Pular para o conteúdo
OS Domains
Conformidade

DMARC, LGPD e bulk sender enforcement em 2026: o que mudou para empresas brasileiras

Como o bulk sender enforcement do Google/Yahoo, a Resolução CD/ANPD nº 19/2024 sobre transferência internacional de dados e a Resolução 32/2026 (UE adequada) reconfiguraram email para empresas brasileiras.

Autor: OS Domains Engineering · · 15 min de leitura · 3,700 palavras
DMARC LGPD ANPD Bulk sender Compliance

Em fevereiro de 2024 o Google e o Yahoo Mail aplicaram seu mandato de bulk sender e o cenário de envio mudou de uma vez. Em agosto de 2024 a ANPD publicou a Resolução CD/ANPD nº 19/2024 que regulamentou as transferências internacionais de dados pessoais sob a LGPD. Em agosto de 2025 expirou o período de graça de 12 meses para incorporar as Cláusulas-Padrão Contratuais nos contratos de transferência internacional. Em janeiro de 2026 a ANPD publicou a Resolução CD/ANPD nº 32/2026 reconhecendo a União Europeia como organismo internacional adequado, o que abre uma porta jurídica significativa para empresas brasileiras que processam dados pessoais com sub-processadores europeus. Este artigo conecta os três marcos para empresas brasileiras: o que o bulk sender exige tecnicamente, o que a LGPD pós-Resolução 19/2024 e pós-Resolução 32/2026 exige juridicamente, e por que a maioria das equipes está respondendo à camada de email errada da pilha de compliance.

p=quarantine
Política DMARC mínima exigida pelo enforcement
Para volume 5.000+ emails/dia a Gmail/Yahoo
23/08/2025
Fim do período de graça SCCs ANPD
12 meses após Resolução 19/2024
Resolução CD/ANPD 19/2024
26/01/2026
UE reconhecida como adequada pela ANPD
Resolução CD/ANPD nº 32/2026
Portal ANPD
R$ 50M
Multa máxima por infração LGPD
Ou 2% faturamento brasileiro do exercício anterior
LGPD Art. 52

O que o bulk sender enforcement exige tecnicamente

Os requisitos do Google e Yahoo Mail para senders 5.000+/dia são curtos quando você os lê:

  • SPF e DKIM ambos passando para domínio From
  • DMARC publicado com no mínimo p=none
  • Alinhamento DMARC: pelo menos um dos SPF ou DKIM alinhado com o domínio From
  • Lista de descadastro RFC 8058 em headers, com link funcional de un clique
  • Taxa de reclamação abaixo de 0,3% medida no Postmaster Tools
  • TLS para conexões SMTP

Cada um desses parece razoável isoladamente. Junto, eles forçam uma classe inteira de operações que antes funcionavam (IPs compartilhadas com tenants barulhentos, emails de marketing piggybacking em domínios transacionais, fluxos cold email rodando do mesmo SPF dos transacionais) a se reestruturar ou parar.

A Microsoft seguiu em maio de 2025 com requisitos idênticos para Outlook.com, Hotmail e Live, e em finais de 2025 estendeu a Microsoft 365 com aplicação progressiva. Para a maioria dos senders brasileiros sirviendo audiência mista, a operação prática é cumprir o limite mais alto entre Google/Yahoo e Microsoft, que na prática significa cumprir todos os três.

A camada que a maioria pula: alinhamento DMARC vs publicação DMARC

A confusão mais comum em projetos de implementação que vemos é tratar “DMARC publicado em p=none” como suficiente. Não é. O bulk sender enforcement exige alinhamento, que é coisa diferente.

A publicação significa que existe um registro _dmarc.seudominio.com que diz aos receivers o que fazer com mensagens que falham na autenticação. O alinhamento significa que pelo menos um dos SPF ou DKIM passa E o domínio que passou é o mesmo (ou subdomínio) do domínio From visível pelo destinatário. Sem alinhamento, não importa que SPF e DKIM “passem” tecnicamente; do ponto de vista DMARC, a mensagem falha.

A camada LGPD: o que a Resolução 19/2024 mudou

Por anos, transferência internacional de dados pessoais sob a LGPD era zona cinzenta operacional. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) listava no artigo 33 mecanismos válidos para transferência internacional, mas não havia regulamentação concreta. As empresas faziam adequação parcial ao GDPR e esperavam que valesse para a LGPD também.

A Resolução CD/ANPD nº 19/2024, publicada no Diário Oficial em 23 de agosto de 2024, mudou isso. Aprovou o Regulamento de Transferência Internacional de Dados e, mais importante, publicou no Anexo II as Cláusulas-Padrão Contratuais (SCCs brasileiras) que devem ser incorporadas integralmente e sem alteração nos contratos de transferência. O período de graça de 12 meses para incorporação dessas cláusulas expirou em 23 de agosto de 2025.

A partir desse momento, transferência internacional de dados pessoais (que inclui qualquer operação onde dados de titulares brasileiros são transmitidos, compartilhados ou disponibilizados para acesso a um agente de tratamento localizado em país estrangeiro) só é válida se uma destas condições é atendida:

  1. País destino reconhecido como adequado pela ANPD via decisão formal
  2. Cláusulas-Padrão Contratuais (anexo da Resolução 19/2024) incorporadas ao contrato
  3. Cláusulas contratuais específicas previamente aprovadas pela ANPD
  4. Normas corporativas globais (BCRs) aprovadas pela ANPD
  5. Hipótese específica do art. 33 da LGPD (cooperação judicial, contrato com o titular, etc.)

Implicações práticas para infraestrutura de email

Sua infraestrutura de email é processadora de dados pessoais. Os endereços dos destinatários são dados pessoais. Os logs de entrega, taxas de abertura e dados de engagement frequentemente também são. Isso significa que seu provedor email é um operador (sub-processador) sob a LGPD, e a relação está sujeita aos requisitos de transferência internacional se o operador está fora do Brasil.

Para cada provedor email que você usa (transacional, marketing, cold email), as perguntas a responder:

  1. Onde os dados são processados? Se os data centers e sub-processadores são todos no Brasil, transferência internacional não se aplica. Se algum dado sai do território brasileiro (e isso inclui caches em CDNs estrangeiras, backups em outros países, ou processamento em filiais internacionais), aplica.

  2. Que mecanismo de transferência internacional está em uso? Se o provedor está em país adequado (por enquanto, só UE pós-Resolução 32/2026), você está coberto. Se está em país não adequado (EUA, Reino Unido pós-Brexit, Canadá, etc. ainda não foram reconhecidos), você precisa SCCs ou outro mecanismo válido.

  3. As SCCs do seu provedor seguem o Anexo II da Resolução 19/2024? Aqui é onde a maioria dos provedores estadunidenses falha em 2026. As SCCs deles geralmente seguem o modelo GDPR europeu, que é diferente do modelo brasileiro. Ter “SCCs européias” não cumpre o requisito brasileiro pós-período de graça.

Provedor email Jurisdição Status sob LGPD pós-23/08/2025
AWS SES (us-east-1) EUA Requer SCCs brasileiras anexas; AWS DPA não cobre por padrão
AWS SES (eu-west-1) Irlanda (UE) Coberto pela Resolução 32/2026
SendGrid EUA (Twilio) Requer SCCs brasileiras anexas; verificar DPA atualizado
Mailgun (cluster US) EUA Requer SCCs brasileiras anexas
Mailgun (cluster EU) Alemanha (UE) Coberto pela Resolução 32/2026
Postmark EUA Requer SCCs brasileiras anexas
Resend EUA Requer SCCs brasileiras anexas
Mailrelay Espanha (UE) Coberto pela Resolução 32/2026
OS Domains Áustria (UE) Coberto pela Resolução 32/2026
eyou (Brasil) Brasil Sem transferência internacional
RD Station Marketing Brasil Sem transferência internacional

Status verificado em maio de 2026. A Resolução nº 32/2026 abriu caminho para que outros países sejam reconhecidos no futuro; consulte sempre a página oficial da ANPD.

A trajetória recomendada para senders brasileiros em 2026

Combinando os requisitos do bulk sender enforcement com os requisitos LGPD/ANPD, o caminho operacional limpo para a maioria das organizações brasileiras tem três fases.

Fase 1: implementação técnica DMARC (semanas 1-4)

Inventário de fontes de envio. Identifique cada serviço enviando como seu domínio: aplicações internas, SendGrid/Mailgun/Postmark, ferramentas de marketing como RD Station ou Mailchimp, plataformas de cold email, vendor da equipe de RH, vendor da equipe de cobrança. A lista é maior do que a maioria das equipes adivinha.

Configurar autenticação para fontes conhecidas. SPF flattened para evitar o limite de 10 lookups, DKIM personalizado por serviço (alinhamento exige que o domínio assinante esteja no mesmo domínio organizacional do From), Return-Path configurado para alinhamento SPF onde DKIM é difícil.

Publicar DMARC em p=none com agregação habilitada. Use uma ferramenta de relatórios DMARC (Postmark, dmarcian, EasyDMARC) para ingerir os relatórios agregados e identificar fontes que falham no alinhamento.

Iterar até alinhamento limpo. Para cada fonte que falha, ou conserte (configurando autenticação adequada) ou desligue. Não passe para a fase 2 até que o relatório DMARC mostre 95%+ de alinhamento por 7 dias consecutivos.

Fase 2: progressão para enforcement (semanas 5-8)

Mover de p=none para p=quarantine em incrementos: p=quarantine; pct=10, depois pct=25, pct=50, pct=100. Cada passo monitorado por 7 dias mínimo. Se o relatório agregado mostrar fontes legítimas falhando, voltar e consertar antes de continuar.

p=reject é objetivo para senders de alto valor (bancos, grandes ecommerce, healthtech) mas não estritamente exigido pelo bulk sender enforcement. Para a maioria, p=quarantine; pct=100 é suficiente para satisfazer os mandatos do receiver enquanto deixa um pouco de margem para falhas de fonte legítimas que ainda não foram identificadas.

Fase 3: alinhamento LGPD / ANPD (semanas 5-12, em paralelo com Fase 2)

Inventariar sub-processadores e suas jurisdições. Para cada provedor email e ferramenta auxiliar (validação de email, monitoramento, ferramenta DMARC, fornecedor BIMI), documente onde os dados são processados.

Para sub-processadores na UE (pós-Resolução 32/2026): documente a transferência no aviso de privacidade, mantenha o DPA assinado, mas não exige SCCs brasileiras anexas. O reconhecimento da UE pela Resolução 32/2026 simplifica isso.

Para sub-processadores em outros países não reconhecidos: anexar SCCs brasileiras (Anexo II da Resolução 19/2024). Os principais provedores estadunidenses (AWS, SendGrid, Mailgun, Twilio) tipicamente não têm um DPA pré-assinado com SCCs brasileiras; é solicitação manual ao vendor. Para Big Tech a resposta é geralmente lenta mas chega; para vendors menores a resposta pode ser “não temos versão brasileira ainda”.

Para sub-processadores no Brasil: sem necessidade de mecanismo de transferência internacional. eyou, RD Station, e outros provedores brasileiros têm vantagem estrutural aqui.

Atualizar o aviso de privacidade. A Resolução 19/2024 exige que o aviso de privacidade liste os países de destino, mecanismos de transferência usados, e direitos do titular relacionados.

Documentar o RIPD se aplicável. Para senders processando volume significativo de dados pessoais ou dados sensíveis (saúde, biometria, dados de menores), a ANPD pode exigir Relatório de Impacto à Proteção de Dados (RIPD) sob o art. 38 da LGPD.

Onde a maioria das organizações brasileiras erra

Após dezenas de revisões para clientes, os erros são padrão.

Erro 1: tratar bulk sender enforcement e LGPD como projetos separados.

Eles tocam a mesma infraestrutura e a mesma cadeia de sub-processadores. Cobertura LGPD requer documentação que inclui inventário de fontes de envio (que você precisa de qualquer jeito para enforcement DMARC). Trabalhar os dois em paralelo gasta menos tempo combinado que sequencialmente.

Erro 2: assumir que SCCs européias cobrem LGPD.

Não cobrem pós-23/08/2025. As SCCs brasileiras do Anexo II da Resolução 19/2024 são texto distinto, e devem ser incorporadas integralmente e sem alteração. Vimos empresas brasileiras descobrirem em auditoria que o DPA do SendGrid (com SCCs européias) não satisfaz a LGPD. A correção é manual: solicitar adendo SCCs brasileiro ao vendor.

Erro 3: tratar DMARC enforcement como projeto único.

DMARC requer monitoramento contínuo. Fontes novas de envio são adicionadas (a equipe de marketing contrata novo vendor; engenharia adiciona novo microservice transacional). Cada uma quebra alinhamento se autenticação não é configurada adequadamente. Sem monitoramento de relatórios agregados, você descobre o problema quando suas mensagens param de chegar.

Erro 4: focar em volume sem focar em queixa.

Bulk sender enforcement aplica acima de 5.000/dia, mas a taxa de reclamação acima de 0,3% derruba reputação independentemente de volume. Vimos senders brasileiros bem abaixo do threshold de 5.000 (digamos, 1.500-2.000/dia para listas pequenas) sofrerem queda de placement por taxa de reclamação alta de listas frias.

A pergunta de “construir vs comprar”

Para empresas brasileiras avaliando se gerenciar internamente DMARC + compliance LGPD ou usar serviço gerenciado, os números atuais:

Gestão interna de DMARC:

  • Engenheiro deliverability senior em São Paulo: R$ 18-30 mil/mês fully-loaded
  • Ferramenta DMARC reporting: US$ 200-2.000/mês conforme volume
  • Tempo dedicado: tipicamente 0.3-0.5 FTE para manutenção contínua após implementação inicial
  • Custo anual estimado: R$ 110.000-R$ 220.000

Serviço gerenciado de DMARC:

  • Faixa típica: US$ 1.500-US$ 5.000/mês para mid-market brasileiro
  • Inclui: monitoramento de relatórios, ajustes de autenticação quando novas fontes são adicionadas, resposta a incidentes, documentação para auditoria
  • Equivalente a R$ 90.000-R$ 300.000/ano

Consultoria LGPD:

  • DPO externo (consultoria): R$ 5.000-R$ 15.000/mês como retainer
  • DPO interno (CLT): R$ 12.000-R$ 25.000/mês fully-loaded
  • Implementação inicial (mapeamento dados, RIPD, atualização contratos): R$ 30.000-R$ 100.000 dependendo de complexidade

Para a maioria de organizações brasileiras mid-market (50-500 funcionários), o modelo híbrido funciona melhor: DPO externo para a camada estratégica, serviço gerenciado para a camada operacional DMARC, e responsável interno fazendo coordenação. A gestão totalmente interna faz sentido apenas para empresas com 500+ funcionários e equipe deliverability já estabelecida.

Cobrimos a camada operacional gerenciada em nosso serviço de DMARC gerenciado, com documentação que mapeia diretamente aos requisitos da Resolução 19/2024 da ANPD para clientes que precisam apresentar evidência em auditoria.

Linha final

Bulk sender enforcement e LGPD são duas pressões que apontam ao mesmo lugar: tornar as práticas de email mais limpas, mais rastreáveis, e mais auditáveis. Empresas brasileiras que tratam isso como dois projetos separados gastam mais e terminam com menos. Tratado como um único programa que toca a mesma cadeia de sub-processadores, a sobreposição de trabalho é significativa, e o resultado é inbox placement melhor mais postura de compliance defensável.

A Resolução nº 32/2026 reconhecendo a UE como adequada é um vento de cauda significativo para empresas brasileiras escolhendo sub-processadores email. Antes desse reconhecimento, a opção de menor fricção era usar provedor brasileiro local. Pós-reconhecimento, sub-processadores europeus (Mailrelay, OS Domains, AWS SES eu-west-1, Mailgun cluster EU) são equivalentemente fáceis do ponto de vista LGPD, ampliando significativamente as opções operacionais sem custo de compliance adicional.

Para o ano fiscal 2026, recomendamos a senders brasileiros: faça o trabalho DMARC primeiro (porque o enforcement já está aqui), audite sua cadeia de sub-processadores em paralelo, atualize avisos de privacidade e DPAs até final do segundo trimestre, e prepare-se para que outros países sejam reconhecidos pela ANPD ao longo de 2026 (Reino Unido, Suíça, talvez Canadá são candidatos comentados pela comunidade jurídica). A flexibilidade que isso vai abrir vale planejamento agora.

Quer ajuda para aplicar isso?

O caminho mais curto entre este artigo e resultados.

Estes artigos não são teoria. São o playbook operacional que usamos com os nossos clientes. Se a sua situação se parece com a descrita aqui, os próximos 30 minutos numa chamada decidem se encaixamos.

Telefone +43 1 205 11 80 Seg–Sex · 9–18 CET
Email [email protected] Resposta média 4h em horário comercial
Escritório Fleischmarkt 1, 1010 Wien Com agendamento