Publicações

Três anos depois da entrada em vigor da Lei Geral de Proteção de Dados, muitas empresas brasileiras ainda operam com uma compreensão incompleta do que a lei exige na prática. A LGPD não é uma lei de privacidade abstrata. É um conjunto de obrigações concretas que interferem diretamente no modo como empresas coletam dados em sites, disparam campanhas de e-mail, usam pixels de rastreamento, contratam plataformas de automação e compartilham informações com agências parceiras.

A Autoridade Nacional de Proteção de Dados iniciou um ciclo mais ativo de fiscalização, e as sanções que antes pareciam distantes começaram a se materializar. Esse não é o momento de tratar adequação como projeto futuro.

O que conta como dado pessoal no contexto do marketing digital

O erro mais comum das empresas é tratar a LGPD como uma lei que se aplica apenas a cadastros com nome completo e CPF. Na prática, dado pessoal é qualquer informação que permita identificar ou tornar identificável uma pessoa natural. Endereço de IP, identificador de cookie, comportamento de navegação vinculado a um usuário, e-mail corporativo e localização aproximada são dados pessoais para fins da LGPD.

Isso significa que praticamente toda atividade de marketing digital envolve tratamento de dados pessoais. O pixel do Meta instalado no site coleta dados. O Google Analytics registra comportamento de navegação. A ferramenta de automação de e-mail armazena listas com histórico de interação. Cada uma dessas operações precisa de base legal, e a empresa precisa saber qual base legal está usando para cada finalidade.

E-mail marketing e o que a LGPD exige

O e-mail marketing é a área em que as empresas mais claramente violam a LGPD sem perceber. A lista de e-mails comprada de terceiros não tem base legal para disparo. A lista construída a partir de eventos presenciais sem informação sobre uso comercial posterior não tem base legal. O lead que preencheu um formulário para baixar um material gratuito não necessariamente consentiu em receber comunicações comerciais regulares.

Consentimento, na LGPD, precisa ser livre, informado, inequívoco e específico. Um checkbox marcado por padrão não é consentimento. Uma cláusula genérica nos termos de uso autorizando “comunicações da empresa” não cobre todas as hipóteses de uso. O formulário de captação precisa informar de forma clara para que os dados serão usados, e o usuário precisa optar ativamente por cada finalidade distinta.

Além da coleta, a empresa precisa garantir que o usuário possa exercer seus direitos: acesso aos dados armazenados, correção de informações incorretas, eliminação e revogação do consentimento. Esses mecanismos precisam funcionar na prática, não apenas existir no papel.

Rastreamento, pixels e remarketing

O uso de pixels de rastreamento de terceiros, como o Meta Pixel e o Google Ads Tag, exige que o usuário seja informado dessa prática antes de o pixel ser acionado. A solução técnica para isso é um banner de cookies que, além de informar, permita ao usuário optar por não ser rastreado antes que qualquer dado seja coletado.

Banners de cookies que apresentam apenas o botão “Aceitar todos” sem opção equivalente para recusar não cumprem os requisitos da LGPD. A opção de recusa precisa ser tão acessível quanto a opção de aceite. Banners com o botão “Aceitar” em destaque e o botão de configurações escondido em múltiplos cliques são práticas de dark pattern que a ANPD já sinalizou como problemáticas.

Para o remarketing, o ponto central é que a empresa não pode usar dados coletados em uma finalidade para outra finalidade incompatível sem nova base legal. Dados coletados para execução de um pedido de compra não podem ser automaticamente usados para segmentação de anúncios sem consentimento específico para essa finalidade.

Compartilhamento com agências e parceiros

Toda vez que uma empresa compartilha dados de seus clientes ou leads com uma agência de marketing, uma plataforma de automação ou qualquer outro parceiro, está realizando uma operação de tratamento de dados que precisa de amparo jurídico. O contrato com essas empresas parceiras precisa incluir cláusulas de proteção de dados que delimitem como as informações podem ser usadas, armazenadas e eliminadas.

A responsabilidade não se transfere integralmente ao parceiro pelo simples fato de existir um contrato. A empresa que coletou os dados é a controladora e responde perante a ANPD pela adequação de todos os operadores que contrata. Isso significa que escolher uma agência ou plataforma sem verificar sua conformidade com a LGPD é um risco que recai sobre a empresa contratante.

O que a ANPD está fiscalizando

Os ciclos de fiscalização da ANPD têm incluído, entre os focos prioritários, o tratamento de dados de crianças e adolescentes, a ausência de mecanismos efetivos para exercício de direitos dos titulares e o uso de dados para finalidades incompatíveis com as originalmente informadas. Setores com alto volume de dados, como e-commerce, educação digital e saúde, têm sido alvos prioritários.

A sanção máxima prevista na LGPD é de 2% do faturamento da empresa no exercício anterior, limitada a R$ 50 milhões por infração. Além da sanção pecuniária, a ANPD pode determinar bloqueio ou eliminação dos dados tratados de forma irregular, o que em casos de grandes listas de e-mail ou bases de clientes representa impacto operacional relevante.

Por onde começar a adequação

O ponto de partida prático é o mapeamento de dados: identificar que dados a empresa coleta, por qual canal, com qual base legal, para qual finalidade e por quanto tempo são armazenados. Sem esse mapeamento, qualquer outra medida de adequação opera no escuro.

A partir do mapeamento, os ajustes prioritários costumam envolver revisão dos formulários de captação, implementação de banner de cookies funcional, revisão dos contratos com parceiros e agências, e criação de canal efetivo para atendimento de solicitações de titulares. Não é um processo de uma semana, mas é um processo que pode ser estruturado de forma progressiva, com as medidas de maior risco sendo tratadas primeiro.

Sobre o autor:

Daniel Callejon Barani é advogado da Scartezzini Advogados Associados, com atuação em direito digital, contratos, LGPD e creator economy. Escreve sobre os impactos jurídicos da tecnologia sobre a nova economia da autoridade.

Para contato profissional:

→ daniel.barani@scartezzini.com.br | LinkedIn

Continue a leitura:

→ Outros artigos sobre Negócios Digitais e Economia da Influência

→ Perfil profissional de Daniel Barani

Publicado 16/06/26 por Daniel Barani.

Compartilhe: