Como este tema funciona no porte da sua empresa
Você provavelmente não precisa de consentimento para tudo — contrato de venda já cobre coleta de dados (endereço, telefone). Precisa em: email marketing, cookies de rastreamento, dados sensíveis. Documento simples (checkbox no website) basta.
Mesmo padrão, mas com mais canais (email, SMS, redes sociais, chatbot). Consentimento pode variar por canal. Mantenha log simples em Excel: quem consentiu, quando, para quê.
Gestão de consentimento mais formal. Pode usar plataforma (Cookiebot, Didomi, Tawk). Documentação de revogação. DPO (Data Protection Officer) monitora.
Consentimento na LGPD é "manifestação de vontade livre, informada e inequívoca do titular" — significa que você pediu ao cliente explicitamente (não é silêncio), deixou claro o que vai fazer com os dados, e a pessoa concordou ativamente (não foi pré-marcado). Existem 10 bases legais para usar dados; consentimento é apenas uma delas.
Como isso muda conforme o tipo de negócio
Contrato de venda cobre coleta de endereço/telefone. Consentimento é necessário em: email marketing, SMS marketing, cookies de rastreamento. Checkbox "Quero receber ofertas" é suficiente.
Contrato de serviço cobre uso básico. Consentimento em: analytics/cookies, compartilhamento com rede de parceiros, marketing adicional. Aviso de Privacidade no site cobre a maioria.
Termos de Serviço cobrem uso de logs/analytics. Consentimento em features opcionais (recomendação personalizada, marketing). Se é processadora de dados de cliente, precisa de contrato DPA.
Em contexto B2B, você pode usar email/telefone profissional sem consentimento específico. Consentimento é necessário em: dados sensíveis, compartilhamento com terceiros, marketing que não é sobre serviço.
Quando consentimento é realmente obrigatório (e quando não é)
Aqui está a árvore de decisão que você precisa:
Consentimento é obrigatório em 4 situações:
1. Dados sensíveis. Saúde, biometria, religião, orientação sexual, dados financeiros detalhados. Exemplo: você coleta informação de saúde (alergias, medicamentos). Lei exige consentimento porque é dado sensível.
2. Marketing direto / publicidade. Email marketing, SMS marketing, publicidade direcionada. Exemplo: você coleta email em forma — "Quero receber ofertas" — e envia newsletter. Precisa de consentimento porque é marketing.
3. Compartilhamento com terceiro. Você coleta email para seu uso (CRM), depois passa para agência de marketing para campanhas. Terceiro não estava no escopo original — precisa novo consentimento.
4. Cookies de rastreamento/analytics. Google Analytics, Facebook Pixel, e outros rastreadores precisam de consentimento (exceto se uso é operacional/segurança — aí pode sem consentimento).
Quando consentimento NÃO é necessário:
1. Execução de contrato. Você vende para cliente; precisa de endereço/telefone para entregar. Isso é execução de contrato — não precisa consentimento (contrato já cobre).
2. Obrigação legal. Fisco, governo, autoridade judicial pedem dados — você cumpre por obrigação legal, não precisa consentimento.
3. Proteção de direito. Você precisa cobrar cliente, entrar com ação judicial — uso de dados é proteção de direito, não precisa consentimento.
4. Interesse legítimo. Você precisa detectar fraude, melhorar segurança, eficiência de serviço — são interesses legítimos. Não precisa consentimento, mas precisa documentar por que é legítimo.
Exemplo prático: cliente compra em seu e-commerce. Você coleta email, telefone, endereço. Isso é execução de contrato — não precisa consentimento específico. Mas se quer enviar email marketing depois, precisa de consentimento novo.
Características de consentimento válido na prática
Consentimento só é válido se tiver 3 características:
Livre. Sem coação. Você não pode dizer "se não consentir, não recebe o serviço". Exemplo inválido: checkbox pré-marcado de "Concordo com LGPD" como requisito obrigatório para cadastro. Exemplo válido: checkbox desmarcado oferecido, cliente marca se quiser marketing.
Informado. Você explica claramente o que vai fazer com os dados. Linguagem simples (não jurídica). Exemplo: "Suas fotos serão usadas em nosso catálogo online e publicidade. Você concorda?" — claro. Exemplo inválido: "Seus dados serão tratados conforme LGPD" — muito vago.
Inequívoco. Consentimento é ativo, não silêncio. Checkbox pré-marcado = INVÁLIDO. Silêncio (cliente não marca nada) = INVÁLIDO. Você precisa de ação afirmativa: cliente marca checkbox, escreve "SIM", clica botão.
Sobre consentimento pré-marcado: Na LGPD brasileira, consentimento pré-marcado é INVÁLIDO. Lei é clara: art. 8º, parágrafo 4º. Diferente de GDPR europeu que permite com condições. No Brasil, não — checkbox deve estar DESMARCADO, cliente marca se quiser.
Como coletar consentimento de forma válida (passo a passo)
Passo 1: Escrever política clara. Redija Aviso de Privacidade em linguagem simples (não jurídica): "Coletamos seu email para enviar newsletter. Você pode desinscrever a qualquer hora. Seus dados não são compartilhados com terceiros."
Passo 2: Oferecer checkbox ativo (desmarcado). No website, formulário, email — coloque checkbox sem marcar: "[ ] Concordo em receber ofertas por email". Cliente marca se quiser. Salve timestamp de quando marcou.
Passo 3: Documentar consentimento. Guarde prova: screenshotest do formulário com checkbox marcado, email de confirmação, log com data/hora/IP. Se autoridade fiscalizar, você prova que pediu consentimento.
Passo 4: Facilitar revogação. Mesmo lugar onde pediu consentimento (website, email, formulário), oferça forma de revogar. Exemplo: "Quero desinscrever de marketing" — clique, desmarca consentimento. Você para envio em até 48h.
Passo 5: Guardar registro por quanto tempo? Lei não fixa prazo. Regra prática: pelo tempo que usar o dado. Se usar email para marketing por 2 anos, guarde prova por 2+ anos.
Consentimento verbal? Válido se você registra de alguma forma (email de confirmação dizendo "Você concordou em...", notas de chamada telefônica com data/hora). Melhor é por escrito (email, formulário online).
Checkbox simples no website basta. Você não precisa de plataforma sofisticada. Google Forms colhe consentimento + registra timestamp (prova).
Pode manter log em Excel: data, email, consentimento (sim/não), para quê. Ferramenta tipo Typeform ou HubSpot registra automaticamente.
Plataforma de gestão de consentimento (Cookiebot, Didomi) automatiza coleta, revogação, compliance. Vale o investimento se processo é complexo.
Revogação de consentimento: você precisa responder rápido
Cliente pode revogar consentimento a qualquer momento. Pode mandar email "remova meu email de sua lista" ou clicar "desinscrever" no rodapé de newsletter.
O que você precisa fazer:
1. Parar o envio em prazo razoável — 24-48h é aceitável. Não precisa ser instantâneo, mas não pode esperar 1 mês.
2. Responder cliente: "Seu consentimento foi revogado, você não receberá mais nossas mensagens."
3. Guardar registro de que cliente revogou (para prova se autoridade questionar depois).
Erro comum: ignorar pedido de revogação. Cliente avisa que quer sair, você continua mandando email. Isso é LGPD violation.
Erros comuns em consentimento que deixam você descoberto
Erro 1: "Consentimento pré-marcado vale". Falso. INPI pode vir e multar. Checkbox deve estar desmarcado — cliente marca se quiser.
Erro 2: "Silêncio do cliente é consentimento". Falso. Cliente não responde = não consentiu. Precisa ser ativo (marca, clica, escreve SIM).
Erro 3: "Se colheu consentimento uma vez, vale para sempre". Falso (depende contexto). Se contexto muda (começa a usar dados para nova finalidade), precisa novo consentimento. Se muito tempo passa (5+ anos), renovar é prudente.
Erro 4: "Não preciso guardar prova de consentimento". Falso. LGPD inverte ônus de prova: é você que prova que consentimento existiu. Se não guardar, você perde em caso de contencioso.
Erro 5: "Consentimento para uma coisa vale para tudo". Falso. Consentimento é específico por finalidade. Cliente consentiu em marketing por email, mas não em compartilhar dados com parceiro — você não pode compartilhar.
Erro 6: Colocar consentimento como obrigatório para usar serviço. Falso. "Se não marcar, não cria conta" = coação = inválido. Consentimento para marketing é opcional; para dados essenciais (contrato), não precisa consentimento, usa-se "execução de contrato".
Comparação com GDPR europeu: por que consentimento é diferente no Brasil
Se você opera com clientes europeus, cuidado: GDPR europeu permite consentimento pré-marcado — LGPD brasileira não permite. Diferenças principais:
GDPR (Europa): Consentimento pré-marcado é permitido com condições (deve haver opção de optar por fora, não pode ser punido por não consentir). Legítimo interesse é mais fácil de usar.
LGPD (Brasil): Consentimento pré-marcado é inválido (art. 8º). Legítimo interesse existe mas é mais restrito. Lei é mais rigorosa no Brasil.
Se sua PME vende para Brasil, siga LGPD (mais rigorosa). Se vende para Europa também, siga GDPR. Quando em dúvida, use o padrão mais rigoroso (GDPR).
Sinais de que sua empresa precisa revisar consentimento agora
Se você se reconhece em três ou mais destes cenários, revisão de consentimento é prioridade:
- Seu website tem checkbox pré-marcado de "Concordo com política"
- Você colhe consentimento para marketing mas não tem prova guardada
- Cliente pediu para revogar consentimento de marketing — você não sabe por onde começar
- Você colhe email em formulário mas não avisa explicitamente para quê
- Você compartilha email de cliente com agência de marketing sem consentimento específico
- Você envia email marketing para pessoas que nunca marcaram consentimento
- Você não consegue responder "de onde veio esse email no seu banco de dados?"
Caminhos para implementar consentimento correto
Você pode revisar e estruturar sozinho, ou com ajuda de especialista:
Você ou administrativo identifica onde precisa consentimento, monta Aviso de Privacidade (copiar template ANPD), coloca checkbox desmarcado, documenta em planilha simples.
- Perfil necessário: Alguém com 3-4 horas para revisar website e formulários, ler template ANPD, montar checklist.
- Tempo estimado: 3-4 horas para auditoria completa; depois, manutenção mensal (5 minutos).
- Faz sentido quando: Você não tem muitos canais, operação é simples, quer economizar consultoria.
- Risco principal: Esquecer canal (SMS, chatbot, rede social), deixar checkbox pré-marcado sem perceber, não documentar bem.
Consultor LGPD audita consentimento, drafta Aviso de Privacidade customizado, configura ferramenta básica, treina time.
- Tipo de fornecedor: Consultoria LGPD light, mentor de conformidade, assessoria jurídica preventiva em LGPD.
- Vantagem: Especialista conhece erros comuns, redita política adequada, evita risco de multa ANPD.
- Faz sentido quando: Você tem múltiplos canais, operação é complexa, quer garantia de compliance, já recebeu questionamento.
- Resultado típico: Auditoria em 3-5h, Aviso redatado em 1 semana, implementação em 2 semanas, training em 2h.
Sua PME sabe exatamente quando precisa pedir consentimento?
Consentimento na LGPD é um dos pontos mais confundidos em conformidade de dados. Na oHub, você se conecta com consultores LGPD que ajudam a estruturar consentimento correto — desde Aviso de Privacidade até gestão de revogação. Sem custo inicial, sem compromisso.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Preciso de consentimento para armazenar email de cliente?
Depende por quê você colheu. Se foi para executar contrato (venda, entrega), não precisa consentimento. Se colheu para marketing depois, precisa consentimento específico.
Email marketing precisa de consentimento duplo?
LGPD não exige "double opt-in" (clicar em link de confirmação), mas é prática recomendada — prova que cliente realmente consentiu. Single opt-in (checkbox marcado) também é válido se documentar bem.
Consentimento pré-marcado vale na LGPD?
Não. Lei é clara (art. 8º): consentimento pré-marcado é inválido. Checkbox deve estar desmarcado; cliente marca se quiser consentir.
Como colher consentimento de forma válida?
Escreva política clara, ofereça checkbox desmarcado, documento consentimento (salve timestamp + IP), deixe fácil revogar. Google Forms ou Typeform registram tudo automaticamente.
Pode usar dado sem consentimento se tem contrato?
Sim. Contrato é base legal (execução de contrato). Colher email/endereço para entregar produto não precisa consentimento. Mas compartilhar com terceiro ou usar para marketing — aí sim, precisa consentimento novo.
Consentimento pode ser revogado depois?
Sim. Cliente pode revogar a qualquer hora. Você para o envio em até 48h e registra revogação. Ignorar pedido de revogação é violation de LGPD.
Fontes e referências
- Brasil — Lei 13.709/18 (LGPD). Artigos 4º, 7º, 8º. Legislação Federal. Planalto. Acesso em 2026.
- ANPD — Guia sobre Consentimento e Documentação. Autoridade Nacional de Proteção de Dados. Portal gov.br/anpd. Acesso em 2026.
- ANPD — Casos de Consentimento Inválido. Jurisprudência. Portal gov.br/anpd. Acesso em 2026.
- GDPR — Regulação Europeia. Portal gdpr.eu. Referência internacional. Acesso em 2026.