TL;DR — Де-юре регламентируется приватность и конфиденциальность. Но де-факто они никогда не существовали.
Все популярные сервисы обмена сообщениями давно скомпрометированы. Социальные сети, поисковики, интернет-ресурсы открыто собирают всю доступную информацию и готовы по щелчку пальцев (или шелесту банкнот) предоставить сырую статистику, либо обработанные данные силовым структурам и бизнесу.
Telegram — не исключение из правил. Исходный код серверной части мессенджера закрыт. Что исключает проведение независимого аудита безопасности на наличие уязвимостей. А верить на слово в таких вопросах как минимум наивно и глупо.
На сервере мессенджера хранится вся переписка из открытых чатов и телефонная книга (т.е. все, до чего смогло дотянуться приложение). Секретные чаты не используются по умолчанию. Привязка номера телефона тоже вызывает отдельные вопросы. Некоторое время была возможность получить доступ ко всей сохраненной переписке, если выполнить атаку на протокол SS7, либо имея доступ к инфраструктуре операторов мобильной связи. Двухфакторная авторизация (которая на самом деле является двухэтапной верификацией) не спасёт вас от угона учетной записи.
Безопасность секретных чатов целиком и полностью зависит от сохранности и надежности вашего устройства, т.е. данные на украденном или конфискованном устройстве уязвимы (что в принципе очевидно). Чтобы получить доступ к данным устройства, необязательно требуется физический контакт, достаточно эксплуатировать аппаратно-программные уязвимости.
В API Telegram существует уязвимость, которая позволяет определить номер пользователя Telegram по псевдониму его учетной записи (дополнительный комментарий, который объясняет технику деанонимизации). По номеру телефона можно получить доступ к паспортным данным владельца, если сим-карту использует другой человек, можно с определенной погрешностью определить его местоположение. Поэтому привязка телефонного номера в приложении, которое предназначено для приватной переписки — изначально глупая затея. А еще глупее передавать свои паспортные данные. Новое правило в политике конфиденциальности Telegram, которое позволяет передавать данные пользователя спецслужбам, забило последний гвоздь в крышку гроба приватности.
В СМИ проводится активная агитация к использованию Telegram. И если в официальных СМИ используются приёмы реверсивной психологии, то остальные источники не брезгуют открытой пропагандой, где проприетарный сервис для обмена сообщениями преподносится как символ свободы и приватности, что звучит довольно иронично в свете вышесказанного.
От себя добавлю, что не вижу никаких проблем в использовании социальных сетей и мессенджеров, которые носят в большинстве своем развлекательный характер и являются средством коммуникации. Просто они не гарантируют сохранности ваших персональных данных и используют их в лучшем случае как товар. Даже если предположить, что существует компания, которая на самом деле соблюдает принципы конфиденциальности и приватности, то она все равно не сможет вам гарантировать, что к вашим личным данным не будут иметь доступ третьи лица в результате утечки базы данных из-за хакерской атаки или недобросовестного сотрудника.