Comunicações Eletrónicas de Marketing Direto: Diretriz 2022/1 da CNPD

Legislação

Imaginemos que comprámos uma mangueira para regar a nossa estimada horta. Passados uns dias da referida compra, recebemos da mesma empresa um e-mail colorido e repleto de imagens apelativas a publicitar um sistema de aspersores, especificamente recomendado para ávidos apreciadores de jardinagem como nós. Inversamente, podemos imaginar que recebemos da mesma empresa um e-mail a sugerir uma promoção única de aquecimentos centrais, em nada relacionado com o nosso passatempo preferido. Imaginações à parte, ambas as situações não são análogas e põem em causa questões que, embora semelhantes, na sua diferença integram pontos de grande relevância para a análise do fenómeno das comunicações eletrónicas de marketing direto.

Embora o marketing direto no contexto digital não seja uma novidade para muitos de nós, importa relembrar que consiste numa estratégia de promoção de um produto ou serviço por parte de uma empresa e tem como target um potencial cliente. Este método pressupõe um interesse prévio do titular dos dados, por exemplo, através da aquisição no passado de um certo produto, podendo esta compra abrir a porta a uma futura relação contratual motivada pelo envio de sugestões que, potencialmente, despertem um novo interesse ao titular dos dados ou, alternativamente, da prestação de consentimento para o envio de comunicações de marketing direto.

No entanto, o problema poderá surgir com a maneira como as empresas utilizam os dados pessoais dos titulares dos dados. Uma vez que os primeiros atuam como responsáveis pelo tratamento dos dados pessoais, as comunicações de marketing direto podem estar sujeitas a certas limitações derivadas da legislação sobre proteção de dados pessoais, consoante as circunstâncias do caso concreto.

Nesse sentido, e após a receção pela Comissão Nacional de Proteção de Dados (CNPD) de um elevado número de denúncias relacionadas com comunicações não solicitadas, a Autoridade de Controlo Nacional na área de proteção de dados publicou, no passado dia 4 de fevereiro, a Diretriz/2022/1 sobre comunicações eletrónicas de marketing direto. Assim, a CNPD veio estabelecer algumas orientações para os responsáveis pelo tratamento dos dados e para os seus subcontratantes, tendo em vista a proteção do titular dos dados objeto destas comunicações diretas.

A CNPD destacou, atendendo ao disposto na Lei da Privacidade nas Comunicações Eletrónicas (Lei n.º 41/2004, de 18 de agosto), que os fundamentos de licitude aos quais os responsáveis pelo tratamento (empresas) podem recorrer para o envio de comunicações eletrónicas de marketing direto são: o consentimento (no geral) e os interesses legítimos (apenas em alguns casos específicos).

Retomando o nosso exemplo inicial, imaginemos que adquirimos no passado uma mangueira da empresa XPTO, existindo assim uma relação prévia da XPTO connosco. O fundamento de licitude dependerá da incidência deste marketing: se for sobre produtos ou serviços análogos aos adquiridos, não será necessário o consentimento do titular dos dados, uma vez que se considera existir um interesse legítimo; pelo contrário, se for sobre produtos ou serviços diferentes dos que já adquirimos, o envio destas comunicações requer consentimento prévio e expresso do titular dos dados.

Assim, se a empresa XPTO nos quiser enviar comunicações sobre aspersores de rega, poderá fazê-lo sem solicitar o nosso consentimento (o tal interesse legítimo), no entanto, se as comunicações versarem sobre aquecimentos centrais, a XPTO necessitará do nosso consentimento, prestado de forma livre e inequívoca para o efeito.

Outro cenário possível será a utilização destes métodos de marketing direto quando não existe uma relação anterior entre a empresa e o titular dos dados, caso em que o destinatário destas comunicações necessita de dar o seu consentimento prévio para o caso. Esta é a situação em que nunca tivemos qualquer relação prévia com a empresa XPTO, pelo que esta última, caso queira enviar alguma comunicação, tem de antes solicitar o nosso interesse na mesma, sob a forma de consentimento, que deverá ser livre, específico, informado e inequívoco.

A CNPD adianta também que, independentemente das circunstâncias, o titular dos dados tem de ter sempre a possibilidade de recusar, de uma maneira fácil, intuitiva e sem qualquer custo associado, a utilização dos seus dados para efeitos de marketing direto. Está aqui em causa o direito de oposição, regulado no artigo 21.º do Regulamento Geral sobre a Proteção de Dados (RGPD) e no n.º 3 do artigo 13.º-A da Lei da Privacidade nas Comunicações Eletrónicas, pelo que este direito poderá ser concretizado através de meios de opt-out/unsubscribe, devendo estas opções estar disponíveis tanto no momento de recolha dos dados como no momento de envio de todas as comunicações posteriores.

Já mencionamos que este mesmo consentimento tem de seguir as regras constantes do artigo 7.º do RGPD, nomeadamente, ser específico para um determinado fim, nunca podendo ser genérico. Desta forma, a CNPD dá-nos outra indicação: as entidades não podem usar, para fins de marketing direto, uma base de dados que um subcontratante tenha previamente obtido, pelo que o consentimento não será suficientemente específico nesse caso, dado que será prévio ao momento de contratação e não referente ao responsável pelo tratamento em concreto.

Consequentemente, a CNPD reforça que, na recolha de consentimentos, estes não podem ser ambíguos nem pouco transparentes na sua redação, devendo ser solicitados ao titular dos dados diretamente pela empresa (mesmo que através de subcontratante), que será o responsável pelo tratamento dos dados pessoais em causa. É ainda sublinhado que o tratamento de dados no âmbito de marketing direito é, em geral, de larga escala, pelo que os responsáveis devem tomar medidas de controlo e de mitigação de riscos, nomeadamente ponderar a realização de Avaliações de Impacto sobre a Proteção de Dados, de forma que se sejam respeitados os princípios basilares do RGPD.

Em suma, nunca será demais relembrar que, quer sejam mangueiras, aspersores ou aquecimentos centrais, é sempre importante fazer uma análise prévia da relação contratual e definir a estratégia de marketing direto com base nesses termos, sob pena de serem levadas a cargo atividades menos protetoras dos dados pessoais dos titulares dos dados. Como já dizia Bertrand Russell, “in all affairs it is a healthy thing now and then to hang a question mark on the things you have long taken for granted”.