LGPD no WhatsApp: o que toda empresa que atende por lá precisa saber
Guia objetivo de conformidade pra atendimento e marketing por WhatsApp, opt-in, base legal, retenção, direitos do titular e os erros que mais geram multa.
LGPD não é "só sobre site e cookie". Toda conversa que você tem no WhatsApp coleta dado pessoal, número, nome, às vezes CPF, endereço, histórico de compra. A maioria das empresas não tem isso mapeado, e a fiscalização da ANPD vem subindo na régua a cada ano.
Esse guia mostra o que precisa estar arrumado pra dormir tranquilo.
O que conta como dado pessoal no WhatsApp
Tudo que individualiza alguém:
- Número de telefone (sempre)
- Nome, e-mail
- Endereço (de entrega ou cobrança)
- CPF, RG
- Histórico de compra / pedido
- Foto de perfil
- Conteúdo das mensagens trocadas
Mesmo "só o número" já é dado pessoal sob a LGPD. Você precisa de base legal pra processá-lo.
As 3 bases legais que cobrem 95% dos casos
A LGPD dá 10 bases legais possíveis. Pra WhatsApp, essas três resolvem quase tudo:
1. Consentimento (opt-in explícito)
O cliente marca uma caixa, responde "SIM" a uma pergunta clara, ou se inscreve voluntariamente. Você guarda esse consentimento (data, mensagem, IP se for via formulário).
Quando usar: marketing, newsletter, lembrete promocional, qualquer comunicação ativa.
Cuidado: consentimento dado pra uma finalidade NÃO vale pra outras. Cliente que aceitou receber promo de roupa não consentiu em receber promo de financeira parceira.
2. Execução de contrato
Você precisa do dado pra cumprir o que prometeu. Cliente comprou, você precisa do endereço pra entregar. Esse processamento não exige consentimento explícito.
Quando usar: transações, suporte ao pedido, garantia, atendimento pós-venda.
3. Legítimo interesse
Você processa o dado pra um interesse legítimo seu (segurança, fraud prevention, melhoria interna) desde que não conflite com direito do titular. Precisa documentar o teste de balanceamento.
Quando usar: análise de fraude, dashboards internos sem identificação do indivíduo, segurança.
A regra do opt-in pra disparo
Pra mandar mensagem ativa em marketing, consentimento é praticamente obrigatório no WhatsApp. O Meta também exige nas regras do Cloud API. Significa:
✅ Vale como opt-in:
- Cliente preencheu formulário marcando caixa
- Cliente respondeu "SIM" a pergunta sua
- Cliente comprou de você e você avisou na compra que faria contato (ver item compra como base)
❌ Não vale como opt-in:
- Cliente te mandou mensagem pra perguntar algo (isso autoriza você responder, não dispara campanhas)
- Você comprou uma lista
- Você encontrou o número no Google / Instagram público
Os 4 direitos do titular que sua operação precisa atender
Cliente tem direito a, a qualquer momento, exigir:
1. Acesso
"Quais dados meus você tem?", você precisa responder em até 15 dias úteis com listagem clara.
2. Correção
"Esse dado está errado, corrige", você precisa atualizar.
3. Exclusão (direito ao esquecimento)
"Apaga tudo que você tem de mim", você precisa apagar, a menos que tenha base legal pra manter (ex: nota fiscal por 5 anos pela Receita).
4. Opt-out
"Não quero mais receber mensagens", você precisa remover do disparo imediatamente.
A regra prática: monte 1 endereço de contato ([email protected] ou similar) que recebe esses pedidos, e tenha processo definido pra resolver em até 15 dias úteis.
Retenção: quanto tempo guardar
Não tem regra universal, depende da finalidade. Mas heurística saudável:
| Tipo de dado | Tempo recomendado |
|---|---|
| Conversa de atendimento (não convertida) | 6-12 meses |
| Conversa de cliente ativo | Enquanto durar relação |
| Dado financeiro / nota fiscal | 5 anos (Receita) |
| Dado de marketing | Enquanto opt-in válido + 1 ano |
| Log de consentimento | 5 anos pós-revogação |
Guardar conversa de 5 anos atrás de cliente que nunca mais voltou aumenta seu risco sem benefício. Política de retenção clara reduz exposição.
Os 5 erros que mais geram problema
1. Sem registro de opt-in
Cliente reclama na ANPD que não consentiu. Você precisa provar que sim. Se não tem o log, perdeu.
2. Conversas trafegando em ferramenta sem criptografia
Plataforma de atendimento que armazena mensagem em texto plano + acessível por qualquer funcionário = vazamento esperando acontecer.
3. Dados misturados de empresas diferentes
Se você atende várias empresas / marcas, dado de cliente de uma NÃO pode estar visível pra time de outra. Tenant isolation.
4. Acesso amplo demais
Todos os 50 atendentes vendo o histórico completo de qualquer cliente? Princípio da necessidade: cada um vê o que precisa pro trabalho dele.
5. Sem aviso de privacidade visível
Cliente que conversa pelo WhatsApp da empresa tem o direito de saber o que vai acontecer com os dados. Link pra política de privacidade na resposta automática inicial resolve.
O setup mínimo pra estar tranquilo
- Política de privacidade pública com linguagem clara sobre coleta via WhatsApp
- Mensagem inicial automática com link pra essa política
- Logs de consentimento salvos com data/hora
- Endereço de DPO (Data Protection Officer) ativo e respondendo
- Plataforma de atendimento com controle de acesso por usuário/empresa
- Política de retenção documentada e aplicada
- Processo de exclusão sob pedido rodando em até 15 dias
7 pontos. Se você consegue marcar todos como "sim", está em boa posição. Se faltam 3+, vale priorizar.
Multa: o que está em jogo
ANPD pode aplicar:
- Advertência
- Multa de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração
- Bloqueio dos dados envolvidos
- Eliminação dos dados
- Suspensão da atividade
A multa de 2% sobre faturamento é o que mais assusta, empresa de R$ 10 milhões/ano pode levar R$ 200 mil por uma infração documentada.
LGPD não é projeto técnico, é higiene operacional contínua. Empresas que tratam como checklist única levam multa. Empresas que tratam como prática (revisão semestral, treinamento de time, política viva) ficam tranquilas mesmo com fiscalização apertando.
Pronto pra colocar isso em prática?
7 dias grátis · Sem cartão de crédito · Setup em 5 minutos
Testar o Chatlyzer agora