O Telegram está em conformidade com o GDPR? Um guia para operadores de CRM sobre dados, retenção e a lei da UE

Se a sua equipe conduz conversas com clientes no Telegram e algum desses clientes mora na União Europeia, você é um controlador de dados sob o Regulamento Geral de Proteção de Dados (GDPR). O fato de o Telegram ser um aplicativo de mensagens e não um CRM não muda essa classificação. Cada nome de contato, número de telefone, transcrição de conversa e etiqueta que você armazena é um dado pessoal, e o arcabouço legal que se aplica é o mesmo com o qual a sua plataforma de e-mail marketing lida desde 2018.

É aqui que a maioria dos operadores trava. O regulamento é extenso, as autoridades fiscalizadoras são desconhecidas e as orientações públicas são escritas para setores com equipes jurídicas dedicadas. A pergunta prática — «o que eu preciso fazer de diferente se estou usando uma conta pessoal do Telegram dentro de um workspace?» — basicamente não tem resposta dedicada na internet pública. Este artigo é essa resposta, escrito para fundadores, líderes de suporte e revenue ops, não para advogados. Nada disto é aconselhamento jurídico, mas é a postura operacional que vimos funcionar em equipes auditadas em GDPR rodando na Entergram.

Referências oficiais ao longo do texto: o próprio regulamento está no GDPR.eu, as orientações oficiais do Comitê Europeu de Proteção de Dados cobrem as áreas cinzentas, e o NIST SP 800-53 é o padrão que a maioria das equipes de segurança usa para o mapeamento de controles. Quando um auditor pedir uma citação, cite esses três.

O GDPR exige que toda atividade de processamento — armazenar um contato, enviar um broadcast, etiquetar uma conversa — se apoie em uma de seis bases legais. Para o uso de CRM no Telegram, três delas importam: consentimento, contrato e legítimo interesse.

O consentimento é a base mais limpa para broadcasts e marketing. Ele tem que ser «livre, específico, informado e inequívoco», o que significa que o botão /start do seu bot não é consentimento; o opt-in no seu formulário de cadastro, sim. Uma etiqueta na conversa — usamos «consent-marketing-AAAA-MM-DD» — registra a base com um carimbo de data e hora para que, em uma auditoria, você possa apresentar o momento do opt-in.

O contrato cobre as conversas que você tem com clientes existentes sobre o serviço que estão pagando. Uma conversa de suporte sobre uma assinatura não exige um consentimento separado. Você está executando o contrato; o processamento é necessário para ele. Essa é a base que cobre a maioria dos fluxos de ticketing e customer success.

O legítimo interesse é a base mais mal compreendida. Ela cobre prospecção, analytics interno e prevenção a fraudes — coisas que você pode justificar como necessárias para administrar o negócio e onde o titular dos dados razoavelmente esperaria o processamento. Você ainda precisa equilibrar o seu interesse contra os direitos do titular, documentar o teste de ponderação e respeitar qualquer objeção. Etiquetar uma conversa com «outreach-lead-source-web» e armazená-la por noventa dias para acompanhamento de pipeline é um caso clássico de legítimo interesse; armazenar a mesma conversa por cinco anos porque «pode ser útil» não é.

O GDPR não define um prazo fixo de retenção. Ele exige que os dados pessoais não sejam mantidos por mais tempo do que o necessário para a finalidade para a qual foram coletados. A tradução operacional é: defina a finalidade, defina o prazo, registre-o por escrito e exclua conforme o cronograma.

Padrões práticos que passam bem em auditoria para um CRM B2B no Telegram: conversas de clientes ativos pela duração do contrato mais um ano (para cobrir obrigações de garantia e fiscais), conversas de leads encerrados por doze meses, conversas com consentimento de marketing enquanto o consentimento estiver ativo, conversas de spam/abuso por trinta dias. Esses são pontos de partida — o seu próprio regulador e setor podem exigir prazos diferentes, especialmente em finanças, saúde e educação.

O requisito prático é que você consiga, de fato, excluir. A Entergram disponibiliza exportação e exclusão de dados no nível do workspace e no nível de cada conversa individual. Todo o conteúdo das mensagens é criptografado de ponta a ponta e armazenado apenas nos servidores do Telegram — a Entergram nunca vê o texto das mensagens — então a camada de CRM que excluímos são metadados, etiquetas, notas e campos estruturados. O design da criptografia é o motivo pelo qual podemos fazer afirmações fortes sobre exclusão: não há uma cópia secundária da conversa a ser esquecida. Nossa página de segurança detalha tudo isso.

Sob o Artigo 15 do regulamento, qualquer titular de dados pode perguntar quais dados pessoais você mantém sobre ele. Você tem um mês para responder. Ignorar a solicitação é uma das formas mais baratas de receber uma multa. Responder bem é uma questão de saber de quais sistemas você precisa extrair os dados.

Para um CRM no Telegram, isso significa: os metadados da conversa do contato, todas as etiquetas aplicadas, todos os valores de colunas personalizadas, todos os comentários internos, todo o histórico de tickets, quaisquer broadcasts que ele recebeu e quaisquer eventos de analytics vinculados à conversa dele. A exportação em CSV da Entergram cobre cada um desses itens. Aponte o filtro para o ID da conversa do titular, exporte, revise em busca de qualquer coisa que possa expor terceiros e envie. Já vimos equipes concluírem respostas completas de acesso do titular em menos de vinte minutos usando esse fluxo de trabalho.

A contrapartida da exclusão (Artigo 17, direito ao esquecimento) é uma única ação na Entergram: excluir a conversa do workspace. O histórico de mensagens do Telegram no próprio dispositivo é separado, regido pela política de privacidade do próprio Telegram, e o titular pode excluir o lado dele no app do Telegram. Não prometa excluir aquilo que você não controla.

Se você é uma equipe que usa a Entergram para gerenciar conversas com clientes, você é o controlador e a Entergram é um processador. Essa relação é regida por um Acordo de Processamento de Dados (DPA) — você deve ter um arquivado e assinado antes de armazenar um único contato da UE no workspace. O nosso está disponível mediante solicitação; a maioria das ferramentas concorrentes para Telegram não oferece nenhum, o que, por si só, é um sinal de conformidade.

O DPA nos compromete com uma lista específica de obrigações: processar apenas mediante suas instruções documentadas, manter a confidencialidade, implementar medidas técnicas e organizacionais apropriadas, auxiliar com os deveres de acesso do titular e de notificação de violações, e transparência sobre subprocessadores. Cada item dessa lista mapeia para uma peça concreta da arquitetura da Entergram — sessões criptografadas, IPs dedicados por conta, um cofre criptografado para credenciais, logs de auditoria no lado do servidor e subprocessadores documentados para hospedagem e e-mail.

Após o Schrems II, transferir dados pessoais para fora do Espaço Econômico Europeu exige salvaguardas adicionais, geralmente Cláusulas Contratuais Padrão somadas a uma avaliação de impacto da transferência. Para o uso de CRM no Telegram, a pergunta prática é: onde estão hospedados os dados do seu workspace e os arquivos de sessão?

A Entergram opera infraestrutura hospedada na UE para workspaces com residentes na UE. Se você é uma equipe sediada na UE ou tem clientes na UE, pode solicitar residência de dados exclusivamente na UE para o seu workspace, e faremos o seu onboarding na região da UE desde o primeiro dia. Os próprios arquivos de sessão — o estado criptografado que permite à Entergram conectar a sua conta do Telegram — são criptografados com AES-256-GCM e armazenados na região da UE quando o workspace tem escopo na UE. As orientações de transferência do EDPB são a referência principal caso a sua equipe de segurança pergunte.

Quando um auditor aparece para uma verificação de prontidão de ISO 27001 ou SOC 2, as perguntas sobre o CRM no Telegram são sempre as mesmas cinco. Quem pode ver uma determinada conversa? Como as credenciais de sessão são protegidas? Como as senhas são armazenadas? O que acontece quando um colega de equipe sai? Como você detecta acessos não autorizados?

As respostas curtas na Entergram: a fronteira de privacidade do workspace significa que cada usuário só vê conversas das contas que ele mesmo conectou, mesmo dentro de um workspace compartilhado. Os arquivos de sessão são criptografados em repouso com AES-256-GCM usando chaves que não podem ser recuperadas pelo suporte. A autenticação usa OAuth padrão com suporte a 2FA. O off-boarding é uma única ação no workspace que revoga assentos e acesso de sessão. Os logs de auditoria cobrem cada ação de assento, broadcast, exportação e exclusão, e são retidos conforme o prazo que você configurar.

Esse conjunto de controles se alinha à maioria dos requisitos de baseline moderada do NIST SP 800-53. Se o seu auditor quiser uma planilha de mapeamento de controles, nossa equipe de segurança produzirá uma sob NDA.

«O seu uso do Telegram está em conformidade com o GDPR?» Sim, quando você tem uma base legal por atividade de processamento, um cronograma de retenção documentado, um DPA com o fornecedor do seu CRM, um processo de acesso do titular que você consegue executar em menos de um mês, residência de dados na UE para titulares da UE e uma arquitetura de workspace que impõe limites de acesso. Essa é a resposta de verdade. A Entergram foi projetada para que cada uma dessas peças seja infraestrutura, e não um recurso que você tem que montar sozinho — e é por isso que equipes reguladas que rodam broadcasts, ticketing e vendas por meio de contas pessoais do Telegram conseguem fazê-lo sem que a equipe jurídica entre em crise.