PRA

Augusto Almeida Correia

Associado Sénior | Responsável de Propriedade Intelectual e Privacidade PRA Porto
PRA

Catarina Silva Caetano

Associada | Propriedade Intelectual e Privacidade

Março 14, 2022

O ABC da Diretriz do Marketing Direto

Na sequência do crescente número de participações que a CNPD tem vindo a receber relativamente ao envio de comunicações não solicitadas para fins de marketing direto, a mesma emitiu, recentemente, a Diretriz/2022/1, sobre comunicações eletrónicas de marketing direto. Este documento, apesar de não trazer grandes novidades quanto a esta matéria, é muito bem-recebido, pois a Autoridade de Controlo Portuguesa coloca por escrito qual o enquadramento legal da atividade de marketing direto e os respetivos contornos que devem ser tidos em consideração neste contexto.

Ora vejamos, este documento refere-se a comunicações eletrónicas para efetuar o envio de marketing direto, recorrendo a e-mail, telefone, SMS/MMS, sejam elas realizadas através de meios inteiramente automatizados (sem intervenção humana), ou de meios parcialmente automatizados.

Assim, podemos retirar deste documento, um método de 4 passos para que as entidades possam tratar dados pessoais para a finalidade de marketing direto, em conformidade com a legislação aplicável.

1.º Estabelecer se o marketing é gerido internamente ou através de outsourcing.

  • Marketing operacionalizado de forma interna:

Quando todo o processo de recolha e tratamento de dados é exclusivamente levado a cabo pela entidade responsável pelo tratamento, sem recurso a prestadores de serviços.

  • Relação de subcontratação para realização de marketing direto:

Caso o responsável pelo tratamento contrate um subcontratante (prestador de serviços) para realizar, por sua conta, operações de tratamento de dados no âmbito do marketing direto (por exemplo, incumbindo-o da recolha de dados, realização de campanhas de marketing, envio das comunicações e gestão dos canais utilizados para o efeito, entre outros) é necessário que seja celebrado um acordo de tratamento de dados pessoais, em conformidade com o artigo 28.º do RGPD.

É necessário ter em atenção que, tal como reitera a CNPD, o facto de este tipo de atividades de marketing poder ser realizada por um subcontratante, não retira quaisquer responsabilidades à entidade responsável pelo tratamento. Embora os subcontratantes possam ter alguma autonomia na prestação do serviço, o responsável pelo tratamento terá de ter sempre a última palavra sobre as operações de tratamento de dados, devendo garantir que o subcontratante atua mediante as suas instruções e em conformidade com a legislação aplicável.

Quanto à contratação de prestadores de serviços de marketing que detém a sua própria base de dados para campanhas de marketing direto, a CNPD alerta que, no quadro legal atual, não é possível que as empresas que os contratam venham a utilizar tais dados, isto porque «(…) essa recolha de dados teria sido feita num contexto prévio ao da subcontratação pela empresa que pretende promover os seus produtos ou serviços, pelo que o agora subcontratante mais não era do que o responsável pelo tratamento desses dados recolhidos, não podendo obviamente utilizá-los para o envio de comunicações eletrónicas de marketing da empresa que agora o subcontrata.».

  • Relação de responsabilidade conjunta de marketing direto:

Situação em que duas ou mais entidades distintas, definem conjuntamente os meios e finalidades do tratamento de dados pessoais para envio de comunicações de marketing direto. Neste caso, e uma vez que estamos perante responsáveis conjuntos sobre o tratamento de dados, terá de ser celerado um acordo sobre o tratamento de dados pessoais, em conformidade com o artigo 26.º do RGPD, o qual deverá estabelecer o âmbito das obrigações e responsabilidades de cada entidade, identificando qual será responsável por dar cumprimento ao dever de informações junto dos titulares dos dados em conformidade com os artigos 12.º a 14.º do RGPD.

 

  • Recolha de dados pessoais para marketing direto através de Terceiros:

Falamos aqui de situações em que um terceiro recolhe dados de contacto, pretendendo comunicá-los à entidade que irá proceder ao envio de comunicações de marketing.

O RGPD surge precisamente para salvaguardar estas situações, pelo que sempre que uma entidade recorra a um Terceiro para que este lhe comunique dados pessoais para a finalidade de marketing, este tem que assegurar que os titulares dos dados pessoais foram devidamente informados, e consentiram, para que a comunicação destes dados lhes fosse efetuada. Por este motivo, devem solicitar-se provas ao terceiro de que foi solicitado o consentimento prévio à comunicação, de que foi prestada a informação aos titulares de forma exaustiva e transparente e por fim deverão entrar em contacto com esses titulares dos dados pessoais, por forma a consolidar a relação. Em suma, existe uma exigência de identificação clara da entidade a quem o Terceiro irá comunicar os dados pessoais dos titulares, para que estes prestem o seu consentimento de forma válida e eficaz.

2.º Estabelecer o Fundamento: interesses legítimos vs consentimento.

Interesses legítimos: Para fundamentar o tratamento nos interesses legítimos prosseguidos pelo responsável pelo tratamento tem que existir (a) uma relação de clientela e (b) as comunicações de marketing incidirem sobre serviços e produtos análogos, aos habitualmente adquiridos pelo consumidor. É de notar que, no âmbito da relaçao de clientela, tal fundamento «será tanto mais válido, quando mais forte for a relação de clientela»[1]. Fica, no entanto, por esclarecer se devemos interpretar stricto sensu ou em sentido lato a definição de «serviços ou produtos análogos». Não esquecer que deve cumprir-se com o princípio lealdade, licitude e transparência, prestando aos titulares dos dados toda a informação relativa a este tratamento em conformidade com os artigos 12.º a 14.º do RGPD.

 

  • Consentimento: Com efeito, fora dos casos em que se possa equacionar a verificação de interesses legítimos, a regra geral, para fundamentar este tipo de tratamento de dados no âmbito da finalidade de marketing, é o consentimento, o qual deve ser prestado através de «um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito»[2]. Este, aquando da sua recolha, deverá cumprir com os requisitos do artigo 7.º do RGPD, sendo que, antes da recolha do mesmo e de modo a que a vontade do titular se possa considerar “informada”, deverá ser prestada ao titular dos dados toda a informação necessário em conformidade com os artigos 12.º a 14.º do RGPD.

 

Reitera também a CNPD que é inadmissível a prática corrente de utilizar o consentimento para fins de marketing direto como condição ou “moeda de troca” para que o titular possa usufruir de determinado benefício ou realizar determinada ação (por exemplo, condicionando o acesso a um website ou a participação num passatempo online à subscrição da newsletter).

3.º Um processo de opt-out: o Direito de Oposição.

Independentemente do fundamento aplicável à prossecução da finalidade de marketing, a entidade terá que ter um bom e efetivo sistema de opt-out, dando a possibilidade ao titular dos dados em recusar que continuem a efetuar operações de tratamento, sobre os seus dados pessoais, para essa finalidade. Uma forma de demonstrar que o responsável pelo tratamento cumpre com este ponto é, por exemplo, garantir ao titular dos dados a possibilidade de em cada SMS/MMS, e-mail ou chamada de marketing direto, poder dizer “não quero mais receber estas comunicações de marketing”, sendo o exemplo mais comum a opção “unsubscribe” constante do rodapé de um email.

Após esta demonstração de interesse, por parte do titular, em exercer o seu direito de oposição, o envio de comunicações de marketing direto deverá ser imediatamente interrompido.

4.º Avaliação de risco.

Resulta ainda desta Diretriz que atendendo a que «(…) a generalidade das ações de marketing direto implica tratamentos de dados em larga escala, e a utilização frequente de tecnologias inovadoras, esta avaliação dos riscos poderá ter de se expressar numa Avaliação de Impacto sobre a Proteção de Dados (“AIPD”), para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco (cf. n.º 1 e alíneas a) e b) do n.º 3 do artigo 35.º e do considerando 84, todos do RGPD).».

Assim, sempre que se pretender proceder ao tratamento de dados no âmbito de ações de marketing direto, deverá se ter em atenção os pontos acima mencionados.

 


[1] DIRETRIZ/2022/1 da CNPD, sobre comunicações eletrónicas de marketing direto.

[2] Cfr. Considerando (32) do RGPD.

PRA