Legal8 min de leitura

Consentimento vs legítimo interesse na LGPD

Muitos profissionais de email-marketing no Brasil confundem consentimento com legítimo interesse — as duas bases legais válidas na LGPD. Cada uma tem regras, riscos e benefícios completamente diferentes.

A Lei Geral de Proteção de Dados (LGPD) permite que você envie emails comerciais de duas formas: com consentimento prévio do usuário, ou com base em legítimo interesse. A escolha errada — ou a falta de documentação — pode resultar em multas da ANPD (Autoridade Nacional de Proteção de Dados), bloqueio de campanhas ou processos judiciais custosos.

Este artigo explora os requisitos, riscos e casos de uso de cada base legal, para que você faça a escolha certa e implemente com segurança.

O que é consentimento na LGPD para email?

Consentimento é a autorização prévia, explícita e documentada do titular de dados antes de enviar qualquer email comercial ou de marketing.

Como funciona:

  • O usuário preenche um formulário opt-in (ex: newsletter) e autoriza expressamente o envio de mensagens.
  • Você deve guardar evidência dessa autorização: timestamp, IP, texto exato da autorização, identificação do usuário.
  • O consentimento é revogável a qualquer momento — o usuário pode clicar em "descadastro" e os envios devem parar imediatamente.

Quando usar consentimento:

  • Campanhas de marketing, newsletters, promoções de novos produtos.
  • Mensagens comerciais para novos contatos (sem histórico de relacionamento).
  • Quando você não tem justificativa legítima além de vender ou informar.

Desafios do consentimento:

  • Exige infraestrutura de opt-in (formulários, confirmação dupla às vezes recomendada).
  • Taxa de consentimento tende a ser menor — nem todos autorizam.
  • Dependência de dados históricos: emails coletados antes de 2020 sem consentimento explícito podem ser problemáticos.

O que é legítimo interesse na LGPD para email?

Legítimo interesse permite enviar emails comerciais sem consentimento prévio, contanto que você tenha uma justificativa reconhecida em lei e comprovável.

Definição formal: É aquela necessária para satisfazer interesse legítimo seu ou de terceiro, desde que:

  1. Você tenha uma razão legítima e documentada para o envio.
  2. A ação seja proporcional aos direitos do titular.
  3. O titular possa exercer seus direitos (descadastro, acesso, portabilidade).

Exemplos práticos de legítimo interesse:

  • Notificações transacionais (confirmação de pedido, NF-e, entrega).
  • Comunicações sobre serviço contratado (avisos de renovação, alterações de termos).
  • Relacionamento comercial preexistente (cliente ou fornecedor, últimos 6 meses).
  • Prospecção B2B com justificativa de interesse comercial mútuo (ex: email de proposta para empresa que trabalha no seu setor).

Como implementar legítimo interesse:

  • Documentar a justificativa legítima por escrito (Teste de Três Camadas: necessidade, proporcionalidade, direitos do titular).
  • Garantir que o usuário possa se descadastrar com um clique.
  • Ser transparente: indicar em qual base você está enviando e qual é a justificativa.

Desafios de legítimo interesse:

  • Mais rigoroso na auditoria da ANPD — falta de documentação é interpretada contra você.
  • Risco reputacional: reclamações de usuários incomodados ao regulador aumentam investigações.
  • Precisa cumprir mesmo rigor técnico (SPF/DKIM/DMARC) que consentimento.

Consentimento vs legítimo interesse: comparação prática

Os dois regimes têm vantagens e desvantagens. Veja os pontos principais:

  • Pré-requisito: Consentimento exige opt-in prévio explícito; legítimo interesse exige justificativa documentada.
  • Revogação: Ambos devem parar imediatamente se o usuário se descadastrar.
  • Documentação: Consentimento prova opt-in (data, texto); legítimo interesse prova justificativa legal escrita.
  • Risco regulatório: Consentimento é baixo se bem documentado; legítimo interesse é alto se documentação for fraca.
  • Melhor para: Consentimento para marketing e novos contatos; legítimo interesse para transações, relacionamento existente e B2B.
Auditoria da ANPD começa com logs
A ANPD pede comprovação de base legal em casos de denúncia. Mantenha logs de consentimento (data, IP, formulário preenchido) ou documentação de legítimo interesse (parecer legal, justificativa de negócio, teste de proporcionalidade) por pelo menos 5 anos. Sem isso, o ônus é seu — e multas chegam a percentuais altos do faturamento anual.

Conformidade técnica: além da base legal

Escolher entre consentimento e legítimo interesse é apenas metade do trabalho. A ANPD e os provedores de email (Gmail, Outlook, Hotmail, UOL, BOL, Terra, iCloud) exigem conformidade técnica rigorosa:

  1. SPF, DKIM e DMARC obrigatórios. Desde fevereiro de 2024, Gmail e Yahoo (e outros) rejeitam emails de remetentes sem essas assinaturas de autenticação.
  2. Unsubscribe de um clique. RFC 8058 — o usuário deve poder sair da lista com um único clique, sem formulários ou confirmações.
  3. Identificação clara do remetente. Nome e endereço físico (ou "empresa X, CNPJ tal" se B2B) deve estar no email.
  4. Taxa de spam baixa. Postmaster Tools do Gmail mostra sua reputação; acima de limites críticos, mensagens caem em Spam ou são bloqueadas.
Escolher base legal (consentimento ou interesse)100%Documentar e manter logs85%Configurar SPF/DKIM/DMARC70%Implementar unsubscribe de um clique60%
Estágios de conformidade LGPD para email-marketing. Cada etapa reduz risco regulatório e melhora entrega.

Você pode testar sua conformidade técnica de graça em check.live-direct-marketing.online — envie um email de teste para nossos seeds nos principais provedores brasileiros (Gmail, Outlook, UOL, BOL, Terra, iCloud) e veja em qual pasta cai, além de auditar seus headers SPF/DKIM/DMARC automaticamente.

Erros comuns ao escolher a base legal

Veja as armadilhas mais frequentes que aumentam risco e multas:

  • "Nosso cliente assinou um contrato, então qualquer email é legítimo interesse."
    Errado. Apenas emails sobre o serviço contratado são legítimo interesse. Emails sobre novos produtos ou serviços desvinculados podem precisar de consentimento específico.
  • "Já temos a base de dados há anos, então não precisamos de consentimento."
    Errado. LGPD entrou em vigor em 2020. Dados coletados antes devem ser "consentimentados" retroativamente ou removidos, a menos que haja legítimo interesse documentado e justificável.
  • "Legítimo interesse é sempre mais barato que gerenciar consentimento."
    Verdade a curto prazo, mas falso a longo prazo. Multas da ANPD e ações judiciais custam muito mais do que manter uma infraestrutura de opt-in.
  • "Não preciso avisar o usuário qual base estou usando."
    Errado. Transparência é requisito da LGPD — deve estar claro na política de privacidade ou no próprio email.

Implementação na prática: checklist

Antes de enviar qualquer campanha, valide:

  • Base legal escolhida e documentada (consentimento ou legítimo interesse).
  • Logs de consentimento ou parecer de legítimo interesse guardados por 5 anos.
  • SPF, DKIM e DMARC configurados no domínio de envio.
  • Link de unsubscribe funcional em todo email.
  • Política de privacidade atualizada com descrição clara da base legal.
  • Taxa de spam monitorada via Postmaster Tools (Gmail) ou equivalente.

Posso trocar de consentimento para legítimo interesse retroativamente?

Não. Se coletou com base em consentimento, deve mantê-lo ou apagar os dados. Você não pode "converter" consentimento em legítimo interesse para evitar gerenciar opt-outs. A ANPD auditará a coerência entre sua política declarada e os dados coletados.

E se estou enviando de um alias corporativo (ex: vendas@empresa.com) — ainda preciso de SPF/DKIM?

Sim. Independentemente da base legal, todo email comercial precisa de autenticação. Configure SPF, DKIM e DMARC no domínio raiz (empresa.com) e certifique-se de que rotas de alias estão incluídas no SPF via directives include.
Consentimento é mais defensável se a documentação for forte (log de opt-in com timestamp, texto claro, etc.). Legítimo interesse é mais rápido de implementar, mas exige justificativa legal sólida escrita. No fim, ambas são "seguras" se bem executadas e documentadas.
Leituras relacionadas
Found this useful? Share it
AB
Sobre o autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifique sua entregabilidade em mais de 20 provedores

Gmail, Outlook, Yahoo, GMX, ProtonMail e outros. Capturas reais da caixa de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Grátis, sem cadastro.

Fazer teste grátis →

Testes ilimitados · Mais de 20 caixas · Resultados ao vivo · Sem conta