BeSocial
Blog Advocacy marketing virou um dos canais de maior ROI do marketing B2B brasileiro — e, ao mesmo tempo, uma das maiores zonas cinzentas da Lei Geral de Proteção de Dados (Lei 13.709/2018). A maioria dos CMOs olha pra um programa de advocacy e enxerga engajamento, alcance orgânico, employer branding. O que poucos enxergam é que todo o fluxo — desde o login do funcionário na plataforma até o tracking do clique no LinkedIn — envolve tratamento de dados pessoais que precisa de base legal válida sob a LGPD.
E não é teórico. A ANPD (Autoridade Nacional de Proteção de Dados) já aplicou sanções administrativas a empresas de todos os portes desde 2023, com multas que chegam a 2% do faturamento (limitadas a R$ 50 milhões por infração). Programas de advocacy mal estruturados são alvo natural: combinam dados de funcionários (relação assimétrica, atenção redobrada), dados de terceiros que aparecem em conteúdo compartilhado, e — em muitos casos — transferência internacional de dados pra plataformas SaaS hospedadas fora do Brasil.
Este guia destrincha o que sua empresa precisa fazer pra operar um programa de advocacy em conformidade com a LGPD em até 30 dias. Não é um parecer jurídico (veja o disclaimer no fim), mas é um mapa operacional consistente com o que a ANPD vem sinalizando em guias orientativos e decisões recentes.
O que a LGPD diz sobre advocacy marketing
A LGPD não menciona “advocacy” diretamente — e nem precisa. A lei é principiológica e se aplica a qualquer operação de tratamento de dados pessoais. Num programa de advocacy típico, três camadas de dados estão sempre em jogo:
1. Dados pessoais de funcionários. Nome, foto, perfis sociais, métricas de engajamento (cliques, compartilhamentos, alcance), histórico de participação, eventuais recompensas recebidas. Tudo isso é dado pessoal sob o Art. 5º, I, da LGPD. E como o funcionário está numa relação de subordinação, o consentimento puro e simples raramente é a base legal mais adequada — falaremos disso já já.
2. Dados de terceiros que aparecem em posts. Quando um funcionário compartilha um case de cliente, uma foto de evento ou um depoimento, dados pessoais de terceiros entram no fluxo. A empresa, como controladora do programa, pode ser responsabilizada solidariamente (Art. 42) se o conteúdo for compartilhado sem base legal pro terceiro envolvido.
3. Bases legais aplicáveis. O Art. 7º lista dez bases legais. Pra advocacy, três são as mais relevantes:
- Consentimento (Art. 7º, I): livre, informado, inequívoco e específico. Adequado pra participação no programa em si, especialmente quando há recompensa ou exposição da imagem do funcionário.
- Execução de contrato (Art. 7º, V): quando advocacy faz parte formal das atribuições do cargo (raro, mas existe em áreas como employer branding e relações com investidores).
- Legítimo interesse (Art. 7º, IX): a base mais usada na prática, mas exige Relatório de Impacto à Proteção de Dados (RIPD) e teste de proporcionalidade. Funciona bem pra métricas agregadas de performance do programa, não pra exposição individual.
A escolha da base legal não é cosmética — ela define quais direitos o titular tem e como sua empresa precisa documentar o tratamento.
As 5 áreas de risco num programa de advocacy
Consentimento dos funcionários pra rastreamento de posts
Aqui mora o problema mais comum. Empresas pedem pro funcionário “aceitar os termos” no primeiro login e acham que está resolvido. Não está. A LGPD exige que o consentimento seja específico e destacado (Art. 8º, §4º). Um aceite genérico de “termos de uso” não cobre rastreamento granular de engajamento.
O caminho seguro é separar: (a) consentimento pra participar do programa, (b) consentimento pra ter posts rastreados com UTM e métricas individualizadas, (c) consentimento pra ter nome/foto em rankings públicos. Cada checkbox separado, com texto claro do que muda em cada caso.
Dados pessoais de clientes/parceiros que aparecem em conteúdo
Quando o funcionário compartilha um case com nome do cliente, foto de uma reunião ou um print de conversa, dados de terceiros entram no fluxo. Sua empresa precisa garantir que esses terceiros consentiram com o uso da imagem e dos dados — idealmente via contrato comercial com cláusula específica, ou termo de autorização avulso.
A regra prática: nenhum conteúdo de cliente ou parceiro deve ir pra biblioteca do programa de advocacy sem evidência documental de autorização. Crie um campo obrigatório no fluxo de aprovação de conteúdo.
Imagem e direito de uso (LGPD + Código Civil)
A LGPD não revogou o direito de imagem do Código Civil (Art. 20). Quando um funcionário aparece em vídeo institucional, foto de evento ou depoimento que será reaproveitado pela equipe de marketing, você precisa de dois instrumentos: (a) base legal sob a LGPD pro tratamento do dado pessoal, (b) autorização expressa de uso de imagem pelo Código Civil. São coisas distintas que costumam ser tratadas como uma só — e essa confusão custa caro em ações trabalhistas pós-desligamento.
Funcionários que saem da empresa: posts antigos
Quando um funcionário pede desligamento, o que acontece com os posts que ele publicou enquanto era embaixador da marca? Com as métricas individualizadas dele no histórico? Com a foto dele na página de “embaixadores” do site?
A LGPD garante ao titular o direito à exclusão (Art. 18, VI) e à oposição (Art. 18, §2º). Sua política precisa definir:
- Em quanto tempo dados pessoais do ex-funcionário são removidos da plataforma (sugestão: 30 dias após o desligamento, salvo retenção legal obrigatória).
- Como tratar posts publicados no perfil pessoal do funcionário (a empresa não controla, mas pode pedir remoção amigável).
- Como anonimizar métricas históricas pra preservar a análise agregada do programa sem manter o vínculo individual.
Transferência internacional de dados (se plataforma é estrangeira)
Se sua plataforma de advocacy roda em servidores nos EUA, Irlanda ou qualquer país fora da lista de adequação reconhecida pela ANPD, você está fazendo Transferência Internacional de Dados (TID) sob o Art. 33 da LGPD. Em maio de 2026, a ANPD ainda não publicou uma lista definitiva de países adequados — o que significa que TID exige cláusulas contratuais padrão, normas corporativas globais ou consentimento específico do titular.
Não é proibido — é regulado. Mas exige documentação que muitas empresas não têm: contrato com o fornecedor estrangeiro contendo cláusulas de proteção equivalentes à LGPD, registro do fluxo no inventário de dados, e informação clara ao titular sobre pra onde os dados vão.
Checklist de compliance pra implementar em 30 dias
| Item | Responsável | Evidência exigida |
|---|---|---|
| Mapear todos os fluxos de dados do programa (inventário) | DPO / Encarregado | Planilha de inventário + diagrama de fluxo |
| Definir base legal pra cada fluxo (consentimento, legítimo interesse, etc.) | DPO + Jurídico | Memorando de base legal por finalidade |
| Redigir termo de adesão específico do programa | Jurídico | Termo assinado por cada participante |
| Configurar checkboxes granulares no onboarding | Marketing + TI | Print da tela + logs de aceite |
| Elaborar RIPD se a base for legítimo interesse | DPO | Relatório arquivado com teste de proporcionalidade |
| Criar fluxo de aprovação de conteúdo com checagem de imagem de terceiros | Marketing | SOP documentado + checklist por post |
| Definir política de retenção e exclusão pós-desligamento | RH + DPO | Política escrita + procedimento operacional |
| Avaliar TID se plataforma estrangeira | DPO + Jurídico | Cláusulas contratuais padrão assinadas |
| Treinar embaixadores sobre o que podem e não podem postar | Marketing + Jurídico | Lista de presença + material de treinamento |
| Publicar canal de atendimento ao titular (Art. 18) | DPO | E-mail ou formulário dedicado + SLA documentado |
Modelo de termo de consentimento (exemplo)
TERMO DE ADESÃO AO PROGRAMA DE EMBAIXADORES [NOME DA EMPRESA]
Eu, [nome do funcionário], CPF [xxx], declaro que:
1. Aderi voluntariamente ao Programa de Embaixadores da [Empresa],
ciente de que a participação é opcional e que a recusa não me
trará qualquer prejuízo profissional.
2. Autorizo o tratamento dos seguintes dados pessoais, com as
finalidades descritas:
( ) Nome e foto em rankings internos do programa
( ) Rastreamento de engajamento (cliques, alcance, compartilhamentos)
dos conteúdos que eu publicar voluntariamente
( ) Uso da minha imagem em peças institucionais derivadas
do programa (vídeos, posts, eventos)
3. Estou ciente de que posso revogar este consentimento a qualquer
momento, por meio do canal [dpo@empresa.com.br], sem prejuízo
à minha posição na empresa.
4. Em caso de desligamento, meus dados pessoais serão removidos da
plataforma em até 30 dias, exceto quando houver retenção legal
obrigatória.
5. Fui informado(a) de que os dados são processados na plataforma
[nome], com servidores em [país]. [Se TID: foram adotadas
cláusulas contratuais padrão conforme Art. 33 da LGPD.]
Data: __/__/____ Assinatura: ____________________Adapte ao seu cenário, valide com jurídico e mantenha versão assinada por participante arquivada.
Quando a ANPD pode multar
A ANPD pode aplicar advertência, multa simples (até 2% do faturamento, limitada a R$ 50 milhões por infração), bloqueio ou eliminação dos dados (Art. 52). Três cenários reais em que programas de advocacy entram no radar:
1. Reclamação de ex-funcionário. Desligamento mal resolvido + dados ainda na plataforma + post antigo sendo veiculado pela empresa = reclamação direta à ANPD. É o gatilho mais comum.
2. Vazamento de dados via plataforma estrangeira. Se o fornecedor SaaS sofrer breach e dados de funcionários brasileiros forem expostos, a controladora (sua empresa) responde — mesmo que o operador (a plataforma) também responda. Art. 48 obriga comunicação à ANPD em prazo razoável.
3. Denúncia de terceiro que apareceu em conteúdo. Cliente, parceiro ou pessoa qualquer que viu o próprio rosto num post de advocacy sem ter autorizado pode acionar a ANPD diretamente. Vimos casos assim em 2024 e 2025, especialmente envolvendo fotos de eventos.
Plataforma estrangeira vs brasileira: o que muda
A diferença operacional é grande. Plataforma brasileira (dados hospedados no Brasil, controladora e operador sob jurisdição nacional) elimina a discussão de TID, simplifica auditoria da ANPD e reduz tempo de resposta a incidentes.
Plataforma estrangeira não está proibida — está mais regulada. Você precisa:
- Confirmar onde os dados são armazenados (data residency).
- Verificar se o país tem decisão de adequação da ANPD (em maio/2026, EUA continua sem decisão de adequação plena).
- Assinar cláusulas contratuais padrão com o fornecedor.
- Informar isso explicitamente no termo de consentimento e na política de privacidade.
- Manter o fluxo no inventário de TID que pode ser solicitado pela ANPD a qualquer tempo.
Se sua empresa atua em setores regulados (financeiro, saúde, governo), os reguladores setoriais (BACEN, ANS, TCU) adicionam camadas próprias que muitas vezes inviabilizam plataformas estrangeiras na prática.
Direitos dos titulares: como atender
O Art. 18 garante ao titular nove direitos. Pro contexto de advocacy, os três mais acionados são:
Acesso (Art. 18, II). O funcionário pode pedir, a qualquer momento, cópia de todos os dados que sua empresa tem dele no programa: métricas, posts publicados, recompensas, histórico de engajamento. Você tem 15 dias pra responder em formato simplificado, ou prazo razoável pra resposta completa.
Retificação (Art. 18, III). Dados incorretos precisam ser corrigidos. Métricas erradas, foto desatualizada, cargo trocado — tudo entra aqui.
Exclusão (Art. 18, VI). O titular pode pedir eliminação dos dados pessoais tratados com base em consentimento. Você precisa cumprir, salvo retenção legal obrigatória (Art. 16).
Operacionalmente: tenha um e-mail de DPO publicado, um SLA de resposta (sugiro 10 dias úteis), e um fluxo interno documentado de quem faz o quê. A ANPD considera ausência de canal de atendimento uma agravante em qualquer infração.
Disclaimer e conclusão
Este conteúdo é informativo e não constitui parecer jurídico. A aplicação da LGPD depende do contexto de cada empresa, das bases legais escolhidas, do setor regulado em que opera e de interpretações específicas da ANPD e do Judiciário. Antes de implementar qualquer das recomendações acima, valide com seu DPO (Encarregado pelo Tratamento de Dados Pessoais) e com assessoria jurídica especializada em proteção de dados.
Dito isso: advocacy marketing em conformidade com a LGPD não é difícil — é trabalhoso na implementação inicial e simples no dia a dia. As empresas que tratam compliance como design constraint desde o primeiro dia escalam programas de embaixadores com mais segurança, menos atrito jurídico no desligamento e dados realmente confiáveis pra atribuição de ROI.
A escolha da plataforma faz diferença real. Plataformas LGPD-nativas, com dados no Brasil e controles granulares de consentimento, reduzem em meses o tempo de adequação e em ordens de magnitude o risco regulatório.
Quer uma plataforma de advocacy LGPD-nativa e com dados no Brasil? Crie uma conta grátis no BeSocial — gratuita até 10 pessoas.