Como Tratar Dados de Contatos B2B sem Violar a LGPD
Toda operação de prospecção B2B lida com dado pessoal o tempo todo — nome, cargo, email corporativo, telefone — mesmo quando o alvo é a empresa, não a pessoa física em si. A LGPD trata esse dado como dado pessoal independente do contexto ser profissional, e isso surpreende times que acham que 'é dado de empresa, não conta'. Conta. Este guia cobre o que fazer na prática com esses dados: de onde eles podem vir, quanto tempo faz sentido guardar e o que responder quando alguém pede para sair do banco.
- Dado de contato profissional (nome, cargo, email @empresa.com) é dado pessoal para efeito da LGPD, mesmo em contexto B2B — a lei não faz exceção por ser 'dado corporativo'.
- A origem do dado precisa ser rastreável: enriquecimento de fontes públicas, formulário próprio ou fornecedor de dados com procedência conhecida — nunca lista sem histórico.
- Retenção não deve ser indefinida: contato que nunca engajou merece um prazo de expurgo, revisado periodicamente.
- Um pedido de exclusão de dados precisa ser atendido de forma completa, removendo o registro do CRM inteiro, não só parando o envio de campanhas.
- CRM de vendas bem configurado é a ferramenta que sustenta compliance na prática — rastreabilidade de origem e histórico de contato viram evidência se algo for questionado.
Dado B2B ainda é dado pessoal
O engano mais comum em times de prospecção é achar que, por o alvo ser uma empresa, o dado tratado escapa da LGPD. Não escapa: nome, cargo, email corporativo e telefone de trabalho de uma pessoa física continuam sendo dado pessoal dela, mesmo que o motivo do contato seja inteiramente profissional. O que muda em relação a um contexto B2C é a base legal mais comumente aplicável — legítimo interesse profissional em vez de consentimento — não a natureza do dado em si.
Isso importa na prática porque muda o padrão de cuidado esperado: um gerenciador de leads B2B precisa tratar aquele registro com o mesmo rigor de segurança e rastreabilidade que trataria um dado de cliente final, mesmo que o tom da comunicação e a base legal usada sejam diferentes.
De onde os dados de contato podem vir
Nem toda fonte de dado para gerar lista de leads B2B tem a mesma qualidade jurídica. A diferença não está em qual fonte é 'permitida' e qual é 'proibida' — está em quão rastreável é a origem, porque isso é o que sustenta a base legal de tratamento se alguém questionar.
- Enriquecimento a partir de fontes públicas (site da empresa, LinkedIn, registros públicos): rastreável, mas exige checagem de que o dado ainda é atual.
- Formulário próprio (contato inbound, download de material, cadastro em evento): a origem mais sólida, porque a pessoa forneceu o dado diretamente.
- Fornecedor de dados B2B com processo de coleta documentado: aceitável, desde que o fornecedor consiga explicar a origem se questionado.
- Lista comprada sem procedência conhecida, circulando em grupos ou fóruns: a fonte mais arriscada — sem rastreabilidade, não há como sustentar nenhuma base legal.
Quanto tempo faz sentido guardar um contato
A LGPD não fixa um número de dias ou meses para retenção de dado de prospecção B2B — o critério que a lei usa é proporcionalidade à finalidade. Na prática isso vira uma decisão de política interna: quanto tempo faz sentido manter no CRM um contato que nunca respondeu a nenhuma campanha, nunca abriu um email, nunca teve nenhuma interação?
Times maduros costumam adotar uma janela de alguns meses a poucos anos para contatos totalmente inertes, com revisão periódica — passado esse prazo, ou o contato é reengajado com uma abordagem diferente, ou é expurgado da base ativa. Contato que já converteu em cliente ou que está em conversa ativa segue uma lógica diferente, ligada à relação comercial em si, não à prospecção original.
Estimativa de referência baseada em prática de operações de prospecção B2B — a LGPD não fixa prazos numéricos, cada empresa deve definir sua própria política.
Como responder a um pedido de exclusão
Quando um contato pede explicitamente a exclusão dos seus dados — diferente de um simples opt-out de campanha, que só pede para parar de receber email — a resposta correta é remover o registro do CRM, não apenas marcá-lo como suprimido de envio. São coisas diferentes: a lista de supressão impede novo contato; a exclusão de dados apaga o registro em si.
Na prática, times que só têm processo para opt-out de campanha, e não para exclusão de dados, ficam sem resposta adequada quando alguém pede especificamente 'apague meus dados', que é um pedido diferente e mais amplo do que 'não me mande mais email'. Vale ter os dois fluxos configurados separadamente no CRM de vendas, mesmo que um pedido de exclusão dispare automaticamente também a supressão de envio.
Um pedido do tipo 'não quero mais receber esses emails' deve entrar na lista de supressão. Um pedido do tipo 'quero que apaguem meus dados da base de vocês' exige exclusão do registro completo no CRM, incluindo histórico de interação armazenado.
Erros comuns no tratamento de dados de prospecção
O erro mais frequente é misturar dado de fontes diferentes numa mesma lista sem registrar a origem de cada um — depois de algumas rodadas de enriquecimento e importação, ninguém consegue mais dizer de onde veio um contato específico, o que torna impossível responder com precisão se alguém questiona a base legal usada.
Outro erro comum é CRM de vendas usado só como repositório, sem nenhum campo ou processo de rastreamento de origem, prazo de retenção ou status de consentimento. Isso funciona até alguém pedir exclusão de dados formalmente — e aí o time descobre que não tem como isolar rapidamente todos os registros relacionados àquela pessoa.
Um terceiro erro, comum em operações que crescem rápido, é duplicar o mesmo contato em múltiplas listas de prospecção sem mesclar os registros. Um lead que aparece três vezes sob variações do mesmo email, cada uma numa lista diferente, some do controle de supressão: quando ele pede para sair numa das versões, as outras duas continuam ativas. Rotina de deduplicação antes de cada disparo evita esse buraco, e de quebra evita o constrangimento de mandar duas campanhas diferentes para a mesma pessoa na mesma semana.
Como a LDM estrutura isso
No CRM da LDM, cada contato importado carrega o registro de origem — enriquecimento, formulário, importação manual — e isso fica visível no histórico do lead. Pedidos de exclusão de dados removem o registro por completo, incluindo histórico de campanhas associado, e disparam automaticamente a entrada na lista de supressão, então os dois fluxos ficam conectados sem depender de um SDR lembrar de fazer os dois passos manualmente.
Perguntas frequentes
Dado de contato corporativo (email @empresa.com) é dado pessoal pela LGPD?
Sim. Mesmo em contexto profissional, nome, cargo e email corporativo de uma pessoa física continuam sendo dado pessoal dela. O contexto B2B muda a base legal mais aplicável, não a natureza do dado.
Posso usar dados enriquecidos do LinkedIn para prospecção B2B?
Dados de fontes públicas como perfis profissionais são uma origem aceitável e rastreável, desde que o uso seja compatível com finalidade profissional legítima e o dado esteja atualizado.
Quanto tempo posso manter um contato que nunca respondeu no CRM?
A LGPD não fixa um número exato — o critério é proporcionalidade. Na prática, times costumam adotar uma janela de seis meses a dois anos para contatos totalmente inertes, com revisão periódica.
Qual a diferença entre opt-out de campanha e pedido de exclusão de dados?
Opt-out impede novo envio de email para aquele contato. Exclusão de dados é um pedido mais amplo: remover o registro do CRM por completo, incluindo histórico armazenado, não só parar de mandar campanha.
Lista comprada sem informação de origem é segura para usar?
É a fonte mais arriscada. Sem rastreabilidade da origem, não há como sustentar nenhuma base legal de tratamento se o uso for questionado — o ideal é priorizar fontes com procedência documentada.
Quer aplicar isso no seu outreach?
Mostramos como funciona para o seu segmento e produto — antes de começar.
Fale conosco