RGPD

RGPD no WhatsApp Business: o que precisa de saber em 2025

📅 Janeiro 2025⏱️ 5 min de leitura✍️ Equipa ARCHI

🔒

O WhatsApp é a forma mais natural de comunicar com clientes em Portugal — mas também é um campo minado se ignorar o Regulamento Geral sobre a Protecção de Dados. Coimas até 20 milhões de euros ou 4% do volume de negócios anual. Não é teórico: a CNPD aplica e fiscaliza.

1. O básico: que dados está a tratar?

Ao receber uma mensagem no WhatsApp Business, está automaticamente a tratar pelo menos:

Número de telefone do cliente
Nome (visível no perfil do WhatsApp)
Conteúdo da mensagem (pode conter dados pessoais sensíveis)
Metadata (hora, localização aproximada, dispositivo)

Tudo isto é "dado pessoal" ao abrigo do artigo 4.º do RGPD.

2. Base legal

Execução de contratoQuando o cliente o contacta para um serviço — base mais comum e segura.

Interesse legítimoMais frágil. Tem de fazer e documentar uma avaliação de impacto (DPIA simplificado).

Consentimento explícitoNecessário para envio de marketing ou comunicações não solicitadas.

3. Informação obrigatória na primeira interacção

"Olá! Sou o assistente da [Empresa]. Ao continuar esta conversa, autoriza o tratamento dos seus dados para fins de atendimento. Para apagar a sua informação, escreva APAGAR a qualquer momento."

4. Direitos dos titulares

Aceder — pedir que dados tem sobre ele
Rectificar — corrigir informação errada
Apagar — direito ao esquecimento
Portar — receber os dados em formato estruturado
Opor-se ao tratamento

Configure o bot para responder a palavras-chave: APAGAR, OS MEUS DADOS, CANCELAR, RGPD.

5. Retenção de conversas

Conversas activas: conservar enquanto há relação comercial
Após cessação: 90 dias é razoável para a maioria dos sectores
Saúde / dados especiais: retenções mais curtas (30 dias)
Obrigação fiscal: alguns dados podem ser conservados 10 anos

⚠️ Atenção "Guardo só por precaução" não é uma justificação válida ao abrigo do RGPD. Cada dado conservado tem de ter uma finalidade documentada.

6. Subcontratantes

Quando usa uma plataforma de chatbot, ela é "subcontratante" no sentido jurídico. Tem de assinar um DPA, garantir servidores na UE e conhecer os sub-subcontratantes. A ARCHI.aicloud disponibiliza DPA padrão a pedido.

7. Notificação de violações

Em caso de violação de dados, tem 72 horas para notificar a CNPD. Quanto mais demorar, maior a coima. Tenha um protocolo escrito de resposta a incidentes.

Checklist final

✅ Política de privacidade publicada e linkada
✅ Mensagem informativa na primeira interacção
✅ Bot responde a APAGAR / OS MEUS DADOS
✅ DPA assinado com a plataforma
✅ Servidores na UE confirmados
✅ Política de retenção definida e documentada
✅ Protocolo de violação de dados pronto

Quer experimentar no seu negócio?

14 dias gratuitos, sem cartão de crédito. Setup em menos de 30 minutos.

Pedir demonstração 💬 Falar com o bot