LGPD no marketing digital: campanhas, CRM e automação
O marketing digital é, por natureza, uma atividade intensiva em dados pessoais. Endereços de e-mail, históricos de navegação, preferências de compra, comportamento em redes sociais — cada canal de aquisição e retenção depende de alguma forma de dados pessoais. A LGPD não proíbe essa operação. Ela exige que cada tratamento tenha finalidade definida, base legal adequada e respeito aos direitos dos titulares.
Para equipes de marketing, o impacto prático não está no que não podem fazer — está no como precisam fazer. Segmentação de listas por base legal, implementação adequada de banners de cookies, gestão de descadastros, política clara para pixels de terceiros. São ajustes operacionais com impacto real no dia a dia.
Os dados que o marketing trata
Antes de definir base legal, é necessário mapear o que realmente é coletado em cada canal:
Captação de leads:
- Nome, e-mail, telefone, empresa (formulários de landing page, eventos, webinars)
- Cargo e interesse declarado (formulários qualificados)
- Origem do lead (UTM parameters, fonte de tráfego)
Comportamento digital:
- Páginas visitadas, tempo de permanência, produtos visualizados
- Histórico de cliques em e-mails (open rate, click rate — são dados pessoais quando associados a um indivíduo identificado)
- Comportamento em redes sociais (curtidas, comentários, seguidores que interagiram)
- Score de lead calculado a partir de comportamentos
CRM e automação:
- Jornada do cliente (etapas do funil, interações com vendas)
- Histórico de compras e valor do cliente (LTV)
- Tickets de suporte e histórico de atendimento
- Tags e segmentações definidas internamente
Cookies e rastreamento:
- Cookies de sessão e preferência (técnicos)
- Cookies de analytics (Google Analytics, Hotjar, Clarity)
- Cookies de publicidade e retargeting (Meta Pixel, Google Ads, TikTok Pixel, LinkedIn Insight Tag)
- Fingerprinting de dispositivo para análise antifraude
Bases legais por canal de marketing
| Atividade | Base legal | Condição |
|---|---|---|
| E-mail marketing para clientes com compra/contrato | Art. 7º, IX — legítimo interesse | Exige LIA; produto/serviço similar; opt-out funcional |
| E-mail para leads que forneceram e-mail ativamente | Art. 7º, I — consentimento | Formulário com finalidade clara; opt-out em todos os envios |
| E-mail para lista comprada ou alugada de terceiro | Sem base legal adequada | Alta exposição; prática a evitar |
| SMS ou WhatsApp marketing | Art. 7º, I — consentimento | Opt-in explícito obrigatório (WhatsApp Business Policy) |
| Cookies técnicos/sessão | Dispensa base legal | Estritamente necessários ao funcionamento |
| Cookies de analytics com identificação | Art. 7º, I — consentimento | Consentimento antes da ativação; granular |
| Cookies de publicidade e retargeting | Art. 7º, I — consentimento | Consentimento específico; banner com recusa equivalente |
| Remarketing/retargeting no Google/Meta | Art. 7º, I — consentimento | Pixel ativo apenas após consentimento do usuário |
| Perfilamento de leads para scoring | Art. 7º, IX — legítimo interesse | LIA; transparência na política de privacidade |
| Personalização de conteúdo no site | Art. 7º, IX — legítimo interesse ou consentimento | Depende da intrusividade do perfilamento |
E-mail marketing: as três bases e o que muda em cada uma
Clientes com relação comercial ativa
O Guia Orientativo sobre Legítimo Interesse da ANPD (publicado em 2 de fevereiro de 2024) estrutura o teste de balanceamento em três fases que devem ser documentadas antes de iniciar o tratamento:
Fase 1 — Finalidade: O interesse legítimo precisa ser identificado e genuíno. E-mail de promoção de produto similar ao que o cliente já adquiriu = finalidade legítima. E-mail para vender produto de categoria completamente distinta = finalidade mais difícil de sustentar.
Fase 2 — Necessidade: O dado mínimo necessário para a finalidade. Usar nome e e-mail do cliente para enviar promoção relevante = necessário. Agregar histórico detalhado de navegação para enviar o mesmo e-mail = desnecessário, não passa nesta fase.
Fase 3 — Balanceamento e salvaguardas: O interesse da empresa precisa superar os direitos e expectativas do titular. A expectativa razoável de quem comprou um produto de receber comunicações sobre esse produto ou similares é alta — o balanceamento tende a ser favorável. A salvaguarda mínima: opt-out funcional em todos os e-mails, com processamento imediato.
Ponto inafastável: Mesmo com base em legítimo interesse, todo e-mail deve ter link de descadastro funcional. O Art. 18, VI da LGPD garante ao titular o direito de se opor a tratamento por legítimo interesse — e esse direito deve ser facilmente exercível.
Leads sem relação comercial
O consentimento (Art. 7º, I) é a base adequada. Condições para consentimento válido:
- Formulário que informe explicitamente que o e-mail será usado para comunicações de marketing
- Caixa de opt-in não pode estar pré-marcada
- Consentimento registrado com data e versão do formulário
- Canal de revogação fácil, funcional e imediato
Listas compradas ou alugadas
Prática sem base legal sustentável sob a LGPD. Os titulares nunca consentiram com receber comunicações da empresa compradora, e o legítimo interesse é de difícil sustentação quando não existe relação prévia. A exposição é dupla: da empresa que comprou a lista e da que vendeu.
Cookies: o Guia da ANPD e o que ele exige na prática
O Guia Orientativo "Cookies e Proteção de Dados Pessoais", publicado pela ANPD em 18 de outubro de 2022, estabelece o parâmetro de conformidade para rastreamento online. Não é norma vinculante, mas define como a ANPD avalia as práticas de coleta via cookies.
O que NÃO é consentimento válido:
- "Ao continuar navegando, você concorda com os cookies" — implícito, não é válido
- Banner com botão "Aceitar" proeminente e opção de recusa oculta ou em múltiplos cliques
- Opções pré-selecionadas no banner de cookies
- Consent-wall: bloquear acesso ao site até que todos os cookies sejam aceitos (a recusa deve ser uma opção real, não punitiva)
Categorias e requisitos:
- Cookies estritamente necessários (sessão, carrinho, preferências de idioma): não exigem consentimento — são necessários ao funcionamento do serviço solicitado pelo usuário
- Cookies de analytics que identificam usuários individualmente: exigem consentimento específico antes da ativação
- Cookies de publicidade, retargeting e perfilamento comportamental: exigem consentimento específico e separado dos demais
Granularidade obrigatória: O usuário deve poder aceitar apenas cookies necessários sem aceitar analytics ou publicidade. Um único botão "aceitar tudo" sem opção granular não é suficiente.
Registro do consentimento: A plataforma deve registrar quando o consentimento foi dado, para qual versão do banner, quais categorias foram aceitas — para poder demonstrar conformidade se questionada.
Meta Pixel, Google Ads e a questão do controlador independente
A instalação de pixels de terceiros no site é um dos pontos mais críticos para equipes de marketing do ponto de vista da LGPD. Quando o Meta Pixel está ativo, dados de comportamento dos visitantes são enviados para servidores da Meta nos Estados Unidos.
A distinção jurídica relevante:
A empresa que instala o pixel é controladora dos dados de seus visitantes. A Meta e o Google, ao receber esses dados para seus próprios fins (treinar modelos de publicidade, construir audiências, otimizar campanhas), atuam como controladores independentes — não apenas como operadores que processam dados em nome do site.
Isso tem implicações práticas:
- O visitante precisa ser informado sobre essa transferência na política de privacidade, com identificação das plataformas destinatárias
- O consentimento para cookies de publicidade deve ser obtido antes de o pixel ser ativado — não depois
- A transferência para os EUA (que não tem decisão de adequação da ANPD como a UE tem desde a Resolução Nº 32/2026) exige mecanismo de transferência internacional adequado — como as Cláusulas Contratuais Padrão previstas no Anexo II da Resolução Nº 19/2024
Implicação para GTM (Google Tag Manager): Configurar o GTM para disparar pixels apenas após consentimento explícito é tecnicamente possível e juridicamente necessário. Tags de marketing devem ser disparadas em modo "consentimento aguardando" até que o usuário aceite os cookies de publicidade no banner.
CRM, automação e perfilamento: o Art. 20 da LGPD
Ferramentas de automação de marketing (RD Station, HubSpot, Salesforce Marketing Cloud, Klaviyo) realizam perfilamento — atribuem características, scores e segmentações aos titulares com base em seus comportamentos. Quando esse perfilamento resulta em decisões que afetam o titular de forma significativa, o Art. 20 da LGPD pode ser acionado.
O Art. 20 garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses, inclusive a criação de perfis pessoais, de consumo ou comportamentais.
Quando isso se aplica ao marketing:
- Lead scoring que determina se o lead recebe ou não uma proposta comercial
- Segmentação que exclui automaticamente perfis de determinadas ofertas ou preços
- Modelos de propensão que classificam usuários como "não propensos a comprar" e os excluem de campanhas
O que a empresa precisa ter:
- Processo para revisão humana quando o titular questionar uma decisão baseada em perfilamento automatizado
- Capacidade de explicar os critérios usados na pontuação ou segmentação — não é necessário revelar o algoritmo completo, mas o titular tem direito a informações suficientes para compreender a decisão
WhatsApp e SMS: opt-in obrigatório
O WhatsApp Business API exige, por suas próprias políticas, que os destinatários tenham optado explicitamente por receber mensagens da empresa via WhatsApp antes do primeiro contato. Essa exigência de opt-in coincide com o que a LGPD exige para comunicações de marketing em canais de mensagem direta.
Na prática: o opt-in para WhatsApp não pode ser capturado junto de outros consentimentos genéricos ("aceito receber comunicações"). Deve ser específico para o canal: "Aceito receber mensagens de marketing desta empresa via WhatsApp."
O mesmo vale para SMS marketing: consentimento específico para o canal, com opt-out facilmente exercível via resposta "SAIR" ou equivalente.
Transferência internacional de dados em marketing
Ferramentas de marketing frequentemente processam dados fora do Brasil. Os casos mais comuns:
| Plataforma | Localização dos servidores | Mecanismo de transferência |
|---|---|---|
| Meta (Instagram/Facebook Ads) | EUA | SCCs do Anexo II da Res. 19/2024 (verificar se aplicável) |
| Google (Analytics, Ads, YouTube) | EUA e outros países | SCCs |
| HubSpot | EUA | SCCs |
| Mailchimp | EUA | SCCs |
| LinkedIn Ads | EUA | SCCs |
| Klaviyo | EUA | SCCs |
A Resolução Nº 19/2024 estabeleceu que transferências internacionais precisam de mecanismo adequado. A UE foi reconhecida como país com nível adequado de proteção pela Resolução Nº 32/2026, o que facilita transferências para empresas europeias. Para os EUA, o mecanismo mais acessível são as SCCs previstas no Anexo II da Res. 19/2024.
Na prática para equipes de marketing: Verificar os termos de processamento de dados (DPA) de cada fornecedor e se eles incluem ou admitem o uso de SCCs compatíveis com o modelo da ANPD.
Checklist para equipes de marketing
Banner de cookies:
- Categorias separadas: necessário / analytics / publicidade?
- Opção de recusa com visibilidade equivalente à de aceitação?
- Pixels e tags de publicidade disparados apenas após consentimento específico?
- Consentimento registrado com data, versão do banner e categorias aceitas?
E-mail marketing:
- Listas segmentadas por base legal (clientes = legítimo interesse documentado; leads = consentimento)?
- LIA (teste de balanceamento) documentado para e-mails baseados em legítimo interesse?
- Link de descadastro funcional em todos os e-mails, com processamento imediato?
- Listas de terceiros compradas ou alugadas eliminadas ou não utilizadas para marketing?
CRM e automação:
- Política de privacidade menciona o perfilamento de leads e os critérios gerais usados?
- Processo para revisão humana de decisões automatizadas documentado?
- DPA (Data Processing Agreement) assinado com CRM, plataforma de automação e ferramentas de analytics?
Transferências internacionais:
- Fornecedores de marketing com servidores fora do Brasil identificados?
- Mecanismo de transferência adequado (SCCs ou país com adequação) verificado para cada fornecedor?
- Política de privacidade menciona as transferências internacionais e os destinatários?
Conclusão
A LGPD não é um obstáculo para o marketing digital — é um conjunto de regras que profissionaliza a relação das equipes de marketing com os dados que coletam. Segmentar por base legal, documentar o LIA para e-mails de clientes, implementar um banner de cookies adequado e revisar os contratos com fornecedores de tecnologia de marketing são mudanças que impactam positivamente a governança de dados e reduzem a exposição a sanções.
A maior mudança de mentalidade exigida é simples: dados de pessoas não são um recurso a ser maximizado — são informações que pertencem a pessoas, que têm o direito de controlar como são usadas. Equipes de marketing que internalizam isso tendem a construir estratégias mais sustentáveis e relações mais confiáveis com seus públicos.
O Confidata inclui módulo de gestão de consentimento integrado ao ROPA, com rastreamento de opt-ins e opt-outs por canal, registro de versões de formulários e alertas para revisão do LIA quando houver mudanças significativas nas atividades de marketing.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.