"LGPD se aplica a bot de afiliado?". A resposta curta: sim, se voce trata dados pessoais. A resposta longa envolve entender o que conta como dado pessoal, quais bases legais existem e quais riscos reais um afiliado corre se ignorar. Nesse post, explicamos o que importa na pratica — sem jargao juridico e sem medo desnecessario. Esse guia nao substitui consulta juridica, mas cobre 90% do que um afiliado individual ou pequeno operador precisa saber.
LGPD em 30 segundos
A Lei Geral de Protecao de Dados (Lei 13.709/2018) regula como dados pessoais de brasileiros sao coletados, tratados, armazenados e compartilhados. Dado pessoal e qualquer informacao que identifique ou possa identificar uma pessoa natural: nome, telefone, email, IP, foto, comportamento, localizacao. A LGPD se aplica a qualquer empresa ou pessoa fisica que trata esses dados no Brasil, independente do tamanho.
O que um bot de afiliado trata de dados pessoais?
Quando voce opera um bot como o Afilira, alguns dados sao tratados automaticamente:
- Numeros de telefone dos membros dos grupos (visiveis no WhatsApp)
- Nomes de exibicao dos membros (quando enviam mensagens no PV)
- Conteudo de mensagens trocadas no PV (para follow-up por interesse, por exemplo)
- Cliques em links de afiliado (se voce usa tracking)
- Metadata de comportamento (horarios, frequencia de interacao)
Todos esses sao dados pessoais sob LGPD. Voce precisa ter uma base legalpara tratar cada um deles.
Bases legais aplicaveis ao afiliado
A LGPD define 10 bases legais. Para afiliados, as 3 mais relevantes sao:
1. Consentimento (art. 7, I)
O titular do dado (o membro do grupo) da consentimento explicito para o uso do dado. Para bot de afiliado, isso significa: quando um membro envia mensagem no PV pedindo "notebook", ele esta implicitamente consentindo que voce use esse dado pra mandar ofertas matching. Mas consentimento DEVE ser livre, informado, especifico e inequivoco. Um banner generico nao conta.
2. Legitimo interesse (art. 7, IX)
Voce trata dados porque tem interesse legitimo que justifica, desde que nao supere os direitos do titular. Para divulgar ofertas em grupos publicos aos quais os membros entraram voluntariamente, esse e normalmente o enquadramento. O operador precisa documentar a avaliacao (LIA — Legitimate Interest Assessment).
3. Execucao de contrato (art. 7, V)
Quando voce trata dados pra cumprir um contrato com o titular — ex: envio de conteudo solicitado pelo usuario via cadastro. Menos aplicavel em bots WhatsApp publicos.
Situacoes reais: o que e risco e o que nao e
BAIXO RISCO: repost de oferta em grupo publico
Voce esta em grupo publico, recebe oferta postada por terceiro, troca o link pelo seu afiliado e posta em outro grupo. Nao ha coleta de dado pessoal identificavel nova — apenas retransmissao de conteudo publico. Risco LGPD baixo, desde que voce nao esteja coletando telefones ou comportamento individual.
MEDIO RISCO: follow-up por interesse no PV
Um membro manda no PV "notebook", voce armazena o interesse e envia follow-ups em 24/48/72h. Aqui voce esta coletando e armazenando dado pessoal com comportamento. Precisa: (1) deixar claro que o dado vai ser armazenado, (2) permitir que o usuario pare a qualquer momento (o comando "parar" ou "limpar" do Afilira serve), (3) ter uma politica de privacidade publica.
ALTO RISCO: adicao nao solicitada de membros em grupos
Coletar numeros de outros grupos e adicionar em grupos seus sem consentimento. Isso viola LGPD (tratamento sem base legal) E o termo de uso do WhatsApp. Alto risco juridico e operacional (ban do numero). Nao faca — nem com automacao, nem manualmente.
As 5 obrigacoes minimas de um afiliado serio
1. Politica de privacidade publica
Ter uma pagina de politica de privacidade no site onde voce descreve quais dados coleta, como usa, com quem compartilha e por quanto tempo armazena. E o minimo.
2. Permitir que o titular solicite exclusao
A LGPD garante direito a exclusao ("direito ao esquecimento"). O usuario deve poder pedir que voce apague os dados dele. No Afilira, isso e implementado via comandos "limpar", "parar" e exclusao em massa pelo painel.
3. Nao compartilhar dados sem autorizacao
Voce coletou o numero de telefone como "interesse em oferta"? Nao pode vender essa base, trocar com outro afiliado, nem usar pra produto diferente sem nova autorizacao. Compartilhamento tem que ser especifico e consentido.
4. Proteger os dados
Senha forte, 2FA ativo, ambiente de producao seguro, nao armazenar cookies de autenticacao em texto puro. Se um afiliado usa planilha do Google Drive publica pra armazenar telefones, isso ja viola o dever de seguranca.
5. Responder a pedidos do titular
Se alguem pedir "quais dados meus voce tem?", voce tem 15 dias para responder. Ignorar pode gerar sancao da ANPD (Autoridade Nacional de Protecao de Dados).
Riscos reais: multas e fiscalizacao
A ANPD pode aplicar multas de ate R$ 50 milhoes OU 2% do faturamento — o que for menor. Para afiliados pessoa fisica, a multa maxima teorica e baixa, mas o risco real e outro: processo judicial de um titular. Qualquer pessoa pode processar voce se sentir que o dado dela foi mal usado. Custo defensivo inicial: R$ 3.000-10.000.
Em 2026, a ANPD ainda e um fiscalizador em construcao, e 90% das multas aplicadas ate agora foram a grandes empresas e bancos. Mas a tendencia e clara: a partir de 2027, operacoes pequenas vao comecar a ser monitoradas. Organizar-se agora e preventivo.
LGPD + WhatsApp: as regras do proprio WhatsApp
Alem da lei, voce tem que respeitar os termos de uso do WhatsApp — que sao mais rigorosos que a LGPD em alguns pontos. O WhatsApp proibe explicitamente:
- Mensagens em massa automatizadas para contatos nao-opt-in
- Uso de APIs nao-oficiais (risco de ban)
- Coleta automatica de numeros de grupos publicos
- Venda de listas de contatos obtidos via WhatsApp
O Afilira opera dentro dos termos: usa API oficial (WAHA Plus via WhatsApp Web Session), nao coleta numeros automaticamente, e respeita limites de envio conforme as regras de anti-ban.
Checklist final: LGPD para afiliados
- ✅ Ter politica de privacidade publica no site
- ✅ Nao adicionar membros em grupos sem consentimento explicito
- ✅ Permitir descadastro via comando (parar/limpar)
- ✅ Nao vender nem compartilhar bases de telefone
- ✅ Usar ferramentas que respeitam os termos do WhatsApp
- ✅ Responder pedidos de direito do titular em 15 dias
- ✅ Manter 2FA ativo em todas as contas operacionais
- ✅ Se for escala media+, consultar advogado especializado
LGPD nao precisa ser um bicho de 7 cabecas. Se voce opera com bom senso, usa ferramentas sérias (nao piratas), respeita o direito das pessoas de sair da sua comunicacao e mantem um minimo de registro do que faz, voce esta 90% do caminho. Comece no Afilira — e opere com a tranquilidade de que a plataforma ja segue as boas praticas por padrao.