O que é a LGPD em linguagem simples
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece as regras sobre como empresas podem coletar, armazenar, usar e compartilhar dados pessoais de pessoas físicas no Brasil. Entrou em vigor em setembro de 2020, com as sanções administrativas sendo aplicadas desde agosto de 2021.
Dado pessoal, para a LGPD, é qualquer informação que identifique ou possa identificar uma pessoa: nome, CPF, e-mail, telefone (incluindo o número de WhatsApp), endereço IP e até padrões de comportamento de navegação. Se você tem o número de WhatsApp de um cliente ou lead, você está tratando dados pessoais e precisa seguir as regras.
A fiscalização é feita pela ANPD (Autoridade Nacional de Proteção de Dados), que já aplicou advertências e multas a empresas de diferentes portes. A ideia de que "LGPD é só para grandes empresas" é um mito perigoso — a lei se aplica a qualquer empresa que trate dados de pessoas físicas.
Por que o WhatsApp é uma área de atenção especial
O WhatsApp é o canal de comunicação mais usado no Brasil, com mais de 147 milhões de usuários ativos. Para as PMEs, é também o principal canal de vendas. E justamente por isso, é onde os riscos de violação da LGPD são mais frequentes.
Os problemas mais comuns que vemos no mercado: disparos em massa para listas compradas ou obtidas sem consentimento, adição de contatos em grupos sem permissão, uso de ferramentas não oficiais que coletam dados sem base legal, e falta de política de privacidade clara para quem entra em contato.
Atenção: comprar listas de contatos para disparar no WhatsApp é uma violação direta da LGPD. Não há base legal que justifique o envio de mensagens para pessoas que não forneceram o número para você diretamente.
Quando é permitido enviar mensagens pelo WhatsApp
A LGPD não proíbe o marketing por WhatsApp. O que ela exige é que exista uma base legal para o tratamento dos dados. Para envio de mensagens comerciais, as bases legais mais aplicáveis são:
- Consentimento: a pessoa forneceu o número e autorizou explicitamente o recebimento de mensagens da sua empresa. Ex: preencheu um formulário com checkbox "aceito receber comunicações via WhatsApp".
- Execução de contrato: a pessoa é cliente e as mensagens são necessárias para execução do serviço contratado. Ex: confirmação de pedido, lembrete de vencimento, suporte pós-venda.
- Legítimo interesse: há uma relação prévia e a comunicação é relevante para o contexto dessa relação. Requer análise de risco — não é carta branca para qualquer mensagem.
Na prática, para leads que entraram em contato com sua empresa pelo WhatsApp voluntariamente, você tem base para responder e fazer follow-up comercial. Para leads que você quer abordar proativamente, precisa de consentimento prévio.
Como obter consentimento de forma correta
Consentimento, para a LGPD, precisa ser: livre (sem coerção), informado (a pessoa sabe o que está autorizando), inequívoco (ação positiva — não vale "se não responder, assumimos que concordou") e específico (para cada finalidade separada).
Na prática, o que funciona:
- Formulário de lead com checkbox desmarcado por padrão: "Aceito receber mensagens comerciais via WhatsApp da [Empresa]". O lead marca ativamente.
- Ao iniciar conversa pelo WhatsApp: primeira mensagem confirma o contexto. "Olá! Você entrou em contato sobre [produto]. Para continuar te atendendo por aqui, confirmo que vou enviar informações sobre nossos serviços. Pode prosseguir?"
- QR Code ou link de WhatsApp em materiais físicos: quem clica está demonstrando interesse. Registre esse contexto.
Guarde evidências do consentimento. Se for questionado, você precisa provar que a pessoa autorizou. Registre no CRM: data, canal e como o consentimento foi obtido.
O que não é permitido fazer
- Disparar para listas compradas: nenhuma base legal ampara isso. Risco de multa + bloqueio do número.
- Adicionar pessoas em grupos sem permissão: viola o WhatsApp Terms e a LGPD simultaneamente.
- Usar ferramentas não oficiais (WhatsApp Bulk Sender, etc.): além do risco legal, colocam o número em risco de banimento permanente.
- Compartilhar dados de clientes com terceiros sem base legal: incluindo listas para parceiros, leads para revendedores, etc.
- Manter dados desnecessariamente: a LGPD exige que os dados sejam apagados quando a finalidade for atingida ou o lead pedir.
Risco real: ferramentas não oficiais de disparo em massa violam os Termos do WhatsApp e expõem a empresa à LGPD. O número pode ser banido permanentemente — e a multa da ANPD pode chegar depois.
Como a API oficial do WhatsApp protege sua empresa
A WhatsApp Business API (usada por plataformas como o Nice Chat) é a única forma oficialmente aprovada pela Meta para comunicações em escala. Ela tem mecanismos nativos de conformidade:
- Templates de mensagem precisam ser aprovados pela Meta antes de serem usados em disparos ativos.
- O destinatário pode optar por sair a qualquer momento, e o sistema registra isso automaticamente.
- Há limites de volume e qualidade que evitam práticas abusivas.
- Toda comunicação tem rastreabilidade — o que protege a empresa em caso de auditoria.
Empresas que usam a API oficial têm muito mais segurança jurídica do que as que usam ferramentas paralelas. A rastreabilidade é uma proteção, não apenas uma burocracia.
Checklist de conformidade para PMEs
Verifique antes de qualquer campanha pelo WhatsApp
- Todos os contatos da lista forneceram o número diretamente para a empresa
- Há registro de quando e como o consentimento foi obtido
- A política de privacidade está acessível e menciona comunicações via WhatsApp
- Toda mensagem tem opção de opt-out ("Responda SAIR para não receber mais")
- Os pedidos de opt-out são processados em até 48 horas
- A empresa usa API oficial — não ferramentas de disparo paralelas
- Dados de leads não convertidos são apagados após 2 anos sem interação
- A empresa não compartilha listas com terceiros sem consentimento específico
O que fazer se um lead pedir para ser removido
A LGPD garante ao titular o direito de revogar consentimento a qualquer momento. Na prática: se um lead mandar "não quero mais receber mensagens" ou "me retire da sua lista", você tem obrigação de:
- Parar imediatamente os envios para aquele número
- Registrar o pedido com data e hora
- Confirmar para o lead que o pedido foi atendido
- Manter o registro do opt-out mesmo após apagar os dados de contato (para provar conformidade)
No Nice Chat, leads com opt-out são marcados automaticamente e removidos de todas as campanhas futuras. O histórico de opt-out fica registrado sem os dados pessoais — exatamente o que a ANPD espera ver em uma auditoria.
Venda mais pelo WhatsApp sem correr riscos legais
O Nice Chat usa API oficial da Meta e foi desenvolvido com conformidade LGPD desde o início. Faça o diagnóstico gratuito.
→ Quero meu diagnóstico grátis