LGPD no atendimento por WhatsApp: o guia da sua empresa

Sim, se aplica. A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) vale pra qualquer empresa que trate dados pessoais de pessoas no Brasil — não importa se você é uma clínica grande ou um salão com uma cadeira só. E atender pelo WhatsApp é tratar dados o tempo todo.

Quando um cliente te manda mensagem, você já tem o número de telefone dele. No meio da conversa surge o nome, talvez o endereço pra entrega, o horário que prefere, às vezes informação de pagamento. Tudo isso é dado pessoal sob a lei.

Não existe "isenção por ser pequeno". A ANPD (autoridade que fiscaliza) até adota tratamento proporcional pro porte do negócio, mas a obrigação de respeitar os princípios continua valendo pra todo mundo.

A boa notícia: cumprir o essencial não é burocracia de multinacional. É um conjunto de hábitos simples que, uma vez organizados, rodam sozinhos no seu atendimento do dia a dia.

Nem sempre. Esse é o maior mal-entendido sobre a LGPD. Consentimento é apenas uma das dez bases legais que a lei prevê — e raramente é a mais adequada pro atendimento comum.

Quando um cliente te procura pra marcar um horário ou comprar algo, você normalmente está tratando os dados dele pra executar um contrato ou um pré-contrato. Essa é uma base legal própria, e não exige um "aceito" formal pra cada mensagem. O atendimento em si justifica o uso do dado.

O consentimento explícito entra quando você quer fazer algo além do atendimento — por exemplo, mandar promoções e campanhas de marketing pra quem nunca pediu. Aí sim faz sentido ter um opt-in claro.

Na prática, o cuidado é não misturar finalidades. Use o dado pro que o cliente esperava (atender, agendar, cobrar) e seja transparente. Se quiser usar pra mais coisa, peça permissão de forma separada e simples — e respeite quando alguém pedir pra sair.

Da empresa. Automatizar o atendimento com inteligência artificial não transfere a responsabilidade legal pra ferramenta — ela continua sendo sua, que é quem decide as finalidades do tratamento (o "controlador", no termo da lei).

Isso vale tanto pra uma IA quanto pra uma secretária humana: o cliente está falando com a sua empresa. Por isso, o jeito que a automação trata os dados importa.

Na TECHFLIP, por exemplo, a IA roda dentro do seu próprio número de WhatsApp e responde no contexto do atendimento que o cliente já buscou — marcar consulta, tirar dúvida, fechar pedido. Ela é uma ferramenta a serviço da sua operação, não um terceiro coletando dados por conta própria.

O ponto de atenção é a transparência: o cliente deve conseguir entender com quem (ou com o quê) está falando e ser atendido por uma pessoa quando o caso pede. A LGPD prevê o direito de revisão de decisões tomadas só por automação, então deixar um caminho fácil pro atendimento humano não é só boa educação — é boa prática legal.

Exigem, e bastante. A LGPD cria uma categoria especial chamada "dados pessoais sensíveis" — informações sobre saúde, vida sexual, religião, opinião política, biometria, entre outras. Elas têm regras mais rígidas porque o vazamento causa um dano maior.

Isso pesa muito em alguns segmentos. Uma clínica que recebe sintomas pelo WhatsApp, um psicólogo que agenda sessões, um laboratório que confirma exames — todos lidam com dado de saúde a cada conversa.

Nesses casos, o tratamento geralmente pede consentimento específico ou se apoia em bases legais próprias da área de saúde, e o cuidado com segurança precisa ser maior. Não dá pra tratar a mensagem de um paciente do mesmo jeito que a de quem só quer saber o horário de funcionamento.

A orientação prática: colete só o que precisa pra atender, não peça detalhe clínico que não seja necessário, e controle quem tem acesso ao histórico. Quanto menos dado sensível circulando sem motivo, menor o risco — esse é o princípio da minimização na prática.

Comece pelo básico, que já resolve a maior parte. A LGPD vira algo gerenciável quando você transforma os princípios da lei em rotina, em vez de tratar como um projeto gigante de uma vez só.

Na prática, vale focar em alguns hábitos:

Seja transparente — tenha uma política de privacidade acessível e deixe claro pra que você usa os dados do cliente.

Colete só o necessário (minimização) — não peça CPF, endereço ou dado de saúde que a conversa não exige.

Controle o acesso — quem da equipe pode ver o histórico de conversas? Senhas fortes e acesso restrito evitam metade dos problemas.

Respeite os direitos do titular — se o cliente pedir pra ver, corrigir ou apagar os dados dele, tenha um caminho pra atender isso.

Guarde pelo tempo certo — dado velho que não serve mais é só risco parado. Defina por quanto tempo faz sentido manter.

Escolha ferramentas que levem segurança a sério. Plataformas como a TECHFLIP organizam o atendimento e o histórico num lugar controlado, com acesso por login — bem mais seguro que conversas espalhadas no celular de vários funcionários.