A Lei Geral de Proteção de Dados (LGPD) permite que você envie emails comerciais de duas formas: com consentimento prévio do usuário, ou com base em legítimo interesse. A escolha errada — ou a falta de documentação — pode resultar em multas da ANPD (Autoridade Nacional de Proteção de Dados), bloqueio de campanhas ou processos judiciais custosos.
Este artigo explora os requisitos, riscos e casos de uso de cada base legal, para que você faça a escolha certa e implemente com segurança.
O que é consentimento na LGPD para email?
Consentimento é a autorização prévia, explícita e documentada do titular de dados antes de enviar qualquer email comercial ou de marketing.
Como funciona:
- O usuário preenche um formulário opt-in (ex: newsletter) e autoriza expressamente o envio de mensagens.
- Você deve guardar evidência dessa autorização: timestamp, IP, texto exato da autorização, identificação do usuário.
- O consentimento é revogável a qualquer momento — o usuário pode clicar em "descadastro" e os envios devem parar imediatamente.
Quando usar consentimento:
- Campanhas de marketing, newsletters, promoções de novos produtos.
- Mensagens comerciais para novos contatos (sem histórico de relacionamento).
- Quando você não tem justificativa legítima além de vender ou informar.
Desafios do consentimento:
- Exige infraestrutura de opt-in (formulários, confirmação dupla às vezes recomendada).
- Taxa de consentimento tende a ser menor — nem todos autorizam.
- Dependência de dados históricos: emails coletados antes de 2020 sem consentimento explícito podem ser problemáticos.
O que é legítimo interesse na LGPD para email?
Legítimo interesse permite enviar emails comerciais sem consentimento prévio, contanto que você tenha uma justificativa reconhecida em lei e comprovável.
Definição formal: É aquela necessária para satisfazer interesse legítimo seu ou de terceiro, desde que:
- Você tenha uma razão legítima e documentada para o envio.
- A ação seja proporcional aos direitos do titular.
- O titular possa exercer seus direitos (descadastro, acesso, portabilidade).
Exemplos práticos de legítimo interesse:
- Notificações transacionais (confirmação de pedido, NF-e, entrega).
- Comunicações sobre serviço contratado (avisos de renovação, alterações de termos).
- Relacionamento comercial preexistente (cliente ou fornecedor, últimos 6 meses).
- Prospecção B2B com justificativa de interesse comercial mútuo (ex: email de proposta para empresa que trabalha no seu setor).
Como implementar legítimo interesse:
- Documentar a justificativa legítima por escrito (Teste de Três Camadas: necessidade, proporcionalidade, direitos do titular).
- Garantir que o usuário possa se descadastrar com um clique.
- Ser transparente: indicar em qual base você está enviando e qual é a justificativa.
Desafios de legítimo interesse:
- Mais rigoroso na auditoria da ANPD — falta de documentação é interpretada contra você.
- Risco reputacional: reclamações de usuários incomodados ao regulador aumentam investigações.
- Precisa cumprir mesmo rigor técnico (SPF/DKIM/DMARC) que consentimento.
Consentimento vs legítimo interesse: comparação prática
Os dois regimes têm vantagens e desvantagens. Veja os pontos principais:
- Pré-requisito: Consentimento exige opt-in prévio explícito; legítimo interesse exige justificativa documentada.
- Revogação: Ambos devem parar imediatamente se o usuário se descadastrar.
- Documentação: Consentimento prova opt-in (data, texto); legítimo interesse prova justificativa legal escrita.
- Risco regulatório: Consentimento é baixo se bem documentado; legítimo interesse é alto se documentação for fraca.
- Melhor para: Consentimento para marketing e novos contatos; legítimo interesse para transações, relacionamento existente e B2B.
Conformidade técnica: além da base legal
Escolher entre consentimento e legítimo interesse é apenas metade do trabalho. A ANPD e os provedores de email (Gmail, Outlook, Hotmail, UOL, BOL, Terra, iCloud) exigem conformidade técnica rigorosa:
- SPF, DKIM e DMARC obrigatórios. Desde fevereiro de 2024, Gmail e Yahoo (e outros) rejeitam emails de remetentes sem essas assinaturas de autenticação.
- Unsubscribe de um clique. RFC 8058 — o usuário deve poder sair da lista com um único clique, sem formulários ou confirmações.
- Identificação clara do remetente. Nome e endereço físico (ou "empresa X, CNPJ tal" se B2B) deve estar no email.
- Taxa de spam baixa. Postmaster Tools do Gmail mostra sua reputação; acima de limites críticos, mensagens caem em Spam ou são bloqueadas.
Você pode testar sua conformidade técnica de graça em check.live-direct-marketing.online — envie um email de teste para nossos seeds nos principais provedores brasileiros (Gmail, Outlook, UOL, BOL, Terra, iCloud) e veja em qual pasta cai, além de auditar seus headers SPF/DKIM/DMARC automaticamente.
Erros comuns ao escolher a base legal
Veja as armadilhas mais frequentes que aumentam risco e multas:
- "Nosso cliente assinou um contrato, então qualquer email é legítimo interesse."
Errado. Apenas emails sobre o serviço contratado são legítimo interesse. Emails sobre novos produtos ou serviços desvinculados podem precisar de consentimento específico. - "Já temos a base de dados há anos, então não precisamos de consentimento."
Errado. LGPD entrou em vigor em 2020. Dados coletados antes devem ser "consentimentados" retroativamente ou removidos, a menos que haja legítimo interesse documentado e justificável. - "Legítimo interesse é sempre mais barato que gerenciar consentimento."
Verdade a curto prazo, mas falso a longo prazo. Multas da ANPD e ações judiciais custam muito mais do que manter uma infraestrutura de opt-in. - "Não preciso avisar o usuário qual base estou usando."
Errado. Transparência é requisito da LGPD — deve estar claro na política de privacidade ou no próprio email.
Implementação na prática: checklist
Antes de enviar qualquer campanha, valide:
- Base legal escolhida e documentada (consentimento ou legítimo interesse).
- Logs de consentimento ou parecer de legítimo interesse guardados por 5 anos.
- SPF, DKIM e DMARC configurados no domínio de envio.
- Link de unsubscribe funcional em todo email.
- Política de privacidade atualizada com descrição clara da base legal.
- Taxa de spam monitorada via Postmaster Tools (Gmail) ou equivalente.
Posso trocar de consentimento para legítimo interesse retroativamente?
E se estou enviando de um alias corporativo (ex: vendas@empresa.com) — ainda preciso de SPF/DKIM?
include.