Anda mungkin tidak dapat mendaftar dengan kami sekarang karena saat ini kami mengalami downtime 15 menit pada produk kami. Meminta Anda untuk bersabar dengan kami.

Rumah
Right Chevron Icon
Blog
Right Chevron Icon
Whatsapp
Right Chevron Icon
LGPD WhatsApp Business 2026: Kepatuhan, Opt-in, dan Sanksi

LGPD WhatsApp Business 2026: Kepatuhan, Opt-in, dan Sanksi

Kashika Mishra

11
menit membaca

May 20, 2026

Panduan Kepatuhan Lengkap LGPD WhatsApp Business 2026

Key Takeways

  • Kepatuhan LGPD kini menjadi persyaratan operasional wajib bagi bisnis yang menggunakan WhatsApp Business di Brasil, dengan ANPD secara aktif menegakkan pelanggaran dan denda yang mencapai hingga R$50 juta per pelanggaran.
  • Bisnis Brasil yang menggunakan WhatsApp untuk pemasaran, dukungan pelanggan, verifikasi OTP, atau perdagangan percakapan harus memiliki dasar hukum yang sah, catatan persetujuan pelanggan, dan alur kerja pemrosesan data yang dapat diaudit.
  • Manajemen opt-in eksplisit sangat penting untuk kampanye pemasaran WhatsApp di Brasil, sementara pesan utilitas dan autentikasi dapat mengandalkan kebutuhan kontraktual atau kepentingan sah tergantung pada kasus penggunaan.
  • Bisnis harus menerapkan kebijakan retensi data, alur kerja penghapusan data pelanggan, pencatatan persetujuan, dan praktik penanganan data yang aman untuk tetap mematuhi peraturan LGPD.
  • Memilih penyedia WhatsApp Business dengan perangkat kepatuhan LGPD bawaan, manajemen persetujuan, dan infrastruktur pesan yang aman secara signifikan mengurangi risiko hukum dan operasional.

    • Undang-Undang Perlindungan Data Umum (LGPD) adalah undang-undang privasi Brasil yang berlaku sejak 2020, ditegakkan oleh ANPD (Otoritas Perlindungan Data Nasional). Pada tahun 2025, ANPD memasuki fase penegakan aktif, dengan denda nyata diterapkan terhadap bisnis Brasil yang menggunakan WhatsApp untuk komunikasi pelanggan tanpa dasar hukum yang memadai. Pada tahun 2026, kepatuhan LGPD untuk WhatsApp Business tidak lagi opsional - ini adalah kewajiban teknis yang didokumentasikan dengan denda hingga R$50 juta per pelanggaran.

    Panduan ini mencakup semua yang harus dilakukan setiap bisnis Brasil: dasar hukum, opt-in, retensi data, hak subjek data, dan tumpukan teknis minimum.

    Apa yang diwajibkan LGPD terkait WhatsApp Business

    LGPD memperlakukan data pribadi (termasuk nomor WhatsApp, konten percakapan, dan pola penggunaan) di bawah enam dasar hukum. Untuk penggunaan WhatsApp Business dengan pelanggan, dua yang paling umum adalah:

    • Persetujuan (pasal 7, I). Subjek data secara eksplisit menyetujui pemrosesan. Dasar yang diutamakan untuk komunikasi pemasaran dan promosi.
    • Pelaksanaan kontrak (pasal 7, V). Pemrosesan yang diperlukan untuk memenuhi kontrak dengan subjek data. Dasar untuk konfirmasi pesanan, pembaruan pengiriman, OTP autentikasi.

    ANPD menerbitkan panduan khusus pada tahun 2024-2025 yang menegaskan bahwa persetujuan email tidak mencakup WhatsApp. Keduanya adalah saluran yang berbeda dan memerlukan persetujuan terpisah.

    Lima kewajiban minimum untuk kepatuhan WhatsApp + LGPD pada tahun 2026:

    1. Dasar hukum yang didokumentasikan untuk setiap tujuan (dukungan, pemasaran, transaksional).
    2. Kebijakan privasi spesifik yang menyebutkan WhatsApp sebagai saluran.
    3. Mekanisme opt-in yang jelas dengan catatan yang dapat diaudit (cap waktu, IP, teks persetujuan yang tepat).
    4. Mekanisme opt-out yang jelas (kata kunci STOP, tautan pembatalan, proses penghapusan manual).
    5. Retensi terbatas dan pemusnahan data terjadwal.

    Dasar hukum: cara memilih

    Bisnis yang menggunakan komunikasi WhatsApp di Brasil harus memilih dengan cermat dasar hukum yang sesuai berdasarkan LGPD tergantung pada tujuan setiap jenis pesan. OTP Autentikasi, verifikasi akun, konfirmasi pesanan, pembaruan pengiriman, dan notifikasi pengiriman biasanya diproses berdasarkan pelaksanaan kontrak karena diperlukan untuk penyediaan layanan, keamanan akun, dan pemenuhan pembelian. Tanda terima dan konfirmasi pembayaran mungkin juga mengandalkan kewajiban hukum karena persyaratan pencatatan pajak dan keuangan.

    Untuk survei kepuasan pelanggan, bisnis dapat mengandalkan kepentingan sah atau persetujuan eksplisit, meskipun penggunaan kepentingan sah seringkali memerlukan dokumentasi Penilaian Kepentingan Sah (RIPD) untuk membenarkan aktivitas pemrosesan. Kampanye pemasaran, pesan promosi, pemulihan keranjang belanja yang ditinggalkan, dan kampanye reaktivasi pelanggan umumnya memerlukan persetujuan pelanggan yang eksplisit berdasarkan LGPD karena regulator Brasil semakin mengklasifikasikan alur kerja ini sebagai aktivitas pemasaran langsung. Mempertahankan catatan persetujuan, log opt-in, dan mekanisme berhenti berlangganan yang jelas sangat penting untuk mengurangi risiko kepatuhan dan mengoperasikan alur kerja komunikasi WhatsApp yang skalabel di Brasil.

    Opt-in yang memenuhi LGPD

    Persetujuan yang sah berdasarkan LGPD harus bebas, diinformasikan, tidak ambigu, dan spesifik.

    Bebas

    Tidak dapat dikondisikan pada perolehan produk/layanan.

    Diinformasikan

    Teks harus menyebutkan: apa yang akan dikirim, frekuensi perkiraan, cara membatalkan, tautan ke kebijakan.

    Tidak Ambigu

    Tindakan yang positif dan jelas. Kotak centang tidak dicentang sebelumnya.

    Spesifik

    Untuk setiap tujuan, satu persetujuan. Tidak boleh digabungkan.

    Contoh opt-in yang sah

    [ ] Saya ingin menerima penawaran dan berita melalui WhatsApp
    (kami dapat mengirim hingga 2 pesan per minggu, Anda dapat membatalkan dengan membalas STOP)

    Contoh opt-in yang tidak sah

    [x] Saya menerima syarat penggunaan, kebijakan privasi, dan mengizinkan pemasaran melalui email dan WhatsApp.

    Gagal karena: sudah dicentang sebelumnya, penggabungan beberapa tujuan. ANPD menganggap tidak sah.

    Catatan persetujuan

    Untuk setiap opt-in, dokumentasikan:

    • Stempel waktu lengkap (tanggal, waktu, zona waktu).
    • IP Asal.
    • User-agent.
    • Teks persetujuan yang tepat.
    • Versi kebijakan privasi pada saat itu.
    • Saluran pengumpulan (formulir web, aplikasi, kode QR).
    • Tujuan spesifik yang diizinkan.

    ANPD dalam penegakan hukum dapat meminta laporan konsolidasi dalam 15-30 hari. WhatsApp Business API di Brasil mempertahankan log yang kompatibel dengan LGPD untuk setiap opt-in.

    Pilih keluar: mekanisme wajib

    Setiap komunikasi pemasaran WhatsApp harus menawarkan mekanisme pembatalan yang jelas:

    • Kata kunci dalam teks bebas. Pelanggan membalas STOP, END, CANCEL. Sistem mengenali, menghapus, mengonfirmasi.
    • Tombol balasan cepat. Template dengan tombol Jangan-terima-lagi.
    • Tautan pengelolaan. Tautan membuka panel tempat pelanggan mengelola preferensi.

    Lima aturan:

    1. Pilih keluar di SETIAP pesan pemasaran. Bukan hanya yang awal.
    2. Pemrosesan dalam 24 jam. Pelanggan tidak dapat menerima lagi setelah 24 jam.
    3. Konfirmasi yang jelas. Pelanggan perlu menerima pesan konfirmasi.
    4. Jangan mempersulit. Konfirmasi ganda, login yang rumit dilarang.
    5. Simpan catatan penolakan. Simpan cap waktu penolakan minimal 5 tahun.

    Retensi data

    Bisnis yang menggunakan WhatsApp Business API di Brasil sebaiknya menerapkan kebijakan retensi data terstruktur agar tetap patuh terhadap LGPD dan menjaga catatan audit yang dapat dipertanggungjawabkan.

    Pesan pemasaran catatan biasanya direkomendasikan untuk disimpan hingga dua tahun setelah interaksi terakhir pelanggan untuk menjaga bukti komunikasi dan aktivitas kampanye. Pesan transaksional, termasuk konfirmasi pesanan, tanda terima, dan notifikasi akun, umumnya disimpan selama lima tahun untuk selaras dengan periode pembatasan Kode Pertahanan Konsumen (CDC) Brasil. Catatan persetujuan pelanggan juga harus disimpan hingga lima tahun setelah pencabutan persetujuan untuk menyediakan bukti hukum dan kepatuhan jika terjadi sengketa. Log pengiriman operasional umumnya disimpan sekitar dua tahun untuk mendukung audit internal, investigasi pengiriman, dan pemantauan platform. Catatan pelanggan yang tidak aktif sering disimpan hingga tiga tahun untuk mendukung kampanye reaktivasi pelanggan potensial dan alur kerja pemulihan akun sambil mempertahankan praktik pengelolaan data yang patuh.

    Setelah retensi, data harus dianonimkan atau dibuang. Anonimisasi bukanlah enkripsi yang dapat dibalik.

    Hak subjek data

    LGPD menjamin sembilan hak (pasal 18):

    Konfirmasi pemrosesan

    Tanggapan dalam 15 hari.

    Akses ke data

    Salinan elektronik dalam 15 hari.

    Koreksi data

    Tanpa biaya.

    Anonimisasi, pemblokiran, atau penghapusan

    Dalam 15 hari, kecuali kewajiban hukum.

    Portabilitas

    Berkas terstruktur untuk transfer.

    Informasi tentang pembagian

    Daftar penerima data.

    Informasi tentang penolakan persetujuan

    Konsekuensi dijelaskan sebelumnya.

    Pencabutan persetujuan

    Dalam 24 jam.

    Peninjauan keputusan otomatis

    Peninjauan algoritma oleh manusia.

    Transfer internasional

    Server WhatsApp Meta berada di luar Brasil. LGPD mengizinkan transfer internasional dengan persyaratan (pasal 33). Untuk operasional WhatsApp Business, transfer umumnya tercakup dalam pelaksanaan kontrak dengan subjek data.

    BSP Brasil (atau Platform Pemasaran WhatsApp) mengoperasikan server sendiri di wilayah nasional untuk penyimpanan log, persetujuan, dan data manajemen. Hanya transmisi pesan yang melewati Meta.

    Operator dan pengendali

    • Anda adalah pengendali. Perusahaan Anda memutuskan apa yang akan dikirim, kepada siapa, untuk tujuan apa. Bertanggung jawab utama di hadapan ANPD.
    • BSP adalah operator. Memproses data atas nama Anda sesuai kontrak. Anda memerlukan kontrak operator.
    • Meta adalah sub-operator. Memproses data atas nama BSP.

    Klausul minimum dalam kontrak BSP: tujuan pemrosesan spesifik, langkah-langkah keamanan teknis, sub-operator yang diotorisasi, bantuan terkait hak subjek data, pemberitahuan insiden dalam waktu 24 jam, penghapusan atau pengembalian data di akhir kontrak.

    Insiden keamanan

    Kewajiban jika terjadi insiden:

    1. Memberitahukan ANPD dalam waktu yang wajar. Biasanya hingga 72 jam; 24 jam dalam kasus serius.
    2. Memberitahukan subjek data yang terdampak. Komunikasi yang jelas, tanpa jargon teknis.
    3. Dokumentasikan secara internal. Laporan disimpan minimal 5 tahun.
    4. Terapkan koreksi. Audit setelah 6 bulan.

    Lima vektor insiden yang paling sering muncul: agen lupa keluar, integrasi yang salah konfigurasi sehingga mengekspos kunci API, bot mengirim ke penerima yang salah, mantan karyawan dengan akses panel, phishing pada admin BSP.

    Sanksi

    ANPD dapat menerapkan sanksi bertingkat (pasal 52):

    • Peringatan.
    • Denda sederhana hingga 2 persen dari pendapatan di Brasil, dibatasi hingga R$50 juta per pelanggaran.
    • Denda harian.
    • Publikasi pelanggaran.
    • Pemblokiran atau penghapusan data.
    • Penangguhan operasi basis data.
    • Larangan aktivitas pemrosesan.

    Daftar periksa kepatuhan LGPD WhatsApp Business

    1. Kebijakan privasi yang diterbitkan menyebutkan WhatsApp sebagai saluran?
    2. Dasar hukum ditetapkan untuk setiap tujuan?
    3. Opt-in WhatsApp terpisah dari persetujuan lainnya?
    4. Setiap opt-in memiliki catatan dengan stempel waktu, IP, teks, versi kebijakan?
    5. Setiap pesan pemasaran memiliki mekanisme berhenti berlangganan?
    6. Permintaan berhenti berlangganan diproses dalam 24 jam?
    7. DPO ditunjuk dan kontak publik tersedia?
    8. Kebijakan retensi ditetapkan dengan batas waktu per jenis data?
    9. Pemusnahan otomatis data kedaluwarsa diterapkan?
    10. Saluran terdokumentasi untuk menggunakan hak?
    11. Kontrak operator ditandatangani dengan BSP, dengan klausul minimum?
    12. Rencana respons insiden didokumentasikan dan diuji?
    13. Program pelatihan tim tentang LGPD?
    14. RIPD untuk pemrosesan berisiko tinggi?
    15. Audit kepatuhan LGPD internal tahunan?

    Bisnis yang menjawab ya untuk semua 15 pertanyaan memiliki posisi pertahanan yang kuat. Kurang dari 10 berarti paparan material.

    Bagaimana WhatsAppNow Brazil mendukung kepatuhan LGPD

    WhatsAppNow dirancang dengan mempertimbangkan LGPD: log persetujuan yang kompatibel dengan LGPD, pemrosesan berhenti berlangganan otomatis, server di Brasil, kontrak operator standar, rencana respons insiden, dukungan DPO.

    Pertanyaan yang sering diajukan

    Bisakah saya menggunakan WhatsApp untuk pelanggan yang sudah memberikan email kepada saya?

    Tidak secara otomatis. Persetujuan email terpisah dari persetujuan WhatsApp. Minta persetujuan khusus sebelum memulai komunikasi WhatsApp.

    Apa yang terjadi jika saya menerima notifikasi ANPD?

    Tanggapi dalam batas waktu (biasanya 15 hari) dengan bukti terdokumentasi. Tunjuk DPO atau pengacara khusus. Jika ada pelanggaran nyata, regulasi mandiri biasanya mengurangi sanksi.

    Bisakah pelanggan meminta riwayat semua yang saya kirimkan kepada mereka?

    Ya. Hak akses memungkinkan pelanggan untuk meminta salinan semua data pribadi yang diproses. Berikan dalam waktu 15 hari dalam format elektronik terstruktur.

    Apakah saya memerlukan DPO jika saya adalah usaha kecil?

    Ya. LGPD mewajibkan penunjukan terlepas dari ukuran. Untuk usaha kecil, bisa berupa karyawan yang merangkap fungsi atau DPO yang dialihdayakan. Kontak harus dipublikasikan di situs.

    Bisakah saya menggunakan data WhatsApp untuk melatih AI/chatbot?

    Hanya dengan dasar hukum yang spesifik. Pelatihan model adalah tujuan yang berbeda - memerlukan persetujuan spesifik atau kepentingan sah dengan RIPD.

    Apa yang harus dilakukan jika karyawan membagikan percakapan pelanggan?

    Perlakukan sebagai insiden keamanan. Selidiki, tangani, beritahukan ANPD dan subjek data jika perlu, terapkan tindakan disipliner, implementasikan kontrol teknis.

    Langkah selanjutnya

    Lakukan daftar periksa 15 item di atas. Mulai dengan tiga yang terbesar: opt-in dengan catatan yang dapat diaudit, opt-out otomatis, kebijakan retensi. Tunjuk DPO secara resmi dan publikasikan kontak. Tinjau kontrak BSP. Latih tim pemasaran dan dukungan. Lakukan audit internal tahunan.

    Untuk infrastruktur teknis yang kompatibel dengan LGPD, WhatsApp Business API untuk Bisnis di Brasil menyediakan log persetujuan, opt-out otomatis, server Brasil, dan kontrak standar.

    Frequently Asked Questions

    How do I choose the right OTP service provider?

    When selecting an OTP SMS service provider, focus on:

    • Delivery reliability and speed
    • Global coverage and local compliance
    • Multi-channel support and fallback
    • Ease of integration
    • Pricing transparency

    The right provider should not just send OTPs but ensure they are delivered consistently across regions and networks.

    Not all OTP SMS service providers are built the same.

    Some optimize for cost, others for flexibility but very few balance delivery reliability, global coverage and ease of use. And that balance is what actually impacts whether your users receive OTPs on time.

    If OTP is critical to your product, focus on:

    • reliable delivery (not just sending)
    • multi-channel fallback
    • scalability across regions

    Try It for Yourself

    Why is multi-channel OTP important?

    Relying only on SMS can lead to failed verifications due to:

    • network issues
    • telecom filtering
    • device limitations

    Multi-channel OTP systems (SMS + WhatsApp + voice) improve success rates by automatically retrying through alternative channels if one fails.

    What is the best OTP SMS service provider in India?

    Some of the commonly used OTP SMS service providers in India include MSG91, Exotel and 2Factor.

    That said, India has additional challenges like DLT compliance and operator filtering. Platforms that handle these internally while also offering fallback options tend to provide more consistent OTP delivery.

    Which is the cheapest OTP service provider?

    Providers like Fast2SMS and 2Factor are often considered among the cheapest OTP service providers, especially in India.

    However, lower pricing can come with trade-offs such as:

    • lower route quality
    • higher delivery delays
    • limited fallback options

    For mission-critical OTP flows, reliability often matters more than just cost.

    Which is the best OTP service provider in 2026?

    The best OTP service provider depends on your use case.

    • For global scale and flexibility: Twilio, Infobip
    • For cost-effective APIs: Plivo
    • For India-focused SMS OTP: MSG91, Exotel

    However, platforms like Message Central stand out by balancing global coverage, multi-channel fallback and ease of deployment, making them suitable for businesses that prioritize delivery reliability.

    What is an OTP service provider?

    An OTP service provider enables businesses to send temporary verification codes to users via channels like SMS, WhatsApp or voice to authenticate logins, transactions or sign-ups.

    Modern OTP SMS service providers go beyond just sending messages, they ensure reliable delivery using optimized routing, retries and sometimes multi-channel fallback.

    Siap untuk Memulai?

    Bangun saluran komunikasi yang efektif dengan Message Central.

    Request Demo

    Artikel terkait

    Telusuri semua posting
    Arrow Right Icon Green
    Whatsapp

    Harga WhatsApp Business API di Brasil 2026: Rincian Biaya Sebenarnya berdasarkan Volume

    9
    menit membaca
    May 20, 2026
    Whatsapp

    Pemasaran WhatsApp Brasil 2026: Strategi, Template, dan ROI

    10
    menit membaca
    May 20, 2026
    Whatsapp

    Platform WhatsApp Business Terbaik untuk Brasil 2026: 8 BSP Dibandingkan

    11
    menit membaca
    May 19, 2026
    Whatsapp

    WhatsApp Business API di Brasil 2026: Panduan Lengkap untuk Bisnis Brasil

    8
    menit membaca
    May 19, 2026

    Newsletter Mingguan Langsung ke Kotak Masuk Anda

    Envelope Icon
    Terima kasih! Kiriman Anda telah diterima!
    Ups! Ada yang tidak beres saat mengirimkan formulir.
    Whatsapp
    Whatsapp
    +17178379132
    phone-callphone-call