WhatsApp Business instalado, número comercial configurado, listas de transmissão montadas. A empresa usa o WhatsApp pra atender, vender, cobrar, mandar proposta e fechar contrato. Pra tudo. O problema: cada uma dessas operações envolve dado pessoal, e a maioria das empresas não tem base legal documentada pra nenhuma delas.
A multa por infração à LGPD chega a 2% do faturamento bruto do último exercício, limitada a R$ 50 milhões por infração. Não por empresa, não por incidente. Por infração. Uma lista de transmissão disparada pra mil contatos sem consentimento pode ser enquadrada como mil infrações separadas. A ANPD decide o critério.
Adicionar o número do cliente sem permissão é tratamento de dado pessoal
Quando você salva o número de alguém no celular da empresa e manda uma mensagem, você está coletando e tratando um dado pessoal. Precisa de base legal pra isso. As bases legais estão no art. 7º da Lei 13.709/2018. No contexto comercial, as mais usadas são consentimento, execução de contrato e legítimo interesse.
Se o cliente te passou o número pra fechar um negócio, a base é execução de contrato. Direto. Mas se você pegou o número numa lista comprada, num evento ou numa base importada de sistema anterior, a situação é outra. Comprar lista de contatos e disparar mensagem no WhatsApp não tem base legal que sustente sob a LGPD. Consentimento precisa ser livre, informado, específico e documentado antes do primeiro contato.
Nossa leitura: inclua no formulário de cadastro ou na ficha de cliente uma caixa de opt-in específica pra comunicações pelo WhatsApp. "Aceito receber comunicações" sem especificar o canal e o tipo de conteúdo pode ser contestado pelo titular e desconsiderado pela ANPD.
Lista de transmissão não é consentimento. É exatamente o oposto.
Lista de transmissão do WhatsApp Business entrega a mensagem só pra quem tem seu número salvo na agenda. Muita empresa lê isso e acha que está protegida. Não está. Ter o número salvo na agenda não significa ter dado consentimento pra receber mensagem de marketing. São coisas completamente diferentes.
A LGPD exige que o titular saiba, no momento em que fornece o dado, pra qual finalidade ele vai ser usado. Se o cliente te passou o número pra receber o orçamento e você o colocou na lista de transmissão de promoções semanais, você desviou da finalidade original. Isso viola o princípio da finalidade (art. 6º, I). O que funciona: registrar a finalidade no momento da coleta e excluir da lista de transmissão quem não autorizou comunicação comercial explicitamente.
Ferramenta de disparo em massa: o contrato com operadora que você nunca assinou
Ferramentas que conectam ao WhatsApp Business API e disparam mensagens em escala pra centenas ou milhares de contatos são hoje uma indústria. Muitas empresas usam sem saber que estão transferindo acesso à sua base de clientes pra um terceiro sem o contrato de operação de dados que a LGPD exige.
O art. 39 da LGPD determina que o operador deve tratar os dados conforme as instruções do controlador. Isso exige contrato específico com cláusulas de proteção de dados. Se a ferramenta acessa sua base de contatos, ela é operadora e precisa de contrato formal com você. Os termos de serviço padrão dessas plataformas raramente atendem esse requisito, especialmente as de origem estrangeira. Se o fornecedor for offshore sem conformidade com regulação equivalente, você assume o risco sozinho perante a ANPD.
Histórico de conversa é dado pessoal. Por quanto tempo você guarda?
Toda conversa de atendimento pelo WhatsApp contém dado pessoal do cliente: nome, número, demanda, às vezes CPF, endereço, situação financeira. A empresa é controladora desses dados e precisa definir por quanto tempo vai retê-los, com qual finalidade e quem tem acesso.
Guardar conversa de atendimento por tempo indeterminado porque "pode precisar um dia" não é justificativa legal suficiente. O princípio da necessidade (art. 6º, III) exige que você guarde só o que precisa, pelo tempo que precisa. Se o prazo prescricional da relação comercial é de 5 anos, a retenção se justifica. Para atendimento simples sem obrigação legal específica, 1 a 2 anos costuma ser defensável. Documente o critério, qualquer que seja. O WhatsApp Business não oferece retenção programada: o backup fica no celular ou na nuvem do aparelho, criando vulnerabilidade real a cada troca de funcionário ou dispositivo perdido.
Contrato pelo WhatsApp vale, mas cria obrigações que poucos antecipam
Mensagem de WhatsApp pode constituir contrato. O Código Civil reconhece contratos celebrados por qualquer meio que comprove a manifestação de vontade, e tribunais brasileiros têm aceito capturas de tela como prova em disputas. O "tá feito" no WhatsApp tem peso jurídico.
Quando você retém esse histórico contratual, a base legal é execução de contrato ou cumprimento de obrigação legal (art. 7º, V e VI). Isso é válido. O ponto de atenção: o titular pode pedir acesso a esses dados a qualquer momento (art. 18), e você tem 15 dias pra responder (art. 19). Defina já quem na empresa é responsável por localizar e entregar esses registros. Esse responsável precisa constar no mapeamento do encarregado (DPO). Se a empresa não tiver encarregado indicado, isso é outra infração autônoma, prevista no art. 41.
O cliente pediu pra ser deletado. Você tem processo pra isso?
O art. 18 da LGPD garante ao titular o direito de pedir eliminação dos dados tratados com base em consentimento. A empresa tem 15 dias pra responder (art. 19). Deletar o contato do WhatsApp não elimina o histórico de conversa, não elimina o número do CRM, não elimina o cadastro no sistema. O pedido de eliminação precisa percorrer todos os sistemas onde o dado está registrado.
Se você não sabe em quantos lugares o número desse cliente aparece, você não consegue cumprir o prazo de 15 dias com segurança. Essa é a falha mais comum que a gente vê: a empresa aceita o pedido de boa-fé, deleta o contato do WhatsApp e acha que está feito. O dado continua no backup do celular, no CRM, na planilha do vendedor e no histórico da ferramenta de disparo. Resposta incompleta não exime de responsabilidade.
- Mapeie onde ficam as conversas: celular, backup em nuvem, ferramenta de atendimento integrada. Quem tem acesso e por quanto tempo.
- Documente a base legal de cada contato: de onde veio o número, pra qual finalidade foi coletado, se houve opt-in registrado.
- Revise as listas de transmissão agora: quem não autorizou comunicação comercial explicitamente sai da lista.
- Exija contrato com operadoras de disparo: cláusula de proteção de dados, responsabilidades definidas, prazo de exclusão após encerramento.
- Defina prazo de retenção do histórico: atendimento simples, 1 a 2 anos. Relação contratual, até 5 anos. Documente o critério.
- Indique um responsável por pedidos de titular: alguém que responde em até 15 dias por qualquer canal, inclusive pelo próprio WhatsApp.
Nos próximos 15 dias, comece pelo mapeamento. Abra o WhatsApp Business, olhe cada lista de transmissão e anote de onde veio cada grupo de contatos e se houve opt-in documentado. Não precisa estar perfeito na primeira semana. Precisa existir. Empresa que tem processo documentado, mesmo que incompleto, é tratada de forma diferente pela ANPD do que empresa que nunca pensou no assunto.
Fale com um advogado da RSA.
Diagnóstico objetivo em até 24h úteis.
