Como este tema funciona na sua empresa
O essencial cabe em quatro itens: opt-in registrado no momento da captura (checkbox no formulário ou registro do atendente), opt-out funcional ("responda SAIR para parar"), planilha com data, número e origem do consentimento, e DPA assinado com o BSP que opera a API. Não dispare para lista comprada nem prospecte número frio — é o erro que mais gera banimento do número pela Meta e exposição na ANPD.
Encarregado nomeado, política de privacidade publicada que cite o WhatsApp, DPA com o BSP e matriz de finalidade por base legal (transacional, relacionamento, promocional). Opt-out automatizado e canal do encarregado para exclusão. RIPD elaborado para a campanha quando há volume ou segmentação relevante. Contatos inativos passam por re-permissão antes de novo disparo.
Governança formal com DPO, política corporativa de mensageria e governança de templates aprovados pela Meta. RIPD/DPIA obrigatório quando há perfilamento, segmentação por dado sensível ou decisão automatizada. Auditoria periódica do canal, registro centralizado de consentimento e opt-out, integração com programa global (GDPR) quando há operação na Europa.
WhatsApp marketing sob a LGPD
é o uso do WhatsApp como canal de comunicação comercial dentro das regras da Lei 13.709/2018: cada contato precisa de base legal documentada (consentimento como regra para mensagem promocional), opt-out funcional em todo envio, política de privacidade que mencione o canal e contrato de tratamento (DPA) com o provedor que opera a API. É permitido — desde que haja opt-in válido. Não é permitido disparar para lista comprada nem prospectar número frio em massa.
Posso usar WhatsApp para marketing sob a LGPD?
Pode, com uma condição central: você precisa de base legal para cada número e, para mensagem promocional, essa base é o consentimento (opt-in) coletado antes do primeiro disparo. A LGPD não proíbe o canal — proíbe usá-lo sem fundamento. As regras da própria Meta caminham na mesma direção: a Política de Mensagens do WhatsApp Business exige opt-in antes de iniciar conversa e respeito imediato a qualquer pedido de opt-out.[4]
Na prática, três coisas precisam estar no lugar antes de enviar: opt-in registrado (quem aceitou, quando, em qual texto), opt-out que funciona de fato (e é processado), e um contrato com o provedor que opera a API. O resto deste guia é o passo a passo de cada uma — com o checklist, a base legal por situação e os textos de mensagem prontos para adaptar.
O que a LGPD permite e o que não permite no canal
Permite: enviar a quem deu opt-in válido, enviar mensagem transacional ligada a um contrato (confirmação de pedido, código, lembrete de agendamento) e, em casos delimitados, relacionamento pós-venda com cliente ativo. Não permite: disparar para lista comprada ou "enriquecida" sem origem documentada, prospectar a frio quem nunca teve vínculo com a marca, e continuar enviando depois que o titular pediu para sair. Esses três são, ao mesmo tempo, infração à LGPD e violação da política da Meta — que costuma reagir antes, banindo o número.
Checklist de conformidade antes da próxima campanha
Use esta lista como porta de entrada: se algum item estiver em aberto, resolva antes de disparar. Ela cobre o mínimo que a empresa precisa demonstrar em caso de fiscalização.
- Base legal definida por finalidade. Cada tipo de mensagem (promocional, transacional, relacionamento) tem sua base legal anotada — consentimento, execução de contrato ou legítimo interesse.
- Opt-in registrado. Para cada contato promocional: data, número, origem (formulário, atendente, link) e o texto exato exibido na hora do aceite.
- Texto de opt-in claro. Diz o nome da empresa, o tipo de mensagem e a frequência aproximada — não está escondido em "li e aceito os termos".
- Opt-out funcional em todo envio. Instrução visível ("responda SAIR") e processamento que de fato interrompe os envios.
- Política de privacidade publicada que mencione o WhatsApp como canal e as finalidades de uso.
- DPA assinado com o BSP/provedor da API, com finalidades autorizadas, subprocessadores e notificação de incidente.
- Canal para os direitos do titular (acesso, correção, exclusão) além do opt-out — normalmente o e-mail ou formulário do encarregado.
- Nenhuma lista comprada, enriquecida ou herdada sem origem documentada no disparo.
- Sem coleta ou inferência de dado sensível por padrão (saúde, religião, opinião política) na segmentação.
- Política de retenção: contatos inativos passam por re-permissão ou são removidos depois de um prazo definido.
Qual a base legal para cada tipo de mensagem
A base legal depende da finalidade do envio, não do canal. A LGPD lista dez hipóteses; em WhatsApp marketing, três são as que importam. O erro mais comum é tratar tudo como "consentimento genérico" — cada finalidade precisa do seu fundamento.
Mensagem promocional: consentimento (art. 7º, I)
Para oferta, novidade, cupom ou campanha, a base é o consentimento — opt-in inequívoco coletado antes do envio. Inequívoco significa ação afirmativa do titular: checkbox ativo (nunca pré-marcado), confirmação por link, ou registro do atendente quando o pedido vem por outro canal. Guarde o registro técnico: data, número, origem e o texto exibido na época. Consentimento embutido em "aceito os termos" não vale, porque não é específico para a finalidade.
Mensagem transacional: execução de contrato (art. 7º, V)
Confirmação de pedido, atualização de entrega, código de verificação e lembrete de agendamento não precisam de opt-in de marketing — são continuação de algo que o cliente já contratou. A base é a execução de contrato. O limite: a mensagem precisa se restringir à transação. Aproveitar a confirmação de entrega para empurrar uma promoção transforma o envio em marketing e exige consentimento.
Cliente existente x prospect frio: o legítimo interesse (art. 7º, IX)
Legítimo interesse pode amparar relacionamento pós-venda com cliente ativo, dentro da expectativa razoável de quem comprou recentemente — mas exige teste de legítimo interesse formalizado por escrito (interesse legítimo, necessidade do tratamento, balanceamento com os direitos do titular). A ANPD publicou guia orientativo específico sobre essa hipótese, detalhando o teste e seus limites.[2] O que o legítimo interesse não cobre: prospecção fria, lista comprada e disparo a contatos sem vínculo prévio com a marca — nesses casos não há expectativa razoável, e a base não se sustenta.
Lista comprada é proibida — e por quê
Disparar para uma lista comprada ou "enriquecida" não tem base legal: não há consentimento (você não coletou), não há contrato (a pessoa não é cliente) e não há legítimo interesse (não existe vínculo nem expectativa). É exposição direta na LGPD e, antes disso, motivo frequente de banimento do número pela Meta, que monitora volume de bloqueios e denúncias. Se a base atual tem origem duvidosa, a saída é parar o uso e rodar uma campanha de re-permissão — pedindo opt-in explícito antes de retomar.
Exemplos de mensagem: opt-in e descadastro
Os textos abaixo são modelos para adaptar ao seu negócio. O princípio é o mesmo do checklist: dizer quem envia, o que será enviado e como sair.
Texto de opt-in no formulário de captura
Junto ao campo de telefone, com checkbox desmarcado: "Aceito receber mensagens da [Empresa] no WhatsApp sobre [ofertas e novidades], cerca de [2 a 4] vezes por mês. Posso sair quando quiser respondendo SAIR. Veja como tratamos seus dados na nossa Política de Privacidade." O checkbox separado do "aceito os termos" garante que o consentimento seja específico para o canal.
Mensagem de confirmação do opt-in (double opt-in)
No primeiro contato, confirmar o aceite reduz reclamação e bloqueio: "Olá! Aqui é a [Empresa]. Você pediu para receber nossas [ofertas] por aqui. Para confirmar, responda SIM. Se não foi você, ignore esta mensagem — não enviaremos mais nada." Esse passo também ajuda na saúde do número junto à Meta.
Instrução de descadastro em cada campanha
Toda mensagem promocional deve trazer, ao final, a saída visível: "Para parar de receber estas mensagens, responda SAIR." Curto e literal. O essencial não é só a frase — é o sistema processar "SAIR" automaticamente e o titular realmente não receber mais nada depois.
Confirmação após o opt-out
Quando o titular pede para sair, confirme e encerre: "Pronto, você não receberá mais mensagens promocionais da [Empresa] no WhatsApp. Se mudar de ideia, é só responder VOLTAR." A confirmação evita a percepção de que o pedido foi ignorado — que é o gatilho de denúncia que mais aciona o banimento pela Meta.
Opere sob consentimento puro para tudo que for promocional, com registro em planilha ou CRM básico (data, número, origem, texto do aceite). Legítimo interesse exige teste formalizado — difícil de sustentar sem encarregado, então evite. O RIPD não é obrigatório, mas um documento de duas a três páginas descrevendo a operação demonstra diligência.
Consentimento como regra e legítimo interesse só em casos delimitados (cliente ativo, retomada recente), sempre com teste por escrito. RIPD da campanha documentando finalidades, base legal, riscos e mitigações. DPA com o BSP revisado e política de retenção formal — contatos inativos passam por re-permissão ou são excluídos.
Programa de compliance com DPO, política de mensageria e governança de templates aprovados pela Meta. DPIA obrigatório para perfilamento, segmentação por dado sensível ou decisão automatizada. Auditoria periódica do canal, registro centralizado de consentimento/opt-out e integração com o programa global quando há operação internacional.
Como atender os direitos do titular no canal
A LGPD dá ao titular direitos que precisam de fluxo definido — não basta o opt-out. Opt-out e exclusão são coisas diferentes, e essa confusão gera falha de conformidade.
Opt-out x exclusão: qual é a diferença
Opt-out marca o contato como "não enviar" — ele permanece na base, mas para de receber. Exclusão remove o registro e o histórico, salvo base legal específica para manter (por exemplo, obrigação fiscal de guardar o registro de uma transação). O titular pode pedir qualquer um dos dois. O "SAIR" no WhatsApp resolve o opt-out; a exclusão completa normalmente passa pelo canal do encarregado.
Como processar um pedido de exclusão
O fluxo precisa estar desenhado: canal de entrada (e-mail ou formulário do encarregado), responsável pela triagem, prazo de resposta razoável e execução em todas as ferramentas — não basta tirar do CRM, é preciso propagar para a plataforma de envio, o histórico do canal e as integrações. Registre o atendimento (data, tipo de pedido, ação executada): esse log também serve de defesa em fiscalização.
Acesso, correção, oposição e portabilidade
Além de excluir, o titular pode pedir confirmação de que a empresa trata seus dados e cópia do conteúdo (acesso), atualização de número ou nome (correção), oposição a tratamento baseado em legítimo interesse (na prática, opt-out total da finalidade) e os dados em formato estruturado (portabilidade). Em pequena empresa o fluxo é manual; em grande, é automatizado via portal de privacidade.
Como as regras do WhatsApp/Meta se somam à LGPD
Cumprir a LGPD não basta: o uso comercial do canal é regido também pelas políticas da própria Meta, que têm sanção própria e mais rápida. Os dois conjuntos de regras se reforçam, mas não são idênticos.
O que a Política de Mensagens do WhatsApp Business exige
A política exige opt-in antes de iniciar conversa com qualquer pessoa, identificação clara da empresa no momento do aceite e respeito a todo pedido de bloqueio ou descadastro — dentro ou fora do WhatsApp.[4] As Diretrizes de Mensagens reforçam a proibição de spam, contato repetido não solicitado e disparo em massa automatizado, sob pena de suspensão da conta.[5] Na prática, o que a LGPD chama de "base legal" a Meta cobra como "opt-in" — e fiscaliza pelo comportamento do número.
Por que o número é banido antes da multa chegar
A Meta monitora a qualidade do número: volume de bloqueios, denúncias e marcação como spam pelos destinatários. Uma campanha para lista fria dispara esses sinais e leva à queda na classificação de qualidade ou ao banimento — muito antes de qualquer procedimento da ANPD. Por isso opt-in válido e opt-out ágil não são só conformidade legal: são o que mantém o número operacional.
Operador (BSP) e transferência internacional
O acesso à API oficial é feito via BSPs (Business Solution Providers) certificados pela Meta. Eles são operadores no jargão da LGPD: tratam dado em nome da sua empresa e exigem DPA com finalidades autorizadas, lista de subprocessadores (a Meta é o principal), notificação de incidente e exclusão ao fim do contrato. Como a infraestrutura da Meta hospeda dados fora do Brasil, há transferência internacional — que exige garantias adequadas (cláusulas-padrão, certificações ou decisão de adequação). Para operação com base na União Europeia, somam-se exigências do GDPR.
Dados sensíveis e registro de operações
Dois pontos que costumam passar batido e geram exposição mesmo em operação com opt-in correto.
Por que não segmentar por dado sensível
Dado sensível (saúde, religião, opinião política, filiação sindical, vida sexual, genético, biométrico) tem regra mais rígida: exige consentimento específico e destacado. A armadilha é a inferência indireta — segmentar a base por "interesse em farmácia" pode revelar condição de saúde; por "material religioso", convicção. Ainda que o dado não tenha sido coletado, a inferência cria tratamento de dado sensível sem base legal. A regra prática: não segmentar por critério que revele dado sensível, salvo com consentimento específico.
O que registrar para auditoria
O art. 37 da LGPD exige registro das operações de tratamento. No canal, isso significa manter, por contato: data do opt-in, número, origem, texto do consentimento e versão da política vigente. Por envio: data, template, finalidade e base legal. Por atendimento: tipo de pedido, prazo e ação. O log também é dado pessoal e precisa de política de retenção própria.
Sinais de que sua operação de WhatsApp precisa de revisão LGPD
Se três ou mais cenários abaixo se aplicam, vale priorizar uma revisão de conformidade antes da próxima campanha.
- Não há base legal documentada para os contatos ativos no canal.
- Não existe registro de opt-in (data, número, origem, texto) para os contatos promocionais.
- A empresa já disparou para lista comprada, enriquecida ou herdada sem origem documentada.
- O opt-out depende de atendente manual e não é processado de forma confiável.
- Não há DPA assinado com o BSP que opera a API.
- A política de privacidade não menciona o WhatsApp como canal.
- A operação nunca atendeu formalmente um pedido de exclusão pelo titular.
- A segmentação usa critérios que podem revelar dado sensível (saúde, religião, opinião política).
Caminhos para adequar o WhatsApp marketing à LGPD
A escolha entre resolver internamente ou contratar apoio depende da maturidade do programa de privacidade, do volume da operação e do nível de risco do canal.
Marketing alinha com o encarregado para rodar o checklist: mapear finalidades, documentar base legal, ajustar o texto de opt-in nos formulários, automatizar o opt-out e assinar/revisar o DPA com o BSP. Treinar os atendentes que coletam consentimento. Funciona bem para operação consolidada com encarregado já nomeado.
- Perfil necessário: responsável de marketing com noção de LGPD + encarregado interno + apoio jurídico pontual
- Quando faz sentido: empresa média com encarregado nomeado e operação de WhatsApp já em curso
- Atenção: o ponto que mais falha é o opt-out que não é processado e o registro de opt-in inexistente
Advocacia especializada em LGPD conduz RIPD/DPIA para campanhas de risco, formaliza o teste de legítimo interesse, revisa contratos com fornecedores internacionais e assessora em incidente e atendimento à ANPD. Consultoria de marketing de relacionamento estrutura os fluxos de captura e governança operacional.
- Perfil de fornecedor: advocacia especializada em direito digital + consultoria de marketing de relacionamento ou de WhatsApp marketing
- Quando faz sentido: base grande, operação cross-border, histórico de incidente, ausência de encarregado ou tratamento de alto risco
- Valor: reduz o risco de sanção da ANPD e de banimento do número, que custam mais do que o apoio
Sua empresa tem opt-in registrado e opt-out funcional para cada contato no WhatsApp?
O oHub conecta sua empresa a escritórios de advocacia especializados em LGPD, consultorias de marketing de relacionamento e provedores com governança de privacidade. Em poucos minutos, descreva sua necessidade e receba propostas de quem entende o mercado brasileiro.
Solicitar orçamento de Mobile Solicitar orçamento de Marketing Digital Solicitar orçamento de Marketing de Relacionamento
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
LGPD permite WhatsApp marketing?
Permite, desde que haja base legal para cada contato e, no caso de mensagem promocional, opt-in válido coletado antes do envio: checkbox ativo, texto claro com nome da empresa e tipo de mensagem, registro técnico (data, número, origem). Some-se opt-out funcional em todo envio, política de privacidade que mencione o canal, DPA com o provedor da API e atendimento aos direitos do titular. O que a LGPD não permite é prospecção fria em massa, disparo para lista comprada ou enriquecida sem origem documentada, e ignorar pedido de descadastro. Para caso concreto, consulta a advogado especializado é recomendada.
Qual a base legal para mandar mensagem no WhatsApp?
Depende da finalidade. Para promocional, a base é o consentimento — opt-in inequívoco, registro técnico, descadastro fácil. Para transacional ligado a contrato (confirmação de pedido, código, lembrete), a base é execução de contrato. Para relacionamento pós-venda com cliente ativo, pode caber legítimo interesse, com teste formalizado por escrito. Cada finalidade precisa ter sua base legal documentada; embutir tudo em "li e aceito os termos" não vale, porque não é específico.
Posso usar lista comprada para disparar no WhatsApp?
Não. Lista comprada ou enriquecida não tem base legal: não há consentimento (você não coletou), não há contrato (a pessoa não é cliente) e não há legítimo interesse (não existe vínculo nem expectativa razoável). É infração à LGPD e, antes disso, motivo frequente de banimento do número pela Meta, que monitora bloqueios e denúncias. Se a base atual tem origem duvidosa, pare o uso e rode uma campanha de re-permissão pedindo opt-in explícito antes de retomar.
Posso usar legítimo interesse no WhatsApp?
Pode, em contextos delimitados: comunicação relacionada a algo que o cliente já contratou e relacionamento com cliente ativo dentro da expectativa razoável de quem comprou recentemente. Exige teste de legítimo interesse formalizado por escrito — a ANPD publicou guia orientativo específico detalhando o teste e seus limites. Não cabe para prospecção fria, lista comprada ou disparo a contatos sem vínculo prévio com a marca. Em caso de dúvida, consulta a advogado é recomendada.
Como atender pedido de descadastro ou exclusão pelo titular?
São coisas diferentes. Opt-out (descadastro) marca o contato como "não enviar" e é resolvido pelo "SAIR" no canal, processado automaticamente. Exclusão remove o registro e o histórico, salvo base legal específica para manter, e normalmente passa pelo canal do encarregado (e-mail ou formulário). O fluxo de exclusão precisa de responsável, prazo de resposta razoável e execução em todas as ferramentas — não basta tirar do CRM, é preciso propagar para a plataforma de envio, o histórico do canal e as integrações. Registre o atendimento.
As regras do WhatsApp são as mesmas da LGPD?
Não são idênticas, mas se reforçam. A LGPD exige base legal, transparência e respeito aos direitos do titular. A Política de Mensagens do WhatsApp Business exige opt-in antes de iniciar conversa, identificação clara da empresa e respeito a todo pedido de bloqueio ou descadastro, sob pena de suspensão da conta. Na prática, o opt-in que a Meta cobra coincide com a base legal da LGPD. A diferença é a velocidade: a Meta reage pelo comportamento do número (bloqueios, denúncias) e bane antes de qualquer procedimento da ANPD.
Fontes e referências
- Brasil. Lei 13.709/2018 (LGPD) — Lei Geral de Proteção de Dados Pessoais. Bases legais (art. 7º), dados sensíveis (art. 11), direitos do titular e registro de operações (art. 37).
- ANPD — Guia Orientativo: Hipóteses Legais de Tratamento de Dados Pessoais — Legítimo Interesse. Teste de legítimo interesse e seus limites.
- ANPD — Autoridade Nacional de Proteção de Dados. Portal oficial com guias orientativos, fiscalização e canais do titular.
- Meta. WhatsApp Business Messaging Policy. Exigência de opt-in antes de iniciar conversa, identificação da empresa e respeito a pedidos de opt-out e bloqueio.
- WhatsApp Messaging Guidelines. Proibição de spam, contato repetido não solicitado e disparo em massa automatizado, com ações que incluem suspensão de conta.