Se sua empresa envia email marketing para clientes ou prospects no Brasil, você precisa estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Muitos profissionais de marketing ainda confundem as regras, o que resulta em campanhas bloqueadas, multas e perda de confiança. Este guia esclarece os pontos principais da LGPD aplicados a email marketing e como colocar sua estratégia dentro da lei.
O que é a LGPD e por que importa para email marketing?
A LGPD (Lei nº 13.709/2018) é a lei brasileira que regulamenta o tratamento de dados pessoais. Ela se aplica a qualquer empresa ou profissional que coleta, armazena ou utiliza informações de pessoas físicas — incluindo endereços de email. Para email marketing, a lei impõe obrigações claras: você precisa de uma base legal para enviar mensagens e deve respeitar direitos fundamentais como o direito de deletar dados e receber informações sobre como seus dados são usados.
Diferentemente de outras leis de email (como CAN-SPAM nos EUA), a LGPD não é apenas sobre técnica de entregabilidade; é sobre direito de dados. Violações podem resultar em multas de até 2% do faturamento anual, tornando a conformidade não apenas uma obrigação legal, mas também uma necessidade comercial. Empresas que ignoram LGPD arriscam investigações da ANPD, bloqueios de plataformas de email e dano irreparável à reputação.
As duas bases legais para enviar email marketing
Antes de enviar qualquer email marketing, você precisa identificar qual é sua base legal. A LGPD prevê duas bases principais para o tratamento de dados pessoais em contextos comerciais:
- Consentimento: O titular deu permissão explícita e informada para receber emails. Esse consentimento deve ser claro, documentado e fácil de revogar. Não é válido consentimento pré-preenchido, pré-selecionado ou obtido por engano. Você precisa guardar prova que a pessoa consentiu.
- Legítimo interesse: Você tem um interesse legítimo em enviar (por exemplo: emails transacionais, confirmações de compra, lembretes de contas inativas) e esse interesse não viola direitos do titular. Legítimo interesse exige documentação formal de avaliação de impacto e não é apropriado para newsletter ou marketing agressivo.
Muitas empresas usam as duas bases ao mesmo tempo: consentimento para newsletter e legítimo interesse para email de confirmação de compra ou avisos de entrega. O importante é ser transparente, documentar qual base você está usando em cada campanha e manter registros acessíveis.
Consentimento: como coletar e documentar corretamente
Consentimento não é opcional — é obrigatório se você quer enviar marketing puro (newsletters, promoções, ofertas). A LGPD determina que o consentimento seja:
- Informado: Você deve explicar claramente para que vai usar o email. Um texto vago como "você concorda com nossos termos" não funciona; seja específico: "Vamos enviar promoções semanais dos nossos produtos por email".
- Explícito: O usuário marca uma checkbox ou toma uma ação clara indicando concordância. Não vale consentimento implícito, silêncio ou falta de recusa.
- Documentado: Você precisa guardar prova de que o consentimento foi coletado: timestamp, IP do usuário, versão do termo aceito, dados do formulário. Esses registros são sua defesa em caso de reclamação.
- Fácil de revogar: Se você coleta consentimento para receber emails, você precisa oferecer um botão de descadastro igualmente fácil e acessível.
Na prática, isso significa: use um formulário de double opt-in (o usuário marca checkbox, recebe email de confirmação e clica em link de confirmação) quando possível, armazene logs de todas as ações, e nunca pré-selecione checkboxes de marketing. Double opt-in é o padrão que oferece maior proteção jurídica.
Direitos dos titulares de dados em email marketing
A LGPD dá ao titular (a pessoa cujo email você tem) cinco direitos principais que você precisa respeitar:
- Direito de acesso: Saber quais dados sua empresa tem sobre ele e como está usando esse dados. Você deve fornecer essa informação em até 15 dias.
- Direito de correção: Corrigir dados incorretos (nome digitado errado, empresa desatualizada, categoria profissional errada). Você é obrigado a fazer a correção.
- Direito de exclusão: Pedir para deletar seu email de todas as listas. Você tem até 30 dias para atender esse pedido e parar de enviar qualquer mensagem.
- Direito de portabilidade: Receber seus dados em formato legível (como CSV) com histórico de informações que você coletou.
- Direito de revogar consentimento: Parar de receber marketing a qualquer momento, mesmo que tenha consentido antes. Esse direito não se aplica retroativamente, mas é imediato a partir do momento da revogação.
Para email marketing, os dois direitos mais práticos são: exclusão (descadastro) e revogação de consentimento. Por isso é obrigatório incluir um link de descadastro visível em todos os emails comerciais. Não é apenas boas práticas: é lei. Ignorar pedidos de exclusão é a violação mais comum de LGPD no contexto de email.
ANPD: o regulador que fiscaliza conformidade
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão regulador que monitora se empresas brasileiras estão cumprindo LGPD. A ANPD funciona como uma polícia de dados e pode:
- Receber reclamações de titulares (pessoas que recebem emails indesejados, têm descadastros ignorados ou tiveram dados vazados).
- Iniciar investigações de ofício se detectar padrões de violação sistemática.
- Aplicar multas administrativas de até R$ 50 milhões ou 2% do faturamento anual (o que for maior) por violação grave.
- Suspender operações, ordenar exclusão de dados ou determinar auditorias de conformidade.
Na prática, a ANPD não fiscaliza cada email individualmente, mas responde a denúncias e monitora violações graves. Se seus clientes reclamam que você envia spam ou ignora pedidos de exclusão, há risco real de investigação. Por isso, manter uma boa reputação como sender é tanto uma questão de entregabilidade quanto de compliance legal.
Boas práticas de conformidade LGPD em campanhas de email
Além de ter base legal e documentar consentimento, existem práticas que reduzem risco legal, melhoram sua reputação com provedores e garantem que emails conformes cheguem à caixa de entrada:
- Identifique-se claramente: Todo email deve deixar evidente quem está enviando (nome legal da empresa e email de contato válido e monitorado). Não use nomes falsos, genéricos demais ou que enganem o destinatário.
- Ofereça política de privacidade: Seu email ou landing page deve ter link ativo para política de privacidade que explique como você coleta, usa, protege e permite acesso aos dados.
- Descadastro em um clique: Um link de "descadastro" ou "unsubscribe" bem visível no rodapé de todo email comercial. Processar descadastros em até 10 dias é o padrão de mercado (a lei permite até 30).
- Não reutilize listas de terceiros sem prova: Se você compra ou recebe lista de emails de terceiros, você precisa ter prova documentada que aquelas pessoas consentiram em receber de você especificamente, não apenas que seus dados foram "capturados" em algum momento.
- Mantenha registros organizados: Documente quando e como coletou cada email, qual versão do termo foi aceita, IP do usuário, data/hora de descadastros processados. Esses registros são sua defesa em caso de investigação.
- Teste entregabilidade regularmente: Emails conformes só funcionam se chegam à caixa de entrada, não em pasta de spam. Use ferramenta gratuita de teste de inbox placement para verificar se seus emails passam por filtros de spam de Gmail, Outlook, UOL, Mail.ru e outros provedores brasileiros.
LGPD vs. requisitos técnicos (SPF, DKIM, DMARC)
Um erro comum é confundir LGPD (lei de dados) com requisitos técnicos de email (autenticação). Ambos são essenciais, mas são conceitos diferentes:
- LGPD é sobre direito: ter permissão legal para enviar (consentimento ou legítimo interesse) e respeitar direitos do titular (descadastro, privacidade, acesso).
- SPF/DKIM/DMARC são protoclos técnicos que autenticam seu domínio, comprovam que você é quem diz ser e reduzem risco de spoofing e phishing. Desde fevereiro de 2024, Gmail e Yahoo obrigam autenticação para envios em massa.
Você pode estar 100% conforme com LGPD, mas se seus emails não têm SPF, DKIM e DMARC configurados, eles caem em spam em Gmail e Yahoo. Inversamente, você pode ter autenticação perfeita, mas se não tiver consentimento válido ou ignorar descadastros, você está violando LGPD. Compliance verdadeiro é os dois juntos: direito de dados + técnica de autenticação.