Como este tema funciona na sua empresa
Operação tende a ser feita por uma ou duas pessoas, sem encarregado dedicado. O essencial: consentimento simples no momento da captura (checkbox em formulário ou opt-in registrado pelo atendente), opt-out funcional ("digite SAIR para parar de receber"), DPA assinado com o BSP (Business Solution Provider) que opera a API do WhatsApp. Registro em planilha simples já reduz exposição. Risco maior está em disparos para listas importadas sem origem documentada.
Encarregado nomeado, política de privacidade publicada, DPA com BSP assinado, RIPD (Relatório de Impacto à Proteção de Dados) elaborado para campanhas de marketing no canal. Mapeamento das finalidades (transacional, relacionamento, promocional) com base legal documentada por uso. Política de retenção definida. Atendimento ao titular operacionalizado por canal específico do encarregado.
Governança formal de privacidade com DPO em tempo integral, programa de compliance integrado entre marketing, jurídico e tecnologia. Auditoria periódica do uso do canal. DPIA quando há tratamento de alto risco (perfilamento, decisão automatizada, dados de criança). Integração com programa global quando aplicável (GDPR para operações na Europa). Plataforma de mensageria corporativa com registros centralizados e governança de templates aprovados.
LGPD aplicada ao WhatsApp marketing
é o conjunto de práticas que adequa o uso do WhatsApp como canal de comunicação comercial à Lei 13.709/18, envolvendo base legal documentada para cada contato (consentimento como regra, legítimo interesse em casos específicos), opt-out funcional, política de retenção, cuidado com dados sensíveis, contrato de tratamento (DPA) com o BSP e cláusulas-padrão para transferência internacional decorrente do uso da infraestrutura da Meta.
Por que WhatsApp marketing precisa de tratamento específico de LGPD
WhatsApp é um canal de comunicação altamente intrusivo. Ao contrário de email, onde uma mensagem indesejada vai para a caixa de entrada e pode esperar, mensagem no WhatsApp chega com notificação, aparece na tela, interrompe. Para o titular, mensagem comercial não solicitada no canal é percebida como invasão. Para a ANPD, é tratamento de dado pessoal sujeito a regras claras de base legal, transparência e controle do titular.
Soma-se que o WhatsApp é operado pela Meta, empresa com servidores fora do Brasil — isso configura transferência internacional automática quando o canal é usado. E que o BSP (Business Solution Provider) que intermedia o acesso à API oficial é operador no jargão da LGPD: precisa de contrato específico, com cláusulas mínimas.
O artigo organiza os pontos críticos em três planos: bases legais aplicáveis, direitos do titular operacionalizados, e contratos com operadores e transferência internacional. O caminho prático passa por consulta a advocacia especializada em LGPD para análise de caso concreto — este conteúdo é orientativo, não jurídico dogmático.
Bases legais aplicáveis ao canal
A LGPD lista bases legais para tratamento de dado pessoal. Em WhatsApp marketing, três são as relevantes:
Consentimento (art. 7º, I) é a regra para envio de mensagens promocionais. Opt-in inequívoco no momento da captura: checkbox ativo em formulário, registro do atendente ao receber pedido por outro canal, link de aceite com confirmação. Texto claro: "Aceito receber mensagens da [empresa] no WhatsApp sobre [tema], com frequência aproximada de [X] por semana." Registro técnico: data, número, origem do consentimento, texto exibido na época.
Execução de contrato (art. 7º, V) ampara mensagens transacionais ligadas a algo que o cliente já contratou: confirmação de pedido, atualização de entrega, código de verificação, lembrete de agendamento. Não precisa de opt-in marketing porque não é marketing — é continuação da execução do contrato.
Legítimo interesse (art. 7º, IX) pode amparar mensagens transacionais com complemento informativo e contatos pós-venda com expectativa razoável do cliente. Exige teste de legítimo interesse formalizado. Não é base legal para prospecção fria, importação de lista comprada ou disparos a contatos sem vínculo prévio com a marca.
A prática mais segura: separar finalidades por base legal e documentar em matriz. Linhas com finalidades (confirmação de pedido, lembrete, promoção, pesquisa), colunas com base legal, ferramenta usada, retenção, transferência internacional, responsável.
Em pequena empresa, a recomendação prática é operar sob consentimento puro para tudo que seja promocional, com registro simples em planilha ou no CRM básico (data do opt-in, número, formulário ou atendente que coletou). Legítimo interesse exige análise formalizada — sem encarregado, fica difícil sustentar em fiscalização. RIPD não é obrigatório, mas vale manter documento de duas a três páginas descrevendo a operação para mostrar diligência.
Com encarregado nomeado, cabe operar consentimento como regra e legítimo interesse em casos delimitados (cliente ativo pós-venda, retomada de cliente que comprou recentemente). RIPD elaborado para campanhas de marketing no WhatsApp, documentando finalidades, base legal, riscos e mitigações. DPA com BSP assinado e revisado. Política de retenção formal — contatos inativos passam por re-permissão ou são excluídos.
Programa formal de compliance com DPO em tempo integral, política corporativa de uso de canais de mensageria, governança de templates aprovados pela Meta. DPIA obrigatório para campanhas com perfilamento, segmentação por dados sensíveis ou decisão automatizada. Auditoria periódica do uso do canal. Integração com programa global quando há operação internacional. Treinamento recorrente para times que operam o canal.
Direitos do titular operacionalizados
A LGPD garante ao titular direitos que precisam ser atendidos no canal e fora dele:
Confirmação de tratamento e acesso. O titular pode pedir confirmação de que a empresa trata seus dados via WhatsApp e cópia do conteúdo enviado/recebido. Operacionalmente, isso requer que o histórico esteja acessível por algum tempo definido em política.
Correção. Atualização de dados incorretos (número, nome). Normalmente simples.
Exclusão. Exclusão completa do contato e do histórico, salvo se houver base legal específica para manter (por exemplo, registro fiscal obrigatório de transação). Diferente de opt-out — opt-out mantém o contato marcado como "não enviar"; exclusão remove.
Oposição. Para tratamentos baseados em legítimo interesse, o titular pode se opor. Em prática, equivale a opt-out total para a finalidade em questão.
Portabilidade. Direito a receber os dados em formato estruturado. Raro de ser exercido em WhatsApp marketing, mas precisa estar previsto.
Operacionalmente, o opt-out via canal precisa ser simples: "responda SAIR para parar de receber" funciona, desde que o sistema processe automaticamente e o titular não receba mais. O canal de atendimento ao encarregado (email ou formulário) trata exclusão completa, portabilidade e pedidos de acesso. Em pequena empresa, o fluxo é manual; em grande, é automatizado via portal de privacidade.
Dados sensíveis: nunca por padrão
A LGPD trata como sensíveis dados sobre origem racial, convicção religiosa, opinião política, filiação sindical, dados de saúde, dados sobre vida sexual e dado genético ou biométrico. Tratamento de dado sensível tem regra mais rigorosa: precisa de consentimento específico e destacado, ou de uma das outras hipóteses muito restritas previstas no art. 11.
Em WhatsApp marketing, a regra prática é: não coletar nem inferir dado sensível por padrão. Templates de mensagem genéricos não precisam coletar essas informações. Quando o caso exige (por exemplo, comunicação de clínica médica com paciente), o consentimento precisa ser específico para a finalidade sensível, com clareza extra sobre o que está sendo tratado.
Atenção a inferências indiretas: segmentar a base por "interesse em produto de farmácia" pode revelar condição de saúde; segmentar por "interesse em material religioso" revela convicção. Ainda que o dado não tenha sido coletado explicitamente, a inferência cria tratamento de dado sensível que precisa de base legal específica.
Operador (BSP) e transferência internacional
O acesso à API oficial do WhatsApp Business é feito via BSPs (Business Solution Providers) certificados pela Meta. Esses fornecedores são operadores no jargão da LGPD: tratam dado pessoal em nome da empresa contratante. A LGPD exige contrato específico (DPA) com cláusulas mínimas:
Finalidades autorizadas para tratamento (só pode usar para o que foi contratado, não para finalidades próprias do BSP). Lista de subprocessadores (a Meta é a principal, mas pode haver outros). SLA de notificação de incidente. Direito de auditoria. Procedimento de exclusão ao fim do contrato.
Transferência internacional: quando dado pessoal é enviado a servidores fora do Brasil, configura transferência. A Meta hospeda dados em diversos países, predominantemente EUA. A LGPD exige garantias adequadas: cláusulas-padrão da ANPD, certificações reconhecidas, ou decisão de adequação do país. Em prática, isso significa exigir do BSP que o contrato com a Meta inclua cláusulas LGPD aplicáveis ao subprocessamento.
Para operações com base na União Europeia, somam-se exigências do GDPR. Para operações com base nos EUA da Califórnia, somam-se exigências do CCPA/CPRA. Análise jurídica é necessária quando há cenário cross-border relevante.
Registro de operações
O artigo 37 da LGPD exige que controlador e operador mantenham registro das operações de tratamento. Em WhatsApp marketing, esse registro inclui: quais finalidades de envio existem, qual a base legal de cada uma, qual a política de retenção, quem são os operadores (BSP, integrador, plataforma de CRM), quais são os fluxos de dados, quais são os subprocessadores.
Em pequena empresa, esse registro é uma planilha ou documento. Em média empresa, é parte do RIPD mantido pelo encarregado. Em grande, alimenta sistema de governança como OneTrust ou similar.
Também é prudente manter log de envios (data, número, template usado, base legal aplicável) por período definido em política — útil para responder a pedidos do titular (acesso) e para defesa em eventual fiscalização. Atenção: o log também é dado pessoal e precisa de política de retenção própria.
Erros comuns que geram exposição regulatória
Importar lista comprada ou enriquecida. Sem base legal documentada, qualquer disparo cria risco direto. Resolver: parar o uso e rodar campanha de re-permissão antes de retomar.
Prospectar a frio em massa. Disparar mensagem comercial para quem nunca teve vínculo com a marca não é amparado por consentimento (que não existe) nem por legítimo interesse (que exige expectativa razoável do titular). Risco regulatório e de banimento do número pela Meta.
Ignorar opt-out. Continuar enviando após o titular pedir saída. Resolver com automação que processa "SAIR" imediatamente e com fluxo formal para pedidos via canal do encarregado.
Juntar bases sem amparo. Combinar lista de clientes ativos com lista de prospects e disparar tudo junto sob a alegação de que "todos são clientes em potencial". A base legal do contato original importa para o novo uso.
Operar sem DPA com o BSP. Contratar BSP sem revisar o contrato com cláusulas LGPD é exposição direta.
Não documentar a base legal por finalidade. Em fiscalização, a empresa precisa demonstrar o fundamento legal. Sem registro, fica vulnerável.
Coletar ou inferir dado sensível por padrão. Segmentação que revela condição de saúde, convicção religiosa, opinião política. Resolver evitando segmentações dessa natureza ou tratando-as com consentimento específico.
As sanções da ANPD vão de advertência a multa de até 2% do faturamento da empresa, limitada a R$ 50.000.000,00 por infração. Há ainda sanções específicas da Meta (banimento do número, suspensão da conta) que costumam ser mais imediatas que as regulatórias.
Sinais de que sua operação de WhatsApp precisa de revisão LGPD
Se três ou mais cenários abaixo se aplicam, vale priorizar uma auditoria de conformidade antes da próxima campanha.
- A empresa não tem base legal documentada para os contatos ativos no canal.
- Não há DPA (Data Processing Agreement) assinado com o BSP que opera a API.
- A operação nunca atendeu formalmente um pedido de exclusão pelo titular.
- O DPO ou encarregado desconhece detalhes da operação do WhatsApp.
- A empresa dispara mensagens para listas compradas, enriquecidas ou herdadas sem due diligence.
- Não existe política de retenção definida para os contatos do canal.
- O processo de opt-out depende de atendente manual e não é automatizado.
- Não há matriz por finalidade que documente base legal por tipo de mensagem.
Caminhos para adequar o WhatsApp marketing à LGPD
A decisão entre operar conformidade internamente ou contratar apoio jurídico especializado depende da maturidade do programa de privacidade, do volume da operação e do nível de risco do canal.
Marketing alinha-se com encarregado interno para mapear finalidades, documentar bases legais, revisar formulários de captura, automatizar opt-out. DPA com BSP assinado e revisado. RIPD elaborado para campanhas de marketing no canal. Treinamento dos atendentes que coletam consentimento.
- Perfil necessário: responsável de marketing com conhecimento básico em LGPD + encarregado interno + apoio jurídico pontual
- Quando faz sentido: empresa média com encarregado já nomeado e operação consolidada de WhatsApp
- Investimento: tempo do time + curso de LGPD aplicada a marketing (R$ 800-2.500 por pessoa) + revisão jurídica pontual
Escritório de advocacia especializada em LGPD conduz DPIA/RIPD para campanhas de alto risco, analisa bases legais específicas, redige contratos com fornecedores internacionais, assessora em incidentes e atendimento à ANPD. Consultoria de marketing de relacionamento estrutura fluxos de captura e de governança operacional.
- Perfil de fornecedor: advocacia especializada em direito digital + consultoria de marketing de relacionamento ou de WhatsApp marketing
- Quando faz sentido: base grande, operação cross-border, histórico de incidente, ausência de encarregado, uso do canal para tratamentos de alto risco
- Investimento típico: R$ 15.000 a R$ 80.000 por projeto inicial + acompanhamento mensal
Sua empresa documentou a base legal e o consentimento de cada contato ativo no WhatsApp?
O oHub conecta sua empresa a escritórios de advocacia especializados em LGPD, consultorias de marketing de relacionamento e BSPs com governança de privacidade. Em poucos minutos, descreva sua necessidade e receba propostas de quem entende o mercado brasileiro.
Encontrar fornecedores de Marketing no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
LGPD permite WhatsApp marketing?
Permite, desde que haja base legal documentada para cada contato, opt-in válido para mensagens promocionais (checkbox ativo, texto claro, registro técnico), opt-out funcional em todo envio, DPA assinado com o BSP, política de privacidade publicada que mencione o canal, atendimento formal aos direitos do titular. O que a LGPD não permite é prospecção fria em massa, importação de lista comprada ou enriquecida sem due diligence, e ignorar pedido de descadastro. Para análise de caso concreto, consulta a advogado especializado é necessária.
Qual a base legal para mandar mensagem no WhatsApp?
Depende da finalidade. Para promocional, a base recomendada é consentimento — opt-in inequívoco, registro técnico, descadastro fácil. Para transacional ligado a contrato (confirmação de pedido, atualização de entrega), a base é execução de contrato. Para relacionamento pós-venda com expectativa razoável do cliente, pode caber legítimo interesse, com teste formalizado. Cada finalidade precisa ter base legal documentada — embutir tudo em "li e aceito os termos" não vale, porque não é específico.
Posso usar legítimo interesse no WhatsApp?
Pode, em contextos específicos: comunicação relacionada a algo que o cliente já contratou, retomada de cliente ativo, comunicação setorial com expectativa razoável (B2B). Exige teste de legítimo interesse formalizado por escrito, que demonstre interesse legítimo, necessidade do tratamento, balanceamento com direitos do titular. Não cabe para prospecção fria, importação de listas externas ou disparo a contatos sem vínculo prévio. A ANPD tem orientação clara sobre os limites — quando há dúvida, consulta a advogado é necessária.
Como atender pedido de exclusão pelo titular?
O fluxo operacional precisa estar definido: canal de entrada (mensagem no WhatsApp com "SAIR" ou similar para opt-out; email ou formulário do encarregado para exclusão completa), responsável pela triagem, prazo de resposta razoável (a LGPD fala em 15 dias para confirmação de existência), execução da exclusão em todas as ferramentas envolvidas (não basta tirar do CRM — precisa propagar para histórico do canal, plataforma de envio, integrações), registro do atendimento. Diferença importante: opt-out marca o contato como "não enviar"; exclusão remove o registro, salvo base legal específica para manter.
O que registrar para auditoria?
Registro mínimo por contato: data do opt-in, número, formulário ou canal que coletou, texto do consentimento exibido na época, versão da política de privacidade vigente. Registro por envio: data, número de destino, template usado, finalidade, base legal aplicável. Registro de atendimento: data do pedido, tipo (acesso, exclusão, oposição, portabilidade), prazo de resposta, ação executada. Tudo isso compõe o registro de operações exigido pelo art. 37 da LGPD e serve para defesa em fiscalização e para responder a pedidos do titular.
Posso transferir dados de WhatsApp para outros sistemas?
Pode, desde que: a transferência esteja prevista na política de privacidade e na base legal do tratamento original; o sistema de destino tenha base legal compatível (mesma finalidade ou finalidade compatível); haja DPA com o sistema de destino se for fornecedor; haja garantias adequadas se a transferência for internacional. Cruzar dados de WhatsApp com base de email para criar audiência semelhante, por exemplo, exige avaliação de base legal e atualização da política de privacidade. Para análise de caso concreto, consulta a advogado é necessária.
Fontes e referências
- Brasil. Lei 13.709/18 (LGPD) — texto consolidado da Lei Geral de Proteção de Dados Pessoais.
- ANPD — Autoridade Nacional de Proteção de Dados. Guias orientativos sobre consentimento e legítimo interesse.
- Meta. WhatsApp Business — política de privacidade, Data Transfer Addendum e termos para uso comercial.
- IAB Brasil. Diretrizes de privacy em canais digitais e responsabilidade de operadores.
- PROCON-SP. Orientações sobre comunicação comercial e direitos do consumidor em canais digitais.