LGPD + WhatsApp: opt-in, consentimento e auditoria (playbook)

Multa LGPD vai até 2% do faturamento (R$ 50 milhões teto). Mas o problema real pra PME não é multa — é cliente reclamando ao Procon, denúncia ANPD, dano de imagem e número WhatsApp banido. Esse playbook é prático: como coletar opt-in válido, armazenar a prova, processar pedido de exclusão e ficar pronto se a ANPD bater na porta amanhã.

⚠️ Aviso: esse conteúdo é informacional. Não substitui consulta com advogado especializado em LGPD. Se sua operação processa volumes relevantes de dados pessoais, contrate DPO ou consultoria jurídica.

O que LGPD diz, em uma frase

Você só pode tratar dado pessoal de uma pessoa (incluindo número de WhatsApp) se tiver base legal. Pra marketing por WhatsApp, a base legal típica é consentimento (art. 7, I). Sem consentimento, você não pode mandar promoção. Cliente que escreveu primeiro pra atendimento entra em outra base (legítimo interesse ou execução de contrato).

2 cenários, 2 regras diferentes

🟢 Cenário A: cliente escreve pra você primeiro

Cliente entra em contato pelo WhatsApp pra perguntar produto, agendar, comprar. Você pode:

• Responder a conversa normalmente (execução de contrato + legítimo interesse).
• Salvar dados que ele forneceu na conversa (nome, endereço, preferência).
• Mandar mensagem transacional relacionada (confirmação, status do pedido).

NÃO pode: usar esses dados pra marketing posterior sem opt-in adicional explícito.

🟡 Cenário B: você inicia conversa com cliente

Você quer mandar promoção, lembrete, novidade — qualquer broadcast ativo. Precisa de:

• Opt-in explícito (cliente marcou checkbox específico autorizando WhatsApp marketing).
• Registro de quando e como o opt-in foi dado.
• Opção fácil de descadastrar (opt-out por palavra-chave tipo "SAIR").
• Política de privacidade pública explicando que dado é usado pra quê.

O que é opt-in VÁLIDO pela LGPD

3 requisitos cumulativos (art. 8 LGPD):

1. Livre: sem coação. Não pode ser "aceite ou não use o serviço".
2. Informado: cliente sabe quem coleta, pra quê, por quanto tempo.
3. Inequívoco: ação afirmativa explícita. Checkbox pré-marcado NÃO vale.

3 formas legítimas de coletar opt-in pra WhatsApp

1. Formulário no site/checkout

[ ] Quero receber promoções e novidades pelo WhatsApp
    da [Sua Empresa] no número (XX) XXXX-XXXX.
    Posso cancelar a qualquer momento. Veja a
    [Política de Privacidade].

Salve no banco: nome, telefone, data/hora, IP, texto exato da declaração marcada.

2. Opt-in por palavra-chave no WhatsApp

Cliente que escreveu pra você primeiro pode autorizar marketing assim:

Empresa: "Quer receber promoção semanal? Responda SIM
          ou ignore essa mensagem."

Cliente: "SIM"

→ Você guarda a mensagem completa do cliente + timestamp
  como prova de opt-in.

3. Opt-in presencial documentado

Em loja física, cliente preenche ficha física que inclui campo "autorizo receber WhatsApp" com assinatura. Você digitaliza e arquiva.

Como armazenar a prova (auditoria-ready)

Pra cada contato na lista de marketing, precisa ter:

O direito de exclusão (art. 18 LGPD)

Cliente pode pedir a qualquer momento:

• Confirmação de existência de tratamento de dados.
• Acesso aos dados.
• Correção de dados incompletos/incorretos.
• Eliminação dos dados (exclusão total).
• Portabilidade pra outro fornecedor.
• Revogação do consentimento.

Prazo legal: 15 dias pra responder solicitação (ANPD definiu).

Fluxo prático pra processar pedido

1. Canal de recebimento: e-mail dedicado (privacidade@suaempresa.com) ou form na política.
2. Confirmar identidade do solicitante (evita exclusão maliciosa de número alheio).
3. Localizar todos os dados nos sistemas (banco principal, backup, CRM, ferramenta de mensagem).
4. Executar conforme pedido (exclusão, exportação, correção).
5. Confirmar pro cliente que foi feito.
6. Registrar tudo num log auditável.

Política de privacidade — checklist mínimo

Sua página de privacidade precisa explicar claramente:

• Quem é o controlador (CNPJ, endereço, e-mail DPO).
• Quais dados são coletados (nome, telefone, mensagens, IP).
• Pra quê (atender, agendar, enviar promoção, etc.).
• Com quem compartilha (Meta, plataforma BSP como MercaBot, processador de pagamento).
• Por quanto tempo guarda.
• Como exercer direitos (art. 18) — canal e prazo.
• Base legal de cada tratamento.

Os 5 erros que aparecem em fiscalização

1. Comprar base de contatos. Lista de WhatsApp comprada = zero consentimento = infração clara.
2. Opt-in genérico no termo de uso. "Aceito termos e condições" não cobre WhatsApp marketing especificamente.
3. Manter contato sem opt-in justificando "ele é meu cliente". Ser cliente não autoriza marketing — execução de contrato cobre só transacional.
4. Compartilhar base com parceiro sem clausula prevista. Trocar contatos com outra empresa sem consentimento específico = infração.
5. Sem registro de quando o opt-in foi dado. ANPD pede prova. "O cliente concordou" sem timestamp e prova = pior que não ter.

Onde a Meta e o WhatsApp ajudam (e onde não)

A própria Meta exige opt-in pra marketing template (artigo da quality rating). Isso te força a fazer certo. Mas:

• Meta verifica opt-in qualitativamente (taxa de denúncia, bloqueio), não documentalmente.
• ANPD verifica documentalmente (precisa de prova auditável).

Os dois sistemas se complementam — ficar bom com Meta geralmente significa ficar OK com LGPD. Mas falta documentação na maioria das operações PME.

Checklist de conformidade — faça hoje

• ☐ Política de privacidade pública na pasta /privacidade/
• ☐ Formulário de cadastro com checkbox específico de WhatsApp marketing
• ☐ Banco com 7 campos de consentimento por contato (ver tabela acima)
• ☐ E-mail / form pra receber pedido LGPD (art. 18)
• ☐ Processo interno pra processar pedido em até 15 dias
• ☐ Template de auditoria com exemplo de prova de opt-in
• ☐ Treinamento da equipe (não pode mandar promo sem checar status)
• ☐ DPO definido (pode ser sócio em PME, mas precisa ser nominal)