LGPD no WhatsApp: opt-in, consentimento e boas práticas para empresas
Publicado em 27 de fevereiro de 2026 · Time ClickDesk
Aplicar a LGPD no WhatsApp da sua empresa significa três coisas na prática: coletar consentimento (opt-in) de forma clara e documentada antes de enviar mensagens ativas, ter uma base legal válida para cada tipo de tratamento do número de telefone e oferecer um caminho simples de descadastro (opt-out) que seja respeitado de imediato. Quem faz isso não só cumpre a lei — reduz denúncias, protege a saúde do número e mantém a confiança do cliente. Neste artigo você vai encontrar as bases legais que se aplicam ao canal, como registrar o opt-in de forma auditável, por quanto tempo guardar conversas e um modelo de texto de consentimento pronto para copiar.
A boa notícia: LGPD e as próprias políticas da Meta apontam para o mesmo lugar. Enviar só para quem consentiu, com finalidade clara e opt-out fácil, é ao mesmo tempo o requisito legal e a receita para não ser banido. Conformidade não é o oposto de resultado — é o que sustenta o resultado no longo prazo.
O que a LGPD trata quando você usa WhatsApp
O número de telefone é dado pessoal. A conversa — com nome, pedidos, reclamações, histórico de compra e às vezes CPF ou endereço — é um conjunto de dados pessoais tratados pela sua empresa. Isso coloca toda a operação de WhatsApp dentro do escopo da Lei 13.709/2018 (LGPD).
Na prática, você precisa responder quatro perguntas para cada uso do canal:
- Qual a base legal? Por que você pode tratar aquele dado (consentimento, execução de contrato, legítimo interesse etc.).
- Qual a finalidade? Para que o dado é usado — e ela precisa ser específica e informada.
- Por quanto tempo guarda? Retenção proporcional à finalidade, com descarte depois.
- Como a pessoa exerce os direitos dela? Acesso, correção, revogação do consentimento e eliminação.
Base legal: quando você precisa de consentimento (e quando não)
Nem toda mensagem exige opt-in explícito. A base legal muda conforme o tipo de mensagem. Entender isso evita tanto o excesso de burocracia quanto o risco de disparar sem respaldo.
| Tipo de mensagem | Base legal comum | Precisa de opt-in? |
|---|---|---|
| Responder o cliente que iniciou a conversa | Consentimento implícito / execução de contrato | Não — ele procurou você |
| Confirmação de pedido, nota fiscal, código de rastreio | Execução de contrato | Não, mas informe o uso do canal |
| Aviso de segurança, agendamento, 2FA | Execução de contrato / obrigação legal | Não |
| Cobrança de dívida existente | Execução de contrato / legítimo interesse | Não, mas com cautela e limites |
| Marketing, promoções, novidades, reengajamento | Consentimento | Sim, opt-in explícito |
A linha que mais gera dúvida é a de marketing. Para mensagens ativas de marketing, o caminho seguro é o consentimento livre, informado e inequívoco. "Legítimo interesse" para promoção em massa é terreno arriscado: exige teste de balanceamento documentado e, ainda assim, a pessoa pode se opor. Para disparos comerciais, trate opt-in como obrigatório — é também o que a Meta cobra para aprovar templates de marketing.
Como coletar e registrar o opt-in de forma auditável
Consentimento que você não consegue provar é como se não existisse. Se a ANPD ou o próprio titular questionar, o ônus de demonstrar o opt-in é da empresa. Por isso, o registro importa tanto quanto a coleta.
Um opt-in válido precisa ser:
- Livre — sem obrigar o cliente a aceitar receber marketing para concluir uma compra.
- Informado — deixando claro quem envia, o que será enviado e com que frequência aproximada.
- Específico — separado de outros consentimentos (não misture "aceito os termos" com "quero receber promoções").
- Inequívoco — uma ação afirmativa: marcar um checkbox desmarcado por padrão, responder "SIM", clicar em um botão.
Onde capturar o consentimento
- Formulário no site ou checkout com checkbox opcional e desmarcado.
- Mensagem de boas-vindas no próprio WhatsApp, com botões de "Quero receber" / "Não, obrigado".
- QR Code ou link wa.me em loja física, com aviso do que a pessoa vai receber.
- Double opt-in: a primeira mensagem confirma o interesse antes de qualquer campanha.
O que registrar em cada opt-in
Guarde um log com: número de telefone, data e hora, canal de origem, o texto exato do consentimento que a pessoa viu e a finalidade aceita. Esse registro é o que transforma "a gente coletou" em prova. Numa plataforma como a ClickDesk, esse consentimento fica associado ao contato no CRM de atendimento, com histórico e status de opt-in/opt-out visível para toda a equipe — nada de planilha paralela que ninguém atualiza.
Modelo de texto de consentimento (copiável)
Adapte o nome da empresa e a frequência à sua realidade. Mantenha curto e honesto.
Para checkbox em formulário/checkout:
☐ Autorizo a Sua Empresa a me enviar mensagens no WhatsApp com ofertas, novidades e conteúdos. Sei que posso cancelar a qualquer momento respondendo SAIR. Consulte a Política de Privacidade.
Para boas-vindas no WhatsApp (double opt-in):
Oi! Aqui é a Sua Empresa. Para te enviar promoções e novidades por aqui, precisamos da sua confirmação. Você quer receber? Botão: Sim, quero receber Botão: Não, obrigado Você pode cancelar quando quiser enviando SAIR. Seus dados são tratados conforme nossa Política de Privacidade.
Confirmação após o aceite:
Prontinho! Você vai receber nossas novidades por aqui. Para parar a qualquer momento, é só responder SAIR. 👍
Descadastro (opt-out) fácil e respeitado
A LGPD garante ao titular o direito de revogar o consentimento a qualquer momento — e de forma tão simples quanto foi dá-lo. Na operação de WhatsApp, isso significa:
- Aceitar palavras-chave como SAIR, PARAR, CANCELAR e remover o contato da lista automaticamente.
- Processar o opt-out na hora, não "no próximo ciclo de campanha".
- Confirmar o descadastro com uma mensagem curta e parar de vez.
- Não pedir justificativa nem criar atrito ("tem certeza? você vai perder ofertas...").
Ignorar um pedido de parada é a forma mais rápida de acumular denúncias — o que a Meta pune com queda de qualidade do número — e de gerar reclamação na ANPD. Automatizar o opt-out por palavra-chave protege os dois lados. Ferramentas de disparo baseadas em lista de transmissão comum não têm esse controle; a API oficial, sim.
Retenção de conversas: por quanto tempo guardar
A LGPD manda guardar dados apenas pelo tempo necessário para cumprir a finalidade. Não existe um número mágico na lei, mas dá para definir uma política razoável e defensável:
- Conversas de suporte e vendas: mantenha enquanto houver relação com o cliente e por um prazo adicional para defesa em eventual disputa (é comum alinhar com o prazo prescricional aplicável ao seu negócio).
- Registros de opt-in/opt-out: guarde enquanto durar o consentimento e por um período após a revogação, justamente para provar que o pedido foi respeitado.
- Dados sensíveis capturados por engano (saúde, biometria): minimize a coleta e elimine o quanto antes.
Documente essa política, aplique descarte ou anonimização quando o prazo vencer e restrinja o acesso às conversas a quem realmente precisa. Controle de acesso por perfil, trilha de auditoria e criptografia são parte do pacote — veja como a ClickDesk trata isso na página de segurança.
Boas práticas que resumem a conformidade
- Peça opt-in explícito para qualquer mensagem de marketing e registre cada consentimento.
- Use a base legal correta para transacionais (não precisa de opt-in, mas informe o canal).
- Respeite opt-out por palavra-chave, na hora, sem atrito.
- Minimize dados: não peça CPF ou endereço se a finalidade não exigir.
- Tenha uma Política de Privacidade acessível e linkada no ponto de coleta.
- Centralize o status de consentimento por contato, visível para o time.
- Defina e cumpra prazos de retenção; descarte o que venceu.
Faça disparos com LGPD desde o primeiro envio
Conformidade com a LGPD no WhatsApp deixa de ser um projeto à parte quando a plataforma já nasce pensada para isso. A ClickDesk opera com a API oficial do WhatsApp (Cloud API), registra opt-in e opt-out por contato, respeita descadastro automático por palavra-chave e mantém o histórico de consentimento junto do CRM — tudo com controle de acesso e trilha de auditoria.
Para campanhas ativas dentro da lei, conheça o ClickDesk Marketing, feito para disparos com LGPD, e revise seus controles na página de segurança. Quer testar na prática? O trial de 14 dias é sem cartão e você configura seu primeiro fluxo de opt-in no mesmo dia.
Leia também
Checklist de atendimento no WhatsApp: 21 itens essenciais
Checklist auditável de atendimento no WhatsApp em 4 blocos: configuração, operação, conformidade LGPD e melhoria contínua. Formato copiável para imprimir e rodar.
Quais canais de atendimento oferecer? Como escolher os seus
Um framework para escolher canais de atendimento sem se sobrecarregar: onde o cliente já está, custo por canal, capacidade do time e uma matriz por porte.
Multiatendimento no WhatsApp: como ter vários atendentes no mesmo número
Vários atendentes no mesmo número de WhatsApp, sem risco de banimento: compare as 3 soluções do mercado e veja o passo a passo com a API oficial.
Como criar um chatbot para WhatsApp sem programar (passo a passo)
Guia prático em 7 passos para criar um chatbot no WhatsApp oficial sem escrever código: objetivos, base de conhecimento, fluxo com handoff e métricas.
Quer ver isso funcionando na prática?
Teste a ClickDesk grátis por 14 dias, sem cartão de crédito.