LGPD no WhatsApp corporativo: riscos que quase toda empresa ignora

Em muitas empresas, o WhatsApp deixou de ser apenas ferramenta de comunicação e virou uma extensão informal da operação. É por ali que se atende cliente, se confirma cadastro, se envia documento, se compartilha contrato, se cobra pagamento, se discute caso interno, se trocam áudios com informações sensíveis e, em alguns contextos, até se “resolve” o que nunca chegou a entrar formalmente em sistema algum. A praticidade é evidente. O problema é que, justamente por parecer simples e cotidiano, o WhatsApp costuma escapar do olhar mais sério sobre proteção de dados.

Esse é um dos pontos cegos mais comuns na adequação à LGPD. A empresa até revisa contrato com fornecedor, ajusta política de privacidade, sobe banner de cookies, mas continua tratando dados pessoais em massa por um canal que opera, muitas vezes, sem critério claro de uso, sem política interna, sem definição de responsabilidades e sem qualquer trilha minimamente estruturada de retenção, descarte ou controle.

O problema, portanto, não está em usar WhatsApp de forma automática ou absoluta como se ele fosse, por natureza, proibido. O problema está em tratá-lo como se fosse neutro.

Na prática, o risco aparece de várias formas. O primeiro deles é a mistura entre esfera pessoal e corporativa. Em muitas empresas, colaboradores usam seus próprios aparelhos, seus próprios números e suas próprias contas para atender clientes, negociar demandas e receber documentos. Isso cria uma zona cinzenta perigosa: onde termina o dado da empresa e onde começa o acervo pessoal do colaborador? O que acontece com essas conversas quando o vínculo se encerra? Como a empresa controla acesso, retenção e exclusão? Em geral, não controla.

Outro risco relevante é o excesso de coleta e circulação. Por comodidade, pede-se foto de documento, comprovante, dados bancários, informações de saúde, endereço, geolocalização, tudo pelo aplicativo e até dados bancários, foto de cartão de crédito de cliente, sem refletir se aquilo era realmente necessário naquele canal e naquela extensão. Em seguida, esse conteúdo é reenviado para grupos internos, salvo em galerias, exportado para outros sistemas ou simplesmente permanece ali, acumulado, sem qualquer governança.

Há ainda um risco importante de confidencialidade e contexto. O WhatsApp favorece velocidade, informalidade e resposta imediata. Justamente por isso, facilita envio ao destinatário errado, compartilhamento precipitado, exposição em grupos, vazamento por captura de tela, uso indevido por terceiros com acesso ao aparelho e perda de controle sobre o ciclo completo do dado. O problema nem sempre será um grande incidente de segurança. Muitas vezes, começa com pequenos desvios normalizados pela rotina.

Do ponto de vista jurídico e organizacional, isso revela algo maior: a empresa deixou um canal crítico de tratamento de dados operar à margem da governança.

Como lidar com isso de forma madura? O primeiro passo é abandonar tanto o extremismo ingênuo quanto a permissividade desordenada. Nem “pode tudo”, nem “proíbe tudo e resolve”. O caminho está em definir critérios.

É preciso, primeiro, mapear para que o WhatsApp está sendo usado dentro da operação. Atendimento ao cliente? Confirmação de agenda? Suporte? Envio de documentos? Comunicação com candidatos? Cobrança? Sem esse diagnóstico, qualquer política vira abstração.

Depois, é necessário definir limites claros. Que tipo de dado pode circular por ali? O que não deve ser tratado nesse canal? Em quais situações o WhatsApp serve apenas como porta de entrada, exigindo redirecionamento para meio mais adequado? Quando se deve evitar o envio de documento, dado sensível ou informação estratégica?

Também é essencial enfrentar a questão dos aparelhos, números e contas utilizados nesse tipo de comunicação. Se o WhatsApp integra a operação da empresa, não basta tratá-lo como um recurso informal nas mãos de cada colaborador. É preciso definir, com clareza, quem é o titular da linha e da conta, em que aparelho ela será usada, quem pode acessar aquele canal, como as conversas serão preservadas quando necessário, o que acontece em caso de troca de equipe, desligamento ou afastamento do responsável, e como se dará o encerramento seguro daquele uso. Sem essa organização mínima, a empresa corre o risco de perder histórico relevante, manter dados pessoais sob controle de ex-colaboradores, misturar conteúdo corporativo com acervo pessoal e ficar sem condições de demonstrar governança sobre um canal que, na prática, já faz parte do tratamento de dados. O que parece simples no dia a dia pode se transformar, depois, em conflito sobre acesso, retenção, prova, continuidade operacional e responsabilidade.

Outro ponto essencial é treinamento. Grande parte do risco no WhatsApp não nasce de má-fé, mas de hábito. As pessoas se acostumam a resolver tudo rápido e perdem a percepção de que, ali, também há tratamento de dados pessoais, responsabilidade institucional e potencial de incidente. Orientar a equipe com exemplos concretos muda muito mais do que apenas proibir genericamente.

Por fim, o WhatsApp precisa entrar no radar do programa de privacidade da empresa. Isso significa ser considerado em políticas internas, fluxos de resposta a incidentes, orientações de descarte, gestão de acessos e revisão periódica de riscos. O canal não pode continuar invisível só porque é cotidiano.

Porque, na prática, a LGPD raramente falha no discurso: ela costuma falhar na rotina. É justamente essa passagem - do discurso para a estrutura - que eu desenvolvo no curso Fundamentos LGPD.

A proposta do curso é oferecer uma visão geral, sólida e aplicada sobre o que as empresas precisam fazer para entrar em conformidade com a lei, sem reduzir a proteção de dados a um checklist documental. Ao longo do curso, eu trabalho conceitos, princípios, direitos dos titulares, proteção de dados na prática, governança e compliance, sempre com um olhar que também incorpora minha experiência de mais de 20 anos como advogada empresarial, atuando em gestão de riscos, compliance e organização jurídica de relações empresariais.

Em matéria de proteção de dados, compreender a diferença entre parecer adequado e construir uma conformidade real faz toda a diferença.

Se você tem interesse em deixar a sua empresa em conformidade com a LGPD, conheça meu trabalho como DPOaaS

Você também pode comprar agora o meu treinamento: Fundamentos da LGPD