O marketing digital opera com dados pessoais em toda a sua extensão: e-mail, comportamento de navegação, histórico de compras, localização, perfil em redes sociais. A LGPD não proibiu o marketing — mas exige que cada tratamento de dados tenha base legal, finalidade clara e transparência. Ignorar isso não é apenas risco regulatório: é também risco de reputação com o público que cada vez mais valoriza a privacidade.
A base legal para marketing: consentimento ou legítimo interesse?
A maioria das atividades de marketing usa uma dessas duas bases legais:
Consentimento
Adequado para: newsletters, e-mail marketing para quem nunca foi cliente, remarketing comportamental, envio de promoções por WhatsApp.
O consentimento precisa ser: livre (sem pré-marcações), informado (o usuário sabe o que está aceitando), específico (não vale "aceitar tudo") e documentado (com timestamp e versão do formulário).
Legítimo interesse
Adequado para: marketing direto para clientes existentes sobre produtos similares, análise de comportamento de uso para melhoria do produto, comunicações transacionais com componente comercial leve.
Exige teste de balanceamento documentado e direito de opt-out fácil. Não é válido para dados sensíveis nem para tracking cross-site. Saiba mais em legítimo interesse na LGPD.
E-mail marketing: o que precisa mudar
Listas de e-mail: auditoria obrigatória
Antes de qualquer campanha, faça uma auditoria da origem dos seus contatos:
- ✅ Opt-in explícito via formulário com linguagem clara sobre o que o usuário está aceitando → pode usar;
- ✅ Clientes com relação comercial ativa → pode enviar sobre produtos/serviços relacionados (legítimo interesse);
- ⚠️ Leads de eventos ou indicações → verificar se houve opt-in específico para marketing;
- ❌ Listas compradas → quase sempre ilegal. A base legal do cedente raramente cobre seu uso;
- ❌ Importação de planilhas antigas sem opt-in rastreável → eliminar ou requalificar com campanha de opt-in.
Opt-in duplo (double opt-in)
O double opt-in — onde o usuário preenche o formulário e confirma a inscrição por e-mail — cria a prova mais sólida de consentimento. É a melhor prática e reduz reclamações de spam. A LGPD não exige explicitamente, mas em caso de questionamento, a confirmação por e-mail é evidência difícil de contestar.
Opt-out fácil e processado rapidamente
Todo e-mail de marketing precisa de link de descadastramento fácil de encontrar. E precisa funcionar — processar o opt-out imediatamente, não "em até 10 dias úteis". Quem não consegue se descadastrar reclamará à ANPD ou ao Procon.
Remarketing e cookies: o ponto crítico
Remarketing depende de cookies e pixels de terceiros — tecnologias que coletam dados pessoais (identificadores de navegação). A LGPD exige consentimento antes que esses cookies sejam depositados no navegador do visitante.
Isso significa que o pixel do Meta, o Remarketing Tag do Google e o LinkedIn Insight Tag não podem carregar antes do consentimento. Implementar corretamente:
- Instale um sistema de gestão de cookies (CMP) que bloqueie scripts de terceiros por padrão;
- Libere o carregamento dos pixels somente quando o visitante aceitar a categoria "marketing";
- Implemente Google Consent Mode v2 para recuperar parte dos dados via modelagem, mesmo sem consentimento total.
Saiba mais em como implementar um sistema de cookies LGPD.
Segmentação e enriquecimento de dados
Segmentação interna
Segmentar a base própria (por histórico de compras, comportamento no site, preferências declaradas) é geralmente válido — os dados foram coletados com base legal e a finalidade de marketing estava informada no opt-in.
Enriquecimento com dados de terceiros
Cruzar a base própria com dados comprados de terceiros (bureaus de dados, data brokers) é a área de maior risco. Verifique: o cedente tinha base legal para o dado? A transferência para você está coberta pelo consentimento ou por outra hipótese legal? Na dúvida, não use.
WhatsApp e SMS marketing
Mensagens promocionais por WhatsApp e SMS exigem consentimento explícito — o usuário precisa ter aceitado especificamente receber comunicações por esse canal. "Nos deu o número para frete" não é consentimento para marketing por WhatsApp.
Para WhatsApp Business API, os templates de mensagem precisam ser aprovados pelo Meta e só podem ser enviados para usuários que iniciaram conversa ou deram opt-in dentro de 24 horas ou em janela de sessão ativa.
Relatórios e Analytics
Google Analytics, Hotjar, Mixpanel e similares coletam dados pessoais dos visitantes (IP, identificadores de dispositivo, comportamento de navegação). Exigem:
- Consentimento antes de carregar (via banner de cookies);
- Configuração de anonimização de IP no GA4;
- Retenção de dados configurada para o mínimo necessário (14 meses no GA4 é padrão razoável);
- DPA assinado com o fornecedor da ferramenta.
Conclusão
LGPD e marketing digital não são incompatíveis — mas exigem uma operação mais organizada. Base de dados qualificada com opt-in rastreável converte melhor e tem menor risco de spam e reclamações. Banner de cookies bem implementado evita autuações e mantém os dados de analytics funcionando via Google Consent Mode. O marketing que respeita a privacidade não perde eficiência — ganha confiança.