WhatsApp em comunicação corporativa é dado pessoal — número de telefone, conteúdo de conversa, hora de leitura, tudo. A LGPD não cita o WhatsApp por nome, mas todas as 6 bases legais, os 9 direitos do titular e os princípios de finalidade/necessidade/transparência se aplicam integralmente. E a ANPD começou a multar em 2024.
Este é o guia prático para quem precisa estruturar (ou auditar) o uso de WhatsApp da empresa em conformidade com a LGPD em 2026.
1. Qual base legal usar?
A LGPD oferece 10 bases legais (art. 7º), mas só 3 fazem sentido para WhatsApp empresarial:
| Base legal | Quando usar | Cuidados |
|---|---|---|
| Consentimento (art. 7º, I) | Marketing, promoção, abandono de carrinho | Precisa ser livre, informado, específico, revogável. |
| Execução de contrato (art. 7º, V) | Confirmação de pedido, status de entrega, suporte pós-venda | Apenas para o que está no contrato — não estende para marketing. |
| Legítimo interesse (art. 7º, IX) | Cobrança de fatura em atraso, recuperação de débito | Exige LIA (avaliação documentada) e canal de oposição. |
Erro mais comum: usar "consentimento" de forma genérica em rodapé de termos de uso. Não vale — precisa ser opt-in específico para WhatsApp, com descrição clara da finalidade.
2. Como capturar o opt-in corretamente
O checkbox certo
<label>
<input type="checkbox" name="optInWhatsApp" required>
Concordo em receber, pelo WhatsApp do número informado:
<br>✅ Confirmações e atualizações do meu pedido
<br>✅ Promoções e novidades da [EMPRESA]
<br>Posso cancelar a qualquer momento respondendo "SAIR".
</label>O que persistir no banco
// tabela: consentimentos_whatsapp
{
cliente_id: 123,
telefone: '+5511999999999',
finalidades: ['transacional', 'marketing'],
data_consentimento: '2026-04-30T14:23:11Z',
ip_origem: '189.45.12.7',
user_agent: 'Mozilla/5.0 ...',
texto_aceito: 'Concordo em receber...', // hash + versão
versao_termos: '2.1.0'
}Se a ANPD pedir prova, esse registro é o que te salva.
Antipadrões que invalidam o consentimento
- ❌ Checkbox pré-marcado.
- ❌ Consentimento amarrado a outra coisa ("se aceitar isso, recebe desconto").
- ❌ Texto vago ("aceito receber comunicações").
- ❌ Opt-in implícito em política de privacidade ("ao usar, você concorda").
3. Opt-out automático: implementação obrigatória
O titular pode revogar consentimento a qualquer momento (art. 8º, §5º). Implementar via palavras-chave no webhook:
// webhook handler
const OPT_OUT_KEYWORDS = [
'sair', 'parar', 'descadastrar', 'cancelar',
'remover', 'stop', 'unsubscribe', 'descadastra'
];
async function processarMensagemRecebida(event) {
const texto = event.body.trim().toLowerCase();
const ehOptOut = OPT_OUT_KEYWORDS.some(k => texto.includes(k));
if (ehOptOut) {
await db.consentimentos.update(
{
ativo: false,
opt_out_em: new Date(),
opt_out_canal: 'whatsapp_inbound'
},
{ where: { telefone: event.from } }
);
await zapApi.send({
phone: event.from,
type: 'text',
body: 'Você foi descadastrado(a) com sucesso. ' +
'Não enviaremos mais mensagens. ' +
'Se mudar de ideia, é só falar com a gente em [SUPORTE].'
});
return;
}
// ...continua processamento normal
}Prazo legal: opt-out tem que ser efetivo "imediatamente" (art. 16). Não vale "vamos remover em 30 dias". Bloqueie no mesmo segundo.
4. Retenção: quanto tempo guardar conversa
A LGPD não fixa um prazo único — depende da finalidade. Recomendações práticas:
| Tipo de mensagem | Prazo recomendado | Justificativa |
|---|---|---|
| Marketing genérico | 12 meses | Tempo suficiente para análise + ROI; depois, anonimizar. |
| Atendimento (ticket) | 5 anos | CDC art. 27 — prazo de reclamação. |
| Compra/venda | 5 anos | Mesma base CDC. |
| Cobrança | 5 anos | CC art. 206 — prescrição. |
| Saúde / medicina | 20 anos | Resolução CFM 1.821/2007. |
Após o prazo, anonimize (não basta apagar — precisa garantir que não dá pra reidentificar). A ZAP API descarta logs após 30 dias por padrão; histórico longo precisa ser persistido no seu banco com job de expurgo.
5. Direitos do titular: o que ter pronto
Cliente pode pedir, e você tem que responder em até 15 dias (art. 19):
- Confirmação: "Vocês têm dado meu?" → endpoint admin que retorna sim/não.
- Acesso: "Mande tudo que vocês têm sobre mim." → exportar todas mensagens trocadas + metadados.
- Correção: "Meu telefone mudou." → atualizar no cadastro.
- Anonimização ou eliminação: "Apaga tudo." → soft-delete + anonimização do conteúdo.
- Portabilidade: "Manda em formato máquina." → JSON ou CSV.
- Revogação do consentimento: opt-out (já visto acima).
- Informação sobre compartilhamento: "Para quem vocês passaram meu dado?" → lista de operadores (ZAP API, gateway de pagamento, CRM, etc).
Endpoint de exportação (LGPD-ready)
// Apenas para autenticados como admin/DPO
GET /admin/lgpd/titular/:telefone/export
Authorization: Bearer tk_admin
// Resposta
{
"titular": {
"telefone": "+5511999999999",
"nome": "Maria Silva",
"email": "..."
},
"consentimentos": [
{
"finalidade": "marketing",
"concedido_em": "2024-03-12T...",
"ativo": true
}
],
"mensagens": [
{ "direcao": "out", "data": "...", "conteudo": "..." }
],
"compartilhamentos": [
{ "operador": "ZAP API", "finalidade": "envio whatsapp" }
]
}6. Quem é o controlador, quem é o operador
Conceito jurídico que confunde muito:
- Controlador: sua empresa. Decide a finalidade do tratamento (mandar lembrete, fazer marketing). Responde judicialmente em primeiro lugar.
- Operador: terceiros que tratam dados em seu nome. A ZAP API é operadora, igual ao seu hosting, SaaS de email, gateway de pagamento.
Como controlador, você precisa:
- Ter contrato (DPA — Data Processing Agreement) com cada operador.
- Listar operadores em política de privacidade.
- Garantir que operadores também sigam LGPD.
7. Auditoria: o que mostrar para a ANPD
Se receber notificação da ANPD ou audiência judicial, prepare em até 72h:
- Política de privacidade vigente + histórico de versões.
- Registro de tratamento (RIPD — Relatório de Impacto à Proteção de Dados).
- Consentimentos ativos (com timestamp e IP).
- Logs de opt-out (com prova de que efetivou imediatamente).
- Logs de acesso a dados (quem viu o quê, quando).
- Lista de operadores com DPA assinado.
- Procedimento documentado de resposta a incidentes (data breach).
A ZAP API gera log de acesso administrativo automaticamente em zap_activity_log — exporte via GET /v1/super-admin/activity-log.
FAQ
- Posso usar opt-in genérico de "comunicações por canais digitais"?
Não — precisa especificar WhatsApp. ANPD entende como manifesta de vontade específica. - Cliente que comprou tem opt-in automático para marketing?
Não. Compra dá base "execução de contrato" para mensagens transacionais (status do pedido). Marketing precisa de opt-in explícito separado. - Cobrança via WhatsApp precisa de consentimento?
Não — base "legítimo interesse" cobre, desde que você documente a LIA (Avaliação de Legítimo Interesse) e ofereça canal de oposição. - Empresa B2B (PJ) precisa seguir LGPD no WhatsApp?
Sim. LGPD se aplica a dados de pessoa natural. Como o WhatsApp é vinculado a CPF (mesmo o do dono da empresa), o tratamento é regulado. - Lista comprada (mailing/database) pode receber WhatsApp?
Não — sem consentimento original, é violação clara. Multa potencial até R$ 50 milhões por infração.
Criar conta com auditoria LGPD-ready — trial 7 dias.