Como este tema funciona na sua empresa
O risco prático está concentrado em duas coisas: formulários antigos sem registro de data e do texto exibido no opt-in, e listas herdadas de feiras, eventos ou planilhas importadas. O que resolve a maior parte do risco com pouco esforço: usar checkbox de opt-in não pré-marcado, manter link de descadastro visível em todo envio e registrar a origem de cada contato. Plataformas como Mailchimp, RD Station e Brevo já guardam data e origem do consentimento — basta ativar e conferir.
A falha típica não está nos formulários novos, mas em automações antigas que disparam para listas importadas anos atrás sem base legal documentada. O passo que mais reduz risco aqui é registrar a base legal por contato (consentimento ou legítimo interesse) e definir um fluxo formal para atender pedidos do titular. Com encarregado nomeado, dá para usar legítimo interesse em casos delimitados — cliente ativo, contato profissional de evento — desde que o teste seja formalizado por escrito.
O eixo é governança: registro de consentimento no CRM ou CDP, política de retenção por finalidade, contrato de tratamento (DPA) com cada operador e mapeamento de transferência internacional. Campanhas com perfilamento ou segmentação por dado sensível pedem relatório de impacto (DPIA). A decisão deixa de ser "posso enviar?" e passa a ser matriz de finalidades, bases legais e prazos de revisão.
Email marketing sob a LGPD
é o envio de mensagens publicitárias e relacionais por email em conformidade com a Lei 13.709/2018 (LGPD).[1] Sim, é permitido — desde que cada contato tenha base legal documentada (consentimento ou legítimo interesse), a origem e o momento do opt-in fiquem registrados, todo envio traga link de descadastro visível e a empresa atenda aos direitos do titular (acesso, correção, exclusão, oposição). A LGPD não proíbe email marketing; ela define como ele é feito de forma legítima.
Posso fazer email marketing sob a LGPD? Sob quais condições
Sim, pode — a LGPD não proíbe email marketing. O que ela exige é que cada envio tenha uma base legal, e na prática isso se resume a uma escolha por contato: ou a pessoa deu consentimento (marcou um opt-in claro), ou há legítimo interesse aplicável ao caso (principalmente B2B e cliente ativo). O que não é permitido em nenhuma das duas bases é o mesmo em todos os cenários: comprar lista, importar contatos enriquecidos e disparar promocional para quem nunca teve relação com a marca.
Na prática, três condições cobrem a conformidade da maioria das operações de email: (1) você consegue dizer de onde veio cada contato e qual base legal sustenta o envio; (2) todo email tem descadastro de um clique, funcionando de fato; (3) existe um canal e um prazo para atender quem pede acesso ou exclusão. Se as três estão de pé, a operação está em terreno seguro. As seções a seguir mostram como montar cada uma — começando pela escolha da base legal, que é a decisão que organiza tudo.
Qual base legal usar: consentimento ou legítimo interesse
A regra simples: consentimento para envio promocional a pessoa física (B2C) e a contatos sem vínculo prévio; legítimo interesse para B2B com expectativa razoável e para cliente ativo recebendo conteúdo relacionado ao que já comprou. A LGPD lista dez bases legais,[1] mas em email marketing essas duas — mais a execução de contrato, para mensagens transacionais — resolvem quase todos os casos.
Quando usar consentimento (art. 7º, I)
Use consentimento sempre que não houver vínculo prévio claro com o destinatário, ou para qualquer envio promocional a pessoa física. A LGPD exige que o consentimento seja livre, informado, inequívoco e específico para finalidades determinadas.[1] Na prática, isso significa opt-in ativo (checkbox que o usuário marca, nunca pré-marcado), texto claro sobre o que será enviado e registro de data, origem e versão do texto exibido. Consentimento embutido em "li e aceito os termos" não vale para marketing, porque não é específico.
Quando usar legítimo interesse (art. 7º, IX)
Use legítimo interesse quando há expectativa razoável do destinatário de receber a mensagem — o caso clássico é o cliente ativo recebendo oferta de produto relacionado ao que comprou, ou o contato profissional B2B obtido em evento setorial. O guia da ANPD sobre legítimo interesse organiza a avaliação em três fases: finalidade, necessidade e balanceamento com salvaguardas, incluindo a possibilidade efetiva de o titular se opor.[2] O resultado dessa avaliação é o teste de legítimo interesse — um documento curto que justifica a decisão e fica arquivado. Sem ele, legítimo interesse vira alegação genérica que não se sustenta em fiscalização.
O que nenhuma das duas bases cobre
Prospecção fria em massa para lista comprada ou enriquecida não está amparada por consentimento (a pessoa não deu) nem por legítimo interesse (não há expectativa nem vínculo). Esse é o uso que mais gera exposição e o que a orientação da ANPD trata com mais clareza.[2] O caminho para reaproveitar uma lista nessa situação é a campanha de re-permissão: enviar um único email pedindo que a pessoa confirme o opt-in, e tratar apenas quem confirmar.
E o email para cliente que já comprou?
Depende do conteúdo. Mensagem transacional ligada ao contrato (confirmação de compra, atualização de pedido, fatura) tem base na execução de contrato e não precisa de opt-in de marketing.[1] Conteúdo promocional sobre produtos relacionados ao que o cliente já comprou costuma caber em legítimo interesse, com teste formalizado e opt-out funcional. Promoção de produto sem relação com a compra anterior é mais seguro tratar como consentimento específico.
Opere sob consentimento puro: checkbox ativo, texto claro, descadastro funcional. Legítimo interesse exige análise formalizada que, sem encarregado, fica difícil de sustentar — evite. Documentar em uma planilha simples (data do opt-in, formulário usado, origem) já cobre o essencial para responder a uma fiscalização eventual.
Consentimento como regra e legítimo interesse em casos delimitados (cliente ativo, contato profissional de evento), cada uso com teste formalizado por escrito e arquivado. Defina a política de retenção (quanto tempo guardar contato inativo) e faça revisão semestral da base, separando quem ainda tem base legal de quem precisa ser excluído ou re-permitido.
Matriz de finalidades (marketing direto, relacionamento, transacional, pesquisa) com base legal e prazo de retenção por finalidade. DPIA obrigatório para campanhas com perfilamento, segmentação por dado sensível ou decisão automatizada. Jurídico revisa modelos de opt-in, textos de privacidade e contratos com operadores; auditoria interna anual.
Checklist de conformidade: o que fazer na prática
Antes da próxima campanha, percorra esta lista. Ela cobre a operação de email do opt-in ao atendimento de direitos do titular. Itens marcados como "por contato" precisam valer para cada registro da base, não só para os novos.
- Captura: todo formulário tem checkbox de opt-in não pré-marcado, com texto específico sobre o que será enviado.
- Identificação: o formulário deixa claro quem é a empresa, traz link para a política de privacidade e o canal do encarregado.
- Registro técnico (por contato): data, hora, origem (qual formulário/evento), texto exibido na época e versão da política vigente ficam gravados e exportáveis.
- Base legal (por contato): cada contato tem registrada a base que sustenta o envio — consentimento ou legítimo interesse — e, no caso de legítimo interesse, há teste formalizado.
- Descadastro: link visível em todo email, de um clique, sem exigir login, processado em até 48 horas (prática consolidada), com confirmação ao usuário.
- Direitos do titular: existe canal de entrada definido (email do encarregado ou formulário), responsável pela triagem e prazo de resposta.
- Exclusão ≠ opt-out: o fluxo distingue quem pediu para parar de receber (opt-out) de quem pediu exclusão completa do registro.
- Listas herdadas: contatos importados sem base legal documentada estão isolados até passar por re-permissão; nada promocional é disparado para eles antes disso.
- Fornecedores (operadores): a plataforma de email e a ferramenta de automação têm contrato de tratamento (DPA) com cláusulas de LGPD assinado.
- Transferência internacional: se a ferramenta hospeda dados fora do Brasil, a transferência está amparada por garantia adequada (cláusulas-padrão da ANPD, certificação ou decisão de adequação).
- Revisão periódica: há rotina (semestral é razoável) de limpar contatos inativos e checar se a base legal de cada finalidade continua válida.
Como montar o consentimento na prática
Consentimento válido tem cinco elementos operacionais, e o que mais separa o opt-in que se sustenta do que não se sustenta é a especificidade do texto e o registro técnico.
Como deve ser o checkbox de opt-in
O checkbox precisa ser marcado deliberadamente pelo usuário — pré-marcar e contar o silêncio como concordância não é consentimento válido. Quanto mais granular, mais robusto: separar opt-in de newsletter, de promoções e de comunicações de parceiros é melhor do que um checkbox único que mistura tudo.
Exemplos de texto de captação
O texto define se o consentimento é específico. Compare:
- Fraco (vago): "☐ Aceito receber comunicações."
- Bom (específico): "☐ Quero receber por email a newsletter semanal da [Empresa] com conteúdo sobre [tema] e ofertas de produtos."
- Melhor (granular): dois checkboxes separados — "☐ Newsletter semanal com conteúdo sobre [tema]" e "☐ Ofertas e promoções da [Empresa]" — cada um registrado de forma independente.
Junto ao formulário, deixe visível: "Seus dados são tratados pela [Empresa] conforme nossa Política de Privacidade. Você pode descadastrar a qualquer momento. Dúvidas sobre seus dados: [email do encarregado]."
O que registrar de cada opt-in
Guarde data e hora, formulário de origem, o texto exibido na época e a versão da política de privacidade vigente. A maior parte das plataformas modernas faz isso automaticamente, mas é preciso conferir que está ativo e exportar periodicamente — em fiscalização, é esse registro que comprova o consentimento.
Como deve ser o rodapé e o descadastro
O rodapé de um email em conformidade identifica o remetente e oferece descadastro fácil. Esconder o link, usar fonte minúscula ou exigir login cria fricção e vira risco regulatório, já que a LGPD garante ao titular revogar o consentimento ou se opor ao tratamento a qualquer momento, sem justificar.[1]
Exemplo de rodapé
Um rodapé funcional contém, em texto legível:
- Identificação: "Você recebe este email porque se cadastrou em [origem] / é cliente da [Empresa]."
- Remetente: razão social e endereço da empresa.
- Descadastro: "Não quer mais receber? Cancelar inscrição" — link de um clique, visível.
- Privacidade: link para a política e o canal do encarregado.
Descadastro (opt-out) e exclusão são a mesma coisa?
Não. Opt-out é parar de enviar — o contato continua registrado na base como "não enviar". Exclusão é remover o registro do banco. A LGPD garante os dois, mas são pedidos diferentes: manter alguém como opt-out depois de um pedido de exclusão só é aceitável se houver outra base legal específica para guardar o dado (obrigação legal, exercício de direito em processo). Operacionalmente, o link de descadastro do email resolve o opt-out; a exclusão completa chega pelo canal do titular.
Direitos do titular que precisam estar operacionalizados
A LGPD garante ao titular direitos que precisam ter um fluxo de atendimento definido — canal de entrada, responsável e prazo.[1] Em email marketing, os mais acionados são acesso, exclusão e oposição.
Quais direitos aparecem em email marketing
Acesso (confirmação de que a empresa trata os dados e cópia do que tem), correção (dado incorreto), exclusão (remoção do banco, não só opt-out), oposição (quando o tratamento se baseia em legítimo interesse, o titular pode se opor — equivale a opt-out total) e portabilidade (receber os dados em formato estruturado, raro em marketing, mas previsto).
Qual o prazo para responder
A LGPD prevê prazo para a confirmação de existência e acesso aos dados, e prazo razoável para executar os demais pedidos.[1] O importante na prática é ter um responsável e registrar cada atendimento — a ausência de fluxo, mais do que o tempo de resposta, é o que costuma expor a empresa. Em pequena empresa o fluxo pode ser manual; em grande, automatizado via portal de privacidade integrado ao CRM.
Plataforma fora do Brasil e contrato com fornecedor
Usar plataforma com servidores fora do Brasil é permitido, desde que a transferência internacional esteja amparada por garantia adequada: cláusulas-padrão da ANPD no contrato, certificação reconhecida ou decisão de adequação do país.[1] A maioria das ferramentas globais (Mailchimp, HubSpot, Salesforce) processa dados nos EUA ou na Europa e oferece cláusulas-padrão sob solicitação.
O que pedir ao fornecedor
Peça o DPA (Data Processing Agreement) com cláusulas de LGPD, a lista de subprocessadores e a base que ampara a transferência internacional. Guarde esses documentos: quem opera sua plataforma de email é um operador na LGPD, e o contrato de tratamento é o que define responsabilidades entre controlador (sua empresa) e operador.
O que registrar internamente
O art. 37 da LGPD exige registro das operações de tratamento.[1] Em email marketing, isso significa documentar quais finalidades de envio existem, a base legal de cada uma, a política de retenção e quem são os operadores. Em pequena empresa, é uma planilha de poucas páginas; em grande, alimenta o registro mantido pelo encarregado.
Erros comuns e o que fazer em cada um
A maioria das falhas que geram exposição cabe em seis erros previsíveis — cada um com correção direta.
- Checkbox de opt-in pré-marcado. Correção: auditar todos os formulários ativos e desmarcar o padrão.
- Importar lista comprada ou enriquecida. Correção: parar a importação ou rodar campanha de re-permissão antes de qualquer envio promocional.
- Descadastro escondido ou complicado. Correção: link de um clique, processado em até 48 horas, com confirmação.
- Não atender pedido de exclusão (tratar como opt-out). Correção: fluxo formal de exclusão completa do registro.
- Não registrar a base legal por contato. Correção: integrar o registro de origem à plataforma de email, contato a contato.
- Ignorar transferência internacional. Correção: solicitar o DPA ao fornecedor, revisar com o jurídico e registrar a base da transferência.
Sobre sanção: o art. 52 da LGPD prevê desde advertência até multa de até 2% do faturamento da empresa no Brasil no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração.[1] Na prática, a ANPD tem priorizado a adequação sobre a sanção pesada, mas a fiscalização vem se estruturando.[3]
Sinais de que sua operação de email precisa de revisão LGPD
Se três ou mais cenários abaixo descrevem sua operação atual, vale priorizar uma auditoria de conformidade antes da próxima campanha.
- Você não consegue dizer de onde veio o consentimento de boa parte da base ativa.
- Algum formulário de captura tem checkbox de opt-in pré-marcado por padrão.
- Não existe fluxo formal para atender pedidos de exclusão pelo titular.
- A base inclui contatos importados de aquisições, eventos ou listas externas sem checagem de consentimento.
- Não há registro de qual base legal sustenta o envio para cada contato.
- A empresa não tem encarregado (DPO) formalmente nomeado e divulgado.
- A ferramenta de email está hospedada fora do Brasil sem DPA com cláusulas de LGPD assinado.
- O link de descadastro está escondido, em fonte pequena, ou exige login.
Caminhos para adequar a operação de email à LGPD
A decisão entre operar a conformidade internamente ou contratar apoio especializado depende da maturidade do programa de privacidade, do volume da base e do nível de risco da operação.
Marketing alinha-se com o jurídico ou o encarregado interno para revisar formulários, fluxos e política de privacidade. A plataforma de email assume o registro técnico do consentimento. Um manual operacional documenta o atendimento ao titular e a revisão periódica da base.
- Perfil necessário: analista de marketing com noção de LGPD + encarregado ou jurídico interno disponível para consulta
- Quando faz sentido: base estável, operação sem complexidade internacional, encarregado já nomeado
- Ponto de atenção: o registro de base legal contato a contato e o teste de legítimo interesse são onde a operação interna mais escorrega
Advocacia especializada em LGPD faz o mapeamento de dados, redige política de privacidade, contratos com operadores, teste de legítimo interesse e DPIA. Consultoria de marketing reescreve formulários, fluxos de captura e cadência conforme as recomendações jurídicas.
- Perfil de fornecedor: advocacia e investigações (direito digital e LGPD); consultoria (marketing de relacionamento e email marketing)
- Quando faz sentido: base grande sem mapeamento prévio, operação cross-border, histórico de incidentes ou ausência de encarregado
- Valor: reduz o risco de exposição e estrutura um programa que se sustenta em fiscalização
Sua operação de email está em conformidade com a LGPD?
O oHub conecta sua empresa a advocacias especializadas em LGPD e a consultorias de email marketing que estruturam captura, base legal e atendimento ao titular. Em poucos minutos, descreva sua necessidade e receba propostas de quem entende o mercado brasileiro.
Solicitar orçamento de E mail Marketing Solicitar orçamento de Marketing Digital Solicitar orçamento de Marketing Direto
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Posso fazer email marketing sob a LGPD?
Sim. A LGPD não proíbe email marketing — ela exige base legal para cada contato. Na prática: consentimento (opt-in ativo, não pré-marcado) para envio promocional a pessoa física e a contatos sem vínculo prévio; legítimo interesse para B2B com expectativa razoável e para cliente ativo recebendo conteúdo relacionado ao que comprou, sempre com teste formalizado. Em todo envio é preciso registrar a origem do contato, manter descadastro fácil e atender aos direitos do titular. O que não é permitido é comprar lista e disparar promocional para quem nunca teve relação com a marca.
Email marketing precisa sempre de consentimento explícito?
Não obrigatoriamente — depende da base legal. Para envio promocional a pessoa física, consentimento é a regra: opt-in ativo, registro de data e origem, descadastro fácil. Em contextos B2B (cliente ativo, contato profissional de evento setorial), legítimo interesse pode amparar o envio, desde que haja teste de legítimo interesse formalizado e expectativa razoável do destinatário. Prospecção fria em massa para listas compradas não é amparada por nenhuma das duas bases.
Posso mandar email para cliente sem opt-in explícito de marketing?
Para comunicação transacional ligada ao contrato (confirmação de compra, atualização de pedido, fatura), sim — a base legal é execução de contrato, não consentimento. Para conteúdo promocional relacionado ao que o cliente já comprou, costuma caber legítimo interesse, com teste formalizado e opt-out funcional. Para promoções de produtos não relacionados, o caminho mais seguro é pedir consentimento específico.
O que é legítimo interesse em email marketing e quando cabe?
Legítimo interesse é a base legal da LGPD que permite tratar dado pessoal quando há interesse legítimo do controlador, necessidade do tratamento e expectativa razoável do titular, com seus direitos preservados. O guia da ANPD organiza a avaliação em finalidade, necessidade e balanceamento com salvaguardas. Em email marketing, cabe principalmente em B2B (contato profissional, cliente ativo) e exige teste de legítimo interesse documentado. Não cabe para prospecção fria, importação de listas compradas ou envio sem relação com o vínculo prévio.
Como funciona o direito de descadastro pela LGPD?
O titular pode revogar o consentimento ou se opor ao tratamento a qualquer momento, sem justificar. Operacionalmente: link claro de descadastro em todo email (não escondido, não em fonte pequena), processamento em prazo razoável (a prática consolidada é até 48 horas) e confirmação ao usuário. O titular também pode pedir exclusão completa do banco — isso é diferente de opt-out, e a empresa precisa atender, salvo se houver outra base legal específica para manter o registro.
Posso usar plataforma de email com servidores fora do Brasil?
Pode, desde que a transferência internacional esteja amparada por garantias adequadas: cláusulas-padrão da ANPD no contrato, certificações reconhecidas ou decisão de adequação do país. Na prática, isso significa exigir o DPA (Data Processing Agreement) com cláusulas de LGPD da plataforma, revisar a lista de subprocessadores e registrar a base da transferência. A maior parte das ferramentas globais (Mailchimp, HubSpot, Salesforce) oferece cláusulas-padrão sob solicitação.
Fontes e referências
- Brasil. Lei 13.709/2018 (LGPD) — Lei Geral de Proteção de Dados Pessoais. Bases legais (art. 7º), registro das operações (art. 37), direitos do titular, transferência internacional e sanções administrativas (art. 52). Dados vigentes, sujeitos a alteração.
- ANPD — Guia Orientativo: hipóteses legais de tratamento de dados pessoais — Legítimo Interesse. Teste de legítimo interesse em três fases (finalidade, necessidade, balanceamento e salvaguardas) e direito de oposição do titular. Dados vigentes, sujeitos a alteração.
- ANPD — Autoridade Nacional de Proteção de Dados. Portal oficial: fiscalização, denúncia de descumprimento da LGPD e materiais orientativos. Dados vigentes, sujeitos a alteração.