oHub Base MKT Dados, Analytics e MarTech CRM e Gestão de Dados de Cliente

Consentimento na LGPD para marketing: quando precisa

Quando o marketing exige consentimento e quando outra base legal serve, o que torna o consentimento válido e como registrá-lo — com checklist.
Atualizado em: 07 de julho de 2026 Bases legais para marketing sob LGPD, consentimento explícito, registros, ferramentas de gestão.
Neste artigo: Como este tema funciona na sua empresa Consentimento no marketing sob a LGPD Quando o marketing precisa de consentimento (e quando outra base resolve) Em quais situações o consentimento é a base certa Quando legítimo interesse substitui o consentimento Quando a execução de contrato basta Checklist do consentimento válido sob a LGPD Como é um opt-in válido (e como é um inválido) Exemplos de texto de opt-in O que invalida o opt-in na prática Como registrar e provar o consentimento O que gravar de cada consentimento Como tratar a revogação Direitos do titular que a operação precisa atender Quais direitos aparecem no marketing Como operacionalizar o atendimento Cookies, listas herdadas e fornecedores: três pontos que mais geram exposição Como tratar cookies de marketing O que fazer com listas antigas ou compradas O que exigir do fornecedor (operador) Sinais de que sua conformidade precisa de revisão Caminhos para estruturar a conformidade no marketing Sua empresa consegue mostrar, contato a contato, com qual base legal está fazendo marketing? Perguntas frequentes Quando o marketing precisa de consentimento e quando não precisa? O que torna o consentimento válido sob a LGPD? Como é um opt-in válido e um inválido? Como registrar e provar o consentimento de marketing? Posso usar legítimo interesse em vez de consentimento no marketing? Como funciona a revogação do consentimento? Fontes e referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona na sua empresa

Pequena empresa

O essencial cabe em três decisões: usar opt-in não pré-marcado em todo formulário, registrar de onde veio cada contato e manter descadastro visível em cada envio. Consentimento puro é o caminho mais simples — legítimo interesse exige análise formal que, sem encarregado, é difícil de sustentar. Plataformas como RD Station, Mailchimp e Brevo já guardam data e origem do opt-in; basta ativar e conferir.

Empresa média-grande

O risco não está nos formulários novos, mas em listas antigas e automações que disparam sem base legal registrada. Com encarregado nomeado, dá para combinar consentimento (regra) com legítimo interesse em casos delimitados (cliente ativo, contato profissional), cada uso com teste documentado. Defina um fluxo formal para pedidos do titular e uma plataforma de gestão de consentimento (CMP) para cookies.

Grande empresa

O eixo é governança: registro de consentimento integrado ao CRM/CDP, matriz de finalidades com base legal e prazo de retenção, contrato de tratamento com cada operador. Campanhas com perfilamento ou dado sensível pedem avaliação de impacto. A pergunta deixa de ser "posso enviar?" e vira "qual finalidade, qual base legal, qual prazo de revisão?".

Consentimento no marketing sob a LGPD

é a manifestação livre, informada, inequívoca e específica pela qual a pessoa concorda que seus dados sejam tratados para uma finalidade de marketing determinada, conforme o art. 8º da Lei 13.709/2018 (LGPD).[1] O consentimento é necessário quando não há outra base legal aplicável — tipicamente na captura de contatos sem vínculo prévio, no envio promocional a pessoa física e no uso de cookies de rastreamento. Para cliente ativo e contato profissional B2B, o legítimo interesse costuma substituir o consentimento. A empresa tem o ônus de provar que obteve o consentimento nos termos da lei.

Quando o marketing precisa de consentimento (e quando outra base resolve)

O consentimento é exigido quando não existe vínculo prévio com a pessoa nem expectativa razoável de receber a comunicação — ou seja, na captura de leads sem relação anterior, no envio promocional a pessoa física (B2C) e no disparo de cookies e pixels de rastreamento. Fora desses casos, outra base legal costuma servir. O erro mais comum é tratar a LGPD como "tudo precisa de consentimento": a lei prevê dez bases legais no art. 7º, e o consentimento é apenas uma delas.[1]

Em quais situações o consentimento é a base certa

Consentimento é a base apropriada em três cenários: captura inicial de contato (formulário de landing page, evento, material rico) de quem ainda não tem relação com a empresa; comunicação promocional a pessoa física sem vínculo contratual; e uso de cookies de marketing, pixels e retargeting, que monitoram comportamento entre sessões. Nesses casos não há expectativa prévia nem contrato que ampare o tratamento, então a autorização explícita é o que sustenta o envio.

Quando legítimo interesse substitui o consentimento

Legítimo interesse (art. 7º, IX) cabe quando há expectativa razoável do destinatário — o caso clássico é o cliente ativo recebendo oferta relacionada ao que já comprou, ou o contato profissional B2B obtido em evento setorial. Para usá-lo, a empresa precisa documentar um teste em três fases — finalidade, necessidade, balanceamento com salvaguardas —, conforme o guia orientativo da ANPD sobre legítimo interesse.[2] Sem esse teste arquivado, legítimo interesse vira alegação genérica que não se sustenta em fiscalização. Atenção: legítimo interesse não vale para dado pessoal sensível.

Quando a execução de contrato basta

Mensagem transacional ligada ao contrato — confirmação de compra, atualização de pedido, fatura, aviso de vencimento — tem base na execução de contrato (art. 7º, V) e não precisa de opt-in de marketing. A linha divisória é o conteúdo: se a mensagem cumpre o contrato, é transacional; se promove um produto, é marketing e precisa de consentimento ou legítimo interesse. Embutir oferta promocional dentro de um email transacional descaracteriza a base e expõe a empresa.

Checklist do consentimento válido sob a LGPD

O consentimento válido tem cinco atributos definidos pela LGPD — livre, informado, inequívoco, específico e revogável — mais um requisito formal de destaque (art. 8º). Use a lista como teste: se qualquer item falha, o consentimento não se sustenta.[1]

  1. Livre. Sem coerção e sem amarrar a outro serviço. "Se não aceitar marketing, não baixa o material" invalida o consentimento.
  2. Informado. A pessoa entende o que está autorizando — quem é a empresa, o que será enviado, com que frequência —, com política de privacidade acessível em linguagem clara.
  3. Inequívoco. Manifestação positiva: a pessoa marca a caixa. Caixa pré-marcada, silêncio ou "continuar navegando" não valem.
  4. Específico. Para uma finalidade determinada. O art. 8º, §4º torna nulas as autorizações genéricas; finalidades distintas (newsletter, promoção, compartilhamento com parceiros) pedem consentimentos separados.
  5. Destacado. Quando por escrito, o consentimento deve estar em cláusula apartada das demais — não diluído em "li e aceito os termos".
  6. Revogável. A qualquer momento, com a mesma facilidade com que foi dado — link de descadastro no email, opção visível para cookies.

Como é um opt-in válido (e como é um inválido)

O que separa o opt-in que se sustenta do que não se sustenta é a especificidade do texto e a ação deliberada do usuário. Um opt-in válido descreve o que será enviado e exige que a pessoa marque a caixa; um inválido é vago, pré-marcado ou condicionado.

Exemplos de texto de opt-in

  • Inválido (vago): "☑ Aceito receber comunicações." — caixa pré-marcada e sem finalidade específica.
  • Inválido (amarrado): "Para baixar o e-book, você concorda em receber nossas ofertas." — consentimento condicionado fere o requisito de "livre".
  • Válido (específico): "☐ Quero receber por email a newsletter quinzenal da [Empresa] com conteúdo sobre [tema] e ofertas de produtos."
  • Mais robusto (granular): dois checkboxes independentes — "☐ Newsletter com conteúdo sobre [tema]" e "☐ Ofertas e promoções da [Empresa]" —, cada um registrado em separado.

Junto ao formulário, deixe visível: "Seus dados são tratados pela [Empresa] conforme a Política de Privacidade. Você pode descadastrar a qualquer momento. Dúvidas: [email do encarregado]."

O que invalida o opt-in na prática

Quatro padrões derrubam o consentimento: caixa de seleção já marcada por padrão; consentimento genérico ("autorizo o uso dos meus dados para o que a empresa quiser"); consentimento amarrado ao fornecimento de outro serviço; e cookies ou pixels que disparam antes de a pessoa escolher no banner. Esse último é frequente e grave — a ferramenta de rastreamento precisa ficar bloqueada até o consentimento, senão há tratamento sem base legal mesmo com o banner na tela.

Pequena empresa

Opere sob consentimento puro: checkbox ativo, texto específico, descadastro funcional. Registre o opt-in em planilha simples (data, formulário de origem, texto exibido) ou deixe a plataforma de email guardar — já cobre o essencial para uma fiscalização. O encarregado pode ser função absorvida pelo dono ou pelo jurídico contratado, sem dedicação integral.

Empresa média-grande

Consentimento como regra e legítimo interesse em casos delimitados, cada um com teste formalizado e arquivado. Registre a base legal por contato, implemente uma CMP para cookies e faça revisão semestral da base, separando quem ainda tem base legal de quem precisa ser excluído ou re-permitido. Contratos com fornecedores devem tratar da LGPD.

Grande empresa

Registro de consentimento integrado ao CRM/CDP e à CMP, matriz de finalidades com base legal e retenção por finalidade, avaliação de impacto para campanhas com perfilamento ou dado sensível. Jurídico revisa modelos de opt-in, textos de privacidade e contratos com operadores; auditoria interna periódica valida que a prática corresponde à política.

Como registrar e provar o consentimento

O ônus de provar o consentimento é da empresa (art. 8º, §2º): em questionamento da ANPD, ação judicial ou pedido do titular, é preciso demonstrar que ele foi obtido nos termos da lei.[1] Consentimento sem registro, na prática, é consentimento que não existe. O registro mínimo é o que permite reconstruir quem, quando, para quê e como.

O que gravar de cada consentimento

  1. Identificação do titular — email, documento ou outro identificador conforme o canal.
  2. Data e hora (timestamp) — o momento exato em que a pessoa consentiu.
  3. Escopo — para o que ela consentiu, no texto que viu (newsletter, promoção, compartilhamento).
  4. Canal de obtenção — qual formulário, qual landing page, qual evento.
  5. Versão da política e do texto exibido — a política muda; o registro preserva a versão vigente naquele momento.
  6. Mecanismo de manifestação — clique no checkbox, e, em ambiente digital, registro técnico (IP, identificador do dispositivo) que reforça a prova.

A maioria das plataformas de email modernas grava parte disso automaticamente, mas é preciso conferir que está ativo e exportar periodicamente — em fiscalização, é esse registro que comprova o consentimento.

Como tratar a revogação

Quando a pessoa revoga, o registro preserva a decisão — data, escopo e canal — e o tratamento baseado naquele consentimento deve parar; continuar enviando após o descadastro é falha grave. Opt-out (parar de enviar, mantendo o registro como "não enviar") é diferente de exclusão (remover o dado do banco): a LGPD garante os dois, mas manter alguém como opt-out após pedido de exclusão só se justifica com outra base legal específica para guardar o dado.

Direitos do titular que a operação precisa atender

A LGPD garante direitos que a operação de marketing precisa estar pronta para atender, com canal de entrada, responsável e prazo definidos.[1] Em marketing, os mais acionados são acesso, exclusão, oposição e revogação do consentimento.

Quais direitos aparecem no marketing

Acesso (saber quais dados a empresa trata, com que finalidade e base legal), correção (corrigir dado incorreto ou desatualizado), exclusão (remover o registro do banco — não é o mesmo que opt-out), oposição (quando a base é legítimo interesse, o titular pode se opor) e revogação do consentimento (quando a base é consentimento). Portabilidade existe, mas é rara em marketing.

Como operacionalizar o atendimento

É preciso um canal claro e acessível (email do encarregado ou formulário no site), um responsável pela triagem, um prazo de resposta e o registro de cada atendimento. Na prática, a ausência de fluxo expõe mais a empresa do que o tempo de resposta: titular que pede e não recebe resposta tende a registrar reclamação na ANPD, e a investigação aprofunda em outros pontos do programa. Em pequena empresa o fluxo pode ser manual; em grande, automatizado via portal de privacidade integrado ao CRM.

Cookies, listas herdadas e fornecedores: três pontos que mais geram exposição

Além do opt-in, três frentes concentram a maior parte do risco de marketing: o consentimento de cookies, as listas importadas sem base legal e os contratos com fornecedores que tratam dados.

Como tratar cookies de marketing

Cookies de marketing e ferramentas de rastreamento exigem consentimento prévio: o banner deve oferecer escolha real (não um "aceitar tudo" sem alternativa equivalente), bloquear o disparo dos cookies até a escolha, registrar a decisão com data e escopo e permitir revogação fácil. Uma plataforma de gestão de consentimento (CMP) — categoria que inclui ferramentas como Cookiebot, OneTrust e Iubenda — integra-se ao gerenciador de tags para que pixels e cookies só disparem após o aceite.

O que fazer com listas antigas ou compradas

Prospecção fria em massa para lista comprada ou enriquecida não tem amparo: a pessoa não consentiu e não há expectativa que sustente legítimo interesse. Disparar promocional para essa base é o uso de maior exposição. O caminho para reaproveitar uma lista nessa situação é a campanha de re-permissão: um único email pedindo que a pessoa confirme o opt-in, tratando depois apenas quem confirmar. Até a confirmação, esses contatos ficam isolados, sem receber nada promocional.

O que exigir do fornecedor (operador)

A plataforma de email, a agência e a ferramenta de automação que tratam dados em seu nome são operadores na LGPD, e a empresa que dirige a operação é a controladora. O contrato de tratamento (DPA) deve definir finalidade limitada, segurança, confidencialidade, autorização para subcontratados, devolução ou eliminação ao fim do contrato e cooperação em incidentes. Se a ferramenta hospeda dados fora do Brasil, a transferência internacional precisa de garantia adequada (cláusulas-padrão da ANPD, certificação ou decisão de adequação). Em vazamento por fornecedor mal contratado, a controladora responde junto — não é exculpável dizer "foi o fornecedor".

Sinais de que sua conformidade precisa de revisão

Se três ou mais cenários abaixo descrevem sua operação, vale priorizar uma revisão antes da próxima campanha, com apoio de advogado especializado em proteção de dados.

  • Você não consegue dizer de onde veio o consentimento de boa parte da base ativa.
  • Algum formulário de captura tem checkbox de opt-in pré-marcado por padrão.
  • Cookies e pixels (Meta Pixel, Google Analytics, retargeting) disparam antes de a pessoa escolher no banner.
  • Não há registro de qual base legal sustenta o envio para cada contato.
  • A base inclui contatos importados de eventos, aquisições ou listas externas sem checagem de consentimento.
  • Não existe canal claro para o titular exercer direitos (acesso, exclusão, oposição).
  • A empresa usa legítimo interesse sem teste documentado arquivado.
  • A ferramenta de email está fora do Brasil sem contrato de tratamento (DPA) com cláusulas de LGPD.

Caminhos para estruturar a conformidade no marketing

A escolha entre operar internamente ou contratar apoio depende da maturidade do programa de privacidade, do volume da base e do nível de risco da operação.

Implementação interna

Marketing alinha-se com o jurídico ou o encarregado para revisar formulários, fluxos e política de privacidade. A plataforma de email assume o registro técnico do consentimento, e um manual documenta o atendimento ao titular e a revisão periódica da base.

  • Perfil necessário: analista de marketing com noção de LGPD, encarregado ou jurídico interno disponível para consulta, marketing com letramento mínimo no tema
  • Quando faz sentido: base estável, operação sem complexidade internacional, encarregado já nomeado
  • Ponto de atenção: o registro de base legal contato a contato e o teste de legítimo interesse são onde a operação interna mais escorrega
Apoio especializado

Advocacia especializada valida bases legais, conduz o teste de legítimo interesse, redige política e contratos com operadores. Consultoria de privacidade estrutura o programa e o mapeamento; fornecedor de plataforma de gestão de consentimento (CMP) implementa o controle de cookies.

  • Perfil de fornecedor: advocacia e investigações (direito digital e LGPD); consultoria de privacidade; fornecedor de plataforma de gestão de consentimento
  • Quando faz sentido: base grande sem mapeamento prévio, operação cross-border, tratamentos sensíveis, histórico de incidentes ou ausência de encarregado
  • Valor: reduz a exposição e estrutura um programa que se sustenta em fiscalização

O oHub conecta sua empresa a advocacias especializadas em proteção de dados, consultorias de privacidade e fornecedores de plataforma de gestão de consentimento. Em poucos minutos, descreva seu desafio e receba propostas de quem entende o cenário brasileiro.

Solicitar orçamento de Marketing de Relacionamento

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

Quando o marketing precisa de consentimento e quando não precisa?

O consentimento é exigido quando não há vínculo prévio nem expectativa razoável: captura de leads sem relação anterior, envio promocional a pessoa física e uso de cookies de rastreamento. Quando há relação, outra base costuma servir — legítimo interesse para cliente ativo e contato profissional B2B (com teste documentado), e execução de contrato para mensagens transacionais (confirmação de compra, fatura). A LGPD prevê dez bases legais no art. 7º; consentimento é só uma delas, e tratar tudo como consentimento cria atrito desnecessário no funil.

O que torna o consentimento válido sob a LGPD?

O consentimento precisa ser livre (sem coerção, sem amarrar a outro serviço), informado (a pessoa entende o que autoriza, com política acessível), inequívoco (marca a caixa — nada de pré-marcado ou silêncio), específico (para uma finalidade; o art. 8º, §4º torna nulas as autorizações genéricas) e revogável (a qualquer momento, com a mesma facilidade). Quando por escrito, deve estar em cláusula destacada das demais (art. 8º). Finalidades diferentes — newsletter, promoção, compartilhamento — exigem consentimentos separados.

Como é um opt-in válido e um inválido?

Inválido: caixa de seleção já marcada por padrão; texto vago ("aceito receber comunicações"); consentimento amarrado ("para baixar, você concorda em receber ofertas"); e cookies que disparam antes da escolha no banner. Válido: checkbox que a pessoa marca, com texto específico — "☐ Quero receber a newsletter quinzenal da [Empresa] com conteúdo sobre [tema] e ofertas". O formato mais robusto separa finalidades em checkboxes independentes (conteúdo de um lado, promoções de outro), cada um registrado em separado.

Como registrar e provar o consentimento de marketing?

O ônus da prova é da empresa (art. 8º, §2º). Registre, para cada consentimento: identificação do titular, data e hora, escopo (o que ele autorizou, no texto que viu), canal de obtenção (qual formulário ou evento), versão da política e do texto exibido na época, e o mecanismo de manifestação (clique no checkbox, e, em ambiente digital, IP e identificador do dispositivo). A maioria das plataformas de email grava parte disso, mas é preciso conferir que está ativo e exportar periodicamente — sem registro, o consentimento não existe para fins de fiscalização.

Posso usar legítimo interesse em vez de consentimento no marketing?

Em alguns casos, sim — quando há expectativa razoável do destinatário, como cliente ativo recebendo oferta relacionada ao que comprou ou contato profissional B2B de evento setorial. Para usá-lo, é preciso documentar um teste em três fases — finalidade, necessidade e balanceamento com salvaguardas —, conforme o guia orientativo da ANPD sobre legítimo interesse. Sem o teste arquivado, a alegação não se sustenta em fiscalização. Legítimo interesse não vale para dado pessoal sensível, e não cobre prospecção fria para lista comprada.

Como funciona a revogação do consentimento?

O titular pode revogar a qualquer momento, com a mesma facilidade com que consentiu, e sem justificar. Operacionalmente: link de descadastro visível em todo email e opção clara para revogar consentimento de cookies. Ao revogar, o tratamento baseado naquele consentimento deve parar, e a revogação fica registrada (data, escopo, canal). Opt-out (parar de enviar) é diferente de exclusão (remover o dado do banco) — a LGPD garante os dois, mas manter alguém na base após pedido de exclusão só se justifica com outra base legal específica.

Fontes e referências

  1. Brasil. Lei 13.709/2018 (LGPD) — Lei Geral de Proteção de Dados Pessoais. Bases legais (art. 7º), requisitos e ônus da prova do consentimento (art. 8º), dados sensíveis (art. 11), direitos do titular (art. 18). Dados vigentes, sujeitos a alteração.
  2. ANPD — Guia Orientativo: hipóteses legais de tratamento de dados pessoais — Legítimo Interesse. Teste em três fases (finalidade, necessidade, balanceamento e salvaguardas) e inaplicabilidade a dado sensível. Dados vigentes, sujeitos a alteração.