Comunicações Eletrónicas de Marketing Direto
Orientações da Comissão Nacional de Proteção de Dados sobre Comunicações Eletrónicas de Marketing Direto: Alguém se Lembra?
Resumo: As notas que a seguir se deixam escritas visam recordar todos os que nos leem que a DIRETRIZ/2022/1 da Comissão Nacional de Proteção de Dados sobre comunicações eletrónicas de marketing direto[1] aprovou as orientações mais recentes que temos sobre a matéria, tentando-se nestas linhas fazer uma leitura e interpretação atualistas e em sintonia com as guidelines que nos chegam das autoridades europeias[2].
[1] Disponível em https://www.cnpd.pt/decisoes/diretrizes/
[2] Em especial com as Diretrizes 05/2020 do Comité Europeu para a Proteção de Dados relativas ao consentimento na aceção do Regulamento 2016/679, disponível em https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_pt
1. O Marketing Compliance e a Proteção de Dados Pessoais
O Marketing Compliance, esoterismo para alguns, exercício para outros, traz-nos à ponderação, nomeadamente, os direitos fundamentais à privacidade e à proteção dos dados pessoais de clientes e potenciais clientes e os interesses das organizações, em especial de empresas, no fomento e promoção da sua atividade, enquanto dimensão da livre iniciativa económica privada.
Na verdade, às empresas é exigido o dever de evitar a intrusão na privacidade das pessoas e o dever de verificar se cumpre o Regulamento Geral sobre a Proteção de Dados (RGPD) e demais legislação relativa ao tratamento de dados, na sua lógica de lucro, é certo, cabendo-lhes a regular avaliação substantiva e profunda das operações de tratamento de dados pessoais e do impacto que as tecnologias implicam no seu funcionamento, assim como dos riscos para os direitos e liberdades das pessoas singulares.
Todas as organizações recolhem dados pessoais (nomes, contactos como telemóvel e endereço de email, números de identificação civil e fiscal, etc.). Essa recolha, assim como todas as operações subsequentes (como organizar, estruturar e arquivar os dados), são tratamentos de dados pessoais à luz do RGPD quando identificam uma pessoa singular.
A recolha de contactos (de pessoas singulares, entenda-se), a inserção desses contactos em base de dados e o envio de comunicações, por exemplo por email, são tratamentos de dados pessoais. Disso não restam dúvidas. E, sendo-o, cumprir o RGPD é uma obrigação!
Cabe à organização que trata os dados pessoais esse cumprimento, a quem o RGPD denomina de responsável pelo tratamento. Caso este externalize algum serviço, como por exemplo o envio das comunicações, esse prestador de serviços passa a ser subcontratante para efeitos do RGPD, com todas as obrigações que tal implica.
Neste contexto em que vários atores contracenam, porquê é que é importante cumprir as regras de proteção de dados pessoais? Porquê é que as organizações terão de observar a legislação aplicável quando elaboram um plano de marketing compliance, ou quando desenham o marketing e-mail/SMS/MMS/chamada telefónica e a newsletter, ou quando gerem as suas redes sociais e posts, fazem campanhas publicitárias e organizam eventos?
Em primeiro lugar, e antes de mais, para terem a confiança dos clientes, gerarem a perceção de cumprimento e respeito legal e a convicção de segurança e certeza jurídica no mercado, com os benefícios reputacionais para a organização, serviços e marcas que tal traz.
É igualmente importante cumprir as regras de proteção de dados para facilmente evidenciar a conformidade em caso de fiscalização pela autoridade de controlo – a Comissão Nacional de Proteção de Dados (CNPD) e afastar qualquer tipo de responsabilidade, civil, contraordenacional e criminal. Na verdade, nenhuma empresa quer ser condenada a pagar indemnizações a pessoas lesadas pelo tratamento dos seus dados, nenhuma empresa quer ser condenada ao pagamento de coimas, que podem ascender a 20 milhões de euros, sublinhe-se, nenhuma empresa quer ser condenada a penas pelos crimes de utilização ilegal de dados, desvio, viciação ou destruição de dados, por exemplo.
O caminho é, pois, o do cumprimento. Mas como evidenciar a conformidade?
2. O Cumprimento das Regras de Proteção de Dados
O RGPD materializa-se, e o seu cumprimento evidencia-se, designadamente, em políticas e procedimentos. Dando um exemplo simples: atualmente, a grande maioria das organizações e empresas disponibilizam websites. Ora, para cumprir o RGPD, estes devem disponibilizar uma Política de Privacidade e Política de Cookies – eis as evidências de conformidade que o RGPD exige.
Foquemos agora a nossa atenção nas comunicações eletrónicas de marketing direto: para cumprimento do RGPD, as empresas devem documentar a observância e o respeito dos princípios-regra da licitude, da lealdade e da transparência. Vejamos.
O RGPD consagra princípios relativos ao tratamento de dados pessoais (art. 5.º). Traduzindo: o tratamento de dados pessoais tem regras! O RGPD não proíbe nada – sublinhe-se desde já, sobretudo para os mais céticos. Antes, prevê regras. Aliás, uma verdadeira check-list de conformidade.
A primeira é a regra da licitude. Ou seja, uma empresa só pode tratar dados pessoais, por exemplo enviar um email de marketing, se existir um fundamento de legitimidade específico para tal. O mesmo é dizer se existir consentimento da pessoa ou interesse legítimo da empresa – já lá vamos.
A segunda regra é a da lealdade: a empresa tem de facilitar o exercício do direito do titular dos dados de retirar o consentimento a qualquer altura e de se opor/recusar receber comunicações em cada mensagem enviada.
A terceira é a regra da transparência: a empresa é obrigada à prestação de informações ao titular dos dados, podendo fazê-lo aquando da recolha dos dados ou na política de privacidade disponível no website institucional, por exemplo.
3. O Princípio da Licitude e o Consentimento
Voltemos ao princípio-regra da licitude. Se uma empresa pretende enviar comunicações eletrónicas de marketing direto, no seu plano de marketing deve conseguir evidenciar que cumpre o RGPD e as regras de proteção de dados. Simplificando: é fundamental que na sua estratégia leve em linha de conta e prove a aplicação das seguintes premissas:
(i) Se as comunicações são enviadas para não clientes, é necessário recolher o consentimento prévio dos visados para tal.
(ii) Se as comunicações são enviadas para clientes, é necessário segregar os clientes consoante o tipo de produtos ou serviços adquiridos anteriormente.
a) Se a comunicação é enviada para clientes e respeita a produtos ou serviços análogos aos adquiridos anteriormente pelo cliente, não é necessário consentimento, bastando o chamado interesse legítimo da empresa.
b) Se a comunicação é enviada para clientes e respeita a produtos ou serviços diferentes dos adquiridos anteriormente pelo cliente, é necessário consentimento.
O consentimento deve ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento posterior dos dados que lhe digam respeito. Não basta a mera inação ou o silêncio ou a aceitação implícita. Não são admissíveis campos previamente preenchidos. Não é livre se for obtido como contrapartida da prestação de um serviço. Não são válidos “consentimentos” ambíguos e pouco transparentes na sua redação, recolhidos a reboque da participação em passatempos ou concursos online, que procuram por esta via obter autorizações para a transmissão de dados a terceiros ou para desenvolver campanhas de marketing direto por conta de terceiros, dissimulados. Não são válidos os consentimentos recolhidos por determinada entidade, pedindo autorização ao titular dos dados para o tratamento dos mesmos por terceiro (parceiros, patrocinadores, empresas do grupo), que não identifiquem expressamente, de forma clara e transparente, a identidade do terceiro e o contexto específico em que a subsequente operação de tratamento de dados terá lugar. Nisto a autoridade de controlo nacional é muito clara.
Por outro lado, é prática corrente que ao titular dos dados não seja permitido consultar os websites ou participar em atividades (passatempos, visionamento de conteúdos) sem, concomitantemente, consentir na utilização dos seus dados para efeitos de comunicações de marketing direto. Temos de o dizer com toda a frontalidade: tal é ilegal! O consentimento não poderá ser a “moeda de troca” e condição de acesso aos conteúdos!
4. Recolha de Dados Pessoais de Contacto para Marketing por Terceiro Contratado
A recolha de dados pessoais de contacto para marketing pode ser feita pela própria empresa que pretende publicitar e/ou por terceiro contratado para esse efeito. Neste último caso, vale a pena sublinhar que a responsabilidade será sempre da empresa que contrata.
Com efeito, frequentemente, as ações de marketing não são realizadas diretamente pela entidade promotora ou beneficiária do marketing, mas por outras entidades por si contratadas - subcontratantes para efeitos do RGPD, recorde-se - ou por empresas contratadas em regime de subcontratação por estas últimas – sub-subcontratantes.
Subcontratar uma empresa porque esta já detém dados pessoais que poderiam ser utilizados nas campanhas de marketing direto não é possível no atual quadro legal. Este é um facto a que não podemos olvidar.
Além disso, a aquisição, mediante pagamento, de “bases de dados” para marketing, com destaque para a atividade dos “brokers”, seja através de parcerias comerciais em que existe partilha transversal de dados pessoais, pode levar a responsabilidade conjunta.
Se os dados pessoais tiverem sido recolhidos para uma finalidade diferente da de marketing direto, será sempre necessário realizar um teste de compatibilidade entre a finalidade inicial e a finalidade para que se pretende (re)utilizar os dados, aferindo o contexto em que os dados foram recolhidos e a relação entre os titulares dos dados e a empresa, a natureza dos dados e eventuais consequências para os titulares do tratamento posterior pretendido.
São estas as orientações da nossa CNPD. Alguém se lembra?
