Castelos e ruínas: A campanha de BK sob a ótica da LGPD

Recentemente, o rapper BK (Abebe Bikila) lançou uma campanha comemorativa de 10 anos do álbum Castelos & Ruínas. A estratégia de marketing é impecável: por meio de uma identidade visual nostálgica, o público é convidado a um cadastro para participar da ação. Ao acessar o link, o usuário encontra uma página com identidade visual alinhada ao álbum e um formulário solicitando dados como nome, e-mail, data de nascimento e estado

No marketing moderno, dados pessoais são o alicerce de qualquer estratégia de sucesso. A campanha é um exemplo brilhante de como transformar nostalgia em engajamento digital, mapeando a base de fãs para construir relacionamentos de longo prazo. Contudo, para que essa "mina de ouro" não se torne um passivo jurídico, a proteção de dados deve ser a espinha dorsal da estratégia. Marcas que respeitam dados, conquistam lealdade. Sob essa ótica, analisamos como a execução jurídica da campanha dialoga com os desafios da privacidade.

Termo de Uso vs Aviso de Privacidade

Um Aviso de Privacidade claro é, acima de tudo, um ativo de marca. Na campanha de BK, a jornada do usuário encontra um ruído na nomenclatura: o documento é apresentado como “Termo de Uso”, quando, na essência, é um Aviso de Privacidade.

Sua finalidade não é regular a utilização de uma plataforma, mas informar sobre o tratamento de dados. Essa distinção não é meramente semântica; a rotulação inadequada pode comprometer a compreensão imediata do titular, que deve identificar claramente a natureza do que está consentindo.

Base legal: consentimento ou legítimo interesse?

Ao clicar em “Declaro que li e concordo”, parte-se da premissa de que o titular está manifestando seu consentimento para o tratamento de dados pessoais

Entretanto, o próprio documento também indica a utilização do legítimo interesse como base legal para determinadas atividades, inclusive no contexto de comunicação e marketing.

O ponto que merece maior atenção, contudo, é a coexistência dessas duas bases legais sem uma delimitação clara de suas respectivas aplicações.

Isso porque consentimento e legítimo interesse não operam da mesma forma. Enquanto o primeiro pressupõe uma manifestação livre, informada e inequívoca de vontade, o segundo se fundamenta em uma avaliação realizada pelo agente de tratamento, independentemente de uma ação direta do titular.

Nesse cenário, a forma como o consentimento é coletado também ganha relevância.

No fluxo analisado, não há um mecanismo específico, como um checkbox, para que o titular manifeste, de forma destacada, sua concordância com o tratamento de dados pessoais. O aceite ocorre de forma implícita, a partir do envio do formulário, acompanhado da indicação de que, ao prosseguir, o titular declara estar ciente dos termos apresentados.

A ausência de uma ação específica não significa, necessariamente, a inexistência de consentimento. No entanto, levanta questionamentos sobre a qualidade dessa manifestação, que deixa de ser um ato autônomo e passa a se confundir com a própria interação com a página.

Nesse contexto, o consentimento acaba assumindo um papel central na percepção do titular, ainda que parte do tratamento esteja fundamentada em legítimo interesse, o que pode gerar desalinhamento entre a experiência do usuário e a estrutura jurídica adotada.

Compartilhamento com terceiros e qualidade da informação

Outro ponto relevante diz respeito ao compartilhamento de dados pessoais com múltiplas empresas envolvidas na campanha. O aviso de privacidade indica expressamente essas empresas, permitindo ao titular identificar com quem seus dados poderão ser compartilhados. Ao concordar com o documento, é possível compreender que esse compartilhamento também está abarcado pelo consentimento.

No entanto, embora o titular consiga visualizar os destinatários, o documento não detalha de forma clara quais dados serão compartilhados com cada empresa, tampouco para quais finalidades específicas esse compartilhamento ocorrerá.

Na prática, o titular conhece os agentes envolvidos, mas não necessariamente compreende o fluxo de seus dados dentro dessa estrutura.

Essa distinção é relevante, especialmente sob a ótica do consentimento, que exige não apenas ciência sobre a existência do compartilhamento, mas compreensão sobre como ele se dará.

E quando esses dados envolvem menores?

A coleta da data de nascimento traz à tona a recente lei 15.211 de 2025. O ponto central aqui é que a proteção se aplica a ambientes digitais acessados ou potencialmente acessados por menores.

Diante da possibilidade de cadastro por esse público, a lógica do tratamento se altera: não se trata apenas de quem consente, mas de estruturar o serviço considerando o melhor interesse do menor desde a sua concepção (Privacy by design). A ausência de mecanismos claros de verificação etária ou de um aviso de privacidade adequado ao público infantojuvenil pode representar um ponto de atenção relevante.

Em ambientes potencialmente acessados por crianças e adolescentes, a transparência precisa ir além da formalidade, exigindo não apenas informação, mas comunicação efetivamente compreensível para essa faixa etária, de modo a garantir que a coleta e o uso de dados respeitem os limites de proteção necessários.

Privacy UX: como isso poderia ser diferente na prática

Esse cenário permite identificar ajustes concretos que poderiam ser implementados de forma simples, sem comprometer a estratégia da campanha. Ao olhar para o fluxo sob a perspectiva da experiência do usuário, é possível identificar oportunidades claras de melhoria não apenas no conteúdo, mas na forma como o tratamento de dados é apresentado.

Uma dessas possibilidades seria a separação das finalidades de tratamento, permitindo que o usuário compreenda e interaja com cada uma delas de forma mais clara:

• Receber comunicações e conteúdos;
• Receber ofertas e campanhas promocionais;
• Participar de pesquisas e análises de perfil;
• Autorizar compartilhamento com empresas parceiras.

Esse tipo de estrutura reforça a autonomia do titular e reduz ambiguidades sobre o que está sendo autorizado.

Outro ponto seria a criação de um momento específico para o consentimento, evitando que ele seja inferido a partir do envio do formulário:

• Li e concordo com o Aviso de Privacidade

No caso do compartilhamento com terceiros, a experiência poderia ser aprimorada com explicações mais objetivas sobre o papel de cada empresa, bem como sobre quais dados são compartilhados e para quais finalidades

Além disso, considerando a possibilidade de acesso por crianças e adolescentes, o próprio fluxo poderia incorporar mecanismos de proteção baseados na informação de idade fornecida pelo usuário.

A interface, nesse contexto, passa a atuar como ferramenta ativa de proteção, permitindo, por exemplo:

• adaptação da linguagem do aviso de privacidade para formatos mais simples e compreensíveis;
• sinalizações visuais sobre o uso de dados;
• restrições ou redirecionamentos em caso de identificação de usuários abaixo de determinada faixa etária;
• ou exigência de validação por responsável legal, quando aplicável.

Por fim, a inclusão de um banner de cookies ou de um centro de preferências ajudaria a alinhar o tratamento realizado fora do formulário com a transparência apresentada ao longo da jornada.

Essas medidas não necessariamente aumentam a complexidade da experiência. Quando bem implementadas, tendem a aumentar a confiança, reduzir ruídos de interpretação e tornar o tratamento de dados mais compreensível.

Conclusão

A análise do caso evidencia que a proteção de dados pessoais já ocupa um espaço relevante na estruturação de campanhas digitais. Os pontos observados não representam falhas estruturais, mas oportunidades claras de aprimoramento, muitas delas viáveis com ajustes simples de interface e comunicação.

Há um esforço claro em incorporar elementos importantes, como a existência de um aviso de privacidade estruturado, a organização das finalidades de tratamento, a menção ao uso de dados anonimizados em determinadas atividades e a transparência inicial quanto ao compartilhamento entre empresas envolvidas.

Esses aspectos demonstram um movimento consistente de adequação e, sobretudo, uma compreensão de que o uso de dados pessoais é parte central das estratégias de comunicação e relacionamento com o público.

Ao mesmo tempo, o caso revela um ponto de maturidade do mercado. Não se trata mais apenas de “ter um aviso”, mas de como esse aviso se conecta com a experiência do usuário, com a escolha das bases legais e com a efetiva compreensão do titular sobre o que acontece com seus dados

Nesse cenário, a LGPD não atua como um entrave, mas como um direcionador. Ao exigir maior clareza sobre finalidades, bases legais e fluxos de dados, a legislação incentiva estruturas mais organizadas, previsíveis e alinhadas às expectativas do titula. Esse movimento tende a qualificar o uso de dados, contribuindo para relações mais transparentes e sustentáveis do ponto de vista de negócio.