Como este tema funciona na sua empresa
Captura de consentimento geralmente em formulário simples no site ou em ponto de venda físico, com caixa de seleção (checkbox) específica para WhatsApp. Registro mantido em planilha ou diretamente no sistema de gestão de relacionamento básico (HubSpot tier gratuito, RD Station Marketing, planilha Google). Texto do consentimento padronizado e armazenado em modelo. Foco recomendado: nunca importar lista de terceiros, manter caixa de seleção nunca pré-marcada, registrar data e fonte de cada cadastro e ter fluxo claro de descadastro mesmo que manual.
Captura via sistema de gestão de relacionamento (CRM) integrado ao site, aplicativo e ponto de venda. Dupla confirmação (double opt-in) é prática para campanhas de marketing de alto volume. Registro auditável: marca de tempo, endereço de IP, identificação do formulário, versão do texto. Plataforma de mensagem (provedor de serviço de WhatsApp Business — BSP) recebe o consentimento via integração e armazena a evidência. Time de marketing e jurídico revisaram os textos e fluxos. Existe processo de revogação automatizado.
Plataforma de gestão de consentimento (CMP — consent management platform) centraliza captura em todos os pontos: site, aplicativos, atendimento, ponto de venda, parceiros. Central de preferências granular permite ao contato escolher tipo de comunicação por canal. Registros têm qualidade de prova judicial: marca de tempo, IP, geolocalização quando disponível, texto exato apresentado, versão do termo, identificação do operador (em captura assistida). Encarregado de proteção de dados (DPO) acompanha o programa; auditoria anual valida desenho e operação.
Captura de consentimento (opt-in) para WhatsApp
é o ato afirmativo, livre, informado e inequívoco pelo qual o titular autoriza a empresa a enviá-lo mensagens no WhatsApp para uma finalidade específica, atendendo simultaneamente à Lei Geral de Proteção de Dados (LGPD) e às políticas da Meta para o WhatsApp Business — sem o qual a conta da empresa pode ser suspensa pela Meta, mesmo que a base tenha sido coletada por outros canais, e qualquer envio ativo (campanhas, notificações de marketing) configura risco jurídico e operacional.
Por que opt-in no WhatsApp é dupla exigência
O consentimento para WhatsApp tem duas razões para existir, e a empresa precisa atender às duas. A primeira é jurídica: a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/18) exige base legal para tratamento de dados pessoais, e para comunicação ativa de marketing o consentimento é a base mais comum, regulada nos Artigos 7º e 8º. Sem consentimento válido, qualquer reclamação à Autoridade Nacional de Proteção de Dados (ANPD) ou ao Procon coloca a empresa em posição frágil.
A segunda é contratual com a plataforma: a Meta (proprietária do WhatsApp) exige que qualquer empresa que use o WhatsApp Business para mensagens ativas tenha capturado opt-in claro e válido. O descumprimento gera bloqueio gradual e, em casos persistentes, banimento definitivo da conta. Empresas que descobriram isso da forma difícil — depois de ter o canal cortado em pleno mês de campanha — passam a tratar o tema como prioridade.
O ponto que confunde muita gente: ter o número do cliente não significa ter autorização para usá-lo no WhatsApp. Mesmo um cliente fiel que dá o telefone para SMS de cobrança não autorizou, por isso, recebimento de comunicação ativa de marketing no WhatsApp. Cada finalidade exige consentimento específico.
O que a Meta considera opt-in válido
A Meta publica diretrizes para qualificar um opt-in como válido. Quatro elementos precisam estar presentes.
Texto claro explicando que o contato passará a receber mensagens da empresa pelo WhatsApp. Não basta "aceito receber comunicações" — precisa especificar o canal e, idealmente, a finalidade ("para receber atualizações sobre meus pedidos", "para receber ofertas e promoções", "para suporte ao produto").
Ação afirmativa do contato. Caixa de seleção que ele marca explicitamente, botão que ele clica, mensagem que ele envia para iniciar a conversa. Caixa pré-marcada não vale.
Identificação clara do nome da empresa que enviará as mensagens. Se o consentimento foi dado para uma marca, outra marca do mesmo grupo não pode aproveitar — cada uma precisa de seu próprio consentimento, exceto se isso estiver explicitado no texto original.
Origem rastreável: a empresa precisa conseguir mostrar onde o opt-in foi capturado (formulário, qual site, qual data, qual texto apresentado). A Meta pode pedir essa comprovação em caso de denúncia.
Importante: a Meta considera mensagens iniciadas pelo cliente (quando o contato manda mensagem para a empresa primeiro) como opt-in implícito para a conversa em curso, mas não para campanhas ativas posteriores. Cada finalidade requer consentimento explícito.
O que a LGPD exige para o consentimento
O Artigo 8º da LGPD define consentimento como manifestação livre, informada, inequívoca e específica. Em prática, cada palavra carrega um requisito.
Livre: o titular não pode estar coagido. Condicionar uma promoção ou desconto ao consentimento para marketing é considerado coação por boa parte dos especialistas — o titular concorda porque "precisa", não porque quer.
Informado: o titular precisa entender o que está autorizando. Quem é o controlador (a empresa que vai usar o dado), qual a finalidade, por quanto tempo o dado será mantido, quais são seus direitos. Política de privacidade detalhada complementa o texto sucinto do formulário.
Inequívoco: ação afirmativa, não dedução. Caixa pré-marcada não cumpre. Continuidade do uso de um serviço não cumpre.
Específico: para cada finalidade, um consentimento. Caixa única para "marketing, parceiros e melhorias de produto" é frágil. Caixas separadas por finalidade são robustas. Para WhatsApp especificamente, separe canal (email, SMS, WhatsApp) ou inclua o canal explicitamente no texto.
O Artigo 8º, parágrafo 5º, prevê que o titular pode revogar o consentimento a qualquer momento, mediante procedimento gratuito e facilitado. Em WhatsApp, isso significa que a empresa precisa ter mecanismo de saída disponível ao contato.
Formulário simples com caixa de seleção específica para WhatsApp já é suficiente para começar — desde que nunca pré-marcada. Texto curto e claro: "Aceito receber mensagens da [nome da empresa] no WhatsApp sobre [finalidade]". Registro em planilha (data, nome, telefone, fonte, texto vigente) ou no sistema de gestão de relacionamento básico. Para descadastro, mantenha procedimento manual claro: contato responde "SAIR" ou pede saída, e o número é movido para lista interna de bloqueio.
Captura integrada via sistema de gestão de relacionamento (CRM). Dupla confirmação para listas de marketing de alto volume — após preencher formulário, contato recebe mensagem perguntando "Confirma que quer receber atualizações?" e só entra na base se responder "Sim". Registros auditáveis no CRM. Provedor de serviço de WhatsApp Business (BSP) recebe a evidência via integração. Texto de consentimento padronizado e versionado. Processo de revogação automatizado: ao receber "SAIR", o sistema move o contato para lista de supressão central.
Plataforma de gestão de consentimento (CMP) integra todos os pontos de captura. Central de preferências granular permite ao contato controlar finalidade (suporte, transacional, marketing) e canal (email, SMS, WhatsApp). Registros têm qualidade de prova judicial. Encarregado de proteção de dados (DPO) acompanha indicadores: taxa de captura por ponto, tempo médio de execução de revogação, número de pedidos de comprovação atendidos. Auditoria anual revisa desenho e operação. Texto vigente é versionado com data; mudanças disparam comunicação proativa aos titulares quando relevante.
Formas de captura: site, ponto de venda, atendimento
O ponto de captura define o nível de evidência e a fricção para o contato. Cada forma tem regras próprias.
Formulário no site: forma mais auditável. Captura marca de tempo, IP, navegador, identificação do formulário. Caixa de seleção específica para WhatsApp, sempre desmarcada por padrão, com texto que mencione o canal explicitamente. Política de privacidade acessível com um clique.
Caixa de seleção em checkout: oferecer opção (não obrigação) de receber mensagens transacionais (status do pedido, entrega) e, em separado, mensagens de marketing. Manter as duas caixas independentes preserva especificidade.
Resposta inicial por unidade de resposta audível (URA): quando o cliente liga para a empresa, é possível oferecer consentimento gravado ("o senhor autoriza receber mensagens sobre seus pedidos pelo WhatsApp neste número?"). Gravação é a evidência. Aplicável a operações de atendimento maduras.
Resposta a SMS prévio: empresa envia SMS perguntando se o cliente quer migrar para WhatsApp. Resposta afirmativa é o opt-in. Modelo limpo, mas pressupõe que o SMS prévio também esteja em base válida.
Balcão físico: ponto de venda ou loja. Captura em tablet ou formulário em papel digitalizado. Mais frágil que digital se mal feito (assinatura à mão de campo que ninguém leu), mais robusto que digital se bem feito (texto lido em voz, assinatura específica para o canal).
O que não vale como opt-in: importar lista comprada, importar contatos de evento sem captura específica para WhatsApp, presumir que cliente fiel autorizou porque deu o telefone. Cada finalidade requer consentimento próprio.
Confirmação única vs. dupla confirmação
Captura única significa que o consentimento é registrado no momento do preenchimento. Dupla confirmação adiciona um passo: após preencher, o contato recebe mensagem (no próprio WhatsApp ou por email) com pedido de confirmação. Só entra na base depois de confirmar.
Dupla confirmação é mais rigorosa, gera evidência mais forte e filtra contatos de baixa qualidade. Em contrapartida, reduz o volume capturado (parte das pessoas distraídas, números errados e cadastros oportunistas não confirmam). Faz sentido em três cenários: listas de marketing de alto volume, listas com risco reputacional alto, operações em que entregabilidade no WhatsApp já mostrou sinais de degradação.
Para canais transacionais (atualização de pedido, código de verificação, suporte direto), captura única costuma cumprir o papel — desde que o texto seja claro e a caixa de seleção não pré-marcada.
Registros obrigatórios e prazos de retenção
Para comprovar opt-in válido em caso de questionamento, a empresa precisa de pelo menos cinco informações por registro.
Marca de tempo: data e hora exatas da captura, idealmente em fuso UTC com conversão para horário local em relatórios.
Fonte: identificação do ponto de captura — qual formulário, qual página, qual evento, qual ponto físico, qual operador (em captura assistida).
Endereço de IP: do dispositivo que preencheu, quando aplicável. Em ponto físico, identificação do equipamento ou do operador.
Texto exato apresentado: cópia do texto que o contato leu antes de consentir. Versionamento: cada mudança no texto cria nova versão; registros guardam qual versão estava vigente no momento de cada captura.
Escopo: qual finalidade e qual canal foram autorizados. Quanto mais específico, mais defensável.
Sobre prazo de retenção: a LGPD exige manter dados pelo tempo necessário ao cumprimento da finalidade. Para fins de comprovação de consentimento, recomenda-se manter o registro pelo menos pelo prazo prescricional aplicável às relações de consumo (5 anos pelo Código de Defesa do Consumidor), e enquanto o contato estiver ativo na base. Após revogação ou inatividade prolongada, manter apenas o registro mínimo de baixa.
Revogação (opt-out) no WhatsApp
A LGPD garante revogação a qualquer momento, mediante procedimento gratuito e facilitado. No WhatsApp, isso se traduz em dois mecanismos combinados.
Palavra-chave: o contato responde "SAIR", "PARAR", "CANCELAR" e o sistema (agente automatizado ou operação humana) processa a saída, removendo o número de listas de marketing e enviando confirmação. Texto da primeira mensagem deve mencionar a opção: "Responda PARAR a qualquer momento para deixar de receber".
Botão de saída: o WhatsApp Business permite incluir botões em mensagens publicitárias. Botão de "Parar de receber" ou "Não tenho interesse" facilita a saída em um único clique. A Meta penaliza contas com alta taxa de bloqueio pelo destinatário — facilitar a saída protege a conta.
A revogação deve ser efetivada em até 48 horas, idealmente em minutos. Lista de supressão central reflete a saída em todos os canais de marketing daquele contato (não apenas no WhatsApp). Para mensagens transacionais (status de pedido, código de verificação), a revogação do consentimento de marketing não interrompe — pois essas mensagens têm outra base legal (execução de contrato).
Erros comuns que põem a operação em risco
Importar lista comprada ou de evento sem opt-in específico para WhatsApp. O erro mais frequente e o mais grave. Sem opt-in válido, qualquer envio é violação da LGPD e infração das políticas da Meta. Risco: multa, ação de titular e suspensão da conta.
Caixa de seleção pré-marcada. Não atende ao requisito de "ação afirmativa". Em auditoria ou contestação, o consentimento é considerado inválido. Solução: caixa sempre desmarcada por padrão, com texto claro acima.
Consentimento amalgamado. "Aceito os termos de uso, a política de privacidade e quero receber comunicações por WhatsApp" em uma única caixa. Mistura naturezas distintas e falha em ser "específico". Separe: aceite de termos é base contratual; consentimento para WhatsApp é base separada, com caixa própria.
Texto genérico que não menciona o canal. "Aceito receber comunicações da empresa" não vale para WhatsApp — o contato pode argumentar que esperava email, não mensagem em aplicativo pessoal. Mencione o canal explicitamente.
Ausência de mecanismo de saída. Empresa envia mensagem ativa sem explicar como sair. Quando o contato bloqueia ou denuncia, a Meta penaliza. Inclua sempre instrução para descadastro na primeira mensagem.
Não registrar o texto vigente no momento da captura. Empresa mudou o texto há um ano; quando aparece pedido de comprovação, o texto atual não bate com o que o titular leu. Sem versionamento, a evidência é frágil. Mantenha histórico do texto com data de vigência.
Tratar WhatsApp como SMS. O canal tem regras próprias da Meta. Volume alto, conteúdo promocional excessivo, conta sem verificação adequada são fatores de risco que SMS não tem.
Sinais de que seu opt-in de WhatsApp precisa de revisão
Se três ou mais cenários abaixo descrevem sua realidade, vale auditoria estruturada com apoio jurídico e operacional antes que a conta sofra restrição.
- A empresa importa lista de terceiros e dispara mensagens no WhatsApp.
- Não há registro estruturado de quando e como o consentimento foi dado para cada contato.
- O texto de consentimento é genérico ou está enterrado em "termos e condições" sem destaque.
- Caixa de seleção do formulário vem pré-marcada para receber WhatsApp.
- Não há instrução clara para descadastro na primeira mensagem enviada.
- Compliance ou jurídico nunca revisou o fluxo de captura e o texto vigente.
- A conta já recebeu penalidade da Meta ou aviso de degradação de qualidade.
- Texto de consentimento não menciona explicitamente o canal "WhatsApp" — diz apenas "comunicações".
Caminhos para estruturar opt-in de WhatsApp
A decisão entre resolver internamente ou contratar apoio depende da maturidade jurídica do time, da complexidade dos pontos de captura e do nível de exposição regulatória.
Marketing e jurídico desenham texto e fluxo. Sistema de gestão de relacionamento (CRM) ou provedor de serviço de WhatsApp Business (BSP) registra evidências. Tecnologia integra captura ao site, aplicativo e ponto de venda. Treinamento de atendimento padroniza captura assistida.
- Perfil necessário: líder de marketing de relacionamento + jurídico interno ou escritório parceiro com domínio de LGPD + analista de tecnologia para integrações
- Quando faz sentido: empresa tem time jurídico ou escritório parceiro, pontos de captura são gerenciáveis, plataformas existentes permitem registro auditável
- Investimento: tempo do time (3-6 semanas para redesenho completo) + revisão jurídica de textos (R$ 4.000-12.000 por revisão estruturada) + eventual atualização de plataforma de captura
Escritório de advocacia especializado em LGPD audita o desenho atual, propõe texto vigente e revisa fluxos. Consultoria técnica integra ferramenta de gestão de consentimento. Provedor de serviço de WhatsApp Business (BSP) com governança forte fornece infraestrutura de registro.
- Perfil de fornecedor: escritório de advocacia em proteção de dados, consultoria técnica de plataformas de marketing, provedor de serviço de WhatsApp Business (BSP) com registro auditável, agência de marketing de relacionamento
- Quando faz sentido: volume relevante no canal, ausência de jurídico interno, conta já sofreu penalidade, decisão de estruturar canal estrategicamente
- Investimento típico: R$ 15.000-80.000 por projeto de auditoria e redesenho de captura + mensalidade do provedor de serviço de WhatsApp Business (R$ 1.500-15.000/mês conforme volume) + plataforma de gestão de consentimento quando aplicável
Sua empresa consegue mostrar, hoje, a evidência exata do opt-in de qualquer contato da base?
O oHub conecta sua empresa a especialistas em marketing de relacionamento, escritórios de advocacia em LGPD e fornecedores de marketing de banco de dados. Em poucos minutos, descreva seu desafio e receba propostas de quem entende o mercado brasileiro.
Encontrar fornecedores de Marketing no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é opt-in no WhatsApp?
É o ato afirmativo pelo qual o contato autoriza a empresa a enviá-lo mensagens no WhatsApp para uma finalidade específica. Precisa atender simultaneamente à LGPD (consentimento livre, informado, inequívoco e específico) e às políticas da Meta (texto claro, ação afirmativa, identificação da empresa, origem rastreável). Ter o número do contato não significa ter opt-in — cada finalidade e cada canal requerem consentimento próprio.
Como capturar opt-in corretamente?
Use caixa de seleção específica para WhatsApp, nunca pré-marcada, com texto claro que mencione o canal e a finalidade ("Aceito receber mensagens da [empresa] no WhatsApp sobre [finalidade]"). Registre marca de tempo, fonte, endereço de IP, texto vigente e escopo. Versione o texto: cada mudança gera nova versão, e o registro guarda qual versão estava em vigor no momento da captura. Em pontos físicos, use captura assistida com identificação do operador e gravação quando aplicável.
Opt-in é obrigatório pela LGPD?
Sim, na maioria dos casos. A LGPD exige base legal para tratamento de dados pessoais, e para comunicação ativa de marketing o consentimento (Artigos 7º e 8º) é a base mais comum. Há outras bases legais possíveis (execução de contrato, legítimo interesse), mas o consentimento é o caminho seguro e claro para WhatsApp de marketing. Para mensagens estritamente transacionais (status de pedido, código de verificação), outras bases podem aplicar, mas mesmo nesse caso a empresa precisa documentar a base utilizada.
O que é dupla confirmação (double opt-in)?
É o modelo em que o contato preenche o formulário e, em seguida, recebe uma mensagem pedindo confirmação ("Confirma que quer receber atualizações no WhatsApp?"). Só entra na base depois de responder afirmativamente. Gera evidência mais forte e filtra contatos de baixa qualidade. Faz sentido em listas de marketing de alto volume, listas com risco reputacional alto ou quando a entregabilidade já mostrou sinais de degradação. Para canais transacionais, a captura única costuma cumprir o papel.
Por quanto tempo o opt-in vale?
A LGPD não define prazo único. Em prática, o consentimento permanece válido enquanto a finalidade original existir e o contato não revogar. Recomenda-se revalidar consentimentos antigos quando há mudança relevante de finalidade, mudança de marca ou mudança significativa no texto. Para contatos inativos há muito tempo (12 meses ou mais sem qualquer interação), é boa prática enviar mensagem de confirmação antes de continuar enviando — protege a conta da Meta e fortalece a base.
Como registrar opt-in para auditoria?
Mantenha cinco informações por registro: marca de tempo (data e hora exatas), fonte (qual ponto de captura), endereço de IP do dispositivo (quando aplicável), texto exato apresentado (com versionamento — cada mudança gera nova versão) e escopo (finalidade e canal autorizados). Armazene em sistema acessível (CRM, plataforma de gestão de consentimento, provedor de WhatsApp Business com registro auditável). Em caso de pedido de comprovação pela ANPD ou pelo titular, a empresa tem 15 dias úteis para responder.
Fontes e referências
- Meta for Business. Políticas de opt-in, qualidade da conta e regras de mensagens no WhatsApp Business.
- Lei Geral de Proteção de Dados (Lei 13.709/2018). Texto oficial, com destaque para os Artigos 7º e 8º sobre consentimento.
- Autoridade Nacional de Proteção de Dados (ANPD). Orientações e guias sobre consentimento e direitos do titular.
- IAB Brasil. Guias de boas práticas em marketing digital, incluindo consentimento e canais de mensagem.
- Procon-SP. Orientações ao consumidor sobre canais digitais e direito à informação clara.
- Senacon — Secretaria Nacional do Consumidor. Referências sobre direito do consumidor em canais digitais.