Blog / Guia

WhatsApp marketing e RGPD: o guia prático para estar em regra

O número de telefone de uma pessoa é um dado pessoal, e enviar-lhe uma mensagem promocional é um tratamento para todos os efeitos. Por isso o WhatsApp marketing vive dentro do RGPD exatamente como o e-mail marketing — só que o canal é mais íntimo, por isso a margem de erro é mais estreita. A boa notícia é que entrar em regra não exige um departamento jurídico: são precisas uma base jurídica clara, alguma ordem nos documentos e procedimentos automáticos para consentimento e revogação. Este guia traduz as obrigações em passos concretos.

O que significa RGPD aplicado ao WhatsApp

O RGPD é o regulamento europeu sobre a proteção dos dados pessoais, e aplica-se a quem trata dados de pessoas que se encontram na União, independentemente de onde a empresa tenha sede. Quando recolhes números de telefone para enviar mensagens, estás a tratar dados e deves respeitar os seus princípios: licitude (ter um motivo válido para o fazer), transparência (dizê-lo claramente), minimização (recolher apenas o que é preciso), limitação da conservação (não guardar os dados para sempre). No WhatsApp estes princípios não mudam; muda apenas o facto de a mensagem chegar a uma aplicação pessoal, onde o utilizador é menos tolerante e mais pronto a denunciar. A conformidade, além de evitar sanções que podem ser pesadas, protege-te também a qualidade do número.

A base jurídica: em regra o consentimento

Para enviar comunicações de marketing no WhatsApp a base jurídica mais sólida é o consentimento explícito: livre, específico, informado e inequívoco. Livre significa não condicionado a um serviço (não o podes impor para concluir uma compra); específico significa referido precisamente ao WhatsApp e ao marketing, não um consentimento genérico; informado significa que a pessoa sabe quem tratará os dados e porquê; inequívoco significa uma ação positiva, nunca uma caixa já marcada. Existe também o interesse legítimo, mas para a publicidade direta num canal tão pessoal é uma base frágil e contestável: para as mensagens promocionais, aposta no consentimento.

Distingue sempre a mensagem de serviço da promocional. Confirmar um envio ou lembrar uma marcação que a pessoa fez apoia-se na execução do contrato; enviar-lhe uma oferta exige o consentimento ao marketing. Manter separados os dois permissos é o que te permite defender cada envio individual.

A informação de privacidade: o que deve dizer

Antes ou no momento em que recolhes o número, a pessoa tem de poder ler uma informação que responda a perguntas precisas: quem é o responsável pelo tratamento, para que finalidades usarás os dados, com que base jurídica, durante quanto tempo os conservarás, a quem poderão ser comunicados (incluindo a plataforma de envio e a Meta como fornecedora do serviço WhatsApp), que direitos tem a pessoa e como exercê-los. Não é preciso um texto monumental: é preciso um texto claro, acessível com um link junto ao ponto de recolha do consentimento. O erro típico é recolher o número sem qualquer remissão para a informação: o consentimento, assim, não é informado, logo não é válido.

Revogação e direitos do titular

O consentimento pode ser retirado com a mesma facilidade com que foi dado: é um direito, não uma concessão. Na prática, quem escreve STOP, ou usa o botão de cancelamento, deve ser excluído logo das comunicações promocionais. Mas a revogação do consentimento é apenas um dos direitos: a pessoa pode pedir o acesso aos seus dados, a retificação, o apagamento, a limitação do tratamento e a oposição. Tens de ter um procedimento para responder a estes pedidos em prazos razoáveis. A gestão automática do opt-out cobre a parte mais frequente; para os outros pedidos é preciso saber onde estão os dados e como extraí-los ou apagá-los.

A SendApp gere o opt-out em automático: quem escreve STOP é excluído das campanhas seguintes sem intervenções manuais, e cada contacto traz consigo a origem e a data do consentimento. Vale tanto se ligas o teu número via QR code, como se usas as API oficiais da Meta — o duplo carril, sem acréscimos sobre o custo das mensagens.

Conservação dos dados: não para sempre

O RGPD impõe não guardar os dados além do necessário. Define um período de conservação coerente com a finalidade: enquanto a relação com o contacto estiver ativa e o consentimento for válido faz sentido conservá-lo; quando a pessoa se cancela ou fica inativa durante muito tempo, avalia o apagamento ou a anonimização. Conserva, em contrapartida, a prova do consentimento mesmo após a revogação, durante o tempo útil para demonstrar que agiste corretamente: serve precisamente em caso de contestação, quando o ónus de provar a licitude recai sobre ti. A regra prática é escrever uma política interna — quanto tempo guardo o quê, e porquê — e aplicá-la com regularidade, em vez de acumular números ao infinito “por segurança”.

Quem é responsável: o responsável pelo tratamento és tu

Mesmo que uses uma plataforma externa para enviar as mensagens, o responsável pelo tratamento és tu: és tu que decides finalidades e modalidades do tratamento. A plataforma atua como subcontratante, ou seja, trata os dados por tua conta, e por isso têm de assinar um acordo dedicado (o chamado DPA, acordo sobre o tratamento dos dados) que defina o que pode fazer com os dados e com que garantias. Verifica também onde são conservados os dados e como a plataforma gere as transferências. Escolher uma ferramenta séria nesta frente não te liberta das tuas responsabilidades de responsável, mas reduz sensivelmente o risco.

Boas práticas para um WhatsApp marketing conforme

• Recolhe um consentimento explícito e específico para o marketing no WhatsApp, separado de qualquer outra marcação.
• Liga sempre a informação de privacidade ao ponto onde pedes o número.
• Distingue mensagens de serviço e promocionais: apoiam-se em bases jurídicas diferentes.
• Torna a revogação imediata e gere o opt-out em automático.
• Define e aplica um período de conservação, conservando porém a prova do consentimento.
• Assina um acordo sobre o tratamento dos dados com a plataforma e verifica onde estão alojados os dados.