Se você vende para clientes europeus e usa o WhatsApp para fazer marketing para eles, a superfície jurídica em que você opera é mais complexa do que o que o marketing por e-mail ou SMS exige. O WhatsApp é propriedade da Meta, roda em uma infraestrutura que processa dados entre jurisdições e tem sido alvo de ações significativas de enforcement do GDPR, incluindo uma multa de €225 milhões da Irish Data Protection Commission em 2021 contra o próprio WhatsApp.

Isso não é um motivo para evitar o WhatsApp. O marketing via WhatsApp é totalmente compatível com o GDPR quando feito corretamente, e marcas como Takko Fashion, KLM e SNOCKS operam programas sofisticados de WhatsApp na UE há anos sem incidentes jurídicos. Mas "feito corretamente" exige mais do que o opt-in casual que basta para SMS. Este post mostra o que o GDPR realmente exige para marketing no WhatsApp, o que mudou em 2026 com o Digital Services Act e o Digital Markets Act, e como construir um programa que passe por uma auditoria.

Aviso padrão: isto não é aconselhamento jurídico. Para uma orientação vinculativa sobre a sua situação específica, consulte um advogado de proteção de dados na sua jurisdição. O que segue é um resumo prático, em linguagem simples, de onde as regras estão em maio de 2026.

A estrutura de conformidade em três camadas

O marketing no WhatsApp na UE se insere em uma estrutura regulatória de três camadas, e você precisa atender às três.

A primeira camada é o Regulamento Geral sobre a Proteção de Dados (GDPR), que rege o tratamento de dados pessoais de residentes da UE, independentemente de onde sua empresa esteja localizada. Para o WhatsApp, os artigos relevantes cobrem base legal para o tratamento (Artigo 6), requisitos específicos de consentimento (Artigo 7), direitos dos titulares dos dados (Artigos 15 a 22) e o dever de firmar um Acordo de Processamento de Dados com qualquer operador que trate dados da UE em seu nome (Artigo 28).

A segunda camada é a Diretiva ePrivacy, que acrescenta requisitos específicos para mensagens sobre o GDPR. A ePrivacy geralmente exige consentimento explícito prévio para comunicações eletrônicas não solicitadas, com uma exceção estreita de soft opt-in para relações com clientes já existentes. As implementações nacionais variam significativamente entre os Estados-membros.

A terceira camada, reforçada em 2024 e 2026, é o Digital Services Act (DSA) e o Digital Markets Act (DMA). O DMA designou o WhatsApp como plataforma "gatekeeper" em 2023, o que desencadeou requisitos de interoperabilidade e obrigações de moderação de conteúdo. O DSA adicionou requisitos de avaliação de risco e transparência para plataformas online muito grandes. Para a maioria dos lojistas Shopify, o impacto prático do DSA e do DMA em 2026 é limitado, mas a direção é mais conformidade, não menos.

Qual versão do WhatsApp é compatível com o GDPR para uso empresarial

Nem as três versões do WhatsApp são igualmente compatíveis. Saber qual você está usando é a primeira pergunta de conformidade.

O app pessoal do WhatsApp não é compatível com o GDPR para comunicação empresarial. Ele faz upload automático das listas de contatos para a Meta, processa metadados de formas que repetidamente atraíram ação regulatória e não oferece Acordo de Processamento de Dados. Se sua equipe de vendas usa o WhatsApp pessoal no celular para falar com clientes sobre pedidos, você está exposto.

O aplicativo gratuito WhatsApp Business está em uma área cinzenta. Ele não faz upload automático das listas de contatos, mas compartilha a mesma infraestrutura subjacente do WhatsApp pessoal e carece de controles de acesso significativos. Alguns especialistas jurídicos o consideram amplamente aceitável para negócios muito pequenos; outros apontam que ele é arriscado para qualquer empresa que trate dados relevantes de clientes. A leitura mais segura é que o aplicativo Business gratuito não é apropriado para empresas reguladas pelo GDPR se qualquer dado relevante de clientes passar por ele.

A WhatsApp Business Platform (Cloud API), quando acessada por meio de um Business Solution Provider que assina um DPA com você, é a versão que pode ser operada em conformidade com o GDPR. Esta é a única versão com trilha de auditoria, gerenciamento de opt-in, mecanismos de exclusão de dados e estrutura contratual exigidos pelo GDPR.

Portanto, a resposta fundamental para "meu marketing no WhatsApp está em conformidade com o GDPR" é: somente se você estiver na Cloud API, somente se seu BSP lhe fornecer um DPA e somente se seu fluxo de opt-in e o tratamento de dados forem construídos corretamente.

O que conta como consentimento válido do GDPR para WhatsApp

O Artigo 7 do GDPR estabelece um padrão alto para consentimento. Ele deve ser livre, específico, informado e inequívoco. Consentimento obtido por meio de uma caixa pré-marcada, um acordo agrupado ou uma referência vaga não atende ao padrão. Para o WhatsApp especificamente, o consentimento precisa estar vinculado ao canal: um cliente que consentiu em receber sua newsletter por e-mail não consentiu, por isso, em receber marketing pelo WhatsApp.

O momento de coleta do consentimento deve incluir três elementos. Primeiro, uma declaração explícita sobre o que o usuário está aceitando ("receber mensagens de marketing da [Marca] no WhatsApp"). Segundo, a identidade do controlador de dados (o nome da sua marca, não apenas "nós"). Terceiro, uma descrição dos tipos de mensagem e da frequência aproximada ("lançamentos de produtos, anúncios de promoções e reposições de estoque, cerca de duas a quatro mensagens por mês").

Caixas pré-marcadas não são permitidas. Agrupar o opt-in do WhatsApp com a aceitação dos termos de serviço não é permitido. Um opt-in geral de SMS não se transfere para o WhatsApp. Uma alegação vaga de que "ao enviar este formulário você concorda em receber comunicações de marketing" não é específica o suficiente.

O consentimento precisa ser documentado. Você precisa conseguir provar, para qualquer assinante, quando ele consentiu, com o quê consentiu, qual texto viu e em qual ponto de coleta. Se o seu BSP não armazenar esses metadados, você não consegue provar o consentimento em uma auditoria, e um opt-in sem documentação é tratado como se não houvesse opt-in.

Single opt-in vs double opt-in: o que a lei realmente diz

Há uma confusão significativa sobre se o double opt-in é obrigatório pelo GDPR. A resposta jurídica estrita é que o double opt-in não é explicitamente exigido pelo GDPR, mas ele é amplamente tratado como boa prática porque fornece evidências documentadas de consentimento que o single opt-in não fornece.

Um fluxo de single opt-in se parece com isto: o cliente marca uma caixa explícita, não agrupada, de consentimento para marketing no WhatsApp no checkout; você registra o consentimento; e então já pode enviar mensagens.

Um fluxo de double opt-in se parece com isto: o cliente marca a caixa de consentimento; você envia uma única mensagem de confirmação para o número do WhatsApp dele pedindo que responda SIM para confirmar; somente depois da resposta você o adiciona à lista de marketing.

O double opt-in é o caminho mais seguro por dois motivos. Primeiro, ele verifica independentemente se o número de telefone pertence à pessoa que consentiu. Sem verificação, qualquer pessoa poderia inserir o número de telefone de outra pessoa no seu formulário e essa pessoa começaria a receber mensagens de marketing sem jamais ter consentido. Segundo, o double opt-in produz uma trilha de auditoria que inclui a ação afirmativa do usuário no próprio WhatsApp, que é a evidência mais forte possível de consentimento específico do canal.

As marcas que vemos operando corretamente na UE usam double opt-in. As marcas que vemos recebendo reclamações e advertências geralmente são aquelas que importaram uma lista de telefones e pediram desculpas depois.

O soft opt-in para clientes existentes

A ePrivacy oferece uma exceção estreita de soft opt-in: uma empresa pode fazer marketing para um cliente existente sobre produtos semelhantes aos adquiridos anteriormente, sem consentimento prévio explícito, desde que o cliente tenha recebido uma oportunidade clara de recusar no momento da coleta e em todas as mensagens subsequentes.

O soft opt-in é mais limitado do que as pessoas imaginam. Ele se aplica apenas a clientes existentes. Abrange apenas produtos semelhantes. Ainda exige um mecanismo de opt-out. E as implementações nacionais variam: a Alemanha interpreta isso de forma restrita; o Reino Unido e a Holanda, de forma mais liberal.

Para o WhatsApp, nosso conselho prático é não depender do soft opt-in, a menos que seu consultor jurídico tenha aprovado especificamente isso para o seu contexto. O custo marginal de executar um double opt-in adequado é pequeno. A desvantagem de estar errado sobre a interpretação do soft opt-in é grande.

Acordos de Processamento de Dados com o seu BSP

O Artigo 28 do GDPR exige um Acordo de Processamento de Dados com qualquer terceiro que trate dados pessoais em seu nome. O seu BSP de WhatsApp é um desses terceiros. Se você não tiver um DPA com ele, você não está em conformidade, independentemente de quão bom seja o seu fluxo de opt-in.

Um DPA deve especificar a finalidade e a duração do tratamento, as categorias de dados e de titulares, as medidas de segurança que o operador aplicará, os suboperadores que ele poderá usar, as localizações geográficas em que os dados podem ser tratados e a assistência que o operador prestará para solicitações de direitos dos titulares e incidentes de segurança.

Três pontos para verificar especificamente em um DPA de BSP: primeiro, onde os dados são física e efetivamente processados e armazenados? Dados hospedados na UE são o caso mais simples. Dados hospedados em terceiros países (Hong Kong, Índia, Estados Unidos fora das estruturas sucessoras do Privacy Shield) exigem Cláusulas Contratuais Padrão e podem exigir uma Avaliação de Impacto da Transferência. Segundo, quem são os suboperadores? A própria Meta é um suboperador para qualquer BSP de WhatsApp, e isso deve ser divulgado. Outros suboperadores (provedores de nuvem, provedores de analytics) também devem ser listados. Terceiro, qual é o compromisso de exclusão de dados quando você encerra o contrato? Você precisa de garantia explícita de que os dados serão devolvidos ou destruídos dentro de um prazo definido.

Residência de dados na UE: por que isso importa e onde os provedores realmente estão

O local onde seus dados do WhatsApp são processados é uma questão relevante de conformidade que a maioria dos lojistas nunca pergunta ao fornecedor.

A WATI tem sede em Hong Kong. Hong Kong é um terceiro país sob o GDPR. Transferências de dados para a infraestrutura da WATI exigem Cláusulas Contratuais Padrão e, discutivelmente, uma Avaliação de Impacto da Transferência que considere o regime jurídico de Hong Kong. A Zoko tem sede na Índia. As mesmas considerações de terceiro país se aplicam. A Dondy é global e não tem, em seus materiais públicos, um compromisso específico de residência na UE. A 360dialog tem sede em Berlim e oferece hospedagem de dados na UE. Esta é a situação mais limpa entre os principais BSPs do ponto de vista de residência, com a ressalva de que a 360dialog fornece apenas a infraestrutura de API e não uma plataforma voltada ao lojista.

A configuração mais segura para um lojista regulado da UE é um BSP com residência de dados na UE, um encarregado de proteção de dados residente na UE e um DPA que não dependa de Cláusulas Contratuais Padrão para um terceiro país.

As mudanças de 2026 que você precisa conhecer

Alguns desenvolvimentos específicos elevaram as expectativas de conformidade em 2026.

Em janeiro de 2026, a Meta atualizou os Termos da WhatsApp Business Solution para proibir chatbots de IA de uso geral na Plataforma. Isso tem implicações para o GDPR porque o processamento de dados pessoais por IA sem consentimento explícito para uso específico de IA pode constituir processamento adicional que exige consentimento adicional. Bots vinculados a tarefas e limitados ao contexto do seu negócio são mais fáceis de defender. Envoltórios abertos de LLM não são.

Sob o Digital Services Act, o WhatsApp agora está sujeito a requisitos de transparência de moderação de conteúdo, e as empresas que operam na plataforma devem implementar procedimentos de gestão de risco se se qualificarem como participantes em uma Very Large Online Platform.

Sob o Digital Markets Act, as obrigações de interoperabilidade do WhatsApp foram implementadas gradualmente desde 2024. Os clientes podem lhe enviar mensagens por mensageiros de terceiros sob disposições de interoperabilidade em conformidade com o DMA. A criptografia de ponta a ponta é preservada para mensagens de pessoa para pessoa, mas a transferência da criptografia para aplicativos de terceiros introduz modelos de ameaça que sua política de proteção de dados pode precisar reconhecer.

A pausa de marketing nos EUA em abril de 2025 também tem uma implicação adjacente ao GDPR para marcas da UE que vendem para clientes dos EUA. Se você já enviou mensagens para um número +1 dos EUA, essas interações agora estão sujeitas a um regime de política diferente dos seus envios para a UE.

Uma checklist de 12 pontos do GDPR para o seu programa de WhatsApp

Use isto como checklist de pré-lançamento e de auditoria trimestral para sua configuração de marketing no WhatsApp.

1. Você opera na WhatsApp Business Platform (Cloud API) por meio de um BSP, e não no app pessoal nem no aplicativo gratuito Business, para qualquer comunicação relevante com clientes.

2. Você assinou um DPA com seu BSP que nomeia suboperadores, especifica a localização dos dados e se compromete com um cronograma de exclusão.

3. Todo opt-in de marketing no WhatsApp é coletado por meio de uma ação de consentimento explícita, não agrupada, específica do canal e com texto documentado.

4. Cada consentimento é registrado com timestamp, origem, texto exibido e endereço IP (ou equivalente), e o registro é exportável.

5. Você usa double opt-in para novos assinantes, com a mensagem de confirmação e a resposta armazenadas como parte do registro de consentimento.

6. Toda mensagem de marketing no WhatsApp inclui um mecanismo claro e fácil de opt-out em linguagem que o destinatário entende.

7. Os pedidos de opt-out são atendidos em até 24 horas e o contato é removido de todos os segmentos de marketing, não apenas pausado.

8. Sua política de privacidade faz referência explícita ao WhatsApp como canal de marketing, nomeia seu BSP e descreve os fluxos de dados.

9. Solicitações de acesso do titular dos dados podem ser respondidas para dados do WhatsApp em até 30 dias e seu BSP oferece suporte a isso.

10. Solicitações de exclusão do titular dos dados resultam em exclusão real em todo o seu CRM, na plataforma do seu BSP e nos seus arquivos de mensagens.

11. Seu assistente de IA no WhatsApp é limitado a tarefas dentro do contexto do seu negócio, tem comportamento explícito de recusa para prompts fora do tema e não constitui processamento adicional de IA que exija consentimento separado.

12. Você mantém os dados das mensagens do WhatsApp apenas pelo tempo exigido pela sua política de retenção declarada, que é documentada e mais curta do que indefinida.

Se você não puder responder sim a todos os doze itens, há trabalho específico a fazer. As lacunas mais comuns que vemos no mercado da UE são DPAs ausentes, trilhas de opt-in sem documentação e uso do WhatsApp pessoal por equipes de vendas.

Perguntas frequentes

Preciso de consentimento separado para marketing no WhatsApp se já tenho consentimento para e-mail?

Sim. A ePrivacy e o GDPR tratam o consentimento como específico do canal. Um usuário que concordou em receber sua newsletter por e-mail não consentiu em receber mensagens pelo WhatsApp.

Posso usar o número de telefone de um pedido no Shopify para enviar marketing no WhatsApp para o cliente?

Não, sem consentimento explícito para marketing no WhatsApp. O número de telefone foi fornecido para a execução do pedido sob outra base legal (execução de contrato, Artigo 6(1)(b)).

Qual é a multa máxima por uma violação do GDPR no WhatsApp?

O máximo geral do GDPR é o maior entre €20 milhões ou 4% do faturamento anual global. Na prática, multas por problemas relacionados ao WhatsApp para uma empresa do porte de uma loja Shopify ficaram na faixa de €5.000 a €500.000.

A criptografia de ponta a ponta do WhatsApp é suficiente para o GDPR?

A criptografia ajuda, mas por si só não atende ao GDPR. O GDPR exige base legal, gestão de consentimento, direitos dos titulares, trilhas de auditoria e DPAs, além de medidas de segurança como criptografia.

Posso enviar marketing no WhatsApp para clientes nos EUA sob o GDPR?

O GDPR se aplica a residentes da UE. Se um cliente estiver nos EUA, o GDPR não se aplica diretamente, mas as leis estaduais dos EUA (CCPA na Califórnia e leis semelhantes na Virgínia, Colorado, Connecticut e Utah) podem se aplicar. Observe também que, desde 1º de abril de 2025, mensagens de template de marketing para números de telefone +1 estão pausadas pela Meta e não são entregues.

Meu BSP diz que é compatível com o GDPR. Isso significa que eu estou em conformidade?

Não. O BSP estar em conformidade é necessário, mas não suficiente. Você é o controlador de dados e é responsável pela base legal, pela coleta de consentimento, pelos mecanismos de opt-out e pelo tratamento dos direitos dos titulares do seu lado.

Preciso de um Encarregado de Proteção de Dados para o meu programa de WhatsApp no Shopify?

Um DPO é exigido pelo Artigo 37 do GDPR se suas atividades principais envolverem monitoramento sistemático em larga escala de indivíduos ou processamento em larga escala de categorias especiais de dados. A maioria das lojas Shopify não atinge esse limiar apenas com seu programa de WhatsApp.