Legal8 min de leitura

LGPD e email marketing: o que diz a lei

A Lei Geral de Proteção de Dados Pessoais (LGPD) impõe regras claras para quem envia email marketing no Brasil. Saiba quais são as bases legais, os direitos dos titulares e como manter sua estratégia em conformidade com a legislação.

Se sua empresa envia email marketing para clientes ou prospects no Brasil, você precisa estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Muitos profissionais de marketing ainda confundem as regras, o que resulta em campanhas bloqueadas, multas e perda de confiança. Este guia esclarece os pontos principais da LGPD aplicados a email marketing e como colocar sua estratégia dentro da lei.

O que é a LGPD e por que importa para email marketing?

A LGPD (Lei nº 13.709/2018) é a lei brasileira que regulamenta o tratamento de dados pessoais. Ela se aplica a qualquer empresa ou profissional que coleta, armazena ou utiliza informações de pessoas físicas — incluindo endereços de email. Para email marketing, a lei impõe obrigações claras: você precisa de uma base legal para enviar mensagens e deve respeitar direitos fundamentais como o direito de deletar dados e receber informações sobre como seus dados são usados.

Diferentemente de outras leis de email (como CAN-SPAM nos EUA), a LGPD não é apenas sobre técnica de entregabilidade; é sobre direito de dados. Violações podem resultar em multas de até 2% do faturamento anual, tornando a conformidade não apenas uma obrigação legal, mas também uma necessidade comercial. Empresas que ignoram LGPD arriscam investigações da ANPD, bloqueios de plataformas de email e dano irreparável à reputação.

As duas bases legais para enviar email marketing

Antes de enviar qualquer email marketing, você precisa identificar qual é sua base legal. A LGPD prevê duas bases principais para o tratamento de dados pessoais em contextos comerciais:

  • Consentimento: O titular deu permissão explícita e informada para receber emails. Esse consentimento deve ser claro, documentado e fácil de revogar. Não é válido consentimento pré-preenchido, pré-selecionado ou obtido por engano. Você precisa guardar prova que a pessoa consentiu.
  • Legítimo interesse: Você tem um interesse legítimo em enviar (por exemplo: emails transacionais, confirmações de compra, lembretes de contas inativas) e esse interesse não viola direitos do titular. Legítimo interesse exige documentação formal de avaliação de impacto e não é apropriado para newsletter ou marketing agressivo.

Muitas empresas usam as duas bases ao mesmo tempo: consentimento para newsletter e legítimo interesse para email de confirmação de compra ou avisos de entrega. O importante é ser transparente, documentar qual base você está usando em cada campanha e manter registros acessíveis.

Consentimento: como coletar e documentar corretamente

Consentimento não é opcional — é obrigatório se você quer enviar marketing puro (newsletters, promoções, ofertas). A LGPD determina que o consentimento seja:

  • Informado: Você deve explicar claramente para que vai usar o email. Um texto vago como "você concorda com nossos termos" não funciona; seja específico: "Vamos enviar promoções semanais dos nossos produtos por email".
  • Explícito: O usuário marca uma checkbox ou toma uma ação clara indicando concordância. Não vale consentimento implícito, silêncio ou falta de recusa.
  • Documentado: Você precisa guardar prova de que o consentimento foi coletado: timestamp, IP do usuário, versão do termo aceito, dados do formulário. Esses registros são sua defesa em caso de reclamação.
  • Fácil de revogar: Se você coleta consentimento para receber emails, você precisa oferecer um botão de descadastro igualmente fácil e acessível.

Na prática, isso significa: use um formulário de double opt-in (o usuário marca checkbox, recebe email de confirmação e clica em link de confirmação) quando possível, armazene logs de todas as ações, e nunca pré-selecione checkboxes de marketing. Double opt-in é o padrão que oferece maior proteção jurídica.

Direitos dos titulares de dados em email marketing

A LGPD dá ao titular (a pessoa cujo email você tem) cinco direitos principais que você precisa respeitar:

  1. Direito de acesso: Saber quais dados sua empresa tem sobre ele e como está usando esse dados. Você deve fornecer essa informação em até 15 dias.
  2. Direito de correção: Corrigir dados incorretos (nome digitado errado, empresa desatualizada, categoria profissional errada). Você é obrigado a fazer a correção.
  3. Direito de exclusão: Pedir para deletar seu email de todas as listas. Você tem até 30 dias para atender esse pedido e parar de enviar qualquer mensagem.
  4. Direito de portabilidade: Receber seus dados em formato legível (como CSV) com histórico de informações que você coletou.
  5. Direito de revogar consentimento: Parar de receber marketing a qualquer momento, mesmo que tenha consentido antes. Esse direito não se aplica retroativamente, mas é imediato a partir do momento da revogação.

Para email marketing, os dois direitos mais práticos são: exclusão (descadastro) e revogação de consentimento. Por isso é obrigatório incluir um link de descadastro visível em todos os emails comerciais. Não é apenas boas práticas: é lei. Ignorar pedidos de exclusão é a violação mais comum de LGPD no contexto de email.

Identificação de base legal documentada100%Consentimento coletado e registrado75%Direitos do titular implementados55%Conformidade verificada e auditada40%
Estágios de conformidade LGPD em campanhas de email marketing

ANPD: o regulador que fiscaliza conformidade

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão regulador que monitora se empresas brasileiras estão cumprindo LGPD. A ANPD funciona como uma polícia de dados e pode:

  • Receber reclamações de titulares (pessoas que recebem emails indesejados, têm descadastros ignorados ou tiveram dados vazados).
  • Iniciar investigações de ofício se detectar padrões de violação sistemática.
  • Aplicar multas administrativas de até R$ 50 milhões ou 2% do faturamento anual (o que for maior) por violação grave.
  • Suspender operações, ordenar exclusão de dados ou determinar auditorias de conformidade.

Na prática, a ANPD não fiscaliza cada email individualmente, mas responde a denúncias e monitora violações graves. Se seus clientes reclamam que você envia spam ou ignora pedidos de exclusão, há risco real de investigação. Por isso, manter uma boa reputação como sender é tanto uma questão de entregabilidade quanto de compliance legal.

Dica prática: implemente duplo opt-in com registro de logs
Se você vai coletar consentimento para email marketing, use double opt-in: 1) usuário marca checkbox informando seu interesse, 2) você envia email de confirmação com link único "Confirmo meu cadastro". Isso deixa a prova documentada (timestamps, IP, cliques), protege você contra alegações falsas de falta de consentimento, reduz taxa de emails inválidos e melhora sua reputação com provedores. Plataformas brasileiras como RD Station, Brevo e internacionais como Mailchimp oferecem esse recurso nativamente. Sempre combine com descadastro one-click igualmente fácil.

Boas práticas de conformidade LGPD em campanhas de email

Além de ter base legal e documentar consentimento, existem práticas que reduzem risco legal, melhoram sua reputação com provedores e garantem que emails conformes cheguem à caixa de entrada:

  • Identifique-se claramente: Todo email deve deixar evidente quem está enviando (nome legal da empresa e email de contato válido e monitorado). Não use nomes falsos, genéricos demais ou que enganem o destinatário.
  • Ofereça política de privacidade: Seu email ou landing page deve ter link ativo para política de privacidade que explique como você coleta, usa, protege e permite acesso aos dados.
  • Descadastro em um clique: Um link de "descadastro" ou "unsubscribe" bem visível no rodapé de todo email comercial. Processar descadastros em até 10 dias é o padrão de mercado (a lei permite até 30).
  • Não reutilize listas de terceiros sem prova: Se você compra ou recebe lista de emails de terceiros, você precisa ter prova documentada que aquelas pessoas consentiram em receber de você especificamente, não apenas que seus dados foram "capturados" em algum momento.
  • Mantenha registros organizados: Documente quando e como coletou cada email, qual versão do termo foi aceita, IP do usuário, data/hora de descadastros processados. Esses registros são sua defesa em caso de investigação.
  • Teste entregabilidade regularmente: Emails conformes só funcionam se chegam à caixa de entrada, não em pasta de spam. Use ferramenta gratuita de teste de inbox placement para verificar se seus emails passam por filtros de spam de Gmail, Outlook, UOL, Mail.ru e outros provedores brasileiros.

LGPD vs. requisitos técnicos (SPF, DKIM, DMARC)

Um erro comum é confundir LGPD (lei de dados) com requisitos técnicos de email (autenticação). Ambos são essenciais, mas são conceitos diferentes:

  • LGPD é sobre direito: ter permissão legal para enviar (consentimento ou legítimo interesse) e respeitar direitos do titular (descadastro, privacidade, acesso).
  • SPF/DKIM/DMARC são protoclos técnicos que autenticam seu domínio, comprovam que você é quem diz ser e reduzem risco de spoofing e phishing. Desde fevereiro de 2024, Gmail e Yahoo obrigam autenticação para envios em massa.

Você pode estar 100% conforme com LGPD, mas se seus emails não têm SPF, DKIM e DMARC configurados, eles caem em spam em Gmail e Yahoo. Inversamente, você pode ter autenticação perfeita, mas se não tiver consentimento válido ou ignorar descadastros, você está violando LGPD. Compliance verdadeiro é os dois juntos: direito de dados + técnica de autenticação.

Não. Consentimento é um ato positivo e informado: marca de checkbox, resposta a email de double opt-in confirmando inscrição, ou assinatura de termo. Simplesmente clicar em um email não prova consentimento — pode ser que o email chegou sem permissão e o clique não significa concordância para receber mais mensagens. Sempre colha consentimento explícito e documentado antes de adicionar alguém à sua lista de email marketing.

Posso usar legítimo interesse para enviar newsletter semanal?

Raramente. Newsletter é conteúdo de marketing puro e promocional, não transacional. A maioria dos tribunais e reguladores consideram que legítimo interesse não cobre newsletter sem consentimento — o titular tem direito forte de não receber mensagens promocionais repetidas. Use consentimento para newsletter. Legítimo interesse é mais apropriado para emails transacionais (confirmação de compra, nota fiscal, aviso de entrega) ou comunicações com cliente existente sobre serviços que ele já utiliza.

Quanto tempo posso guardar email de quem descadastrou?

Você pode guardar o email descadastrado para fins de conformidade (prova de que processou o pedido) por tempo limitado. Mas não pode mais usar esse email para enviar marketing, newsletters ou qualquer comunicação promocional. Se a pessoa pedir exclusão total — remoção completa de dados — você tem 30 dias para deletar tudo, com exceção de dados que você é obrigado a guardar por lei (ex: comprovante de transação para contabilidade por 5 anos).
Leituras relacionadas
Found this useful? Share it
AB
Sobre o autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifique sua entregabilidade em mais de 20 provedores

Gmail, Outlook, Yahoo, GMX, ProtonMail e outros. Capturas reais da caixa de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Grátis, sem cadastro.

Fazer teste grátis →

Testes ilimitados · Mais de 20 caixas · Resultados ao vivo · Sem conta