Como este tema funciona na sua empresa
Geralmente opera sem mapeamento formal das origens de cada contato. O risco está concentrado em formulários antigos (sem registro de data e de texto exibido no momento do opt-in) e em listas herdadas de feiras, eventos ou aquisições. Foco recomendado: revisar o checkbox principal de captura, garantir link de descadastro visível em todo envio e manter planilha simples com origem do contato. Plataformas como Mailchimp, RD Station Marketing e Brevo já entregam o básico de registro de consentimento.
Tem encarregado ou DPO nomeado e algum mapeamento de jornada feito. A falha típica não está nos formulários novos, mas em automações antigas que continuam disparando para listas importadas anos atrás sem base legal documentada. Programa estruturado inclui registro da base legal por contato, fluxo formal para atender direitos do titular e revisão semestral de listas inativas. Ferramentas como HubSpot, RD Station e ActiveCampaign permitem registrar origem e texto do opt-in.
Governança formal de privacidade, DPIA (relatório de impacto à proteção de dados) por campanha de alto risco, registro de consentimento em CDP ou CRM com cláusulas-padrão para fornecedores internacionais. DPO em tempo integral, time jurídico envolvido em revisões de jornada e contratos. Plataformas corporativas (Salesforce Marketing Cloud, Adobe, Braze) integradas a ferramentas de governança como OneTrust. Auditoria periódica de subprocessadores e de transferências internacionais.
Email marketing sob LGPD
é a operação de envio de mensagens publicitárias e relacionais por email em conformidade com a Lei 13.709/18 (LGPD), o que exige base legal documentada para cada contato (consentimento ou legítimo interesse), registro da origem e do momento do opt-in, link de descadastro visível em todo envio, atendimento aos direitos do titular (acesso, correção, exclusão, oposição, portabilidade) e contrato de tratamento de dados com fornecedores que operam a plataforma.
O que a LGPD muda em email marketing
A LGPD não proíbe email marketing. O que ela faz é redefinir o que é coleta legítima, quando legítimo interesse cabe, como provar consentimento e como atender ao direito de descadastro. Operações que já praticavam permission marketing antes da lei tiveram impacto pequeno; operações que dependiam de listas compradas, formulários com checkbox pré-marcado ou prospecção fria em massa precisaram repensar a base inteira.
O fio condutor prático: compliance é vantagem operacional. Lista com base legal documentada é lista mais limpa, mais engajada e com taxa de descadastramento menor. O contato que clicou voluntariamente em um opt-in claro tem probabilidade muito maior de abrir, clicar e converter do que o contato importado de planilha. Tratar LGPD como custo regulatório é desperdiçar a oportunidade de operacionalizar uma higiene que já era boa prática antes da lei.
Internacionalmente, há referências comparáveis: o GDPR europeu (Regulamento Geral de Proteção de Dados) é mais rigoroso e serve de inspiração para a LGPD; o CAN-SPAM americano é mais permissivo, exige apenas opt-out funcional e identificação clara do remetente. Empresas com operação fora do Brasil precisam mapear qual lei se aplica a cada parcela da base.
Bases legais aplicáveis a email marketing
A LGPD lista dez bases legais para tratamento de dado pessoal. Em email marketing publicitário, duas são as relevantes:
Consentimento (art. 7º, I) é a base legal padrão para envio de mensagens promocionais a pessoas físicas. A lei exige que o consentimento seja livre, informado, inequívoco e específico para finalidades determinadas. Em prática: opt-in marcado ativamente pelo usuário (checkbox sem pré-marcação), texto claro sobre o que será enviado, registro de data, IP e versão do texto exibido. Consentimento embutido em "li e aceito os termos" não vale para fins de marketing porque não é específico.
Legítimo interesse (art. 7º, IX) pode amparar envio de email em contextos específicos, principalmente B2B com expectativa razoável do destinatário. Exemplos onde costuma caber: comunicação para clientes ativos sobre produtos relacionados ao que já compraram, envio de conteúdo para contato profissional obtido em evento setorial, mensagens transacionais com complemento informativo. Exige teste de legítimo interesse formalizado — documento que avalia se o tratamento é necessário, se há expectativa do titular e se os direitos do titular foram balanceados.
Legítimo interesse não é "atalho para prospecção fria". Importar lista comprada ou enriquecida e enviar mensagem promocional a quem nunca teve contato com a marca não está protegido por essa base — a ANPD tem orientação clara sobre isso. A consulta a advogado é necessária quando há dúvida sobre o caso concreto.
Em pequena empresa, a recomendação prática é operar sob consentimento puro: checkbox ativo, texto claro, link de descadastro funcional. Legítimo interesse exige análise formalizada que, sem encarregado, fica difícil de sustentar. Documentar em planilha simples (data do opt-in, formulário usado, IP) já cobre o essencial para resposta a fiscalização eventual.
Com encarregado nomeado, dá para operar consentimento como regra e legítimo interesse em casos delimitados (cliente ativo, contato em evento profissional). Cada uso de legítimo interesse precisa de teste formalizado por escrito, arquivado. Política de retenção definida (quanto tempo guardar contato inativo) e revisão semestral da base separam contatos que ainda têm base legal dos que precisam ser excluídos ou re-permitidos.
Política corporativa de privacidade define matrizes por finalidade (marketing direto, relacionamento, transacional, pesquisa) e por porte de risco. DPIA obrigatório para campanhas que envolvem perfilamento, segmentação por dado sensível ou tomada de decisão automatizada. Time jurídico revisa modelos de opt-in, textos de privacidade e contratos com operadores. Auditoria interna anual e externa quando há transferência internacional relevante.
Como estruturar o consentimento na prática
Consentimento válido para email marketing tem cinco elementos operacionais:
1. Checkbox ativo, nunca pré-marcado. O titular precisa marcar deliberadamente. Pré-marcar e contar o silêncio como concordância é prática expressamente desautorizada pela ANPD.
2. Texto claro sobre o que será enviado. "Aceito receber comunicações" é vago. "Aceito receber emails semanais com conteúdo sobre [tema] e ofertas da [empresa]" é específico. Quanto mais granular (separar opt-in para newsletter, para promoções, para parceiros), mais robusto.
3. Identificação do controlador. O formulário precisa deixar claro quem é a empresa, link para a política de privacidade e canal de contato do encarregado.
4. Registro técnico. Data, hora, IP, formulário de origem, texto exibido na época, versão da política de privacidade vigente. Boa parte das plataformas modernas faz isso automaticamente, mas é preciso conferir e exportar periodicamente.
5. Revogação fácil. Link de descadastro em todo envio, processamento em prazo razoável (a prática consolidada é até 48 horas), confirmação ao usuário. Esconder o descadastro ou exigir login para usá-lo cria fricção e gera risco regulatório.
Direitos do titular: o que precisa estar operacionalizado
A LGPD garante ao titular direitos que precisam ser atendidos por canal específico, em prazo razoável:
Acesso: o titular pode pedir confirmação de que a empresa trata seus dados e cópia do que tem. Em email marketing, normalmente significa enviar lista de quais comunicações o contato recebe e há quanto tempo.
Correção: dado incorreto precisa ser corrigido (nome, empresa, segmento). Normalmente fácil de operacionalizar.
Exclusão: exclusão completa do banco, não apenas opt-out. Diferença operacional importante — opt-out mantém o contato registrado como "não enviar"; exclusão remove o registro. A LGPD garante exclusão; manter como opt-out só é aceitável se houver base legal para isso (obrigação legal, exercício de direito em processo).
Portabilidade: direito a receber os dados em formato estruturado para levar a outro fornecedor. Em marketing, raro de ser exercido, mas precisa estar previsto.
Oposição: quando o tratamento se baseia em legítimo interesse, o titular pode se opor. Em prática, equivale a opt-out total.
O fluxo operacional precisa estar definido: canal de entrada (email do encarregado, formulário no site), responsável pela triagem, prazo de resposta (a LGPD fala em 15 dias para confirmação de existência, prazo razoável para a execução), registro do atendimento. Em pequena empresa, o fluxo pode ser manual; em grande, é automatizado via portal de privacidade integrado ao CRM.
Registro de operações e transferência internacional
O artigo 37 da LGPD exige registro das operações de tratamento. Em email marketing, isso significa documentar: quais finalidades de envio existem, qual a base legal de cada uma, qual a política de retenção, quem são os operadores (plataforma de email, ferramenta de automação, agência), quais são os fluxos de dados.
Em pequena empresa, esse registro é uma planilha ou documento de algumas páginas. Em média empresa, é parte do RIPD (Registro das Operações de Tratamento) mantido pelo encarregado. Em grande, alimenta sistema de governança como OneTrust ou similar.
Transferência internacional é ponto crítico para quem usa plataformas hospedadas fora do Brasil — a maioria das ferramentas globais (Mailchimp, HubSpot, Salesforce) trata dados em servidores nos EUA ou na Europa. A LGPD exige garantias adequadas para essa transferência: cláusulas-padrão da ANPD no contrato, certificações reconhecidas, decisão de adequação do país. Em prática, isso significa exigir DPA (Data Processing Agreement) com cláusulas LGPD do fornecedor, mapear subprocessadores e revisar quando a política do fornecedor muda.
Erros comuns que geram exposição regulatória
Pré-marcar checkbox de opt-in. Erro recorrente em formulários antigos. Resolver: auditar todos os formulários ativos e desmarcar o padrão.
Importar lista comprada ou enriquecida. Sem base legal documentada para os contatos importados, o envio cria risco direto. Resolver: parar a importação ou rodar campanha de re-permissão (pedir novamente o opt-in) antes de enviar promocional.
Esconder ou complicar o descadastro. Link em fonte pequena, exigência de login, processamento em prazo longo. Resolver: descadastro com um clique, processamento em até 48 horas, confirmação ao usuário.
Não atender pedido formal de exclusão. Quando o titular pede exclusão (não opt-out), manter o registro só com base em "para garantir que não enviaremos mais" não é suficiente — precisa de base legal específica para manter. Resolver: fluxo formal de exclusão completa.
Não documentar a base legal por contato. Em fiscalização, a empresa precisa demonstrar a origem do contato. Sem registro, fica vulnerável. Resolver: integrar o registro de origem (formulário, evento, indicação) à plataforma de email.
Ignorar transferência internacional. Usar plataforma com servidores fora do Brasil sem DPA com cláusulas LGPD cria risco. Resolver: pedir o contrato ao fornecedor, revisar com o jurídico, registrar a base de transferência.
As sanções aplicáveis pela ANPD vão de advertência a multa de até 2% do faturamento da empresa, limitada a R$ 50.000.000,00 por infração. Em prática, a ANPD tem privilegiado adequação sobre sanção pesada, mas a fiscalização vem crescendo.
Sinais de que sua operação de email precisa de revisão LGPD
Se três ou mais cenários abaixo descrevem sua operação atual, vale priorizar uma auditoria de conformidade antes da próxima campanha.
- Você não sabe documentar a origem do consentimento de boa parte da base ativa.
- Algum formulário de captura tem checkbox de opt-in pré-marcado por padrão.
- Não existe fluxo formal definido para atender pedidos de exclusão pelo titular.
- A base inclui contatos importados de aquisições, eventos ou listas externas sem due diligence de consentimento.
- Não há registro de qual base legal sustenta o envio para cada contato (consentimento ou legítimo interesse).
- A empresa não tem encarregado (DPO) formalmente nomeado e divulgado publicamente.
- A ferramenta de email está hospedada fora do Brasil e não existe DPA com cláusulas LGPD assinado.
- O link de descadastro está em fonte pequena, escondido no rodapé, ou exige login para funcionar.
Caminhos para adequar a operação de email à LGPD
A decisão entre operar conformidade internamente ou contratar apoio jurídico especializado depende da maturidade do programa de privacidade, do volume da base e do nível de risco da operação.
Marketing alinha-se com jurídico ou encarregado interno para revisar formulários, fluxos e política de privacidade. A plataforma de email assume o papel de registro técnico do consentimento. Manual operacional documenta processos de atendimento ao titular e revisão periódica da base.
- Perfil necessário: analista de marketing com conhecimento básico em LGPD + encarregado/jurídico interno disponível para consulta
- Quando faz sentido: empresa média com encarregado nomeado, base estável, sem operação internacional complexa
- Investimento: tempo do time + curso de LGPD aplicada a marketing (R$ 800-2.500 por pessoa) + revisão jurídica pontual
Escritório de advocacia especializada em LGPD faz mapeamento de dados, redige política de privacidade, contratos com operadores, teste de legítimo interesse e DPIA. Consultoria de marketing reescreve formulários, fluxos de captura e cadência conforme as recomendações jurídicas.
- Perfil de fornecedor: advocacia especializada em direito digital e LGPD + consultoria de email marketing ou marketing de relacionamento
- Quando faz sentido: base grande sem mapeamento prévio, operação cross-border, histórico de incidentes ou ausência de encarregado
- Investimento típico: R$ 15.000 a R$ 80.000 por projeto inicial de adequação + mensalidade de acompanhamento
Sua operação de email está em conformidade com a LGPD?
O oHub conecta sua empresa a escritórios de advocacia especializados em LGPD, consultorias de email marketing e fornecedores de plataformas com recursos de conformidade. Em poucos minutos, descreva sua necessidade e receba propostas de quem entende o mercado brasileiro.
Encontrar fornecedores de Marketing no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Email marketing precisa sempre de consentimento explícito?
Não obrigatoriamente — depende da base legal. Para envio promocional a pessoa física, consentimento é a regra prudente: opt-in ativo, registro de data e origem, descadastro fácil. Em alguns contextos B2B (cliente ativo, contato profissional obtido em evento setorial), legítimo interesse pode amparar o envio, desde que haja teste de legítimo interesse formalizado e expectativa razoável do destinatário. Prospecção fria em massa para listas compradas não é amparada por nenhuma das duas bases.
Posso mandar email para cliente sem opt-in explícito de marketing?
Para comunicação transacional ligada à execução do contrato (confirmação de compra, atualização de pedido, fatura), sim — a base legal é execução de contrato, não consentimento. Para conteúdo promocional relacionado ao que o cliente já comprou, costuma caber legítimo interesse, com teste formalizado e opt-out funcional. Para promoções de produtos não relacionados, o caminho mais seguro é pedir consentimento específico.
O que é legítimo interesse em email marketing e quando cabe?
Legítimo interesse é uma base legal da LGPD que permite tratamento de dado pessoal quando há interesse legítimo do controlador, necessidade do tratamento e expectativa razoável do titular, com seus direitos preservados. Em email marketing, cabe principalmente em B2B (contato profissional, cliente ativo) e exige teste de legítimo interesse documentado. Não cabe para prospecção fria, importação de listas compradas, ou envio de conteúdo sem relação com o vínculo prévio.
Como funciona o direito de descadastro pela LGPD?
O titular pode revogar o consentimento ou se opor ao tratamento a qualquer momento, sem precisar justificar. Operacionalmente: link claro de descadastro em todo email (não em fonte pequena, não escondido), processamento em prazo razoável (prática consolidada é até 48 horas), confirmação ao usuário. O titular também pode pedir exclusão completa do banco — isso é diferente de opt-out, e a empresa precisa atender, salvo se houver outra base legal específica para manter o registro.
Email marketing B2B precisa seguir LGPD?
Sim. A LGPD se aplica a dado pessoal, e o email profissional de uma pessoa física ([email protected]) é dado pessoal. O que muda é a base legal mais comum: em B2B, legítimo interesse costuma ser aceito em mais contextos do que em B2C, desde que haja expectativa razoável do destinatário. Continua proibido importar lista comprada, prospectar a frio em massa, ou ignorar pedido de descadastro.
Posso usar plataforma de email com servidores fora do Brasil?
Pode, desde que a transferência internacional esteja amparada por garantias adequadas: cláusulas-padrão da ANPD no contrato com o fornecedor, certificações reconhecidas, ou decisão de adequação do país. Em prática, isso significa exigir DPA (Data Processing Agreement) com cláusulas LGPD da plataforma, revisar a lista de subprocessadores e manter registro da base de transferência. A maior parte das ferramentas globais (Mailchimp, HubSpot, Salesforce) oferece cláusulas-padrão sob solicitação.
Fontes e referências
- Brasil. Lei 13.709/18 (LGPD) — texto consolidado da Lei Geral de Proteção de Dados Pessoais.
- ANPD — Autoridade Nacional de Proteção de Dados. Guias orientativos sobre consentimento, legítimo interesse e sanções.
- IAPP — International Association of Privacy Professionals. Comparativos entre LGPD, GDPR e CAN-SPAM.
- Chad S. White. Email Marketing Rules — referência sobre permission marketing e governança de programas de email.
- ABEMD — Associação Brasileira de Marketing de Dados. Orientações setoriais sobre conformidade em marketing direto.