Legal8 min de leitura

ANPD: o que fiscaliza sobre envio de emails

A ANPD é responsável por garantir que empresas respeitem a LGPD ao enviar emails. Entenda o que a autoridade fiscaliza, quais são suas obrigações legais e como evitar multas e bloqueios de entrega.

Se você trabalha com email marketing ou rассылки de leads no Brasil, precisa conhecer a ANPD (Autoridade Nacional de Proteção de Dados) e o que ela fiscaliza. A ANPD é responsável por garantir que empresas cumpram a LGPD — Lei Geral de Proteção de Dados — inclusive quando enviam emails em massa. Violar essas regras pode resultar em multas pesadas, bloqueios de provedores e processos administrativos. Neste artigo, explicamos exatamente o que a ANPD fiscaliza e quais são suas obrigações legais como remetente.

O que é a ANPD e sua atuação

A ANPD (Autoridade Nacional de Proteção de Dados Pessoais) é a entidade independente criada pela Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) para fiscalizar e fazer cumprir a lei em todo o Brasil. Sua missão é proteger direitos fundamentais de privacidade e liberdade dos titulares de dados pessoais, garantindo que empresas, profissionais liberais e órgãos públicos tratem informações de forma transparente, segura e respeitosa.

No contexto de email marketing e campanhas de rássemblagem, a ANPD atua investigando denúncias de indivíduos que recebem mensagens não autorizadas. A autoridade também realiza auditorias proativas em setores de risco, como e-commerce, financeiro e telecomunicações. Se você envia emails para bases brasileiras, a ANPD pode fiscalizá-lo — seja por reclamação ou por monitoramento direto.

LGPD e o envio de emails — qual é a base legal

A LGPD exige que você tenha uma base legal para processar dados pessoais, inclusive endereços de email. Para email marketing e rássemblagem prospecting, existem duas bases principais reconhecidas pela lei:

  1. Consentimento explícito: O titular autorizou, por escrito ou por meio de formulário digital, o recebimento de mensagens de marketing. Esse consentimento deve ser claro, específico, informado e diferenciado de outras políticas ou serviços. A ANPD exige que você mantenha prova documentada — não é aceitável presumir consentimento.
  2. Legítimo interesse: Em certos cenários, como comunicações transacionais (confirmação de pedido, aviso de entrega) ou interesse comercial documentado, a LGPD permite processar dados sem consentimento prévio. Mas essa base é restrita e exige transparência. Para cold outreach e campanhas especulativas, consentimento é quase sempre obrigatório.

Para a maioria das campanhas de marketing — especialmente prospecção de bases compradas — o consentimento é o caminho mais seguro. Sem consentimento documentado, a ANPD pode considerar o envio ilegal e aplicar penalidades severas.

Obrigações dos remetentes de emails segundo a LGPD

Se você envia emails em massa para contatos brasileiros, a LGPD — e portanto a fiscalização da ANPD — exige que você cumpra as seguintes obrigações:

  • Identificação clara do remetente: Todo email deve deixar evidente quem está enviando e por qual razão. Ocultar a identidade da empresa, usar nomes genéricos ou domínios enganosos é considerado prática fraudulenta e viola a lei.
  • Link de descadastro (unsubscribe) obrigatório: Cada email deve conter um link de fácil acesso para que o destinatário se remova da lista. A remoção deve ser processada em até 10 dias. Provedores como Gmail, Outlook e Yahoo também exigem isso — é obrigação legal e técnica.
  • Respeito ao direito de ser esquecido: Se um titular solicita remoção de seus dados, você deve apagar seu email e informações relacionadas em até 30 dias, salvo exceções legais.
  • Política de privacidade acessível: Você deve disponibilizar uma política clara explicando como dados são coletados, usados, armazenados e protegidos. A política deve ser linkada em newsletters e confirmações de email.
  • Registro de consentimento: Guarde prova de que obteve consentimento — datas, horas, formulários preenchidos, termos aceitos. Sem prova, a ANPD presume que foi ilegal.
  • Segurança dos dados: Implemente medidas técnicas e organizacionais para proteger a base de contatos contra acesso não autorizado e vazamentos.

O que a ANPD fiscaliza especificamente em emails

A ANPD dirige sua atenção para as seguintes práticas ilegais em email marketing:

  • Envios sem consentimento: Rássemblagem fria de listas compradas, contatos capturados sem autorização, ou campanhas onde o remetente não pode provar base legal.
  • Falta de descadastro ou ignorar pedidos de remoção: Emails sem link de unsubscribe, links quebrados, ou remoção de lista que demora mais que 10 dias.
  • Identificação falsa ou enganosa: Usar domínios que fingem pertencer a outra empresa, disfarçar-se de marca conhecida, ou ocultar identidade do remetente.
  • Ataques à privacidade: Solicitar dados pessoais adicionais (CPF, conta bancária) sob pretextos de descadastro ou verificação.
  • Compartilhamento não autorizado de dados: Vender ou ceder base de emails a terceiros sem consentimento explícito.
  • Retenção excessiva: Guardar emails muito além do necessário para a finalidade declarada.
Base de contatos coletada100%Com consentimento documentado95%Identificação clara no email90%Descadastro funcional85%
Funil de conformidade LGPD em campanhas de email

Verificação de conformidade antes de enviar

Antes de lançar uma campanha em massa, realize verificações rigorosas:

  1. Audite a base de contatos: Confirme que cada endereço tem consentimento documentado. Se a lista foi comprada, solicite ao fornecedor prova escrita de consentimento para cada receptor.
  2. Teste a entrega e reputação do domínio: Use ferramentas como check.live-direct-marketing.online para verificar se seus emails chegam à Inbox e não ao Spam. Valide se SPF, DKIM e DMARC estão bem configurados — isso demonstra legitimidade técnica aos filtros, alinhando-se com conformidade LGPD.
  3. Inclua footer obrigatório: Nome completo e endereço registrado da empresa, link de descadastro claramente visível, e link para a política de privacidade.
  4. Teste a função de descadastro: Clique no unsubscribe de seus próprios testes e confirme que a remoção é processada rapidamente.
  5. Registre tudo: Mantenha logs de envios, base de consentimentos com datas, e requisições de remoção. Esse registro é sua defesa perante a ANPD.
Mantenha registros de consentimento impecáveis
A ANPD presume violação se você não conseguir provar consentimento. Guarde cópias digitais assinadas de formulários, timestamps de opt-in (data e hora), e cópia dos termos aceitos. Se sua base é comprada, exija do fornecedor um arquivo com data/hora de consentimento para cada email. Sem prova, você está em risco legal.

Consequências de não-cumprimento

Se a ANPD determinar violação da LGPD em email marketing, as consequências são severas:

  • Multas administrativas: Até 50 milhões de reais ou 2% do faturamento anual (o que for maior) em infrações graves; até 1% em infrações menores. Mesmo pequenas empresas recebem multas seis cifras.
  • Advertências e embargos: A ANPD pode ordenar o fim imediato de campanhas, bloqueio de funcionalidades, ou até suspensão de operações.
  • Processos civis por danos morais: Titulares de dados podem processar você por violação de privacidade.
  • Dano à reputação: Provedores de email marcam domínios como spammer, resultando em bloqueios permanentes. Outros ISPs compartilham listas de violadores.

Se uso a base de um cliente, quem é responsável perante a ANPD?

Ambos podem ser responsáveis. Você (remetente direto) atua como operador; o cliente é controlador principal. A ANPD pode processar um ou outro ou ambos, dependendo dos acordos. Por isso contratos de processamento de dados (DPA) são obrigatórios — devem definir claramente quem faz o quê e quem responde perante a autoridade.

Posso enviar emails transacionais sem consentimento de marketing?

Sim. Notificações obrigatórias (confirmação de compra, recuperação de senha, status de entrega) possuem base legal própria e não exigem consentimento de marketing. Mas você ainda deve incluir identificação clara, política de privacidade e respeitar direitos do titular. Nunca aproveite transacionais para vender produtos relacionados sem consentimento adicional.

Como a ANPD descobre violações se não há reclamação?

A ANPD audita proativamente setores de risco (e-commerce, financeiro, telecomunicações). Provedores globais (Gmail, Outlook, Yahoo) reportam padrões suspeitos — muitas reclamações, taxa alta de spam, múltiplas contas com padrão idêntico. Dados de spam reports também chegam à ANPD por canais de segurança. Esconder-se raramente funciona por muito tempo.
Leituras relacionadas
Found this useful? Share it
AB
Sobre o autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifique sua entregabilidade em mais de 20 provedores

Gmail, Outlook, Yahoo, GMX, ProtonMail e outros. Capturas reais da caixa de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Grátis, sem cadastro.

Fazer teste grátis →

Testes ilimitados · Mais de 20 caixas · Resultados ao vivo · Sem conta