Pular para o conteúdo
Mercado 09 de maio de 2026 · 6 min

LGPD, ANPD e Consent Mode V2: o que muda pra quem anuncia no Brasil em 2026

ANPD apertou fiscalização em 2025-2026. Consent Mode V2 virou requisito do Google. Veja o que você precisa fazer pra anunciar legalmente e não perder dados.

EM

Equipe Máximo do Marketing

Máximo do Marketing

Em 2024-2025, LGPD ficou só no discurso pra maioria das empresas brasileiras. Em 2026, virou risco real.

A ANPD (Autoridade Nacional de Proteção de Dados) emitiu mais de R$ 80 milhões em multas em 2025. Casos virais (e-commerce médio multado em R$ 4 milhões por não ter base legal pra cookies) fizeram outras empresas correr atrás.

Pra quem anuncia (Meta Ads, Google Ads, tráfego pago), as implicações são pesadas — porque envolve dados de visitante do site.

Esse artigo é o que você precisa entender, sem ser advogado.

O básico da LGPD (rapidinho)

LGPD = Lei Geral de Proteção de Dados, em vigor desde 2020. Aplica-se a qualquer empresa (não só big tech) que trate dados de pessoas no Brasil.

3 conceitos-chave:

1. Dado pessoal

Qualquer informação que identifica ou pode identificar uma pessoa: nome, email, CPF, IP, cookie de tracking, foto, telefone.

Pra usar dado pessoal, você precisa de base legal. As mais comuns:

  • Consentimento: pessoa autorizou expressamente
  • Execução de contrato: precisa do dado pra entregar o que vendeu
  • Legítimo interesse: você tem interesse legítimo + não fere direitos da pessoa
  • Cumprimento de obrigação legal: a lei obriga (ex: nota fiscal pra Receita)

3. Direitos do titular

A pessoa tem direito de:

  • Acesso (saber o que você tem dela)
  • Correção
  • Eliminação
  • Portabilidade
  • Revogação de consentimento

Onde a LGPD pega marketing digital

3 lugares críticos:

1. Cookies e tracking no site

Antes da LGPD, sites brasileiros colocavam Google Analytics, Pixel Meta, GTM e tudo mais sem perguntar.

Hoje: você precisa de consentimento pra rastrear visitante. Sem isso = multa.

Como respeitar: banner de consentimento (cookie banner) — visitante escolhe “aceitar tudo”, “rejeitar tudo” ou “personalizar”. Se rejeitar, não pode rastrear.

2. Captura de email/leads via form

Form de contato/newsletter tem que ter:

  • Checkbox de opt-in (“aceito receber comunicações”)
  • Link pra política de privacidade
  • Indicação clara do que vai ser feito com o dado

Sem isso, base ilegal.

3. Listas de remarketing e Custom Audiences

Em Meta Ads e Google Ads, você sobe lista de clientes pra fazer Customer Match.

LGPD exige: você precisa ter base legal pra essa lista. Geralmente é “execução de contrato” (eles compraram seu produto) ou consentimento explícito.

Consent Mode V2 — o que é

Consent Mode V2 é uma feature do Google que integra o estado de consentimento com Google Analytics, Google Ads e GTM.

Quando o visitante:

  • Aceitou cookies: GA4 e Google Ads recebem dados completos
  • Rejeitou: GA4 recebe dados anônimos modeled (sem identificadores), Google Ads não recebe

Em 2024, Google fez Consent Mode V2 obrigatório pra anúncios direcionados na Europa. Em 2025, expandiu pro mundo. Em 2026, Brasil entra na obrigatoriedade.

Se você anuncia no Google Ads e não implementou Consent Mode V2, suas listas de remarketing vão parar de crescer (já está acontecendo).

O setup correto em 2026

Pra estar em compliance + maximizar dados, esse é o setup mínimo:

Ferramentas que recomendo:

  • Cookiebot (pago, ~US$ 10/mês) — mais robusto
  • Termly (free tier + paid) — simples
  • CookieYes — alternativa boa
  • Make.com / Tarteaucitron (open-source, free)

O banner DEVE:

  • Aparecer antes de qualquer cookie
  • Ter botão “aceitar tudo” + “rejeitar tudo” no mesmo nível visual (não esconder o rejeitar)
  • Categorias: necessário (sempre on), funcional, analytics, marketing
  • Permitir mudar consentimento depois

No Google Tag Manager:

  1. Ativa Consent Settings
  2. Configura defaults: tudo “denied” antes da escolha
  3. Cookie banner dispara update quando visitante escolhe
  4. Tags (GA4, Google Ads, Meta) leem o estado e disparam conforme consentimento

3. Política de privacidade clara

Página /privacidade ou /privacy com:

  • Quem é o controlador dos dados (nome, CNPJ, contato DPO)
  • Que dados são coletados
  • Pra que usa
  • Com quem compartilha
  • Tempo de retenção
  • Como exercer seus direitos
  • Data de última atualização

Ferramentas pra gerar: iubenda, Termly geram base. Personaliza pro seu negócio.

4. Termos de uso

Documento separado, focado em uso do site/produto. Mais commercial que privacy.

5. DPO (Data Protection Officer)

LGPD exige indicação de encarregado de dados.

Pra PME, pode ser:

  • Funcionário designado (com CV em compliance/jurídico)
  • Terceirizado (advogado, consultoria) — R$ 500-2.000/mês

Não precisa ser advogado por lei, mas precisa entender LGPD na prática.

O impacto em métricas de tráfego pago

Implementar tudo isso tem custo em dados, vamos ser sinceros:

  • 100% dos visitantes rastreados pelo Pixel
  • GA4 com dados completos de todos
  • Listas de remarketing crescendo organicamente

Depois (consent mode v2 + cookie banner)

  • ~50-70% aceitam cookies (depende do nicho e UX do banner)
  • Os 30-50% que rejeitam: dados anônimos ou nada
  • Listas de remarketing crescem mais devagar

Mitigação: implementar server-side tracking (Stape, GTM Server) pra capturar dados de quem aceitou COM enriquecimento. Match quality alto compensa parte da perda.

Ver detalhes em artigo sobre Stape.

Quanto custa a multa real

Casos públicos no Brasil em 2024-2026:

CasoEmpresaMultaMotivo
Vazamento de dadosBanco grandeR$ 50MVazamento de 6M de cadastros
Cookies sem consentE-commerce médioR$ 4MBanner com “rejeitar” escondido
Vendido sem consentimentoImobiliáriaR$ 800kVendeu lista de leads pra terceiros
Sem DPOSaaSR$ 200kEmpresa > 50 funcionários sem DPO

Cálculo da multa: até 2% do faturamento da empresa, limitado a R$ 50M por infração.

Pra uma empresa que fatura R$ 10M/ano, multa pode chegar a R$ 200k. Compensa investir R$ 5-15k em compliance.

Plano de 60 dias pra entrar em compliance

Semana 1-2: Diagnóstico

  • Lista tudo o que coleta: forms, cookies, tracking, listas de clientes
  • Pra cada item, identifica: que dado, pra que usa, base legal
  • Identifica gaps

Semana 3-4: Banner + política de privacidade

  • Implementa cookie banner profissional
  • Publica política de privacidade clara
  • Adiciona checkbox de opt-in em forms
  • Configura GTM com Consent Settings
  • Atualiza tags pra respeitar consentimento
  • Testa em ambientes (aceito vs rejeitado)

Semana 7-8: Documentação interna + DPO

  • Cria política interna (quem pode acessar dados, como)
  • Designa DPO
  • Treina time (especialmente atendimento e vendas)

Pronto, em 60 dias você está em compliance básico. Pra ficar exemplar, continua refinando.

A coisa boa sobre LGPD pro marketing

Vou ser honesto: LGPD obriga você a fazer marketing direito.

  • Email só pra quem quer = base mais engajada
  • Tracking só pra quem aceitou = match quality maior
  • Política clara = confiança do cliente
  • Documentação = você ENTENDE seu próprio funil

Empresas que abraçaram LGPD em 2022-2023 já estão 5 anos à frente. Quem ignorou agora corre atrás com multa no horizonte.

A Máximo ajuda a montar tudo isso: cookie banner, Consent Mode V2, política, DPO indicado. Fala com a gente.

#lgpd #anpd #consent-mode #privacidade #compliance

Quer aplicar isso na sua empresa?

A gente faz um diagnóstico gratuito e mostra o caminho mais curto pra você crescer com previsibilidade.

Quero meu diagnóstico