Email marketing é a tática mais antiga do playbook digital e a mais comumente mal-conduzida sob a LGPD. Operadores rodam sequências contra listas que não conseguem documentar plenamente, com consentimento que não atende ao padrão legal, em bases legais que não conseguem articular quando perguntados. O resultado é sistema que funciona em termos de mercado — abertura, clique, conversão — e falha em termos regulatórios.

Este artigo cobre as duas bases legais que a LGPD permite para email marketing, quando cada uma cabe, e as práticas operacionais que mantêm ambas defensáveis.

Os dois caminhos sob a LGPD

A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) estabelece dez bases legais no art. 7º. Duas são relevantes para email marketing.

Caminho 1 — consentimento (art. 7º, I)

Consentimento pela LGPD não é casual. O art. 5º, XII define como "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". Os requisitos cumulativos:

  • Livre — sem coerção, sem amarração com serviços de forma que efetivamente force aceitação
  • Informado — o titular sabe o que está sendo coletado, por quem, para quê
  • Inequívoco — ato afirmativo, não silêncio ou caixas pré-marcadas
  • Específico — para finalidade determinada, não autorização genérica em branco

Na prática, isso significa:

  • Formulários com caixas desmarcadas que o usuário precisa marcar ativamente
  • Linguagem clara sobre o que a lista de email será usada
  • Opções granulares quando há múltiplas finalidades envolvidas (newsletter, ofertas promocionais, comunicações de parceiros) — checkboxes separados por finalidade
  • Documentação do momento do consentimento (timestamp, IP, versão do formulário, linguagem exibida)

Double opt-in (email de confirmação após cadastro que o titular precisa clicar) fortalece o rastro probatório e é boa prática para operações de maior risco.

Caminho 2 — legítimo interesse (art. 7º, IX)

Legítimo interesse é mais estreito do que a intuição de mercado geralmente assume. A LGPD enquadra como tratamento que:

  • Atende a interesse legítimo do controlador
  • Foi ponderado contra direitos e liberdades do titular
  • Está dentro da expectativa razoável do titular dado o contexto

Para email marketing, legítimo interesse tipicamente cabe em:

  • Comunicações pós-compra a clientes ativos sobre produtos relacionados ao que compraram
  • Comunicações B2B em relação comercial pré-existente (ex.: emailar o contato em empresa parceira sobre atualização de produto)
  • Emails de serviço que têm componente de marketing mas são primariamente informacionais

Não cabe em:

  • Leads frios adquiridos sem interação prévia
  • Cross-sell agressivo fora do escopo da transação original
  • Listas compradas ou públicos de terceiros sem consentimento direto
  • Qualquer campanha que o destinatário típico não esperaria razoavelmente receber

Documentar Avaliação de Legítimo Interesse (LIA - Legitimate Interest Assessment) — análise escrita pesando o interesse, a necessidade e o impacto no titular — é boa prática.

E sobre listas compradas

Comprar ou raspar listas cria exposição que escala com o uso. O raciocínio:

  • Consentimento dado ao titular original da lista geralmente não transfere para o comprador (o consentimento original era para aquele controlador específico)
  • Legítimo interesse não se aplica porque não há relação comercial pré-existente entre o comprador e os titulares
  • Os titulares não têm expectativa razoável de receber do novo controlador

A exposição é regulatória (a ANPD tem competência para agir sob LGPD art. 52), reputacional (alta taxa de reclamação de spam danifica reputação do remetente em todos os provedores de email) e operacional (deliverability colapsa; campanhas legítimas futuras sofrem).

Construir lista via opt-in é mais lento. Também é o único caminho que escala.

Práticas dia a dia

Documentação do consentimento

Todo assinante de email deve ter registro mostrando:

  • Data e hora do opt-in
  • Endereço IP de onde o opt-in foi submetido
  • Versão do formulário e linguagem exibida no momento do opt-in
  • Confirmação de double opt-in se usado
  • Base legal registrada para aquele tratamento

A maioria das plataformas profissionais (Kit, Mailchimp, ActiveCampaign, HubSpot) captura isso automaticamente. O trabalho do operador é garantir que os dados estejam sendo capturados e ser capaz de recuperá-los sob demanda.

Revogação fácil

Todo email precisa ter link de cancelamento. O link precisa funcionar, precisa processar o pedido prontamente, e o operador precisa cessar envios imediatamente após revogação (LGPD art. 8º, § 5º).

Boa prática: manter lista de supressão (registros de quem optou por sair) para impedir re-inclusão futura inadvertida. Listas de supressão são protetivas em natureza, não tratamento ativo.

Direito de portabilidade e acesso

Assinantes têm direito de saber quais dados estão sendo tratados sobre eles (art. 18, II) e de pedir portabilidade (art. 18, V). Plataformas de email tipicamente suportam exportação por assinante sob demanda.

Compartilhamento com operadores

A própria plataforma de email é um operador (processador) sob a LGPD. A relação com a plataforma deve ser governada por Contrato de Tratamento de Dados (DPA). A maioria das plataformas estabelecidas inclui termos de DPA nos contratos de serviço.

O que muda quando o relacionamento termina

Quando o cliente cancela, o consentimento para emails de marketing geralmente expira com o relacionamento — mas os dados não desaparecem automaticamente. Registros fiscais, histórico de transações e logs de serviço tipicamente têm prazos de retenção estabelecidos pela legislação tributária e contábil brasileira.

A disciplina é separar:

  • Dados de marketing — eliminados ou movidos para supressão no cancelamento
  • Dados operacionais — retidos pelo prazo legal/regulatório
  • Dados agregados/anonimizados — podem ser retidos para analytics se houver anonimização verdadeira (LGPD art. 12)

O efeito composto

Programas de email marketing LGPD-conformes desde o início acumulam vantagens:

  • Taxas de engajamento maiores porque a lista é de assinantes que efetivamente optaram por entrar
  • Melhor deliverability porque reclamações de spam ficam baixas
  • Exposição regulatória menor porque consentimento e base estão documentados
  • Diligência e conversas com parceiros mais rápidas porque a evidência de conformidade está à mão

Programas construídos sem essa fundação tentam consertar o problema depois, momento em que a base está contaminada, a reputação do remetente está danificada e a exposição regulatória é real. Começar limpo é mais barato que retroformar.

FAQ

Posso comprar lista de leads e fazer email marketing pra eles?

Comprar lista cria exposição regulatória significativa. Pela LGPD, o tratamento de dados precisa de base legal — e consentimento dado a um terceiro vendedor de lista raramente atende ao critério do art. 7º, I (livre, informado, inequívoco e específico). Sem consentimento válido e sem relação comercial pré-existente que sustente legítimo interesse, falta base legal. O resultado: risco de multa pela ANPD, exposição reputacional e baixa eficácia (taxa de spam alta, deliverability ruim). Construir lista própria via opt-in é mais lento, mas é a base sustentável.

Checkbox pré-marcado vale como consentimento?

Não. Pela LGPD (art. 5º, XII e art. 7º, I), consentimento precisa ser livre, informado, inequívoco e específico. Checkbox pré-marcado falha no "livre" e no "inequívoco" — não há ato afirmativo do titular. O padrão correto é opt-in expresso: caixa desmarcada que o usuário precisa marcar ativamente, com texto claro sobre a finalidade do envio. Para máxima conformidade, double opt-in (confirmação por email após o cadastro) reforça a documentação do consentimento.

Quando posso usar legítimo interesse em vez de consentimento?

Legítimo interesse (art. 7º, IX) cabe em situações específicas: o tratamento atende a interesse legítimo do controlador, o titular tem expectativa razoável daquele tratamento, e os direitos do titular não preponderam. Para email marketing, casos típicos: comunicações pós-compra para clientes ativos sobre produtos relacionados; comunicações em relação B2B pré-existente. Não cabe para: leads frios sem interação prévia; cross-sell agressivo fora do escopo da relação original; públicos comprados de terceiros. Documentar o teste de proporcionalidade (LIA - Legitimate Interest Assessment) é boa prática.

Cliente cancelou inscrição. Tenho que apagar o email da base?

Cancelar inscrição revoga o consentimento para envios futuros (LGPD art. 8º, § 5º) e exige cessar imediatamente os envios — não exige eliminar o registro de toda a base. O dado pode ser mantido em supressão (lista de quem optou por sair) para garantir que envios futuros não atinjam o titular novamente — isso é função protetiva, não tratamento ativo. Se houver pedido específico de exclusão (direito do art. 18, VI), aí sim eliminar, conforme aplicável.

A ANPD já multou por email marketing em desconformidade?

A ANPD vem aplicando sanções em casos de uso indevido de dados pessoais para fins de marketing — informações específicas e atualizadas sobre processos administrativos estão no site oficial da ANPD. O padrão observado: priorização de casos com volume relevante, vazamentos associados, ou desconformidade sistêmica. Para infoprodutor com base própria construída via opt-in correto, o risco regulatório é menor; para operações com base comprada ou consentimento questionável, o risco é proporcional ao volume e à visibilidade.

// ÁREA DE PRÁTICA
LGPD & PrivacidadeAdequação à LGPD, bases legais e interface com a ANPD.Direito Digital & Creator EconomyPlataformas, Marco Civil e monetização para criadores.
Autora

Managing Partner e fundadora da Hosaki Advogados. Atuação em propriedade intelectual, direito digital e creator economy. Mais de 10 anos na interseção entre tecnologia e direito.