Como a LGPD afeta o marketing de influência no Brasil

A Lei Geral de Proteção de Dados está em vigor desde 2020 e, desde 2021, tem dentes: a ANPD — Autoridade Nacional de Proteção de Dados — pode aplicar multas de até 2% do faturamento da empresa no Brasil, limitadas a R$50 milhões por infração. Não é regulação de papel.

E, no entanto, o marketing de influência no Brasil ainda opera em grande parte como se a LGPD não existisse. Marcas pedem dados de audiência a criadores sem contrato claro. Criadores compartilham screenshots do Instagram Insights com qualquer pessoa que pede. Plataformas coletam dados sem política de privacidade legível. Ninguém pensa muito a respeito — até que alguém precise pensar.

Este post analisa os pontos de intersecção entre a LGPD e o marketing de influência: o que a lei exige, onde as práticas atuais do setor estão em desconformidade, e o que marcas e criadores precisam fazer para operar com segurança jurídica.

O que a LGPD protege e quem ela alcança

A LGPD (Lei nº 13.709/2018) regula o tratamento de dados pessoais — qualquer informação que permita identificar direta ou indiretamente uma pessoa natural. Isso inclui nome, CPF, endereço de e-mail, telefone, IP, localização, dados de comportamento online, e muito mais.

A lei se aplica a qualquer operação realizada com dados pessoais de pessoas localizadas no Brasil, independentemente de onde a empresa está sediada. Isso significa que uma marca americana que coleta dados de seguidores brasileiros via campanha de influenciador está sujeita à LGPD.

Quem é afetado no marketing de influência:

• Marcas: ao coletar dados de leads gerados por campanhas de influenciadores (formulários, landing pages, listas de e-mail)
• Criadores de conteúdo: ao compartilhar dados da sua audiência com marcas ou plataformas
• Plataformas de influencer marketing: ao intermediar e armazenar dados de criadores e marcas
• Agências: ao gestionar dados em nome de marcas ou criadores

A LGPD define dois papéis distintos para quem trata dados: o controlador (quem decide como os dados são tratados) e o operador (quem trata dados em nome do controlador). Em uma campanha de influenciador, a marca tende a ser a controladora e o criador pode ser tanto controlador quanto operador, dependendo do contexto.

Os dados que circulam no marketing de influência

Para entender onde a LGPD é relevante, é preciso mapear quais dados pessoais transitam numa campanha típica de influenciador.

Dados da audiência do criador

Quando uma marca pede a um criador o "print das métricas" ou o "Insights do Instagram", está recebendo dados agregados — número de seguidores, alcance por post, distribuição por idade e gênero, localização geográfica. Em princípio, esses dados são agregados e anônimos, então não são dados pessoais no sentido estrito da LGPD.

O problema surge quando:

1. O criador compartilha dados que permitem identificação individual: listas de e-mails de seguidores, respostas a enquetes com dados identificáveis, DMs de seguidores. Esses são dados pessoais claros.
2. A marca combina dados agregados com outras fontes para re-identificar indivíduos: teoricamente possível, juridicamente problemático.
3. O criador usa plataformas de terceiros que coletam dados da audiência: ferramentas de análise, chatbots, plataformas de link-in-bio que rastreiam cliques — todos coletam dados da audiência do criador que navegam por eles.

Dados do criador em si

O criador também é titular de dados pessoais. Ao se cadastrar numa plataforma de influencer marketing, o criador fornece CPF, dados bancários, endereço, métricas de desempenho. Esses dados precisam ser tratados com as mesmas obrigações da LGPD.

O que isso significa para plataformas: política de privacidade clara, base legal definida para o tratamento, mecanismo para o criador exercer seus direitos (acesso, correção, exclusão dos dados).

Dados gerados por campanhas (leads e conversões)

Quando uma campanha de influenciador inclui um link rastreado, um formulário de cadastro, ou um código de desconto, ela gera dados pessoais dos consumidores que convertem. Quem coleta esses dados? A marca? A plataforma de e-commerce? A plataforma de link?

Essa cadeia precisa estar mapeada — e a responsabilidade pelo tratamento, definida contratualmente.

Disclosure obrigatório: onde a LGPD encontra o CONAR

O disclosure de publicidade no marketing de influência no Brasil é regulado principalmente pelo CONAR (Conselho Nacional de Autorregulamentação Publicitária), não diretamente pela LGPD. Mas as duas regulações se entrelaçam.

O CONAR exige que todo conteúdo publicitário seja identificado como tal de forma clara e inequívoca. Para posts patrocinados e permutas, as principais formas aceitas são:

• Uso de "#publi", "#publicidade", "#ad" ou equivalentes explícitos
• A tag "Parceria paga" disponível no Instagram e TikTok
• Menção explícita em vídeo: "esse post é em parceria com [marca]"

A intersecção com a LGPD aparece quando o conteúdo publicitário inclui coleta de dados:

• Um story com link para formulário de cadastro é publicidade que também coleta dados — a marca precisa de base legal para tratar esses dados
• Um swipe-up para landing page precisa ter política de privacidade acessível
• Um concurso ou sorteio promovido pelo criador que exige cadastro dos participantes coleta dados que a marca precisa tratar conforme a lei

A falta de disclosure não é uma infração da LGPD — é uma infração do CONAR. Mas a coleta de dados sem base legal é uma infração da LGPD, independentemente de ter havido disclosure de publicidade.

As seis bases legais da LGPD e o marketing de influência

A LGPD exige que todo tratamento de dados pessoais tenha uma base legal — uma justificativa legal para o tratamento. As seis bases são:

1. Consentimento: o titular autorizou expressamente
2. Cumprimento de obrigação legal: a lei exige o tratamento
3. Execução de contrato: necessário para cumprir um contrato com o titular
4. Interesse legítimo: o controlador tem interesse legítimo que supera o interesse do titular
5. Proteção do crédito: para análise de crédito
6. Legítima defesa ou exercício de direitos

No marketing de influência, as bases mais relevantes são consentimento, execução de contrato e interesse legítimo.

Consentimento é a base mais usada — e a mais mal implementada. Para ser válido, o consentimento precisa ser:

• Livre (não pode ser condicionado ao serviço, em geral)
• Informado (o titular precisa saber para que seus dados serão usados)
• Inequívoco (não pode ser inferido pelo silêncio ou por um checkbox pré-marcado)

Formulários de "me avise de promoções" escondidos no rodapé de uma landing page de campanha de influenciador raramente cumprem esses requisitos.

Interesse legítimo é frequentemente invocado por marcas para justificar análise de métricas de campanha. É uma base legítima quando bem documentada — mas exige que a marca demonstre que o interesse legítimo supera o interesse do titular, e que o tratamento é limitado ao necessário.

Compartilhamento de dados de audiência: o ponto mais sensível

Esta é, provavelmente, a prática mais comum e mais problemática do setor.

Uma marca quer fechar parceria com um criador. Pede as métricas. O criador manda um screenshot do Instagram Insights com distribuição demográfica, alcance, engajamento. A marca arquiva. Repete com dez criadores. Cria um banco de dados com informações sobre as audiências desses criadores.

O problema jurídico: mesmo que os dados sejam agregados, o criador não necessariamente tem o direito de compartilhá-los com terceiros para qualquer finalidade. Os seguidores do criador nunca consentiram que seus dados demográficos — mesmo agregados — fossem compartilhados com marcas que estão avaliando se vão fechar uma parceria.

As próprias plataformas (Instagram, TikTok, YouTube) têm termos de serviço que limitam o que os criadores podem fazer com dados de Insights. Compartilhar dados de audiência com terceiros pode violar esses termos além de potencialmente criar problemas de LGPD.

Como mitigar: quando a marca precisa de dados da audiência para tomar decisões de parceria, a prática mais segura é:

1. O criador mostra (não envia) os Insights durante uma call ou meeting
2. A marca solicita apenas os dados agregados estritamente necessários para a decisão
3. Qualquer dado que a marca retém é documentado com base legal e finalidade clara

Plataformas de influencer marketing bem estruturadas resolvem esse problema ao fornecer métricas verificadas sem que a marca precise receber os Insights diretamente do criador — reduzindo o risco para ambos os lados.

O que os contratos de influenciador precisam incluir para compliance

Um contrato de campanha de influenciador que ignora a LGPD está incompleto. Os pontos que todo contrato deveria abordar:

Finalidade do uso de dados: para que a marca vai usar os dados gerados pela campanha? Análise de performance, remarketing, lista de e-mail, CRM? Cada finalidade diferente pode exigir base legal diferente.

Responsabilidade pelo tratamento: quem é controlador e quem é operador dos dados gerados? Em campanhas onde o criador coleta dados diretamente (formulários no seu perfil, por exemplo), a responsabilidade pode ser compartilhada.

Prazo de retenção: por quanto tempo os dados serão mantidos? Dados de campanha não precisam ser guardados indefinidamente. Definir prazo no contrato protege ambas as partes.

Direitos dos titulares: como os consumidores podem exercer seus direitos de acesso, correção e exclusão de dados coletados pela campanha? Quem responde por essas solicitações?

Suboperadores e ferramentas de terceiros: quais plataformas serão usadas na campanha? Cada uma delas também trata dados e também está sujeita à LGPD.

Disclosure e conformidade com o CONAR: incluir no contrato a obrigação do criador de fazer o disclosure correto protege a marca no caso de infração do CONAR.

Campanhas com dados de terceiros: o cuidado extra

Algumas campanhas de influenciador são estruturadas de forma mais sofisticada: a marca fornece ao criador uma lista de leads ou clientes para fazer uma campanha de remarketing, ou o criador usa a audiência customizada da marca para fazer anúncios a partir do seu perfil.

Essa estrutura levanta questões de LGPD mais complexas:

Dados fornecidos pela marca ao criador: a marca pode fornecer dados de clientes para que o criador personalize seu conteúdo ou faça uma campanha direcionada. Para isso, a marca precisa ter base legal para compartilhar esses dados, e o criador passa a ser operador de dados — o que exige um Acordo de Processamento de Dados (DPA) ou cláusula específica no contrato.

Pixels e rastreamento: se a campanha do criador inclui links com UTM e a marca usa pixel de rastreamento (Facebook Pixel, Google Tag) nas páginas de destino, os dados de comportamento dos visitantes são coletados. Isso precisa estar refletido na política de privacidade da marca.

ANPD: o estado atual da fiscalização

A Autoridade Nacional de Proteção de Dados tem avançado gradualmente na aplicação da lei. Em 2025, os primeiros processos administrativos com aplicação de multa foram concluídos — ainda com valores abaixo do limite legal, mas com sinal claro de que a fiscalização é real.

O setor de marketing digital, incluindo o marketing de influência, ainda não foi alvo de uma fiscalização focada da ANPD. Mas o caminho regulatório global aponta para mais escrutínio, não menos. A GDPR europeia — que serviu de base para a LGPD — resultou em multas bilionárias para grandes plataformas e crescente fiscalização de práticas de marketing.

A janela para organizar o compliance sem pressão regulatória está se fechando. Empresas que estruturam seus processos agora têm a vantagem de fazer isso sem o custo e a urgência de uma investigação.

O que marcas devem fazer agora

Mapear os dados que a campanha gera: antes de lançar qualquer campanha de influenciador, identifique que dados pessoais serão coletados, por quem, com qual finalidade, e por quanto tempo.

Atualizar contratos: adicionar cláusula de proteção de dados ao contrato padrão de influenciador. Não precisa ser extenso — precisa ser específico.

Revisar a landing page e formulários de campanha: garantir que a política de privacidade está acessível, que o consentimento é válido e que a finalidade do uso dos dados está clara.

Definir responsáveis internos: quem na sua empresa é responsável por garantir que campanhas de influenciador estão em conformidade com a LGPD? Sem responsável definido, o processo não acontece.

O que criadores devem fazer agora

Não compartilhe dados de audiência sem entender o que está compartilhando: Insights do Instagram contêm dados demográficos dos seus seguidores. Antes de enviar para qualquer marca ou plataforma, entenda para que vai ser usado e se você tem o direito de compartilhar.

Tenha política de privacidade se você coleta dados: se você tem uma newsletter, um formulário de contato, ou usa ferramentas de terceiros que rastreiam seu público, você coleta dados pessoais. Você precisa de política de privacidade que informe seus seguidores sobre isso.

Leia os contratos das marcas antes de assinar: contratos que pedem cessão de dados da sua audiência ou permissão para usar os dados gerados pela campanha têm implicações que você precisa entender.

Para ver como a relação entre marcas e criadores funciona na prática — incluindo os aspectos contratuais — o post sobre o estado da creator economy no Brasil em 2026 traz o contexto do mercado que moldou essas práticas. E quando estiver pronto para estruturar parcerias com criadores de forma mais profissional, a Potya oferece o ambiente contratual e operacional adequado para isso.