Publicações

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Nova diretriz da CNPD sobre marketing direto: o que tem de mudar na forma como as empresas fazem marketing?

Portugal - 

Alerta Proteção de Dados Portugal

A CNPD emitiu, no passado dia 25 de janeiro de 2022, as primeiras diretrizes sobre o tratamento de dados pessoais no âmbito das comunicações eletrónicas de marketing direto. 

Devido ao aumento exponencial do número de queixas neste contexto[1], a CNPD decidiu emitir as orientações que a seguir iremos resumir e sistematizar:

  • Comunicações eletrónicas – para que dúvidas não existam, estas incluem, de acordo com a CNPD, comunicações como e-mails, SMS/MMS e chamadas telefónicas (através de aparelhos de chamada automática ou com intervenção humana);
  • O envio de comunicações eletrónicas de marketing direto a pessoas singulares é regulado pela Lei 41/2004, de 18 de agosto (Lei da Privacidade nas Comunicações Eletrónicas) e subsidiariamente pelo RGPD e pela respetiva lei de execução;
  • Mesmo que as ações de marketing sejam realizadas por entidades contratadas (subcontratantes) ou por empresas contratadas pelos subcontratantes (subsubcontratante), tendo estas algum grau de liberdade, tal facto não retira qualquer responsabilidade à empresa que as contratou e por conta de quem estas atuam, uma vez que, de acordo com o RGPD, a atuação dessas entidades deverá resultar estritamente das instruções da empresa responsável pelo tratamento.

1. Os fundamentos de legalidade

São fundamentos para o tratamento de dados para fins de marketing direto o interesse legítimo e o consentimento dos titulares dos dados.

1.1 O interesse legítimo

O consentimento não será necessário, podendo ser invocado o interesse legítimo, nas seguintes condições:

  • Se já existir uma relação prévia de clientela com o destinatário da comunicação (devendo considerar-se o conceito de clientela em sentido amplo - para abarcar as relações de conhecimento recíproco e confiança que permitem aos responsáveis pelo tratamento antecipar as expectativas do titular dos dados, sem pôr em causa, nas operações de tratamento, os seus interesses ou direitos e liberdades fundamentais);
  • Se a comunicação de marketing respeitar a produtos ou serviços iguais ou similares aos transacionados;
  • Se os dados foram recolhidos no contexto da venda de um produto ou serviço; e
  • Se o direito de oposição foi disponibilizado ao titular no momento da recolha dos dados (artigo 13.º-A da Lei da Privacidade nas Comunicações Eletrónicas), devendo cada mensagem de marketing conter a possibilidade de o cliente recusar, fácil e gratuitamente, a utilização dos seus dados para marketing direto, devendo a identidade e o meio de contacto do fornecedor estar explícitos.

1.2 O consentimento

O consentimento deverá ser expresso e obedecer aos requisitos impostos pelo RGPD, designadamente:

  • Ser informado e a informação ser clara, simples e concisa – O que pressupõe que os titulares deverão ser informados previamente das informações listadas no artigo 13.º do RGPD, designadamente sobre a identidade e contactos do Responsável pelo Tratamento, da finalidade do tratamento (i.e. envio de comunicações eletrónicas de marketing direto), da base legal para o tratamento (i.e. consentimento), do prazo de conservação e do direito de retirar o consentimento a qualquer altura; 
  • Ser um ato positivo expresso – reafirma-se que os consentimentos pré-preenchidos e os consentimentos implícitos são inválidos;
  • Ser específico – cada consentimento deverá corresponder a uma finalidade e, no caso de transmissão de dados, cada terceiro que receba os dados para realizar comunicações eletrónicas de marketing direto deverá ser objeto de um consentimento autónomo – por outras palavras, o titular deverá consentir autonomamente cada uma das finalidades e cada um dos destinatários;
  • Ser livre – sendo referido que o consentimento não será tido como livre se for obtido como contrapartida da prestação de um serviço que reclama o tratamento de dados pessoais não necessários à execução do contrato;
  • Ser leal e transparente – sendo referido que o consentimento não deverá ser utilizado para criar uma falsa sensação de conforto ao responsável pelo tratamento. Assim, ainda que aparentemente válido formalmente, deverá ponderar-se a proporcionalidade do tratamento, tendo em conta as legítimas expetativas dos titulares em relação ao contacto estabelecido (nomeadamente se é expetável que este se veja surpreendido pelo tratamento).

2. A recolha dos dados

Os dados pessoais (e-mail e telefone, entre outros) são recolhidos para fins de marketing direto através das seguintes formas:

  • Pela própria empresa que pretende promover os seus produtos ou serviços;
  • Indiretamente, através de terceiros (rede social, concursos, passatempos) – neste caso, a empresa beneficiária da ação irá adquirir os dados pessoais de contacto a estes terceiros.

3. Os subcontratantes

  • O subcontratante apenas atua mediante instruções do responsável pelo tratamento e se existirem instruções contrárias à lei, é obrigação daquele informar de imediato o responsável pelo tratamento (por exemplo, se a empresa que pretende promover os seus produtos instruir o subcontratante a recolher o consentimento dos titulares em infração dos requisitos acima identificados);
  • O responsável pelo tratamento tem o dever de dar instruções ao subcontratante no que respeita à realização de ações de marketing através de meios eletrónicos para que o subcontratante faça o tratamento dos dados de acordo com a lei, devendo ainda monitorizar a sua atuação;
  • A recolha de dados para fins de marketing direto de uma determinada entidade responsável pelo tratamento, através de meios eletrónicos, só pode ser realizada após a contratualização desse serviço pelo responsável pelo tratamento (uma vez que esse responsável nunca poderia ter sido identificado pelo subcontratante até esse momento e também porque não existia uma relação de subcontratação na altura que fundamentasse esse tratamento por conta).

4. Os terceiros (data brokers e outros)

  • Não serão de admitir operações de tratamento que, sob a aparência de concursos ou passatempos, mais não visam do que agilizar a construção de bases de dados, prontas a serem comercializadas, para darem lugar a operações massivas de marketing direto. De igual modo, também será inadmissível a inscrição numa rede social que, posteriormente, transaciona os dados pessoais a terceiros para realizar operações de marketing direto;
  • O envio de comunicações eletrónicas para fins de marketing direto depende do consentimento prévio e expresso do titular dos dados, referindo-se que tal não sucede quando se trata de uma recolha feita por terceiros, nomeadamente quando a transmissão dos dados recolhidos seja intermediada por brokers;
  • Não serão válidos consentimentos habitualmente utilizados por data brokers para, por exemplo, a partilha de dados com “parceiros”, “patrocinadores” ou “empresas do grupo”, nem mesmo se essas entidades forem identificadas por setor de atividade ou mesmo em listagens. Segundo a CNPD, o consentimento tem que poder ser prestado especificamente, entidade a entidade;
  • Não é igualmente válido o consentimento obtido para marketing direto como condição para se conseguir consultar websites ou participar em atividades (como sorteios ou concursos). Na prática, é repudiada pela CNPD a possibilidade de monetização de dados.

5. As obrigações do responsável pelo tratamento (princípio da responsabilidade proactiva)

  • Adotar medidas técnicas e organizativas adequadas à proteção dos dados pessoais;
  • Pensar, desenhar e executar as operações de tratamento assegurando a proteção dos dados pessoais desde a conceção e por defeito;
  • Escolher criteriosamente “subcontratantes que deem garantias suficientes de execução de medidas técnicas e organizativas adequadas para cumprimento do RGPD”;
  • Celebrar um contrato escrito com os prestadores de serviços sempre que estes tratem dados por conta do Responsável pelo tratamento;
  • Avaliar os “riscos associados ao tratamento e aplicar ou exigir a aplicação de medidas que os atenuem”;
  • “Dar instruções precisas e documentadas aos subcontratantes no que diz respeito a todas as vertentes dos dados pessoais em causa”;
  • Realizar o “efetivo controlo das subcontratações subsequentes, devendo conhecê-las ou autorizá-las previamente”;
  • Realizar uma avaliação de impacto sobre a proteção de dados, sempre que tal seja obrigatório (salientando a CNPD “que a generalidade das ações de marketing direto implica tratamentos de dados em larga escala, e a utilização frequente de tecnologias inovadoras”);
  • Manter uma lista atualizada das pessoas que deram o seu consentimento para receber comunicações eletrónicas de marketing direto;
  • Manter uma lista atualizada dos clientes que não se opuseram à receção deste tipo de comunicações;
  • Manter prova dos consentimentos dados para a receção de comunicações eletrónicas de marketing direto (registos dos logs, formulário de recolha e nota informativa utilizada à data em que o consentimento foi recolhido, política de privacidade ou outro meio utilizado para prestar a informação exigida por lei);
  • Manter prova de que foi prestada ao titular a informação sobre a possibilidade e condições em que este pode revogar o consentimento e exercer o direito de oposição.

6. Conclusão

Em conclusão, embora quase nada do que conste das presentes orientações da CNPD constitua uma verdadeira novidade, as mesmas permitem perceber e antecipar a forma como esta autoridade irá decidir os processos de contraordenação por infração do artigo 13.º-A da Lei da Privacidade nas Comunicações Eletrónicas, conjugado com o RGPD.

A equipa de proteção de dados da Garrigues está ao dispor dos seus clientes para analisar a conformidade dos documentos/procedimentos dos seus departamentos de marketing e vendas com o conteúdo destas diretrizes, assegurando a respetiva implementação e, dessa forma, gerindo os riscos associados às suas iniciativas comerciais futuras.

 

 


[1] Entre maio de 2019 e janeiro de 2022, a CNPD já recebeu cerca de quatro mil participações, relativas a comunicações eletrónicas não solicitadas, verificando-se uma clara tendência de crescimento: 528 até ao final de 2019, 1256 durante o ano de 2020 e 2075 durante o ano de 2021.