Como este tema funciona na sua empresa
Operação tipicamente baseada em consentimento explícito para envio de comunicação e legítimo interesse para gestão de base de clientes existentes. Checklist mínimo de conformidade: opt-in claro em formulários de captura, política de privacidade objetiva e atualizada, canal de contato visível para exercício de direitos do titular, banner de consentimento de cookies que respeita a escolha do usuário. Sem encarregado de proteção de dados formal — a função tende a ser absorvida pelo dono ou pelo responsável jurídico contratado. Para tema específico, a recomendação é consulta a advogado especializado em proteção de dados — este artigo é orientação geral, não substitui aconselhamento jurídico.
Governança formal: encarregado de proteção de dados designado (interno ou contratado), mapeamento documentado dos tratamentos de dados pessoais para fins de marketing, base legal identificada para cada tratamento, plataforma de gestão de consentimento (CMP) implementada para cookies e ferramentas de rastreamento. Política de privacidade revisada anualmente, processo documentado para atender solicitações de titulares (acesso, correção, eliminação, portabilidade), contratos com fornecedores tratando da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18). Auditoria interna periódica valida que a prática corresponde à política.
Programa formal de privacidade com privacidade desde a concepção (privacy by design) integrada ao desenvolvimento de produtos e campanhas. Plataforma de gestão de consentimento integrada à plataforma de dados de cliente (CDP), ao sistema de gestão de relacionamento (CRM) e às ferramentas de marketing. Encarregado de proteção de dados como função formal com equipe própria, auditoria contínua, treinamento periódico, comitê de privacidade reunindo jurídico, segurança da informação, marketing e dados. Diálogo periódico com a ANPD (Autoridade Nacional de Proteção de Dados) quando aplicável. Programa preparado para resposta rápida a incidentes de segurança.
Consentimento e LGPD no marketing
é o conjunto de práticas, bases legais, registros e governança que viabilizam tratamentos de dados pessoais para fins de marketing em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) — escolhendo a base legal adequada para cada finalidade (consentimento, legítimo interesse, execução de contrato, cumprimento de obrigação legal), garantindo que o consentimento atenda aos requisitos legais (livre, informado, inequívoco, específico, revogável), registrando comprovações com data, hora, escopo e versão da política, atendendo aos direitos dos titulares (acesso, correção, eliminação, portabilidade, oposição) e estruturando governança formal com responsável designado, mapeamento de tratamentos e processos auditáveis.
O ponto de partida: LGPD admite mais de uma base legal para marketing
O equívoco mais comum em operações de marketing brasileiras é tratar a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) como sinônimo de "tudo precisa de consentimento explícito". Não é. A lei prevê múltiplas bases legais para o tratamento de dados pessoais — o consentimento é uma delas, mas não a única.
Para fins de marketing, as bases mais comuns são:
Consentimento (artigo 7º, inciso I). Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica. Base mais conhecida, mas com requisitos rigorosos.
Legítimo interesse (artigo 7º, inciso IX). Tratamento necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto quando prevalecerem direitos e liberdades fundamentais do titular. Base flexível, mas exige avaliação documentada de necessidade, finalidade e proporcionalidade.
Execução de contrato (artigo 7º, inciso V). Tratamento necessário para a execução de contrato do qual o titular é parte, ou para procedimentos preliminares relacionados a contrato a pedido do titular. Aplicável a gestão de relacionamento com cliente existente.
Cumprimento de obrigação legal ou regulatória (artigo 7º, inciso II). Tratamento exigido por lei. Em marketing, aplica-se principalmente a obrigações de retenção de dados para fiscalização (registros de comunicação comercial, por exemplo).
A escolha da base legal depende da finalidade específica do tratamento. Um mesmo cliente pode ter dados tratados com bases legais diferentes para finalidades diferentes — execução de contrato para gestão da relação comercial, consentimento para envio de comunicação promocional, legítimo interesse para análise de comportamento de uso do produto.
Importante: este artigo apresenta orientação geral. Para casos específicos da sua operação, especialmente em situação de dúvida ou quando há tratamento de dados sensíveis, a recomendação é consulta a advogado especializado em proteção de dados — a oHub conecta sua empresa a escritórios e consultorias especializadas na categoria advocacia e investigações.
Quando consentimento é exigido
Consentimento é base legal apropriada principalmente em três cenários típicos de marketing:
Captura inicial de contato em formulário de página de destino, evento, sorteio. Pessoa que ainda não tem relação contratual com a empresa e que está fornecendo dados em troca de um benefício (conteúdo, brinde, participação em evento). Consentimento explícito para envio de comunicação posterior é a base mais segura.
Comunicação a base que não tem relação contratual ativa. Pessoas que se inscreveram para receber boletim, conteúdo ou ofertas sem ter relação comercial direta. Consentimento explícito documentado é o que sustenta o tratamento.
Tratamento que envolve cookies de marketing, pixels de rastreamento, redirecionamento (retargeting). Ferramentas que monitoram comportamento entre sessões e entre sites tipicamente exigem consentimento prévio. A ANPD (Autoridade Nacional de Proteção de Dados) tem reforçado essa interpretação em guias e em fiscalizações.
Para que o consentimento atenda aos requisitos legais, precisa ser:
Livre. Sem coerção. Não pode ser amarrado ao fornecimento de serviço de outra natureza ("se você não consentir com marketing, não pode usar o produto").
Informado. A pessoa precisa entender o que está consentindo. Política de privacidade acessível e linguagem clara — não juridiquês ilegível.
Inequívoco. Manifestação positiva da pessoa — clique em caixa de seleção, ato explícito. Opt-in pré-marcado (caixa já marcada por padrão) não atende ao requisito.
Específico. Para uma finalidade. Consentimento genérico ("autorizo a empresa a usar meus dados para o que ela quiser") não vale. Consentimento separado para finalidades diferentes (marketing, compartilhamento com terceiros, perfilamento).
Revogável. A qualquer momento, com a mesma facilidade com que foi dado. Link de descadastramento no rodapé do correio eletrônico, canal claro para revogação de consentimento de cookies.
Legítimo interesse: a base subutilizada
Em operações de marketing brasileiras, legítimo interesse é a base mais subutilizada e, ao mesmo tempo, a mais incompreendida. Quando bem aplicada, viabiliza tratamentos importantes sem depender de consentimento explícito para cada ação. Quando mal aplicada, vira armadilha — empresa registra "legítimo interesse" sem fazer a análise exigida e descobre o problema apenas em fiscalização.
O artigo 10 da Lei 13.709/18 detalha os requisitos. A base é aplicável em situações como:
Apoio e promoção de atividades do controlador, com proteção do titular.
Proteção do exercício regular de direitos do titular, contratos e atos.
A aplicação típica em marketing inclui: análise interna de comportamento de cliente existente para entender padrões de uso e melhorar produto, gestão de relacionamento com cliente atual (comunicação operacional, atualização de cadastro), prevenção de fraude, pesquisa de mercado agregada e não-identificável.
Para usar legítimo interesse, a empresa precisa fazer e documentar uma avaliação:
Finalidade legítima. O tratamento atende a interesse legítimo da empresa ou de terceiro? Descrição clara da finalidade.
Necessidade. O tratamento é necessário para a finalidade? Não há alternativa menos invasiva?
Balanceamento. O interesse legítimo da empresa prevalece sobre os direitos e liberdades fundamentais do titular nessa situação específica?
Expectativa do titular. O titular pode razoavelmente esperar que esse tratamento aconteça com seus dados? Em contexto de cliente existente, marketing relacionado ao produto contratado tem expectativa razoável; oferta de produto totalmente desvinculado tipicamente não tem.
Salvaguardas. Medidas para mitigar risco — segurança da informação adequada, transparência ao titular, direito de oposição claramente disponibilizado.
O documento de avaliação de legítimo interesse (em inglês, Legitimate Interest Assessment ou LIA) é registro essencial. Sem ele, alegar legítimo interesse em fiscalização não basta.
Importante: legítimo interesse não vale para dado pessoal sensível (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde, à vida sexual, dado genético ou biométrico). Para dado sensível, a base é tipicamente consentimento específico ou cumprimento de obrigação legal.
Checklist mínimo viável: política de privacidade atualizada e visível no site, opt-in claro em todos os formulários de captura (sem caixa pré-marcada), link de descadastramento funcional em todos os correios eletrônicos enviados, canal claro para exercício de direitos do titular (correio eletrônico ou formulário no site), banner de consentimento de cookies que respeita escolha do usuário. Em volume baixo de tratamentos, gestão pode ser via planilha simples — registro de quando cada contato consentiu, com que escopo, em qual versão da política. Encarregado de proteção de dados pode ser função absorvida pelo presidente ou pelo responsável jurídico contratado, sem dedicação integral.
Governança formal. Encarregado de proteção de dados designado (interno em meio período ou contratado), mapeamento documentado dos tratamentos de dados pessoais para marketing (cada finalidade, base legal, dados envolvidos, retenção, compartilhamento), plataforma de gestão de consentimento (CMP) implementada para cookies e ferramentas de rastreamento. Investimento típico em CMP: a partir de R$ 5.000 anuais para soluções enxutas como Cookiebot e Iubenda, até R$ 50.000 anuais para soluções mais robustas como OneTrust e TrustArc. Auditoria interna periódica (anual ou semestral) valida que a prática corresponde à política. Contratos com fornecedores tratando da Lei Geral de Proteção de Dados Pessoais.
Programa formal de privacidade desde a concepção (privacy by design). Plataforma de gestão de consentimento integrada à plataforma de dados de cliente (CDP), ao sistema de gestão de relacionamento (CRM) e às ferramentas de marketing. Encarregado de proteção de dados como função formal com equipe própria, auditoria contínua, treinamento periódico para colaboradores que tocam dados pessoais, comitê de privacidade reunindo jurídico, segurança da informação, marketing e dados. Diálogo periódico com a ANPD quando aplicável. Programa preparado para resposta rápida a incidentes de segurança — em caso de vazamento, notificação à ANPD e aos titulares em prazo razoável é obrigação prevista na Lei 13.709/18.
Registro do consentimento: o que documentar
Consentimento não documentado é consentimento que não existe na prática. Quando há questionamento — pela ANPD, em ação judicial, por solicitação de titular — a empresa precisa demonstrar que o consentimento foi obtido nos termos da lei.
Registro mínimo para cada consentimento:
Identificação do titular. Quem consentiu. Tipicamente identificador como correio eletrônico ou documento de identidade, conforme o canal.
Data e horário (timestamp). Quando o consentimento foi dado. Precisão importa — em caso de questionamento, a empresa precisa demonstrar o momento.
Escopo do consentimento. Para o quê a pessoa consentiu — envio de boletim mensal, recebimento de oferta promocional, perfilamento para personalização, compartilhamento com terceiros. Escopo claro e específico.
Canal de obtenção. Onde o consentimento foi dado — formulário em qual página de destino, em qual evento, em qual interação. Permite reconstruir o contexto.
Versão da política de privacidade. Qual versão da política e dos termos a pessoa visualizou quando consentiu. Política muda ao longo do tempo; registro deve preservar a versão vigente no momento.
Mecanismo de manifestação. Como a pessoa manifestou o consentimento — clique em caixa de seleção, assinatura digital, gravação de voz, ato físico documentado. Em ambiente digital, registro técnico (endereço IP, identificador do dispositivo, registro do servidor) reforça a comprovação.
Quando a pessoa revoga o consentimento, o registro também precisa preservar essa decisão — data, escopo da revogação, canal. Empresa não pode "esquecer" a revogação e continuar tratando dado com base no consentimento revogado.
Direitos do titular: o que a operação precisa atender
A Lei 13.709/18 prevê direitos do titular que a operação de marketing precisa estar pronta para atender. Os principais:
Acesso (artigo 18, inciso II). O titular pode solicitar saber quais dados a empresa trata sobre ele, com que finalidade, com que base legal, com quem compartilha.
Correção (artigo 18, inciso III). O titular pode solicitar correção de dados incompletos, inexatos ou desatualizados.
Eliminação (artigo 18, inciso VI). O titular pode solicitar a eliminação dos dados pessoais tratados com base no consentimento (com exceções legais, como obrigações regulatórias de retenção).
Portabilidade (artigo 18, inciso V). O titular pode solicitar a portabilidade dos seus dados a outro fornecedor de serviço ou produto.
Oposição (artigo 18, inciso § 2º). Em tratamentos com base em legítimo interesse, o titular pode opor-se ao tratamento. A empresa precisa parar, exceto quando demonstrar interesse legítimo predominante.
Revogação do consentimento. Quando a base é consentimento, o titular pode revogar a qualquer momento, com a mesma facilidade com que consentiu.
Operacionalmente, isso exige canal claro e acessível (formulário no site, correio eletrônico designado), processo interno definido (quem recebe, quem processa, em que prazo, com qual documentação), prazo razoável de resposta (a Lei 13.709/18 cita 15 dias para alguns direitos, mas a prática recomenda resposta o mais rápido possível), registro de cada solicitação e do tratamento dado.
O canal não funcionar é falha grave em fiscalização. Titular que envia solicitação e não recebe resposta tipicamente registra reclamação na ANPD — e a investigação aprofunda em outros aspectos do programa.
Plataformas de gestão de consentimento
Plataforma de gestão de consentimento, ou CMP (Consent Management Platform), é o sistema técnico que gerencia o consentimento de cookies, pixels e ferramentas de rastreamento. Ferramentas principais no mercado:
OneTrust. Plataforma robusta com cobertura ampla de funcionalidades — gestão de cookies, gestão de consentimento para ferramentas de marketing, atendimento de direitos de titulares, gestão de inventário de dados, avaliações de impacto. Investimento mais alto, adequada a empresas grandes.
Cookiebot. Foco em gestão de cookies. Custo mais acessível, implementação simples, boa cobertura para o uso mais comum. Adequada a empresas médias e grandes.
Didomi. Plataforma europeia com forte presença em mercados regulados. Foco em gestão de consentimento e direitos do titular. Investimento médio.
Securiti. Plataforma com cobertura ampla de privacidade, inclusive automação de atendimento a direitos do titular. Adequada a operações com volume significativo de solicitações.
Iubenda. Solução acessível e enxuta para empresas pequenas e médias — gestão de cookies, geração de política de privacidade, atendimento a direitos do titular.
O papel da plataforma:
Apresentar banner de consentimento de cookies no primeiro acesso, com escolha real (não pode haver dark pattern que induza ao "aceitar tudo").
Bloquear cookies de marketing e de ferramentas de rastreamento antes do consentimento — disparo prévio é falha frequente que invalida o consentimento.
Registrar a escolha do usuário com data, hora, escopo e versão da política.
Permitir revogação fácil (em interface visível, idealmente no rodapé do site permanentemente).
Integrar com plataforma de marcadores (tag manager) para que cookies e pixels respeitem o consentimento.
Marketing direto: correio eletrônico, SMS, WhatsApp
Cada canal de marketing direto tem particularidades em relação à conformidade.
Correio eletrônico. Tipicamente baseado em consentimento explícito (opt-in). Link de descadastramento (opt-out) obrigatório em todo correio. Para cliente existente, legítimo interesse pode amparar comunicação relacionada ao produto contratado, com avaliação documentada. Empresa precisa respeitar a revogação imediatamente — continuar enviando após o descadastramento é falha grave.
SMS. Mesma base do correio eletrônico — consentimento explícito ou legítimo interesse com avaliação. SMS tem peculiaridade adicional: o custo direto recai sobre o destinatário em alguns planos, o que aumenta a sensibilidade. Opt-out via resposta com palavra específica (SAIR, PARAR) é prática esperada.
WhatsApp. Canal regulado pelas políticas do próprio provedor (Meta) além da Lei 13.709/18. O WhatsApp Business exige uso de modelos de mensagem aprovados (templates), e o consentimento explícito do destinatário é requisito. Conversa iniciada pelo cliente abre janela de 24 horas para resposta. Fora da janela, uso de templates aprovados. O Procon e a ANPD têm fiscalizado uso indevido — empresa que envia mensagem em massa sem consentimento tem se exposto a sanções.
Marketing de telefone (telemarketing). Regido também pelo cadastro Não Me Perturbe (em alguns estados, como São Paulo, regulamentado por lei estadual) e pelas regras do Código de Defesa do Consumidor. Consentimento explícito é a base mais segura. Listas adquiridas de terceiros são especialmente sensíveis — a procedência do consentimento precisa ser comprovável.
Em todos os canais, opt-out funcional, rápido e respeitado é o teste prático de conformidade. Empresas que dificultam o descadastramento ou continuam enviando após a revogação tipicamente acumulam reclamações na ANPD e em órgãos de defesa do consumidor.
Cadeia de fornecedores: contratos com operadores
Quase nenhuma operação de marketing roda sozinha. Fornecedores tratam dados pessoais em nome da empresa — plataforma de envio de correio eletrônico, agência que opera campanhas, agência de divulgação que tem acesso à base, sistemas de gestão de relacionamento em modelo de software como serviço (SaaS), ferramentas de análise.
A Lei 13.709/18 distingue dois papéis:
Controlador. Quem decide sobre o tratamento — finalidade, meios, base legal. Tipicamente a empresa que coleta o dado e direciona a operação.
Operador. Quem trata dados em nome do controlador, conforme instruções. Tipicamente fornecedores que recebem dados para executar serviços.
Contratos com operadores precisam tratar:
Finalidade do tratamento (limitada ao que o controlador instrui).
Segurança da informação (medidas técnicas e organizacionais).
Confidencialidade (obrigação dos funcionários do operador).
Compartilhamento com subcontratados (autorização prévia do controlador).
Devolução ou eliminação dos dados ao fim do contrato.
Cooperação em caso de incidente ou solicitação de titular.
Em operações maduras, há cláusula de proteção de dados em contratos novos e em renovação. Em operações com cadeia grande de fornecedores, registro centralizado de quais operadores tratam quais dados, com qual finalidade e em qual prazo.
Em vazamento por fornecedor mal contratado, a empresa controladora é responsabilizada — não é exculpável dizer "foi o fornecedor". A empresa que escolheu mal e contratou frouxamente responde junto.
Erros que geram autuação
A ANPD tem fiscalizado e aplicado sanções desde 2023. Padrões de falha que geram problema:
Opt-in pré-marcado. Caixa de seleção já marcada por padrão no formulário. Não atende ao requisito de manifestação inequívoca — o consentimento obtido assim é inválido.
Consentimento amarrado. "Para baixar este conteúdo, você deve concordar em receber comunicação de marketing." Consentimento condicionado ao fornecimento de outro serviço viola o requisito de "livre".
Base legal sem prova. Empresa alega legítimo interesse, mas não tem avaliação documentada (Legitimate Interest Assessment). Em fiscalização, a alegação não basta.
Cookies disparados antes do consentimento. Banner mostra a escolha, mas as ferramentas de marketing já dispararam — invalida o consentimento e configura tratamento sem base legal.
Política de privacidade genérica e desatualizada. Documento copiado de modelo, sem refletir tratamentos reais da empresa, sem revisão periódica. Em fiscalização, evidencia falta de governança.
Canal de direitos do titular inexistente ou inoperante. Correio eletrônico de privacidade que não tem alguém respondendo, formulário no site que dá erro, prazos de resposta não cumpridos. Gera reclamação na ANPD.
Encarregado de proteção de dados não designado ou apenas no papel. A Lei 13.709/18 exige designação formal. Empresa de porte relevante sem encarregado em condições de exercer a função é falha estrutural.
Contrato com operadores sem cláusula de proteção de dados. Quando o operador trata dados em nome da empresa controladora sem contrato adequado, ambos estão expostos.
Vazamento sem comunicação à ANPD e aos titulares. Incidente de segurança que afeta dados pessoais deve ser comunicado à ANPD e aos titulares em prazo razoável. Empresa que esconde o incidente tem agravamento da sanção quando descoberto.
Sinais de que sua conformidade precisa de revisão
Se três ou mais cenários abaixo descrevem sua operação, vale considerar revisão de conformidade com apoio de advogado especializado em proteção de dados.
- Não há registro individual de quando cada contato consentiu, com qual escopo, em qual versão da política de privacidade.
- Política de privacidade está genérica, copiada de modelo, sem revisão nos últimos 12 a 24 meses.
- Cookies de marketing e ferramentas de rastreamento (Meta Pixel, Google Analytics, redirecionamento) disparam antes do consentimento ser dado pelo visitante.
- Não existe canal claro e acessível para o titular exercer direitos (acesso, correção, eliminação, portabilidade, oposição).
- Encarregado de proteção de dados não está formalmente designado, ou foi designado apenas no papel sem condições de exercer a função.
- Contratos com fornecedores que tratam dados pessoais (plataforma de marketing, agência, sistema de gestão de relacionamento) não tratam da Lei Geral de Proteção de Dados Pessoais.
- Marketing usa dados de cliente para finalidade sem base legal documentada — sem consentimento explícito, sem avaliação de legítimo interesse, sem contrato que ampare.
- Empresa nunca teve auditoria de conformidade nem mapeamento documentado dos tratamentos de dados pessoais que executa.
Caminhos para estruturar conformidade no marketing
A combinação típica envolve advocacia especializada (essencial para validar bases legais e atender casos específicos), consultoria de privacidade (para estruturação do programa) e plataforma de gestão de consentimento.
Encarregado de proteção de dados (interno ou contratado) lidera o programa. Mapeamento de tratamentos documentado. Política de privacidade revisada periodicamente. Canais de direitos do titular operacionalizados. Treinamento periódico para colaboradores que tocam dados pessoais.
- Perfil necessário: encarregado de proteção de dados (interno, contratado em parte do tempo ou via outsourcing), jurídico com competência em proteção de dados, marketing com letramento mínimo sobre o tema, segurança da informação
- Quando faz sentido: empresa com encarregado de proteção de dados engajado, vontade de construir programa interno, volume de tratamentos gerenciável internamente
- Investimento: tempo do encarregado e do jurídico, treinamento e formação, plataforma de gestão de consentimento (R$ 5.000 a R$ 50.000 anuais conforme escolha), eventual auditoria pontual contratada
Advocacia especializada essencial — valida bases legais, conduz avaliações, atende casos específicos e responde a fiscalização. Consultoria de privacidade estrutura programa, conduz mapeamento e treinamento. Plataforma de gestão de consentimento (CMP) implementada.
- Perfil de fornecedor: escritório de advocacia especializado em proteção de dados, consultoria de privacidade ou de governança da informação, fornecedor de plataforma de gestão de consentimento (OneTrust, Cookiebot, Didomi, Securiti, Iubenda)
- Quando faz sentido: estruturação inicial do programa, ausência de competência interna, operação com tratamentos sensíveis ou volume relevante, preparação para auditoria ou para resposta a incidente
- Investimento típico: honorários de advocacia especializada (R$ 250 a R$ 800 por hora ou contrato de retenção mensal), R$ 30.000 a R$ 200.000 em projeto de estruturação por consultoria de privacidade, R$ 5.000 a R$ 100.000 anuais em plataforma de gestão de consentimento conforme porte
Sua organização consegue mostrar, registro a registro, com qual base legal está fazendo marketing?
O oHub conecta sua empresa a escritórios de advocacia especializados em proteção de dados, consultorias de privacidade, fornecedores de plataforma de gestão de consentimento e ERP. Em poucos minutos, descreva seu desafio e receba propostas de quem entende o cenário brasileiro.
Encontrar fornecedores de Marketing no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais bases legais valem para marketing?
A Lei Geral de Protecao de Dados Pessoais (Lei 13.709/18) admite multiplas bases legais para marketing. As mais comuns sao: consentimento (artigo 7, inciso I) — apropriado para captura inicial de contato, base sem relacao contratual e cookies de marketing; legitimo interesse (artigo 7, inciso IX) — apropriado para gestao de cliente existente, analise interna e prevencao de fraude, exigindo avaliacao documentada de necessidade e balanceamento; execucao de contrato (artigo 7, inciso V) — apropriado para gestao de relacionamento com cliente atual; cumprimento de obrigacao legal (artigo 7, inciso II) — aplicavel quando lei exige retencao de dados. A escolha depende da finalidade especifica. Para casos especificos, consulta a advogado especializado e essencial.
Posso usar legitimo interesse para envio de marketing?
Em alguns cenarios, sim — especialmente quando ha relacao contratual ativa e a comunicacao e relacionada ao produto contratado. Para usar legitimo interesse, a empresa precisa documentar avaliacao (Legitimate Interest Assessment, ou LIA): finalidade legitima, necessidade do tratamento, balanceamento entre o interesse da empresa e os direitos do titular, expectativa razoavel do titular, salvaguardas. Sem avaliacao documentada, alegar legitimo interesse em fiscalizacao nao basta. Importante: legitimo interesse nao vale para dado pessoal sensivel (saude, religiao, opiniao politica, dado biometrico). Para casos especificos, consulta a advogado especializado e essencial.
Como pedir consentimento de marketing corretamente?
O consentimento precisa ser livre (sem coercao, sem amarrar ao fornecimento de outro servico), informado (politica acessivel e em linguagem clara), inequivoco (manifestacao positiva da pessoa, sem caixa pre-marcada), especifico (para uma finalidade, com consentimento separado para finalidades diferentes) e revogavel (a qualquer momento, com a mesma facilidade com que foi dado). Praticas comuns que invalidam o consentimento: caixa de selecao ja marcada por padrao, consentimento generico ("autorizo o uso para o que a empresa quiser"), consentimento amarrado ao fornecimento de servico de outra natureza, ausencia de link de descadastramento, ausencia de canal claro para revogacao de consentimento de cookies.
O que registrar quando obtenho consentimento?
Registro minimo: identificacao do titular (correio eletronico, documento ou outro identificador), data e horario (timestamp), escopo do consentimento (para que ele consentiu, em texto claro), canal de obtencao (formulario em qual pagina, em qual evento), versao da politica de privacidade vigente naquele momento, mecanismo de manifestacao (clique em caixa, assinatura digital, eventualmente endereco IP e identificador do dispositivo). Quando a pessoa revoga o consentimento, o registro tambem preserva a revogacao — data, escopo, canal. Sem registro, consentimento nao existe na pratica para fins de fiscalizacao.
Quem e controlador e quem e operador no marketing?
Controlador e quem decide sobre o tratamento — finalidade, meios, base legal. Tipicamente e a empresa que coleta o dado e direciona a operacao de marketing. Operador e quem trata dados em nome do controlador, conforme instrucoes. Em marketing, fornecedores tipicos como plataforma de envio de correio eletronico, agencia que opera campanhas, sistema de gestao de relacionamento em modelo de software como servico (SaaS), ferramentas de analise, agencias com acesso a base — sao operadores. Contratos com operadores precisam tratar finalidade limitada, seguranca da informacao, confidencialidade, autorizacao para subcontratados, devolucao ou eliminacao ao fim do contrato, cooperacao em incidentes. Em vazamento por fornecedor mal contratado, a empresa controladora responde junto.
O que a ANPD fiscaliza no marketing?
A Autoridade Nacional de Protecao de Dados (ANPD) tem fiscalizado e aplicado sancoes desde 2023. Padroes de falha que costumam gerar problema incluem: opt-in pre-marcado, consentimento amarrado, base legal sem prova (legitimo interesse alegado sem avaliacao documentada), cookies disparados antes do consentimento, politica de privacidade generica e desatualizada, canal de direitos do titular inexistente ou inoperante, encarregado de protecao de dados nao designado ou apenas no papel, contratos com operadores sem clausula de protecao de dados, vazamento sem comunicacao a ANPD e aos titulares. Para casos especificos, consulta a advogado especializado e essencial — este artigo apresenta orientacao geral, nao substitui aconselhamento juridico.
Fontes e referências
- ANPD — Autoridade Nacional de Proteção de Dados. Guias de orientação, resoluções e materiais oficiais sobre a Lei Geral de Proteção de Dados Pessoais.
- Lei 13.709/18 — Lei Geral de Proteção de Dados Pessoais (LGPD). Texto integral.
- IAPP — International Association of Privacy Professionals. Privacy Resource Center e melhores práticas internacionais em proteção de dados.
- IAB Brasil — Interactive Advertising Bureau. Guidelines e melhores práticas de uso de dados em publicidade e marketing digital.
- OneTrust — Documentação técnica e melhores práticas de plataformas de gestão de consentimento e gestão de programa de privacidade.