Usar o WhatsApp para marketing e atendimento sem seguir a LGPD pode expor sua empresa a multas de até R$ 50 milhões. Neste artigo você aprende o que a Lei Geral de Proteção de Dados exige para empresas que usam a WhatsApp API Oficial, como coletar opt-in corretamente, quais dados precisam ser protegidos e como a API Oficial facilita a conformidade desde a base.
Empresas brasileiras que usam o WhatsApp para vendas, marketing e atendimento ao cliente precisam estar atentas a uma questão que vai além da tecnologia: a Lei Geral de Proteção de Dados (LGPD). Desde sua entrada em vigor, a LGPD estabelece regras claras sobre como os dados pessoais dos clientes podem ser coletados, armazenados e utilizados — e o WhatsApp, como canal de comunicação direta, está no centro dessas obrigações. Usar a ferramenta errada ou enviar mensagens sem o consentimento correto pode resultar em multas, bloqueio de número e danos irreparáveis à reputação da empresa.
A Lei nº 13.709/2018 (LGPD) regulamenta o tratamento de dados pessoais no Brasil e aplica-se a qualquer empresa que processe dados de pessoas físicas em território nacional. O número de telefone de um cliente é, por definição legal, um dado pessoal — e o simples ato de armazená-lo para enviar mensagens pelo WhatsApp já configura tratamento de dados sujeito às regras da LGPD.
A lei prevê dez hipóteses legais que autorizam o tratamento de dados. Para comunicações de marketing pelo WhatsApp, as mais relevantes são:
Para a maioria dos casos de marketing ativo pelo WhatsApp, o consentimento explícito é a base legal mais segura — e também a exigida pela própria política da Meta para uso da WhatsApp API Oficial.
O opt-in é o ato pelo qual o cliente manifesta sua vontade de receber mensagens da empresa. Para a WhatsApp API Oficial, o opt-in é uma exigência técnica da Meta: antes de enviar qualquer mensagem ativa (iniciada pelo negócio), a empresa precisa ter registrado que aquele número autorizou o contato.
Esse requisito está diretamente alinhado com o consentimento exigido pela LGPD. Quando sua empresa configura corretamente o opt-in para a API Oficial, ela está automaticamente construindo a base de evidência de consentimento que a lei exige — dois problemas resolvidos com uma única boa prática.
Coletar opt-in não significa apenas "ter o número do cliente". A LGPD e a Meta exigem que o consentimento seja:
Os opt-ins podem ser coletados em qualquer canal, desde que os quatro critérios acima sejam respeitados:
Exemplo de texto de opt-in válido para formulário:
☐ Autorizo a [Nome da Empresa] a entrar em contato comigo pelo WhatsApp para envio de informações, promoções e atualizações sobre produtos e serviços. Posso cancelar a qualquer momento respondendo SAIR.
Ao contrário de ferramentas não oficiais (como bots de WhatsApp Web ou soluções paralelas), a WhatsApp API Oficial incorpora requisitos técnicos que reforçam naturalmente a conformidade com a LGPD.
| Aspecto | API não oficial | API Oficial |
|---|---|---|
| Exige opt-in documentado | Não | Sim (requisito da Meta) |
| Templates de mensagem aprovados | Não | Sim (revisão prévia da Meta) |
| Registro de consentimento | Não | Facilita via plataforma |
| Opt-out gerenciado automaticamente | Depende da ferramenta | Sim |
| Exclusão de dados sob demanda | Limitada | Disponível |
| Risco de bloqueio do número | Alto | Muito baixo |
A API Oficial também permite que você exclua dados de um contato sob demanda — fundamental para atender solicitações de titulares previstas na LGPD, como o direito ao esquecimento (art. 18, IV) e o direito à eliminação (art. 18, VI).
A plataforma Hablas, parceira oficial da Meta no Brasil, inclui recursos específicos para gestão de consentimento e conformidade com a LGPD:
A Autoridade Nacional de Proteção de Dados (ANPD) tem competência para fiscalizar e aplicar sanções a empresas que descumprirem a LGPD. As penalidades incluem:
Além das sanções da ANPD, violações da política de uso da Meta — como envio de mensagens sem opt-in — podem resultar no banimento imediato do número de WhatsApp da empresa, paralisando toda a operação de atendimento e marketing de forma instantânea.
Crie um Registro de Atividades de Tratamento (ROPA) que inclua o WhatsApp como canal. O documento deve especificar: quais dados são coletados, com qual finalidade, em qual base legal, por quanto tempo são retidos, onde ficam armazenados e quem tem acesso.
Nunca importe uma lista de contatos para a API Oficial sem evidência de opt-in. O tempo investido em construir uma base com consentimento documentado é muito menor do que o tempo e o custo de recuperar um número banido, responder a uma notificação da ANPD ou gerenciar uma crise de reputação.
Inclua em toda mensagem de marketing uma instrução clara de cancelamento: "Responda SAIR para não receber mais mensagens". A plataforma deve processar esse pedido de forma automática e imediata — não basta apenas "receber" o pedido.
Estabeleça por quanto tempo os históricos de conversa e dados de contatos serão mantidos. O recomendado é entre 12 e 24 meses para fins operacionais e de atendimento. Dados fora desse período devem ser anonimizados ou excluídos definitivamente.
Empresas de médio e grande porte que processam dados pessoais em larga escala são incentivadas — e em muitos casos obrigadas — pela LGPD a nomear um Encarregado pelo Tratamento de Dados (DPO). Esse profissional é o ponto de contato oficial com a ANPD e com os titulares dos dados, e deve ser informado sobre o uso do WhatsApp como canal de marketing e atendimento.
Se você usa uma plataforma omnichannel para acessar a API Oficial, esse fornecedor processa dados pessoais dos seus clientes em seu nome — ou seja, é um operador nos termos da LGPD. Certifique-se de que o contrato com a plataforma inclua cláusulas de proteção de dados e que a empresa esteja em conformidade com a lei.
Com a adoção crescente de agentes de IA no WhatsApp — sistemas autônomos que conduzem conversas, qualificam leads e até processam cobranças — surgem novas obrigações de transparência. A LGPD exige que o titular dos dados seja informado quando uma decisão é tomada de forma automatizada com base nos seus dados pessoais (art. 20).
Na prática, isso significa que:
Plataformas como a Hablas já implementam transparência sobre a natureza do agente de IA nas interações, simplificando o cumprimento dessas obrigações sem comprometer a experiência do usuário.
Sim. O WhatsApp pode ser usado para marketing e atendimento ao cliente em conformidade com a LGPD, desde que a empresa obtenha consentimento explícito do usuário antes de enviar mensagens ativas (opt-in), armazene os dados com segurança e ofereça a opção de cancelamento a qualquer momento (opt-out).
Sim. Para mensagens iniciadas pela empresa — como promoções, notificações e lembretes — a WhatsApp API Oficial exige opt-in explícito. Isso significa que o cliente precisa ter autorizado o recebimento dessas mensagens em um formulário, landing page ou outro canal. Esse requisito técnico da Meta está diretamente alinhado com o consentimento exigido pela LGPD.
Ao usar a WhatsApp API, você processa pelo menos o número de telefone do cliente. Dependendo da plataforma omnichannel utilizada, também podem ser armazenados nome, histórico de conversas, dados de navegação e preferências declaradas. Todos esses elementos são considerados dados pessoais pela LGPD e precisam de base legal para tratamento.
Além do risco de sanções da ANPD — multa de até 2% do faturamento, limitada a R$ 50 milhões por infração — a ausência de opt-in aumenta drasticamente a taxa de bloqueio pelos usuários, o que pode levar ao banimento do número pela Meta. O opt-in protege ao mesmo tempo a conformidade jurídica e a reputação do número.
A WhatsApp API Oficial exige opt-in como condição de uso, forçando naturalmente a empresa a construir uma base com consentimento registrado. Diferente de ferramentas não oficiais, a API Oficial registra cada interação, facilita a gestão de opt-out e permite que a empresa exclua dados de contatos sob demanda — atendendo ao direito ao esquecimento previsto na LGPD.
* Use o WhatsApp com segurança jurídica e sem risco de bloqueio com a API Oficial.