Sempre insistimos que o processo de captação devia ser claro e transparente e efectivamente deve melhorar esse processo mas... não envie emails de re-confirmação!
Se a sua PME está a ir “na onda” e a enviar emails de re-confirmação para poder comunicar, insistimos: Pare imediatamente! Está a colocar em risco o seu negócio.
Uma re-confirmação implica que já existiu um consentimento e uma confirmação.
O E-goi na qualidade de plataforma de comunicações electrónicas e de seu fornecedor tem como missão zelar pelo seu interesse. Sim, zelamos pelo interesse dos nossos clientes!
Por favor, note que o risco real de vir a ter coimas gigantes depois do dia 25 é zero!
Sempre insistimos que o processo de captação devia ser claro e transparente e efectivamente deve melhorar esse processo mas… não envie emails de re-confirmação!
Contents
- Porquê? O que é que devo então fazer na minha empresa?
- 1. Resolver os desafios atuais na captação
- 2. Não tenho opt-in mas tenho alguma relação com as pessoas
- 3. Não tenho opt-in por canal
- 4. Não tenho modo de remoção no SMS
- 5. Tenho consentimento para comunicar mas é anterior ao RGPD
- 6. Tenho consentimento mas não tenho a assinatura do cliente
- 7. A Fiscalização
- 8. As multas RGPD
Porquê? O que é que devo então fazer na minha empresa?
Esta check-list ajuda a rebater de forma simples e objetiva todas as questões com que ainda se debate neste momento para salvaguardar os interesses da sua empresa e do seu negócio.
1. Resolver os desafios atuais na captação
Para que, a partir de agora, possa melhorar a qualidade dos processos de captação de novos clientes é essencial analisarmos os processos de captação e delinear um plano de ação.
O momento de captação deve ser explícito para o consentimento para a receção de futuras comunicações da marca.
De uma forma geral deve ser pedido o consentimento para comunicar, muito claro quanto ao âmbito, tema, tempo, e tudo o que faça sentido informar, e guardar esse registo, mas consegue fazer tudo isto, de forma muito fácil na plataforma E-goi.
Este é um exemplo de um modelo E-goi que pode servir como base para uma inscrição simples para comunicação com clientes e leads:
2. Não tenho opt-in mas tenho alguma relação com as pessoas
O Artigo 6º ponto b) legitima as suas comunicações:
“O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
(…)
b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;”
Ou seja, se no passado, o titular já tinha tomado alguma iniciativa de o contactar, inscrevendo-se numa newsletter, ou enviando-lhe um email, então estará dispensado da recolha de consentimento.
Por outro lado, ainda temos o conceito de Soft Opt-in:
O facto de o contacto ter algum tipo de relação comercial pode constituir a figura do soft opt-in, tema que está já espelhado no ePrivacy, legislação específica da União Europeia que se irá sobreporaoRGPD.
“Thereisanexceptioncalledthe‘softopt-in’.Thismeansthatconsentisnotrequired if you are sending marketing message about similar products and services to your customers/clientsorthoseyouhavenegotiatedwithtoprovideproductsorservices, as longas:
Yougivethemtheopportunitytoopt-outwhenyoureceivetheircontactinformation; and You give them the opportunity to opt-out when you send them subsequent messages.
Thisprocessingisnotbasedonconsent,butratherthelegitimateinterestsprocessing conditionandcanonlyberelieduponbytheorganisationthatcollectedthecontact details, not thirdparties.”
Fonte: ePrivacy – União Europeia
Outras razões para tratar dados e comunicar:
Mesmo sem o opt-in tradicional, a lei permite que os dados sejam tratados quando, por exemplo, existe um legítimo interesse por parte da sua empresa. Um contrato onde esteja já espelhado o âmbito e tratamento dos dados é também suficiente à luz do RGPD
Mesmo sem opt-in, está legal quando existe:
- Legal obligation
- Vital interests
- A public task
- Legitimate interests
Se não tem optin explicito nem uma relação activa com uma parte da sua lista, pode e fazer um processo de inscrição (optin) convidando as pessoas a inscreverem-se num novo formulário que o ponto 1 já dá como exemplo.
3. Não tenho opt-in por canal
Não existe qualquer referência na lei que obrigue a que o consentimento tenha que ser dado, separadamente, por canal.
Se existe um pedido de autorização para captação e tratamento dos dados, dados esses que incluem vários tipos de coordenadas eletrónicas (Email e telemóvel, por exemplo), essa autorização é dada para as coordenadas eletrónicas fornecidas pelo consumidor.
Não é necessário obter autorização por canal.
4. Não tenho modo de remoção no SMS
Se por um lado podemos comunicar com os clientes sem o opt-in, tendo, por exemplo, apenas o soft opt-in ou legítimo interesse, à luz da regulamentação do ePrivacy (que se sobrepõe ao RGPD), éessencial fornecer um modo de remoção simples e direta aos consumidores.
Por isso, a E-goi fornece um serviço patenteado que permite a inserção automática de um link de remoção diretamente no SMS.
Assim, mesmo que comunique tendo como base de autorização, por exemplo, o soft opt-in ou o legítimo interesse, já está dentro da legalidade pela presença do modo de remoção automático.
5. Tenho consentimento para comunicar mas é anterior ao RGPD
Perfeito, não é necessário efetuar absolutamente nada para esses contactos.
Deve-se, naturalmente, continuar o processo, que deve ser permanente, de melhoria e optimização dos processos de captação, e garantir sempre os direitos das pessoas.
6. Tenho consentimento mas não tenho a assinatura do cliente
Não existe obrigatoriedade de ter a assinatura do cliente.
Não invalida que, no processo contínuo de melhoria nos processos de captação para os futuros contactos se possa considerar essa forma de prova do consentimento.
A E-goi disponibiliza soluções para integrar um módulo de assinatura em todos os pontos de captação digital de contactos.
7. A Fiscalização
O conceito base do RGPD é, acima de tudo, permitir e motivar a auto-regulação. Por esse motivo, não deverá existir a fiscalização proativa por parte da entidade que será a autoridade deste tema: em Portugal, a CNPD.
As fiscalizações deverão ter por base, as queixas feitas pelos cidadãos ao regulador, por isso é muito importante que se consigam garantir os direitos das pessoas (ex. acesso, remoção, retificação, esquecimento, que a E-goi já o faz cumprir em grande parte) e assim evitar qualquer tipo de insatisfação, mas na eventualidade de existir alguma pergunta do regulador à sua empresa, deverá estar preparado com informação relevante (relativos a processos de optin, optout, etc.).
8. As multas RGPD
As multas são de vários milhões de Euros?
Não.
Na proposta de lei que assegura a implementação do RGPD em Portugal as coimas mínimas passam para mínimos de 500€ a 5000€.
Mas mesmo com multas de valor reduzido
É provável que a CNPD multe as empresas portuguesas por qualquer irregularidade?
Não.
Muito antes das multas existem recomendações de melhoria de processos como, aliás, é efetuado atualmente pela CNPD.
As multas só serão eventualmente aplicadas em casos de interferência grave com os direitos e as liberdades fundamentais da pessoa, o que não se enquadra nos temas do consentimento.
O que poderia então acontecer, no pior dos cenários?
- Alguém recebe mensagem Email, SMS (ou por outro canal);
- Apesar de ter opção na mensagem para se opor/remover, prefere, por má fé ou outro motivo qualquer, optar por procurar informação para fazer queixa, e entra no site CNPD e submete queixa;
- CNPD demora um “certo” tempo até dar seguimento à mesma, e caso veja alguma razão abre inquérito e entra em contacto com a empresa;
- A empresa visada, defende-se durante o inquérito, com informações de optin, optout, ePrivacy, Artigo 16.º (Comunicações não solicitadas), Interesses legítimos, não interferência grave com os direitos e as liberdades fundamentais da pessoa, etc.
- Se existir irregularidades a CNPD aplica a normal recomendação para melhoria de processos;
- Mesmo que, existisse uma multa, a proposta de lei que assegura a implementação do RGPD em Portugal as coimas mínimas passam de 500€ a 5000€.
- As multas serão aplicadas em caso de problemas muito graves que coloquem em causa os direitos fundamentais da privacidade dos consumidores.
- A empresa pode levar o caso para tribunal e mesmo que a coima não passe a ser zero, a decisão ainda é passível de recurso.
O RGPD resume-se a isto:
Por isso, não tenha medo do RGPD! Ainda tem dúvidas? Fale connosco!
E-Privacy é a Cookie Law, que está a aguardar por uma revisão e uma nova versão, que sim os direitos e obrigações se irão sobrepor aos do GDPR (apesar de serem leis que salvaguardam direitos diferentes, daí serem duas leis em separado), contudo esta lei ainda não tem data de publicação. Por isso o GDPR impactará sim. Agora sempre podemos confiar na antiga E-Privacy para salvaguardar-nos em casos de soft-optin e em caso em que existe uma relação comercial pre-existente e podemos com esse pretexto manter o envio de comunicações de marketing, comunicações não contratuais? Este artigo não me deixou com essa certeza. Mas foi esclarecedor.
Sim, diria que é recomendável confiar na antiga E-Privacy. Este processo vai acabar por cair no vazio legal a 25/05/2018. Infelizmente, não se deslumbra qualquer movimento nos grupos parlamentares que possibilitem aprovação atempada da legislação. Situações destas não ajudam nem protegem ninguém, ajudam a desinformação e o aparecimentos de mitos.
Salvo melhor opinião, algum do conteúdo deste artigo merece reflexão.
Nomeadamente, no que toca aos consentimentos, é certo que se uma Organização tem os consentimentos dos Clientes para envio de e-mails, não há problema – porém, é preciso que este consentimento tenha sido dado, nos termos do RGPD, ou seja, quem é que, na verdade, tem a definição das finalidades para o consentimento?; quem definiu os prazos de conservação?; quem documentou os consentimentos e é capaz de fazer prova desse consentimento – note-se que o ónus da prova incumbe à Organização…
Perante isto, as bases de dados antigas são fiáveis?
Afirmar-se que existe uma “relação comercial”… não vejo esse conceito espelhado na legislação (o link da e-privacy eu é apenas uma proposta e não se sobrepõe ao RGPD) – existe, sim, um conceito de relação pré-contratual e contratual – porque, é verdade, a licitude para o tratamento de dados pessoais não se baseia unicamente no consentimento.
Esta “relação contratual” é um conceito para ser interpretado para relações de prestação contínua e sucessiva (águas, eletricidade, bancos, seguradoras, entre outras situações) – já me parece forçado que uma compra única online esteja ao abrigo desta “relação contratual” que permite à loja enviar e-mail marketing, sem consentimento.
Aazevedo says: “Perante isto, as bases de dados antigas são fiáveis?”
Sim, porque foram integradas e/ou recolhidas usando a ferramenta. Como tem também uma gestão do subscritor tem a informação que poderá necessitar de fornecer e usar como “prova”. Contudo não acredito que exista dolo num contacto que seja feito com optout incluído, como preconizo.
Aazevedo says: “Relação comercial”
Como disse e bem, “não se baseia unicamente no consentimento”. Diria mais o consentimento é algo de residual até.
Aazevedo says: “já me parece forçado que uma compra única online esteja ao abrigo desta “relação contratual””
Pois, sabe para melhor elucidar quem nos lê, será que poderia formular um caso concreto. Assim poderia responder atendendo às particularidades expostas. Mas o legítimo interesse ou o cumprimento de obrigação legal pode ser também motivo para o contacto. Penso que algumas destas ambiguidades passam a ter contornos mais definidos (contudo muito elásticos) quando existir transposição para a lei nacional e tivermos um CNPD operante.