Legal

RGPD e mensagens de marketing: o que precisa de saber em 2026

2 Abr, 2026Ricardo Costa10 min de leitura

Manter a sua empresa em compliance não tem de ser um pesadelo. Guia prático sobre privacidade na comunicação móvel — sem juridiquês.

Porquê o RGPD importa para quem usa WhatsApp e SMS no negócio

O Regulamento Geral sobre a Protecção de Dados (RGPD) aplica-se a qualquer empresa que processe dados pessoais de residentes na União Europeia — independentemente da dimensão da empresa ou do país onde está sediada.

Enviar uma mensagem de WhatsApp ou SMS a um cliente é processar dados pessoais. O número de telemóvel é um dado pessoal. O conteúdo da mensagem pode conter mais dados pessoais. O histórico de conversas é um conjunto de dados pessoais.

Em 2024 e 2025, a CNPD (Comissão Nacional de Protecção de Dados) aumentou significativamente o número de processos instaurados a PMEs portuguesas. As coimas podem chegar a 4% do volume de negócios anual ou 20 milhões de euros — o que for mais elevado.

Os três princípios que importam para mensagens de marketing

1. Base legal para o tratamento

Para enviar mensagens de marketing, a sua empresa precisa de uma base legal. As duas mais comuns para comunicação directa são:

Consentimento (Art. 6.º, n.º 1, al. a)): O cliente deu autorização explícita para receber comunicações de marketing. Este consentimento deve ser livre, específico, informado e inequívoco (check-box marcada pelo utilizador, não pré-marcada).

Interesse legítimo (Art. 6.º, n.º 1, al. f)): Pode ser invocado para comunicações com clientes existentes, sobre produtos ou serviços semelhantes aos que já adquiriram, desde que exista opt-out fácil. Esta base é mais restrita e deve ser avaliada caso a caso.

2. Direito de opt-out

Qualquer pessoa que receba comunicações de marketing tem o direito de se opor a qualquer momento. As suas mensagens devem incluir um mecanismo de opt-out claro e funcional.

Para WhatsApp: inclua "Responda STOP para não receber mais mensagens" e honre esse pedido de imediato.

Para SMS: o mesmo. E registe todos os pedidos de opt-out — a CNPD pode solicitar esse registo.

3. Limitação de finalidade e minimização de dados

Não recolha dados que não precisa. Se recolhe o número de telemóvel para enviar confirmações de encomenda, não pode usar esse número para campanhas de marketing sem novo consentimento para essa finalidade específica.

O que registar e conservar

A CNPD pode pedir evidências de conformidade. Mantenha registo de:

Quando e como o consentimento foi obtido (data, fonte, formulário ou checkbox utilizado).
O que o utilizador autorizou exactamente.
Opt-outs recebidos e data de processamento.
Retenção de dados: durante quanto tempo conserva os números e as conversas.

Contratos de processamento de dados (DPA)

Se usa uma plataforma de mensagens como o WhatSMS, está a entregar dados pessoais dos seus clientes a um sub-processador. O RGPD exige que exista um contrato de processamento de dados (DPA) entre a sua empresa e o fornecedor.

O WhatSMS disponibiliza um DPA para todos os clientes, com confirmação de que os dados são processados exclusivamente na União Europeia (servidores Hetzner na Alemanha e Áustria).

Mensagens transaccionais vs. mensagens de marketing

Esta distinção é crucial. As regras do RGPD para marketing são mais estritas do que para comunicações transaccionais.

Mensagens transaccionais (não requerem consentimento de marketing): confirmações de encomenda, alertas de entrega, lembretes de consulta, notificações de conta, respostas a pedidos iniciados pelo cliente.

Mensagens de marketing (requerem base legal específica): promoções e descontos, lançamento de novos produtos, newsletters via WhatsApp ou SMS, upsell/cross-sell proactivo.

Se enviar uma mensagem de confirmação de encomenda e incluir um cupão de desconto no final, a mensagem torna-se parcialmente de marketing. Seja conservador nesta fronteira.

Lista de verificação prática

Antes de lançar a próxima campanha, verifique:

Tem base legal documentada para cada segmento de destinatários?
As mensagens incluem opt-out claro e funcional?
Tem registo de quando e como o consentimento foi obtido?
Existe DPA assinado com o fornecedor da plataforma de mensagens?
Os dados dos clientes são conservados apenas durante o necessário?
A equipa conhece o procedimento para responder a pedidos de acesso, rectificação ou eliminação de dados?

Conformidade com o RGPD não é um projecto de uma vez — é uma prática contínua. Mas com os processos correctos em vigor, o esforço de manutenção é mínimo.

Pronto para experimentar o WhatSMS?

14 dias grátis, sem cartão de crédito.

Começar grátis

Legal

RGPD e mensagens de marketing: o que precisa de saber em 2026

2 Abr, 2026Ricardo Costa10 min de leitura

Manter a sua empresa em compliance não tem de ser um pesadelo. Guia prático sobre privacidade na comunicação móvel — sem juridiquês.

Porquê o RGPD importa para quem usa WhatsApp e SMS no negócio

Os três princípios que importam para mensagens de marketing

1. Base legal para o tratamento

Para enviar mensagens de marketing, a sua empresa precisa de uma base legal. As duas mais comuns para comunicação directa são:

2. Direito de opt-out

Qualquer pessoa que receba comunicações de marketing tem o direito de se opor a qualquer momento. As suas mensagens devem incluir um mecanismo de opt-out claro e funcional.

Para WhatsApp: inclua "Responda STOP para não receber mais mensagens" e honre esse pedido de imediato.

Para SMS: o mesmo. E registe todos os pedidos de opt-out — a CNPD pode solicitar esse registo.

3. Limitação de finalidade e minimização de dados

O que registar e conservar

A CNPD pode pedir evidências de conformidade. Mantenha registo de:

Quando e como o consentimento foi obtido (data, fonte, formulário ou checkbox utilizado).
O que o utilizador autorizou exactamente.
Opt-outs recebidos e data de processamento.
Retenção de dados: durante quanto tempo conserva os números e as conversas.

Contratos de processamento de dados (DPA)

O WhatSMS disponibiliza um DPA para todos os clientes, com confirmação de que os dados são processados exclusivamente na União Europeia (servidores Hetzner na Alemanha e Áustria).

Mensagens transaccionais vs. mensagens de marketing

Esta distinção é crucial. As regras do RGPD para marketing são mais estritas do que para comunicações transaccionais.

Mensagens de marketing (requerem base legal específica): promoções e descontos, lançamento de novos produtos, newsletters via WhatsApp ou SMS, upsell/cross-sell proactivo.

Se enviar uma mensagem de confirmação de encomenda e incluir um cupão de desconto no final, a mensagem torna-se parcialmente de marketing. Seja conservador nesta fronteira.

Lista de verificação prática

Antes de lançar a próxima campanha, verifique:

Tem base legal documentada para cada segmento de destinatários?
As mensagens incluem opt-out claro e funcional?
Tem registo de quando e como o consentimento foi obtido?
Existe DPA assinado com o fornecedor da plataforma de mensagens?
Os dados dos clientes são conservados apenas durante o necessário?
A equipa conhece o procedimento para responder a pedidos de acesso, rectificação ou eliminação de dados?

Conformidade com o RGPD não é um projecto de uma vez — é uma prática contínua. Mas com os processos correctos em vigor, o esforço de manutenção é mínimo.

Pronto para experimentar o WhatSMS?

14 dias grátis, sem cartão de crédito.

Começar grátis