aplica a mensagens puramente transacionais e o Art. 6.º, n.º 1, al. b), do RGPD cobre, em princípio, este envio. Na prática, contudo, muitas autoridades de controlo recomendam ainda assim um opt-in específico do canal, por o WhatsApp ser um canal privado e o destinatário dever consentir explicitamente em ser ali contactado.

Para a mera transferência para um país terceiro, sim. Subsistem, no entanto, riscos residuais decorrentes da legislação de vigilância dos EUA, razão pela qual a seven.io e a Meta recorrem ainda a cláusulas contratuais-tipo e é aconselhável um Transfer Impact Assessment.

O que acontece quando um consentimento é revogado?

Tem de cessar o envio para o número que revogou, marcar o registo do consentimento como "revogado" e avaliar a necessidade de remover o número de listas de contactos ativas. No caso de modelos WhatsApp puros, a revogação só afeta os modelos de marketing - mensagens transacionais no âmbito de um contrato existente continuam admissíveis, desde que exista uma base legal própria.

Durante quanto tempo posso conservar mensagens WhatsApp?

Não existe um prazo rígido. Conserve apenas durante o tempo necessário à finalidade. Os logs de marketing são tipicamente eliminados após a revogação ou, o mais tardar, decorridos 3 anos; os dados transacionais regem-se pelos prazos de conservação previstos na legislação comercial e fiscal.

Aviso

Este artigo destina-se a informação geral e reflete o estado à data da publicação. Não substitui aconselhamento jurídico individual. Concretize as implementações específicas em articulação com o seu próprio encarregado da proteção de dados ou com um advogado especializado.

Isto respondeu à sua pergunta?

Artigos relacionados

Celebrar o contrato de tratamento de dados (DPA)

Celebre o DPA diretamente no painel - conforme ao RGPD em poucos cliques.

Jurídico e privacidade

Modelo para política de privacidade

Jurídico e privacidade

Configurar a WhatsApp Business API com a seven

Como ligar a sua WhatsApp Business Account à seven.io utilizando a Cloud API da Meta e o Embedded Signup.

WhatsApp