Mesmo que você não seja o tipo de pessoa que usa o WhatsApp regularmente, é provável que tenha tentado ler a sua nova política de privacidade. E enfatizamos a palavra “tentado”.

O material de aproximadamente 4.000 palavras foi criticado por incontáveis usuários do​​WhatsApp em todo o mundo depois que a empresa disse que eles seriam excluídos da plataforma a menos que cumprissem esses novos termos. Alguns críticos mais atentos rapidamente notaram que, bem ali no meio das políticas de privacidade, as novas condições impostas exigiam que o aplicativo tivesse o direito de compartilhar dados supostamente pessoais, como números de telefone ou informações de pagamento, junto de sua empresa-mãe, Facebook, que também tem como subsidiária o Instagram.

Naturalmente, as pessoas ficaram furiosas. Na semana passada, dezenas de milhões de pessoas aparentemente saíram do WhatsApp e foram para plataformas concorrentes, como Signal e Telegram, recomendadas por Elon Musk e Edward Snowden. As autoridades turcas abriram uma investigação sobre as práticas de compartilhamento de dados do WhatsApp, seguida pela autoridade regional de dados da Itália. Na quinta-feira, as autoridades da Índia, o maior mercado do WhatsApp, entraram com uma petição alegando que os novos termos não eram apenas uma ameaça à privacidade pessoal, mas também à segurança nacional.

O que ficou muito claro rapidamente foi que embora todo mundo tenha concordado em ficar indignado, houve um certo questionamento sobre a causa deles se sentirem assim.

Em resumo, toda a confusão foi resultado da implementação desastrosa dessas novas políticas pelo WhatsApp. Ao lançar um ultimato assustador a incontáveis ​​usuários e ao vincular essa exigência a uma política de privacidade que (acho que todos podemos concordar) é quase impossível de compreender, a maior parte dos seus clientes supôs o pior: que o Facebook agora poderia ler suas mensagens do WhatsApp, bisbilhotar toda a sua lista de contatos e saber todas as suas atividades no aplicativo.

Esses rumores acabaram chegando ao chefe do WhatsApp, Will Cathcart, que publicou uma longa explicação no Twitter esclarecendo a maior parte dessas alegações, antes que a própria empresa refutasse cada suposta desinformação em uma página de perguntas frequentes.

Em uma reviravolta chocante de eventos, a tentativa do WhatsApp de reverter toda a situação foi considerada um fracasso por seus críticos mais vocais. E, honestamente, eles tinham razão: é do WhatsApp que estamos falando. Quando uma plataforma de bate-papo criptografada que tem sido amplamente elogiada por pessoas no espaço de privacidade e segurança anuncia abruptamente que compartilhará seus dados – quaisquer dados – com uma empresa como o Facebook, você pode entender por que isso geraria alguns problemas.

A questão é que, desde que os cofundadores do WhatsApp, Jan Koum e Brian Acton, cortaram os laços com o Facebook (após todo o seu histórico de polêmicas), a empresa lentamente se transformou em algo mais parecido com o esperado do Facebook: um aplicativo que tem um pouco do elemento de socialização, mas o foco é principalmente em compras. Essas novas políticas de privacidade são apenas a maneira do WhatsApp – e do Facebook – finalmente admitir isso.

Um resumo das mudanças na política de privacidade

Se você também é o tipo de pessoa que usa o WhatsApp exclusivamente para enviar mensagens para amigos e familiares, nada mudará em termos de privacidade. Na verdade, o que pensamos quando falamos sobre nossa “privacidade” no WhatsApp não mudou muito desde meados de 2016, quando a empresa anunciou que o aplicativo iria começar a compartilhar alguns de seus metadados básicos, como seu número de telefone e uma série de identificadores “anônimos”, a menos que você tenha desativado manualmente (o Facebook acabou colocando a função para cancelamento logo em seguida, mas isso é outra história).

Não muito tempo atrás, um desenvolvedor anônimo fez a engenharia reversa de todo o aplicativo do WhatsApp Web, e suas descobertas podem ser encontradas gratuitamente por meio do GitHub. Em suma, se eu enviasse uma mensagem após as atualizações de 2016, o Facebook poderia ser capaz de descobrir a marca e o modelo do meu telefone, além da porcentagem da bateria do aparelho – mas essas conversas seriam totalmente criptografadas. Nada disso está mudando agora.

Dito isso, se você mora em um país como a Índia ou o Brasil, onde o WhatsApp não é apenas um aplicativo de bate-papo, mas também um meio para marcas e empresas se conectarem com seus clientes, as coisas são um pouco diferentes. Ao contrário dos contatos pessoais mencionados anteriormente, é provável que qualquer conversa que você possa ter com uma determinada empresa não seja apenas não criptografada, como também compartilhada com muito mais pessoas do que você imagina.

A política de privacidade do WhatsApp pode ser nova para a maioria de nós, mas essa prática em específico já tem sido utilizada pela plataforma há anos.

O WhatsApp que você conhece vs WhatsApp que você não conhece

A história que levou aos infelizes anúncios do WhatsApp, na verdade, começou na mesma época em que Koum pulou fora da empresa que estava lhe rendendo quantias absurdas de dinheiro. Alguns meses depois, o WhatsApp lançou sem qualquer aviso um novo produto voltado para negócios que prometia contribuir ainda mais para a receita da plataforma multibilionária: a “API de negócios do WhatsApp”.

Como o nome sugere, a API Business é voltada para empresas: companhias aéreas que desejam usar o WhatsApp para enviar cartões de embarque, por exemplo, ou uma rede de supermercados que deseja usar o aplicativo para avisar a alguém que seu pedido está para ser entregue. Essas mensagens não tinham o objetivo de serem promocionais como, digamos, um anúncio no Instagram; elas foram feitas para serem transacionais – como uma conversa que você tem com o vendedor de uma loja ao procurar sapatos para seu tamanho. Se a empresa em questão respondesse a uma determinada solicitação no prazo de um dia, o Facebook permitiria que ela enviasse sua resposta gratuitamente.

Qualquer mensagem enviada após as 24 horas iniciais vem com uma pequena taxa – com variações no valor dependendo da mensagem, de quais terceiros possam estar envolvidos e do país que uma determinada marca tem como alvo. Essa taxa é dividida entre essas partes e, claro, com o WhatsApp.

Muitos veículos de imprensa viram a API como uma mais uma estratégia de publicidade digital. As marcas, por outro lado, não poderiam estar mais animadas com a ideia, e continuaram empolgadas à medida que o WhatsApp adotava novos recursos para tornar o aplicativo mais amigável ao comércio.

Em 2020, os usuários do WhatsApp na Índia passaram a não somente usar o app para conversar com seus contatos pessoais – eles estavam navegando por catálogos criados no aplicativo em busca de sapatos novos, colocando o par selecionado em um carrinho e, em seguida, usando um recurso de pagamento digital para finalizar a compra e acompanhar o pedido via WhatApp para garantir que ele chegasse a tempo.

Novos recursos voltados a negócios significam que mais marcas estão se conectando à API. Em 2018, o WhatsApp inicialmente abriu acesso à nova plataforma para cerca de 100 parceiros escolhidos a dedo, como Netflix, Uber e alguns hotéis e bancos em regiões onde o WhatsApp é a plataforma de envio de mensagens preferida. Alguns analistas estimam que, um ano depois, o número de empresas conectadas à API passou de 100 para cerca de 1.000. Em seu ritmo atual, disse a equipe, o WhatsApp está a caminho de chegar perto de 55.000 empresas usando esta API até o final de 2024, todas acumulando coletivamente US$ 3,6 bilhões em taxas de mensagens.

A questão é que existe uma dificuldade em convencer uma marca a gastar tanto dinheiro no seu produto quando eles nem conseguem ler o que os clientes estão dizendo porque, novamente, os bate-papos do WhatsApp são criptografados por padrão. Este foi um dos pontos cruciais que levaram à saída de Koum, de acordo com o Washington Post: o Facebook queria transformar o WhatsApp em uma plataforma amigável para os negócios, e a equipe do aplicativo respondeu que não poderia construir essa plataforma sem enfraquecer a criptografia nativa do WhatsApp de algum modo.

Em resposta a uma solicitação de comentário, um porta-voz do Facebook enviou um e-mail, apontando para uma publicação no blog da empresa, que anunciava o adiamento da implementação de sua nova política de privacidade até meados de maio devido à “confusão existente em torno de nossa atualização recente”.

O que a criptografia significa

A repercussão de toda essa história na Internet chegou ao Twitter, o que levou o CEO do Instagram, Adam Mosseri, a tuitar que estava vendo “muita desinformação” sobre os novos termos de serviço do WhatsApp. Segundo ele, as mudanças são estritamente relacionadas às mensagens enviadas a empresas pelo WhatsApp, que, como ele lembrou, são algo opcional. Ele até compartilhou algumas das páginas de perguntas frequentes do WhatsApp sobre o assunto, que incluía outra explicação simplória de como as empresas usam seus dados. Na realidade, a publicação não diz muita coisa: não menciona os dados exatos que esses parceiros vão buscar na plataforma (supostamente) criptografada, nem mesmo discute quais “mudanças” na política de privacidade se aplicam especificamente a mensagens enviadas a empresas.

Então, em vez de analisar separadamente isso tudo, vamos direto à fonte. O código-fonte da API Business pode ser facilmente encontrada no site voltado para desenvolvedores do Facebook, o que significa que você também pode encontrar facilmente os tipos de dados que essa API obtém do WhatsApp e como ela poderia – pelo menos potencialmente – contornar a criptografia do aplicativo para fazer isso. Ou, se quiser, pode apenas visitar este FAQ surpreendentemente convincente que literalmente pergunta “A criptografia de ponta a ponta é mantida na API do WhatsApp Business? ”. A resposta do WhatsApp, que enfatizamos abaixo, é algo que você deve ler por si mesmo (leia a parte em negrito):

O WhatsApp considera as comunicações com usuários da API de negócios, que gerenciam a ponta final da API em servidores que controlam, como criptografadas de ponta a ponta, pois não há acesso de terceiros ao conteúdo trocado entre as duas pontas.

Algumas organizações podem optar por delegar o gerenciamento de seu terminal de API do WhatsApp Business a um provedor terceirizado. Nesses casos, a comunicação ainda usa a mesma criptografia do protocolo Signal. No entanto, como o usuário do WhatsApp Business API escolheu um terceiro para gerenciar seu endpoint, o WhatsApp não considera essas mensagens criptografadas de ponta a ponta. No futuro, em 2021, isso também se aplicará a empresas que optam por aproveitar a versão baseada em nuvem da API hospedada pelo Facebook.

Além disso, se você estiver usando HTTPS ao fazer chamadas para o cliente da API do WhatsApp Business, esses dados serão criptografados com SSL (do seu cliente final para o cliente da API do WhatsApp Business).

Ou seja, o WhatsApp está nos dizendo que quando conversamos com uma empresa ou marca pela plataforma – e essa empresa ou marca está trabalhando com um determinado número de terceiros – o WhatsApp criptografado ao qual estamos acostumados não existe mais.

Provavelmente, devo esclarecer quem são esses terceiros. O Facebook os chama de Provedores de Soluções de Negócios (ou BSPs, para abreviar), e eles são essencialmente um conjunto aprovado de fornecedores AdTech cuja única responsabilidade é tornar a experiência com o  marketing no Facebook o mais fácil possível. Por exemplo, se você está anunciando uma nova linha de produtos e só quer alcançar jovens no Instagram entre 18 e 21 anos que moram nos EUA, existem algumas dezenas de BSPs que o Facebook pode indicar para você.

Se você quiser alcançá-las em outras propriedades do Facebook, como, digamos, o Whatsapp, existem 66 parceiros que a empresa lista como tendo a chave para sua API de negócios. Mesmo que você não consiga ter contato com eles, o Facebook promete que seus anúncios estarão seguros nas mãos desses profissionais terceirizados em troca de uma quantia em dinheiro.

A manobra de quebra de criptografia que esses BSPs estão autorizados a fazer está, como sempre, abertamente disponível, cortesia do Facebook. Se seu cérebro ainda não captou muito sobre esta API, recomendo dar uma olhada nesses documentos. Quando um BSP ou qualquer parceiro aprovado pelo Facebook baixa a API Business, ela vem com uma porta que direciona os dados das conversas do WhatsApp para um banco de dados externo controlado por este parceiro. Quando esse parceiro faz amizade com, digamos, uma pizzaria que deseja usar o WhatsApp para suporte ao cliente, cada mensagem que ele recebe perguntando sobre o status de seu pedido acaba nesta gaveta de dados não criptografado, junto com uma série de informações de contato sobre a pessoa que fez a solicitação.

Uma amostra de alguns dos dados que esses parceiros podem obter, de acordo com a documentação do Facebook. Captura de tela: Facebook (Gizmodo).

Uma vez que os dados estão sob a alçada de terceiros, em última análise, não é mais responsabilidade do Facebook, mesmo que eles sejam usados para direcionar anúncios em uma das próprias plataformas da empresa. O WhatsApp explicou isso em outra FAQ (observe o destaque em negrito):

Algumas empresas e provedores de soluções usarão a empresa-mãe do WhatsApp, o Facebook, para armazenar mensagens com segurança e responder aos clientes. Embora o Facebook não use automaticamente suas mensagens para informar os anúncios que você vê, as empresas poderão usar as conversas que recebem para seus próprios fins de marketing, o que pode incluir publicidade no Facebook. Você pode entrar em contato com essas empresas a qualquer momento para saber mais sobre suas práticas de privacidade.

Em outras palavras, se estou usando o WhatsApp para perguntar a uma pizzaria por que minha comida ainda não chegou ao meu apartamento, quaisquer dados que saiam dessa conversa poderiam ser usados ​​para me direcionar a anúncios de produtos relacionados ao meu pedido em qualquer lugar. É apenas uma feliz coincidência se isso significa publicidade no Facebook.

Então, apenas para recapitular, o que o WhatsApp (ok, principalmente o Facebook) está dizendo sobre a questão:

  • Há toneladas de dados interessantes de consumidores no WhatsApp que os profissionais de marketing não estão explorando, mas acessá-los pode significar pagar uma taxa não muito barata para o Facebook e a um desses terceiros confiáveis ​​(que, sim, também pagam o Facebook).
  • Assim que tiverem dados suficientes em mãos, eles poderão pagar ao Facebook novamente pelo privilégio de anunciar para esses mesmos usuários. Se você ler nas entrelinhas, no entanto, a decisão de anunciar ou não no Facebook já é tomada por eles antes mesmo de eles pedirem.
  • Este ciclo se repete provavelmente milhares de vezes por semana.

Por um lado, eu realmente não culpo o WhatsApp por errar neste anúncio. Como todas as coisas em tecnologia voltada à publicidade, explicar os detalhes da API de negócios do WhatsApp – ou qualquer uma de suas práticas específicas de compartilhamento de dados – é um exercício cansativo e enfadonho que quase certamente não caberia nas pequenas telas dos telefones das pessoas. Mas, ao ignorar muitas dessas nuances, a empresa atraiu uma multidão de pessoas que interpretaram esta atualização de acordo com suas próprias teorias sobre o que essas mudanças de privacidade, aparentemente radicais, realmente significam.

Deve haver um meio termo em algum lugar. Até que os executivos do Facebook descubram qual é, eles ficarão postando vídeos no Twitter, citando as mesmas promessas de privacidade insípidas que vimos da empresa até agora.