Agências de marketing e empresas anunciantes operam hoje em um ambiente orientado por dados. Campanhas digitais, segmentação de público, formulários, CRM, pixels, cookies, automações, relatórios de performance e ferramentas de mídia paga dependem de coleta, organização e uso contínuo de informações.
Esse modelo pode gerar bons resultados comerciais, mas também cria responsabilidades jurídicas. Na LGPD, a pergunta não é apenas “quem executou a campanha?”, mas quem define as finalidades do tratamento, quem escolhe os meios, quem tem acesso aos dados, quem compartilha informações com terceiros e quem responde perante titulares e autoridades.
Agência, anunciante e papéis na LGPD
A distinção entre controlador e operador é essencial. Em muitos projetos, a empresa anunciante define a finalidade da campanha, o público-alvo, os objetivos comerciais e os dados que deseja coletar. A agência pode executar instruções, configurar ferramentas, gerir campanhas e produzir relatórios. Em outros casos, a agência participa das decisões estratégicas sobre finalidade, segmentação e meios de tratamento.
Essa diferença importa porque o controlador possui maior responsabilidade decisória sobre o tratamento. O operador deve agir conforme as instruções do controlador, mas também precisa observar segurança, confidencialidade e limites contratuais.
Contratos genéricos entre agência e cliente costumam falhar nesse ponto. É recomendável que o contrato estabeleça papéis, finalidades, dados tratados, obrigações de segurança, confidencialidade, subcontratação, uso de ferramentas, retenção, exclusão, atendimento a titulares e resposta a incidentes.
Leads não são apenas oportunidades comerciais
Leads são dados pessoais. Nome, telefone, e-mail, empresa, cargo, interesses, histórico de interação, origem da campanha e comportamento de navegação podem revelar informações relevantes sobre uma pessoa natural.
Por isso, a captação de leads deve ser transparente. O titular precisa compreender, de forma razoável, por que seus dados estão sendo coletados e como poderão ser usados. A empresa deve evitar formulários excessivos, bases legais frágeis e comunicações comerciais incompatíveis com a finalidade originalmente informada.
Em campanhas B2B, é comum supor que a LGPD não se aplica porque o dado está ligado a uma empresa. Essa premissa é perigosa. O e-mail corporativo, telefone profissional e cargo ainda podem identificar uma pessoa natural. A finalidade empresarial reduz alguns riscos, mas não elimina a necessidade de base legal, transparência e governança.
Cookies, remarketing e mensuração
Cookies e tecnologias semelhantes devem ser avaliados conforme sua finalidade. Ferramentas necessárias ao funcionamento do site têm perfil distinto de cookies de publicidade, remarketing e análise comportamental.
O guia de cookies da ANPD recomenda transparência, informações acessíveis e adoção de instrumentos que permitam maior compreensão e controle pelos titulares. Para agências, isso significa que a implementação de tags, pixels e ferramentas de analytics deve ser alinhada com a política de privacidade e com a arquitetura de consentimento ou preferências adotada pelo cliente.
A agência que instala ferramentas sem avaliar implicações jurídicas pode criar risco para o cliente e para si própria, especialmente se houver compartilhamento de dados com plataformas externas ou uso de segmentações sensíveis.
Legítimo interesse no marketing
O legítimo interesse pode ser uma base legal relevante para algumas atividades de marketing, mas não é uma autorização ampla e automática. A ANPD orienta que sua aplicação exige avaliação de finalidade, necessidade, balanceamento e salvaguardas.
Na prática, a empresa deve demonstrar que a finalidade é legítima, que o tratamento é necessário para aquela finalidade, que não há impacto desproporcional sobre direitos do titular e que existem mecanismos de transparência, oposição e proteção.
Quanto mais invasiva a campanha, mais frágil tende a ser a justificativa. Perfilamento intenso, dados sensíveis, público vulnerável, ausência de opt-out e compartilhamento amplo com terceiros aumentam o risco jurídico.
Responsabilidade contratual entre agência e cliente
A LGPD também deve aparecer nos contratos comerciais. O contrato entre agência e empresa deve prever quem responde por bases legais, quem administra consentimentos, quem mantém registros, quem atende titulares, quem comunica incidentes, quem aprova textos de política de privacidade e quem responde por fornecedores de tecnologia.
Também é importante disciplinar propriedade e uso de bases de leads. Ao final do contrato, a agência pode manter dados? Pode usar listas para outros clientes? Pode importar contatos para ferramentas próprias? Pode compartilhar relatórios com terceiros? Essas perguntas devem ser respondidas contratualmente.
A ausência de regras claras cria risco de conflito entre agência e cliente, sobretudo quando há incidente, reclamação de titular ou questionamento sobre uso indevido de base.
Checklist prático para campanhas em conformidade
Antes de lançar campanhas, empresas e agências devem verificar: política de privacidade atualizada; banner de cookies coerente; base legal definida; formulários proporcionais; opt-out funcional; contratos com operadores; controle de acessos; registro de fornecedores; plano de resposta a incidentes; e alinhamento entre marketing, jurídico e tecnologia.
A governança não precisa paralisar campanhas. Ela deve tornar o marketing mais confiável, previsível e defensável.
Sua agência ou empresa trata dados em campanhas digitais?
O Assis Lira Advocacia auxilia agências, empresas e departamentos de marketing na revisão de contratos, políticas, bases legais, cookies, leads e fluxos de LGPD aplicados ao marketing digital.
Conclusão
Marketing digital baseado em dados exige mais do que criatividade e performance. Exige governança jurídica. Agências e empresas que estruturam campanhas com clareza de papéis, base legal, transparência, contratos adequados e segurança da informação reduzem riscos e fortalecem a confiança com clientes e usuários.
A LGPD não impede o crescimento comercial. Ela exige que o crescimento seja construído com responsabilidade, rastreabilidade e respeito aos direitos dos titulares.