Marketing à luz do RGPD: Quando posso enviar publicidade?

14/1/19

Marketing à luz do RGPD: Quando posso enviar publicidade?

Do ponto de vista jurídico, vivemos tempos de grande incerteza, onde mudanças regulatórias significativas e de dispersão caracterizam muitos setores, sem que se faça um ponto contundente. Assim, um dos assuntos mais importantes a atravessar uma verdadeira revolução, incluindo dores de cabeça, é a proteção de dados, e uma vez que também é transversal a todas as áreas, ninguém pode ficar indiferente. Já sabemos que desde 25 de maio, o famoso Regulamento Geral de Proteção de Dados (RGPD) passou a ser aplicável com tudo o que significava e com o desconhecimento — mesmo daqueles que tentam dedicar-se, com maior ou menor fortuna, a isso — das suas grandes repercussões. Seis meses depois disso, parece que finalmente a nova lei — Proposta de Lei Orgânica sobre a Proteção de Dados Pessoais e a Garantia dos Direitos Digitais— está prestes a sair, uma vez que foi aprovado por unanimidade no Congresso a 18 de outubro, aguardando aprovação do Senado; e, por seu turno, a Agência Espanhola de Proteção de Dados (AEPD), publicou o Relatório sobre Políticas de Privacidade e Internet (Relatório) de acordo com a sua adaptação ao RGPD. É publicado com o propósito de emitir recomendações depois de ter feito um levantamento de diferentes setores no seu ambiente. online, como o setor segurador, hotelaria, transportes e e-commerce. Também esclarece ou, se for caso disso, delineia recomendações que já foram indicadas em guias ou relatórios anteriores. A verdade é que teria sido apreciado se estas orientações nos tivessem sido fornecidas (não há 6 meses, mas ainda mais cedo), para que os assessores em que estamos a trabalhar ajudar os nossos clientes a adaptarem-se ao RGPD, pudessem fazê-lo com um critério mais filtrado de acordo com a nossa querida AEPD. Mas, em todo o caso, é apreciado ter este tipo de relatório. Um dos pontos que gostaria de destacar é o estudo realizado pela AEPD sobre a legitimidade para o marketing direto — mais ou menos, quando a publicidade é feita diretamente com os clientes para impulsionar as vendas-, derivado do artigo 6.1.º, alínea f), em relação ao considerando 47 do RGPD que afirma que o interesse legítimo de um controlador de dados “pode ocorrer, por exemplo, quando existe uma relação relevante e adequada entre o interessado e o responsável pelo tratamento, como em situações em que o interessado é um cliente ou está ao serviço do controlador” e que “o tratamento de dados pessoais para fins de marketing direto pode ser considerado realizado por interesse legítimo”. Ou seja, estas disposições abrem a possibilidade de uma empresa enviar publicidade aos seus clientes sem a necessidade de pedir consentimento. A este respeito, recorde-se que entre os meios pelos quais uma empresa pode dirigir-se aos seus clientes, está o correio comum, o telefone, as mensagens de texto e o e-mail. Neste último caso, o e-mail, devemos lembrar que não só devemos ter em conta a aplicação da protecção de dados, mas - entre outros - os regulamentos relativos ao comércio electrónico, representados em Espanha por Lei 34/2002, de 11 de julho, de Serviços da Sociedade da Informação e Comércio Eletrónico (o conhecido LSSI). Pois bem, a AEPD, como também indicamos muitos, relaciona este regime do RGPD com o artigo 21º do LSSI, “o que obriga a que essas comunicações tenham sido solicitadas ou expressamente autorizadas pelos destinatários das mesmas, ou que 'existe uma relação contratual anterior, desde que o fornecedor tenha obtido legalmente os dados de contacto do destinatário e os utilize para enviar comunicações comerciais relativas a produtos ou serviços da sua própria empresa que sejam semelhantes aos inicialmente contratados com o cliente'“Ou seja, quando um cliente deixa de ser um, só podemos enviar-lhe publicidade de todo o tipo por e-mail quando nos deu anteriormente o seu consentimento (e teremos legitimamente o tratamento com o seu consentimento do interessado), ou enviar-lhe publicidade apenas de “produtos ou serviços da sua própria empresa que sejam semelhantes aos que foram inicialmente objeto de contratação” (baseando a legitimidade, neste caso, em interesse legítimo). No entanto, lembre-se que em qualquer comunicação eletrónica que façamos a este respeito, temos sempre de dar ao destinatário a opção de se opor à sua recepção. Mas, como disse antes, a publicidade directa não é feita apenas por e-mail, mas também por outros meios, como por correio ou telefone. Nestes casos, o LSSI não se aplica, pelo que devemos cumprir as disposições do RGPD e os seus regulamentos aplicáveis. Nestes casos, por conseguinte, como recorda a AEPD da sua Relatório 0195/2017, poderão ser enviadas comunicações comerciais para aqueles que são clientes atuais do responsável com base em interesse legítimo, sem necessidade do seu consentimento, desde que se refiram a produtos ou serviços semelhantes aos inicialmente contratados. Mas para lhes enviar publicidade para outros produtos e serviços, mesmo que sejam clientes, precisaremos do seu consentimento inequívoco. Escusado será dizer que, para enviar publicidade através destes meios não electrónicos, àqueles que não são clientes, só podemos fazê-lo depois de termos obtido o seu consentimento. E como sempre, em todo o caso, dar a possibilidade de se opor. Reitero essa ideia, porque o Relatório esclarece que o setor hoteleiro é aquele em que “poucas empresas analisadas relatam o direito do interessado de retirar o seu consentimento para o tratamento dos seus dados pessoais a qualquer momento”. Por último, no que diz respeito a quando obter tais consentimentos, tendo em conta que no setor do turismo os dados podem vir quer do mesmo interessado — nesse caso, não há dificuldade em solicitá-los aquando da recolha dos dados; ou, através de terceiros (fornecedores diferentes, OTA's, bed banks, etc.), caso em que deve ser informado o mais tardar um mês após a obtenção dos dados pessoais, ou antes ou no primeiro comunicação com o interessado, ou antes de os dados (se houver) terem sido comunicados a outros destinatários. Por exemplo, no caso de um hotel, uma vez que independentemente de onde venham os dados do hóspede, o hóspede tem de fazer o Check-in, no momento da recolha de dados e assinatura do contrato de alojamento, o interessado pode receber informações relativas à proteção de dados e ainda solicitar, se for o caso, consentimento para o envio de publicidade de produtos ou serviços que não o próprio alojamento. De acordo com tudo o indicado, é muito importante que em qualquer auditoria que as empresas estejam a realizar para cumprir o RGPD, tenham em conta estes aspetos para, como aconselhamos os nossos clientes, poderem “limpar” as suas bases de dados e poder determinar se os dados foram obtidos de forma legal, bem como se os obtidos que são baseados no consentimento, que este foi recolhido de acordo com o RGPD, uma vez que foi um grande pecado solicitar o consentimento novamente sem rima ou razão, o que para além de aborrecer o destinatário, produziu um demasiado esforço em muitas empresas que era desnecessário.

Georgina García-Más (Advogada T&L)

Artigo publicado na Edição de novembro Do jornal mensal CEHAT