Blocks2Work
Sign inSign up

LGPD + WhatsApp — o que toda a PME precisa saber

A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) aplica-se a qualquer empresa que trate dados de pessoas no Brasil. Isso inclui o número de telefone, o nome e o conteúdo das conversas no WhatsApp. Em 2026, a ANPD (Autoridade Nacional de Proteção de Dados) já aplicou dezenas de multas a empresas que ignoraram isto.

A regra fundamental — não há WhatsApp sem opt-in

Para enviar uma mensagem proactiva (template HSM, broadcast, campanha) a alguém no WhatsApp, precisas de consentimento explícito prévio (art. 7, inciso I LGPD). Não basta ter o número.

Opt-in válido:

  • Checkbox marcado activamente (não pre-checked) num formulário
  • Cliente envia mensagem proactivamente para o teu número de empresa (consentimento implícito para responder)
  • Double opt-in por SMS ("Responde SIM para receber WhatsApp")
  • Aceitação verbal documentada (chamada gravada)

Opt-in INVÁLIDO:

  • Comprar lista de números
  • Pre-checked checkbox
  • Opt-in escondido em ToS genéricos sem destaque
  • Importar contactos da agenda pessoal para campanhas

Base legal — qual usar?

A LGPD tem 10 bases legais (art. 7). Para WhatsApp comercial:

  • Consentimento (art. 7, I) — a mais comum, requer opt-in revogável
  • Execução de contrato (art. 7, V) — se já é cliente, podes mandar notas fiscais, atualizações de pedido (utility)
  • Legítimo interesse (art. 7, IX) — uso limitado, requer LIA (Legitimate Interest Assessment)

99% das PMEs usam Consentimento. Mais simples de documentar.

O que tens que registar para cada contacto

Para defender-te numa fiscalização:

  • Quando deu opt-in (timestamp exacto)
  • Onde (URL do formulário, ou origem)
  • IP do utilizador (auditoria)
  • Versão do texto de consentimento mostrado naquele momento
  • Canais autorizados (WhatsApp? Email? SMS?)

Blocks2Work guarda automaticamente os 5 itens acima por cada contacto.

Opt-out — como respeitar

Cada mensagem proactiva deve incluir forma de cancelar. Texto sugerido:

Para parar de receber, responde SAIR.

Quando recebes "SAIR" (ou variantes: pare, cancelar, stop, unsubscribe):

  1. Marca contacto como opt-out automaticamente
  2. Bloqueia envios futuros (todos os canais ou só WhatsApp, conforme contexto)
  3. Confirma com 1 mensagem: "Pronto. Não receberás mais mensagens deste tipo."
  4. Não bloqueies inbox passivo — cliente pode iniciar conversa de suporte

Direito ao apagamento (art. 18, VI)

Se o titular pedir, tens que apagar todos os dados pessoais em prazo razoável (15 dias é o standard ANPD).

Inclui:

  • Contacto (nome, email, telefone)
  • Conversas no WhatsApp
  • Notas internas que identifiquem a pessoa
  • Backups (devem ser apagados ou anonimizados num prazo definido)

Excepções: dados que precisas guardar por obrigação legal (nota fiscal por 5 anos, contrato vigente, etc).

Retenção de dados — quanto tempo posso guardar?

Não há prazo fixo na LGPD. Mas a regra é: só o tempo necessário para a finalidade.

Benchmarks razoáveis:

  • Conversas de suporte resolvido — 12-24 meses
  • Leads não convertidos — 24 meses
  • Clientes activos — durante o contrato + 5 anos (fiscal)
  • Logs técnicos — 12 meses

Política de retenção tem que estar na Política de Privacidade pública.

Multas — quanto pode custar ignorar

A ANPD aplica multas até 2% do faturamento (limitadas a R$ 50 milhões por infração). Para PME, multas típicas: R$ 5.000 - R$ 100.000.

Mais impactante: suspensão da actividade de tratamento — podes ficar proibido de usar WhatsApp para campanhas durante meses.

Exemplos públicos:

  • Empresa multada em R$ 75.000 por enviar campanha WhatsApp a base comprada (2024)
  • E-commerce multado em R$ 14.000 por não responder pedido de apagamento em prazo (2025)

Checklist rápido — estás em conformidade?

  • [ ] Tens Política de Privacidade pública e em português
  • [ ] Opt-in é checkbox não pre-checked + texto claro
  • [ ] Registas opt-in com timestamp + IP
  • [ ] Cada mensagem proactiva diz como sair
  • [ ] Tens canal para receber pedidos de apagamento (email LGPD)
  • [ ] Tens DPO (Encarregado) designado (mesmo para PME — pode ser sócio)
  • [ ] Documentas base legal de cada uso
  • [ ] Não compras listas

Se respondeste "não" a 2+ itens, prioriza isto antes da próxima campanha.

Como Blocks2Work automatiza compliance

  • Opt-in tracking nativo (timestamp + IP por contacto)
  • Opt-out automático ao receber palavras-chave
  • Tabela audit.events regista cada acção LGPD (export, delete, consent change)
  • API LGPD /api/me/data-export para portabilidade
  • API LGPD /api/me/delete para apagamento
  • Política de Privacidade template incluída

Próximo passo

Cria a tua conta grátis. Inclui compliance LGPD nativo desde o setup. Começar →

Ver também: WhatsApp Business API, Automação conversacional.

Põe isto em prática com Blocks2Work

CRM + WhatsApp Business + Agenda + Automações numa só plataforma. 14 dias grátis, sem cartão.

Começar grátis →

Termos relacionados