Compliance

LGPD no WhatsApp: o que toda empresa que atende por lá precisa saber

Guia objetivo de conformidade pra atendimento e marketing por WhatsApp, opt-in, base legal, retenção, direitos do titular e os erros que mais geram multa.

Equipe Chatlyzer5 min de leitura

LGPD não é "só sobre site e cookie". Toda conversa que você tem no WhatsApp coleta dado pessoal, número, nome, às vezes CPF, endereço, histórico de compra. A maioria das empresas não tem isso mapeado, e a fiscalização da ANPD vem subindo na régua a cada ano.

Esse guia mostra o que precisa estar arrumado pra dormir tranquilo.

O que conta como dado pessoal no WhatsApp

Tudo que individualiza alguém:

  • Número de telefone (sempre)
  • Nome, e-mail
  • Endereço (de entrega ou cobrança)
  • CPF, RG
  • Histórico de compra / pedido
  • Foto de perfil
  • Conteúdo das mensagens trocadas

Mesmo "só o número" já é dado pessoal sob a LGPD. Você precisa de base legal pra processá-lo.

As 3 bases legais que cobrem 95% dos casos

A LGPD dá 10 bases legais possíveis. Pra WhatsApp, essas três resolvem quase tudo:

1. Consentimento (opt-in explícito)

O cliente marca uma caixa, responde "SIM" a uma pergunta clara, ou se inscreve voluntariamente. Você guarda esse consentimento (data, mensagem, IP se for via formulário).

Quando usar: marketing, newsletter, lembrete promocional, qualquer comunicação ativa.

Cuidado: consentimento dado pra uma finalidade NÃO vale pra outras. Cliente que aceitou receber promo de roupa não consentiu em receber promo de financeira parceira.

2. Execução de contrato

Você precisa do dado pra cumprir o que prometeu. Cliente comprou, você precisa do endereço pra entregar. Esse processamento não exige consentimento explícito.

Quando usar: transações, suporte ao pedido, garantia, atendimento pós-venda.

3. Legítimo interesse

Você processa o dado pra um interesse legítimo seu (segurança, fraud prevention, melhoria interna) desde que não conflite com direito do titular. Precisa documentar o teste de balanceamento.

Quando usar: análise de fraude, dashboards internos sem identificação do indivíduo, segurança.

A regra do opt-in pra disparo

Pra mandar mensagem ativa em marketing, consentimento é praticamente obrigatório no WhatsApp. O Meta também exige nas regras do Cloud API. Significa:

Vale como opt-in:

  • Cliente preencheu formulário marcando caixa
  • Cliente respondeu "SIM" a pergunta sua
  • Cliente comprou de você e você avisou na compra que faria contato (ver item compra como base)

Não vale como opt-in:

  • Cliente te mandou mensagem pra perguntar algo (isso autoriza você responder, não dispara campanhas)
  • Você comprou uma lista
  • Você encontrou o número no Google / Instagram público

Os 4 direitos do titular que sua operação precisa atender

Cliente tem direito a, a qualquer momento, exigir:

1. Acesso

"Quais dados meus você tem?", você precisa responder em até 15 dias úteis com listagem clara.

2. Correção

"Esse dado está errado, corrige", você precisa atualizar.

3. Exclusão (direito ao esquecimento)

"Apaga tudo que você tem de mim", você precisa apagar, a menos que tenha base legal pra manter (ex: nota fiscal por 5 anos pela Receita).

4. Opt-out

"Não quero mais receber mensagens", você precisa remover do disparo imediatamente.

A regra prática: monte 1 endereço de contato ([email protected] ou similar) que recebe esses pedidos, e tenha processo definido pra resolver em até 15 dias úteis.

Retenção: quanto tempo guardar

Não tem regra universal, depende da finalidade. Mas heurística saudável:

Tipo de dadoTempo recomendado
Conversa de atendimento (não convertida)6-12 meses
Conversa de cliente ativoEnquanto durar relação
Dado financeiro / nota fiscal5 anos (Receita)
Dado de marketingEnquanto opt-in válido + 1 ano
Log de consentimento5 anos pós-revogação

Guardar conversa de 5 anos atrás de cliente que nunca mais voltou aumenta seu risco sem benefício. Política de retenção clara reduz exposição.

Os 5 erros que mais geram problema

1. Sem registro de opt-in

Cliente reclama na ANPD que não consentiu. Você precisa provar que sim. Se não tem o log, perdeu.

2. Conversas trafegando em ferramenta sem criptografia

Plataforma de atendimento que armazena mensagem em texto plano + acessível por qualquer funcionário = vazamento esperando acontecer.

3. Dados misturados de empresas diferentes

Se você atende várias empresas / marcas, dado de cliente de uma NÃO pode estar visível pra time de outra. Tenant isolation.

4. Acesso amplo demais

Todos os 50 atendentes vendo o histórico completo de qualquer cliente? Princípio da necessidade: cada um vê o que precisa pro trabalho dele.

5. Sem aviso de privacidade visível

Cliente que conversa pelo WhatsApp da empresa tem o direito de saber o que vai acontecer com os dados. Link pra política de privacidade na resposta automática inicial resolve.

O setup mínimo pra estar tranquilo

  1. Política de privacidade pública com linguagem clara sobre coleta via WhatsApp
  2. Mensagem inicial automática com link pra essa política
  3. Logs de consentimento salvos com data/hora
  4. Endereço de DPO (Data Protection Officer) ativo e respondendo
  5. Plataforma de atendimento com controle de acesso por usuário/empresa
  6. Política de retenção documentada e aplicada
  7. Processo de exclusão sob pedido rodando em até 15 dias

7 pontos. Se você consegue marcar todos como "sim", está em boa posição. Se faltam 3+, vale priorizar.

Multa: o que está em jogo

ANPD pode aplicar:

  • Advertência
  • Multa de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração
  • Bloqueio dos dados envolvidos
  • Eliminação dos dados
  • Suspensão da atividade

A multa de 2% sobre faturamento é o que mais assusta, empresa de R$ 10 milhões/ano pode levar R$ 200 mil por uma infração documentada.

LGPD não é projeto técnico, é higiene operacional contínua. Empresas que tratam como checklist única levam multa. Empresas que tratam como prática (revisão semestral, treinamento de time, política viva) ficam tranquilas mesmo com fiscalização apertando.

#lgpd#whatsapp#compliance#juridico

Pronto pra colocar isso em prática?

7 dias grátis · Sem cartão de crédito · Setup em 5 minutos

Testar o Chatlyzer agora