As comunicações de marketing são uma ferramenta essencial para as empresas e profissionais promoverem os seus produtos e serviços. Contudo, a sua execução implica o cumprimento de um conjunto rigoroso de regras relativas à privacidade das comunicações eletrónicas e à proteção de dados pessoais.
Nos últimos anos, são muitos os cidadãos que têm participado à Comissão Nacional de Proteção de Dados (CNPD) o recebimento de comunicações de marketing eletrónicas não solicitadas, a maior parte das quais promovidas por entidades com quem os titulares não têm qualquer relação, e a quem não deram consentimento para esse fim. Essas ações de marketing são frequentemente descritas pelos titulares dos dados como intrusivas pela sua frequência e insistência.
Isto acontece porque muitas das empresas e profissionais desconhecem as regras aplicáveis ao envio de comunicações de marketing e/ou confiam em interpretações “criativas” dessas regras, que têm pouco a ver com a realidade.
As regras aplicáveis
Em Portugal, as comunicações eletrónicas de marketing direto são regidas pela Lei da Privacidade nas Comunicações Eletrónicas (Lei n.º 41/2004 de 18 de agosto na sua versão atual), pelo Regulamento Geral sobre a Proteção de Dados (RGPD) e pela Lei n.º 58/2019, de 8 de agosto.
Estas normas aplicam-se às diferentes formas de comunicações de marketing direto, qualquer que seja o canal: e-mail, SMS, MMS, aplicações de mensagens instantâneas como o WhatsApp e o Messenger, chamadas telefónicas automáticas ou com intervenção humana.
Abaixo, destacam-se os principais aspetos legais que empresas e profissionais devem observar para assegurar uma prática de marketing alinhada com a proteção de dados e evitar riscos de sanções.
Bases legais para comunicações de marketing
O envio de comunicações de marketing direto requer uma base legal válida, essencial para a conformidade legal. Em Portugal, as bases legais permitidas para comunicações de marketing direto são apenas duas: o interesse legítimo e o consentimento explícito do destinatário.
Estes dois fundamentos não são alternativos, nem podem ser objeto de uma escolha arbitrária do responsável pelo tratamento. É a lei que indica os pressupostos de aplicação de cada um deles.
O interesse legítimo
O interesse legítimo pode ser invocado como fundamento para o envio de comunicações de marketing quando estas se dirigem a clientes, com os quais a entidade já estabeleceu uma relação comercial.
Para aplicar esta base legal, é necessário que se verifiquem as seguintes condições:
- os dados do cliente terem sido recolhidos no contexto da venda de um produto ou serviço;
- a comunicação de marketing dizer respeito a produtos ou serviços semelhantes aos que foram adquiridos anteriormente pelo cliente;
- ter sido facultado ao cliente o exercício do direito de oposição, ou seja, de o cliente indicar que não quer receber esse tipo de comunicações, tanto no momento em que ocorreu a recolha dos seus dados, como em cada mensagem de marketing que lhe for enviada.
O consentimento
Caso não exista uma relação anterior ou se as comunicações de marketing se referem a produtos diferentes dos que foram antes adquiridos pelo cliente, o envio das comunicações exige que se obtenha o consentimento prévio do titular dos dados.
Esta é uma base legal muito exigente. Segundo o RGPD, o consentimento deve “ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito”.
Em termos práticos, o consentimento tem de ser:
- Prévio – O consentimento tem de ser obtido antes da comunicação de marketing;
- Livre – O titular de dados deve poder livremente aceitar ou recusar cada operação de tratamento, sem pressão ou condições;
- Informado – O responsável pelo tratamento deve prestar todas as informações relevantes, como a sua identidade e contactos, o envio de comunicações eletrónicas de marketing como finalidade do tratamento, o consentimento como respetivo fundamento de legitimidade, o direito de retirar o consentimento em qualquer altura e o prazo de conservação dos dados pessoais. Estas informações devem ser apresentadas de forma sucinta e fácil de entender, utilizando uma linguagem clara, de modo que o titular consiga antecipar as consequências resultantes do tratamento dos seus dados.
- Um ato positivo – O titular dos dados tem de manifestar a sua vontade de através de uma ação clara, como a seleção de uma opção ou o preenchimento de um formulário. O consentimento exigido como contrapartida para o fornecimento de um bem ou serviço ou obtido através de um formulário com as opções pré-selecionadas é inválido.
- Específico – A cada finalidade concreta deve corresponder um consentimento. Se os dados forem recolhidos para serem transmitidos a terceiros, é necessário especificar quem são e obter um consentimento para cada uma dessas entidades poder utilizar os dados para comunicações de marketing. Terá ainda de ser dada ao titular a possibilidade de aceitar autonomamente cada uma das operações de tratamento, sem forçar o consentimento em bloco para diferentes finalidades de tratamento e/ou diferentes entidades.
- Leal e transparente – É essencial que o tratamento de dados pessoais para comunicações de marketing assente numa relação transparente, pautada pela lealdade e a boa-fé. Abordagens menos claras que impedem o titular de compreender as reais finalidades das operações de tratamento de dados, como é o caso de concursos e passatempos cujo principal objetivo é construir bases de dados para venda, não são admitidas.
Subcontratantes e a responsabilidade da empresa
No marketing digital, é comum que as empresas recorram a agências ou profissionais de marketing para executar as suas campanhas de comunicação.
Atuando por conta da empresa e segundo as instruções por ela transmitidas, estas agências e profissionais assumem, no âmbito do RGPD, a posição de subcontratantes, sendo a empresa que os contrata a responsável pelo tratamento.
Como a sua designação indica, a responsabilidade principal pela proteção dos dados pessoais dos destinatários das campanhas permanece com a empresa que promove os seus produtos e serviços, é ela a responsável pelo tratamento dos dados.
Para se salvaguardar de eventuais riscos associados à atuação dos seus subcontratantes, a entidade responsável pelo tratamento deve ter alguns cuidados básicos:
- Avaliar e escolher subcontratantes qualificados, selecionandoos parceiros com base na sua capacidade de cumprir as regras do RGPD;
- Fornecer ao subcontratante instruções claras sobre a forma de realizar as comunicações de marketing, assegurando que a sua atuação respeita a lei;
- Formalizar a relação através de um contrato escrito que regule a atuação do subcontratante e garanta o cumprimento dos requisitos de proteção de dados;
- Monitorizar o cumprimento, controlandoa atuação do subcontratante e avaliando qualquer nova subcontratação que venha a ser envolvida no tratamento de dados.
Venda e utilização de bases de dados
A compra de bases de dados para usar em campanhas de marketing direto é uma prática que apresenta questões éticas e legais significativas, especialmente no contexto do cumprimento do RGPD.
Os dados pessoais inicialmente recolhidos para um propósito específico não podem ser transmitidos ou comercializados para fins de marketing de entidades terceiras sem que seja garantida a conformidade com as expectativas do titular dos dados.
Para garantir a conformidade, é essencial ser transparente no momento em que é solicitado o consentimento, informando o titular de que os seus dados poderão ser utilizados para marketing por terceiros e identificando claramente essas entidades. Práticas como concursos e passatempos, cujo principal objetivo é construir bases de dados para venda, devem ser evitadas, pois podem induzir em erro os titulares, violando os princípios de transparência e boa-fé.
As entidades interessadas em adquirir bases de dados devem verificar, antes da compra, se os dados foram legitimamente recolhidos, ou seja, se foram obtidos após um consentimento livre, informado, explícito e inequívoco, assegurando-se de os titulares foram informados sobre a partilha dos seus dados e sobre a sua utilização em comunicações de marketing.
Para esse efeito, é recomendável que realizem auditorias rigorosas às base de dados, avaliando se os dados foram recolhidos com base num consentimento válido e se este é adequado ao uso pretendido, averiguando também sobre a qualidade dos processos de recolha de dados e sobre a existência de documentação relativa aos consentimentos obtidos.
É igualmente importante confirmar que os dados mantidos nas bases estão atualizados e são relevantes para as finalidades a que se destinam, evitando retenções desnecessárias ou dados desatualizados que possam comprometer a privacidade dos titulares.
Boas práticas de conformidade
As entidades que tratam dados para comunicações de marketing têm de poder demonstrar continuamente a sua conformidade com o RGPD e com a Lei da Privacidade nas Comunicações Eletrónicas.
Os procedimentos essenciais para esse efeito incluem:
- Manter documentação completa sobre as campanhas de marketing realizadas.
- Conservar registos sobre o consentimento dado pelos titulares de dados para as comunicações de marketing, incluindo informações sobre o contexto em que foi obtido e, no caso de clientes, manter uma lista atualizada dos que não se opuseram à receção de comunicações de marketing.
- Manter uma lista de todos os fornecedores envolvidos nas campanhas, juntamente com os contratos ou acordos de proteção de dados com eles celebrados.
- Estabelecer procedimentos internos de revisão e atualização regular das práticas de conformidade, atendendo às orientações da CNPD e ao quadro normativo aplicável.
Para finalizar, é crucial que as empresas promovam uma cultura de conformidade contínua, assegurando que todos os colaboradores e parceiros compreendem e aplicam as normas de proteção de dados nas suas comunicações de marketing. Realizar formações frequentes e rever regularmente as políticas e procedimentos internos, ajuda a reforçar uma prática transparente e responsável.
Cumprir as boas práticas de conformidade não é apenas uma obrigação legal, mas também uma forma de construir confiança junto dos clientes e preservar a reputação da empresa no mercado digital.
Este é um texto meramente informativo. As informações nele contidas são gerais e abstratas e não dispensam a assistência profissional qualificada e dirigida ao caso concreto.
O escritório de Mafalda Correia Advogados tem competência e experiência prática no domínio da Proteção de Dados Pessoais e está preparado para o ajudar a cumprir as regras da proteção de dados aplicáveis às suas comunicações de marketing. Caso tenha alguma questão contacte-nos por email ([email protected]).