LGPD no marketing digital: o que você pode e não pode fazer

O que é a LGPD e por que afeta seu marketing

A LGPD — Lei Geral de Proteção de Dados — está em vigor desde setembro de 2020 e as sanções administrativas foram ativadas em agosto de 2021. Não é mais novidade, mas ainda há muitas empresas operando em desconformidade, muitas vezes sem saber.

No marketing digital, a LGPD regula diretamente ações cotidianas: e-mail marketing, anúncios com retargeting, WhatsApp, coleta de dados em formulários, uso de analytics e qualquer campanha que dependa de informações pessoais dos usuários.

A penalidade máxima é de 2% do faturamento da empresa no Brasil, limitada a R$50 milhões por infração. Mas o risco mais imediato para a maioria das pequenas e médias empresas não é a multa — é a reclamação de cliente e o processo de averiguação que consome tempo e exposição.

Este guia não substitui assessoria jurídica especializada, mas cobre as regras práticas que toda equipe de marketing precisa entender.

---

O que você PODE fazer

Coletar dados com consentimento explícito

Você pode coletar nome, e-mail, telefone e qualquer outro dado pessoal — desde que o usuário tenha dado consentimento livre, informado e inequívoco. O consentimento precisa ser para uma finalidade específica: "Aceito receber e-mails com novidades e promoções da empresa X".

Consentimento genérico escondido em texto longo não é suficiente. Precisa ser claro e separado dos termos de uso.

E-mail marketing para quem optou por receber

Se o contato se cadastrou na sua lista, clicou em "aceito receber comunicações" ou forneceu o e-mail em um contexto no qual ficava claro que seria contatado, você pode enviar e-mail marketing. Toda mensagem deve ter link de descadastro funcional.

Remarketing com Pixel (desde que informado)

O uso de Meta Pixel e Google Tag para remarketing é permitido, mas a política de privacidade do site precisa informar que isso ocorre, qual a finalidade (personalização de anúncios) e como o usuário pode optar por não ser rastreado. O banner de cookies precisa dar ao usuário a opção real de recusar.

Usar dados anonimizados para analytics

Dados agregados e anonimizados — sem possibilidade de identificar uma pessoa específica — estão fora do escopo da LGPD. Relatórios de analytics que mostram volume de acessos, taxa de rejeição, páginas mais visitadas, sem identificar o usuário individualmente, são permitidos.

Segmentação com base em dados próprios coletados com consentimento

Criar segmentos de e-mail com base em comportamento de compra, preferências declaradas ou dados de cadastro é permitido quando o usuário consentiu com o uso dos dados para personalização. O ponto crítico é que a finalidade de uso precisa ter sido informada no momento da coleta.

---

O que você NÃO PODE fazer

Comprar listas de e-mail ou telefone

Listas compradas de terceiros são, na maioria dos casos, ilegais sob a LGPD. Os contatos dessas listas não forneceram dados para a sua empresa — eles forneceram para outra empresa, com outra finalidade. Usar esses dados para marketing direto viola a base legal do consentimento.

Além do problema legal, listas compradas têm altíssimas taxas de bounce, marcação como spam e reclamação — o que prejudica a reputação do domínio e do número de telefone.

Compartilhar dados sem autorização

Repassar listas de clientes para parceiros, fornecedores ou terceiros sem consentimento expresso dos titulares é proibido. Isso inclui compartilhar bases de e-mail com agências de marketing, plataformas de terceiros ou qualquer serviço que processe os dados no lugar da empresa.

Quando contratar serviços que processam dados (CRM, e-mail marketing, WhatsApp marketing), é obrigatório ter um contrato de DPA (Data Processing Agreement) que defina responsabilidades.

Coletar dados sem informar o propósito

Formulários que coletam e-mail ou telefone sem dizer para que esses dados serão usados violam o princípio da finalidade e da transparência. "Fale conosco" que não informa que o e-mail pode ser usado para marketing posterior é um exemplo comum de não conformidade.

Não ter política de privacidade no site

A LGPD exige que o site informe de forma clara e acessível: quais dados coleta, para qual finalidade, como armazena, quanto tempo retém, com quem compartilha e como o usuário pode exercer seus direitos (acesso, correção, exclusão, portabilidade).

Uma política copiada de outro site sem revisão não é suficiente — ela precisa refletir o que a sua empresa realmente faz com os dados.

---

Checklist mínimo de conformidade

No site - [ ] Política de privacidade publicada e acessível (link no rodapé) - [ ] Banner de cookies com opções reais de aceitar/recusar por categoria - [ ] Formulários com checkbox de consentimento específico para cada finalidade - [ ] Link de descadastro em todos os e-mails marketing

Nos processos - [ ] Mapeamento dos dados coletados (o que, onde, por quanto tempo) - [ ] Processo documentado para responder solicitações de titulares (acesso, exclusão) - [ ] Contrato DPA com prestadores de serviço que processam dados - [ ] Política interna de quem pode acessar quais dados

No marketing - [ ] Base de e-mails construída com opt-in explícito - [ ] Sem compra de listas de terceiros - [ ] Pixel declarado na política de cookies - [ ] Dados de clientes não compartilhados sem autorização

---

As perguntas mais comuns

Posso enviar e-mail para clientes que compraram na minha loja, mesmo sem opt-in explícito? Sim, mas com limitações. O relacionamento comercial existente é uma base legal válida ("legítimo interesse" ou "execução de contrato"), mas o uso precisa ser proporcional — você pode enviar e-mail sobre o pedido e, com cuidado, sobre produtos relacionados, mas não pode adicionar automaticamente a qualquer lista de marketing sem opção de saída clara.

WhatsApp marketing é permitido? Sim, quando o número foi fornecido voluntariamente pelo cliente e ele foi informado que poderia receber comunicações via WhatsApp. Disparos em massa para listas compradas ou coletadas sem consentimento não são permitidos.

O que fazer se um cliente pedir exclusão dos dados? Você tem até 15 dias para atender. O dado precisa ser excluído de todos os sistemas — CRM, plataforma de e-mail, banco de dados. Manter registro de que a exclusão foi feita é recomendável.

---

O custo de não fazer nada

Conformidade com LGPD não é um projeto de uma semana, mas o checklist mínimo — política de privacidade, banner de cookies, formulários com opt-in e processo de exclusão — pode ser implementado em poucos dias por uma equipe pequena.

O custo de não fazer nada inclui: exposição a reclamações e sanções, perda de confiança do cliente quando questionado e, a médio prazo, deterioração da base de dados porque listas não conformes tendem a ter engajamento muito menor.

Se quiser revisar sua estratégia de marketing para garantir conformidade com a LGPD sem travar as campanhas, fale com a equipe F3X pelo WhatsApp — trabalhamos com marketing que performa e que segue as regras.