A ANPD (Autoridade Nacional de Proteção de Dados) intensificou fiscalização em 2025-2026, com multas crescentes a empresas que usam WhatsApp para marketing sem base legal. Este checklist é o mínimo para operar com segurança.
Não é orientação jurídica formal. Para tratamento de dados sensíveis (saúde, financeiro), consulte advogado especializado em LGPD.
O que muda em 2026
- Multas aplicadas pela ANPD subiram em frequência (50+ casos em 2025).
- Resolução ANPD 4/2024 detalha o que conta como consentimento válido.
- Meta passou a exigir templates aprovados com finalidade clara (utility/marketing).
- Procon-SP fiscaliza ativamente cobrança fora de horário.
Checklist em 12 itens
- 1. Política de Privacidade publicada no site (pt-BR) com seção sobre WhatsApp.
- 2. DPO (Encarregado de Dados) nomeado e contato público.
- 3. Base legal definida POR TIPO de mensagem (atendimento, cobrança, marketing).
- 4. Consentimento explícito (opt-in) para marketing — checkbox não pré-marcado.
- 5. Possibilidade de opt-out em toda mensagem ("Responda SAIR para parar").
- 6. Política de retenção: quanto tempo guarda conversa e dados pessoais.
- 7. Acesso restrito aos dados (quem da equipe vê o quê).
- 8. Criptografia em repouso (banco de dados) e em trânsito (HTTPS/TLS).
- 9. Registro de operações (RIPD) das atividades de tratamento.
- 10. Plano de resposta a incidente (vazamento) — comunicar ANPD em 72h.
- 11. Contratos com fornecedores (DPA) — toda plataforma que processa dados.
- 12. Treinamento da equipe sobre regras LGPD (atualizado anualmente).
Base legal por tipo de mensagem
| Tipo | Base legal LGPD | Exige opt-in? |
|---|---|---|
| Atendimento (cliente perguntou) | Execução de contrato | Não |
| Lembrete de consulta/agendamento | Execução de contrato | Não |
| Cobrança de mensalidade/dívida | Execução de contrato + interesse legítimo | Não |
| Pesquisa de satisfação | Interesse legítimo | Recomendado |
| Marketing (promoção, oferta) | Consentimento | SIM, obrigatório |
| Indicação ("traga um amigo") | Consentimento | SIM |
Templates obrigatórios
Opt-in (cadastro de marketing)
"Quer receber promoções e novidades pelo WhatsApp? Responda SIM para confirmar. Você pode cancelar a qualquer momento respondendo SAIR. Política de Privacidade: {link}."
Opt-out (rodapé de toda campanha)
"Para não receber mais este tipo de mensagem, responda SAIR. Vamos remover seu contato em até 24h."
Aviso de coleta de dados (primeiro contato)
"Para te atender, vamos armazenar seu nome, telefone e histórico de conversa pelo período da relação contratual. Detalhes na nossa política: {link}."
Horários permitidos
CDC + ANPD: cobrança só de segunda a sábado, 8h-20h. Marketing: bom senso (evitar madrugada, domingo). Atendimento iniciado pelo cliente: livre.
Retenção de dados
- Conversa de atendimento ativo: enquanto durar a relação + 5 anos (CDC).
- Conversa de marketing após opt-out: 30 dias para remover (em segurança).
- Dados de cobrança: 5 anos a partir do último pagamento (legal).
- Logs de auditoria: 6 meses mínimo (CGI.br).
O que IA muda na LGPD
Tratamento por algoritmo (IA decidindo automaticamente sobre cliente) tem regras extras: cliente pode pedir revisão humana de decisão automatizada (art. 20). Se IA recusa atendimento ou bloqueia conta, precisa explicar critério.
Plataformas brasileiras (Ana inclusa) já vêm com templates de compliance, opt-out automático e retenção configurável. Compre LGPD-ready e foca no negócio.
Perguntas frequentes
Depende: se o cliente consentiu receber marketing no momento da compra (checkbox marcado, contrato assinado), pode. Se não, precisa pedir opt-in agora. Cliente recorrente não é blank check para marketing.
