Live Direct Marketing
InícioBlogJurídico e compliance

LGPD e Cold Email B2B: o que a Lei Exige de Verdade

12 de julho de 2026 · 10 min de leitura · Guia: Jurídico e compliance

Toda vez que o assunto é cold email no Brasil, alguém do time jurídico ou de marketing aparece dizendo que "a LGPD proíbe mandar email sem autorização prévia". Isso é impreciso, e o exagero custa caro: SDRs travam campanhas legítimas por medo de multa, enquanto operações que realmente furam a lei continuam rodando porque ninguém checou os pontos que importam. Este texto separa o que a Lei Geral de Proteção de Dados (Lei 13.709/2018) exige de fato de uma campanha de cold email B2B endereçado do que é lenda urbana de LinkedIn.

Resumo
  • A LGPD não exige opt-in prévio para cold email B2B endereçado a pessoa jurídica quando há finalidade legítima e o contato é profissional, não pessoal.
  • O que a lei cobra na prática é: identificação clara do remetente, finalidade compatível com o contexto profissional do destinatário e um jeito fácil de sair da lista.
  • Legítimo interesse é a base legal mais usada em prospecção B2B, mas ela exige que a empresa consiga justificar por que aquele contato específico faz sentido receber aquele email.
  • Dado de contato corporativo (nome, cargo, email @empresa.com.br) tem tratamento diferente de dado pessoal sensível, mas ainda é dado pessoal e precisa de cuidado.
  • Ignorar um pedido de descadastro é o erro mais caro e mais fácil de evitar em toda a operação de cold email.

O mito do 'opt-in obrigatório' em B2B

A confusão mais comum começa com uma mistura entre duas coisas diferentes: email marketing para uma base de assinantes (onde opt-in explícito é praticamente padrão de mercado) e cold email B2B endereçado, que é uma abordagem pontual e individual a um decisor específico dentro de uma empresa específica, porque o produto ou serviço faz sentido para o negócio dele. A LGPD não trata as duas situações da mesma forma, e a lei brasileira, diferente do que muita gente assume por analogia com o GDPR europeu, não exige consentimento prévio como única base legal possível para tratamento de dados.

A Lei 13.709/2018 prevê várias bases legais para tratamento de dados pessoais, e o legítimo interesse é uma delas — não uma zona cinzenta, mas uma hipótese prevista na lei. Uma abordagem comercial B2B feita com critério, para um contato profissional cujo cargo e empresa tornam a oferta relevante, se enquadra nesse racional. Isso não é uma brecha: é a mesma lógica que permite, por exemplo, que um fornecedor entre em contato com o departamento de compras de uma empresa que atua no setor que ele atende.

O que a lei realmente exige na prática

Tirando o mito do opt-in, sobram três exigências concretas que qualquer operação de cold email B2B no Brasil precisa cumprir, e elas são bem mais objetivas do que parecem à primeira vista.

A primeira é identificação clara de quem está mandando o email — nome da pessoa, nome da empresa, e um jeito de essa empresa ser encontrada e contatada de volta. Um email que esconde o remetente atrás de um domínio genérico ou de um nome fictício já nasce fora de compliance, independente da LGPD, só pela política antispam de qualquer provedor sério.

A segunda é finalidade compatível com o contexto: o email precisa fazer sentido para quem recebe, dado o cargo e a empresa dessa pessoa. Mandar uma oferta de software de RH para o head de RH de uma empresa de médio porte é finalidade legítima. Mandar a mesma oferta para uma lista comprada sem filtro nenhum, misturando cargos e setores aleatórios, já não é — não pela lei em si, mas porque não há como sustentar o "legítimo interesse" quando não existe critério de relevância.

A terceira, e a mais concreta de cumprir, é a possibilidade real de saída: todo email precisa deixar claro como a pessoa pede para não receber mais contato, e esse pedido precisa ser respeitado de fato, rápido e sem enrolação.

Legítimo interesse na prática: como sustentar essa base legal

Usar legítimo interesse como base legal não é escrever essa frase em algum termo de uso e seguir em frente — é conseguir explicar, se alguém perguntar, por que aquele contato específico recebeu aquele email específico. Uma empresa de contabilidade que envia cold email para CFOs de empresas do porte que ela atende, num setor onde ela já tem cases, tem uma justificativa sólida. A mesma empresa mandando o mesmo email para estagiários de marketing de startups não tem.

Na prática, isso vira um filtro de qualidade que toda operação de outreach direcionado deveria ter de qualquer forma, por motivos comerciais: segmentar por cargo, porte de empresa e setor não é só compliance, é o que faz a campanha converter. A Mariana, que lidera geração de leads numa consultoria de médio porte em São Paulo, resume bem: "a gente segmenta tanto por LGPD quanto porque email genérico simplesmente não responde".

Erros que realmente colocam a operação em risco

O risco real de compliance em cold email B2B quase nunca está na primeira abordagem em si — está no que acontece depois dela. Continuar mandando email para quem já pediu para sair é o erro mais comum e mais evitável, geralmente porque o pedido de descadastro caiu num email pessoal do SDR e nunca chegou numa lista de supressão central.

Outro erro recorrente é comprar bases de contatos sem nenhuma origem rastreável — listas genéricas vendidas em fóruns ou grupos, sem informação de onde os dados vieram nem quando foram coletados. Sem rastreabilidade da origem, fica impossível sustentar qualquer base legal se alguém questionar. E o terceiro erro é tratar CRM de vendas como um repositório eterno: guardar contato de quem nunca respondeu, nunca converteu e já pediu para sair, por anos, sem nenhum critério de retenção.

Exemplo

Um caso comum: um contato responde "remova meu email" direto para a caixa do SDR em vez de clicar no link de opt-out. Se esse pedido não for lançado manualmente na lista de supressão da empresa toda, ele volta a receber email na próxima campanha — e aí sim vira reclamação séria, porque o pedido já tinha sido feito uma vez.

Checklist antes de disparar qualquer campanha

Antes de qualquer campanha de cold email B2B sair, vale rodar uma checagem rápida que cobre tanto compliance quanto qualidade — as duas coisas, na prática, andam juntas.

Como a LDM trata isso na prática

Na LDM, toda campanha de cold email B2B roda sobre uma base única de supressão que vale para todos os disparos futuros do tenant — uma vez que um contato pede para sair, ele não volta a receber nada, de nenhuma campanha, mesmo que outro SDR do time monte uma lista nova sem saber do pedido anterior. Isso resolve na raiz o erro mais comum e mais caro do tópico anterior.

Além disso, a plataforma força segmentação por cargo e setor antes de liberar o disparo, o que ajuda a sustentar legítimo interesse como base legal e, de quebra, melhora a taxa de resposta — porque email relevante converte mais do que email genérico, com ou sem LGPD no meio.

Perguntas frequentes

Cold email B2B precisa de consentimento prévio pela LGPD?

Não necessariamente. A LGPD prevê o legítimo interesse como base legal válida para tratamento de dados, e uma abordagem comercial pontual a um contato profissional relevante para a oferta se enquadra nesse racional, desde que a empresa consiga justificar a relevância do contato.

Posso comprar uma lista de emails e disparar campanha B2B?

Só se a lista tiver origem rastreável e for segmentada com critério — cargo, setor, porte. Listas genéricas sem procedência conhecida não permitem sustentar legítimo interesse e tendem a gerar mais reclamação de spam do que resultado.

O que precisa constar no rodapé de um email de prospecção?

Nome de quem envia, empresa, e uma forma clara de pedir para não receber mais contato. É o mínimo tanto para LGPD quanto para não cair em filtro de spam dos provedores.

Quanto tempo posso guardar o contato de um lead que nunca respondeu?

A LGPD não fixa um prazo específico para esse cenário, mas a boa prática é definir uma política de retenção proporcional à finalidade — geralmente alguns meses a poucos anos, com revisão periódica, em vez de manter a base para sempre sem critério.

O que acontece se eu ignorar um pedido de descadastro?

É o erro mais grave e mais evitável do tópico: além do risco de compliance, é a forma mais rápida de virar reclamação de spam e prejudicar a reputação do domínio de envio para todas as campanhas futuras, não só a atual.

Importante: isto não é email em massa nem spam. Trabalhamos de forma direcionada: cada mensagem vai para um representante específico de uma empresa específica, por um motivo comercial legítimo, em pequenos volumes diários e personalizada para o destinatário. Todo email identifica o remetente e traz descadastro em um clique; descadastros e listas de bloqueio valem para todas as campanhas futuras, sem exceção.

Quer aplicar isso no seu outreach?

Mostramos como funciona para o seu segmento e produto — antes de começar.

Fale conosco