LGPD e assistentes virtuais com IA no WhatsApp: o que você precisa saber em 2026

Em 2026, a ANPD (Autoridade Nacional de Proteção de Dados) já aplicou multas significativas por uso inadequado de IA com dados de clientes. Se você usa assistente virtual no WhatsApp, há um conjunto de obrigações que você precisa cumprir — e elas são mais simples do que parecem.

Você é o controlador. A plataforma é a operadora.

Pela LGPD, quem decide como e por que tratar os dados é o "controlador" — você. Quem trata em seu nome é o "operador" — a plataforma de assistente virtual. Essa divisão muda as responsabilidades:

• Você responde diretamente pela base legal usada e pelos direitos do titular.
• A plataforma responde por segurança técnica, isolamento de dados e cumprimento das suas instruções.
• Precisa existir um contrato escrito (DPA — Data Processing Agreement) entre vocês.

Bases legais que se aplicam ao WhatsApp

Toda coleta de dado precisa de uma base legal. As mais comuns no contexto de WhatsApp:

• Execução de contrato (art. 7º, V): cliente já contratou e a IA executa pedido dele.
• Consentimento (art. 7º, I): para envio de marketing ativo, precisa "sim" explícito.
• Legítimo interesse (art. 7º, IX): atendimento operacional, com avaliação documentada.
• Saúde (art. 11º, II, f): só com consentimento específico e segurança extra.

Checklist mínimo para ficar em conformidade

1. Tenha contrato (DPA) assinado com a plataforma de IA.
2. Publique política de privacidade explícita no site e link no WhatsApp.
3. Avise o cliente que o atendimento é automatizado e que dados serão tratados.
4. Use base legal correta — para marketing, sempre pegue consentimento.
5. Permita que cliente peça apagamento ou exportação dos dados a qualquer momento.
6. Não compartilhe dados de cliente com terceiros sem base legal.
7. Mantenha registro de operações de tratamento (RIPD).
8. Tenha plano de resposta a incidente — notificação à ANPD em até 2 dias.

Direitos do titular que você precisa atender

• Confirmação de tratamento (saber se você tem dados dele).
• Acesso aos dados (mandar uma cópia).
• Correção de dados incompletos ou incorretos.
• Anonimização ou eliminação quando não houver mais necessidade.
• Portabilidade para outro fornecedor.
• Revogação do consentimento (parar de receber marketing).
• Revisão de decisão automatizada (art. 20).

IA e o direito de revisão (art. 20)

A LGPD garante ao titular o direito de pedir revisão humana de decisões tomadas por IA que afetem seus interesses. Em atendimento, isso significa:

• Cliente pode pedir para falar com humano a qualquer momento.
• Decisões automatizadas (negar reagendamento, recusar atendimento) devem ser revisáveis.
• Você deve ter um canal claro para essa revisão.

Segurança técnica obrigatória

A plataforma de IA precisa garantir, no mínimo:

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
• Isolamento entre dados de diferentes clientes (multi-tenant correto).
• Logs de auditoria com quem acessou o quê.
• Backup e recuperação de desastre.
• Política de retenção: dados não devem ficar para sempre.
• Treinamento de equipe interna sobre privacidade.

O dado vai treinar a IA?

Pergunta crítica: a plataforma usa o conteúdo das conversas dos seus clientes para treinar modelos de IA gerais? Se sim, há risco de vazamento futuro. Em 2026, plataformas sérias garantem por contrato que dados de tenants não treinam modelos compartilhados.

Em caso de incidente (vazamento)

Se houver vazamento ou uso indevido:

1. Acione imediatamente o suporte da plataforma para conter o incidente.
2. Documente: o que vazou, quando, quantos titulares afetados.
3. Notifique a ANPD em até 2 dias úteis (art. 48 da LGPD).
4. Comunique os titulares afetados se houver risco real.
5. Avalie multa preventiva e plano de remediação.