Na sequência de recente notificação trazida ao nosso Gabinete Juridico, voltamos a alertar para o facto de começarem a verificar-se frequentes autuações por parte da CNPD, no âmbito do Regulamento Geral de Protecção de Dados (RGPD), em particular no que respeita ao consentimento do titular dos dados nas comunicações para fins de marketing directo.
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 (doravante, RGPD), que entrou em vigor em 25 de Maio de 2016 e é aplicável em toda a EU desde 25 de Maio de 2018, visa essencialmente reforçar o nível de protecção das pessoas cujos dados pessoais são tratados, nomeadamente no que respeita ao consentimento dos titulares dos dados para as diversas operações de tratamento de dados.
A este respeito, o artigo 4.º nº 11 do RGPD diz-nos que o consentimento é “uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou acto positivo inequívoco, que os dados pessoais que lhe digam respeito sejam objecto de tratamento”. Os artigos 7.º a 9.º do RGPD especificam depois as condições aplicáveis ao consentimento. Os próprios Considerandos do RGPD fornecem também orientações relevantes sobre o que pode, ou não, ser aceite ao abrigo do RGPD. Em particular, refere o Considerando (32) do RGPD que “o consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas, ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as actividades de tratamento realizadas com a mesma finalidade”, ou o Considerando (43) ao referir que “presume-se que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico, ou se a execução de um contrato, incluindo a prestação de um serviço, depender do consentimento apesar de o consentimento não ser necessário para a mesma execução”
Assim sendo, e desde logo, o que releva é aferir se o responsável pelo tratamento, em cumprimento do princípio da responsabilidade, é capaz de demonstrar que o consentimento obtido é válido (i. é, que o consentimento é livre, específico, informado e representa uma vontade inequívoca do titular dos dados). Pelo contrário, caso se conclua que o consentimento é silencioso, tácito ou meramente presumido (por exemplo, se se consubstancia numa mera opção de opt-out ou numa opção pré-validada), o mesmo fica naturalmente abaixo do standard RGPD.
Daqui resulta, resumidamente, que para que o consentimento seja válido, o mesmo deve ser livre e revogável a todo o tempo e deve traduzir-se numa indicação inequívoca da vontade do titular dos dados, através de uma declaração (escrita ou oral) ou de uma acção afirmativa (por oposição à omissão ou ao silêncio). Por outro lado, pode concluir-se que o consentimento não será livre (e será, portanto, inválido) caso não seja possível dar o consentimento separadamente para diferentes tratamentos de dados (por exemplo, o consentimento para a comunicação de dados a terceiros para efeitos de marketing deve agora individualizar esses destinatários para que o titular dos dados tenha uma verdadeira possibilidade de escolha sobre os contactos que receberá no futuro). Acresce que os titulares dos dados devem ser informados de que têm o direito de revogar o consentimento a qualquer momento, devendo ser assegurado que o exercício deste direito é simples e sem encargos para os titulares dos dados.
É ilícito o envio de mensagens de marketing directo às pessoas singulares que não tenham dado consentimento prévio expresso ou às pessoas colectivas que tenham expressado não dar o seu consentimento, constituindo uma contra-ordenação sancionável:
- com coima de 1 500,00 euros a 25 000,00 euros, quando praticado por pessoa singular;
- com coima de 5 000,00 euros a 5 000 000,00 euros, quando praticado por pessoa colectiva.
São também considerados ilícitos os seguintes meios para solicitar o consentimento prévio ao envio de mensagens de marketing directo:
- simples correio electrónico geral (sem especificar a finalidade);
- qualquer meio, sempre que não preveja a possibilidade de oposição (opção negativa);
- qualquer meio que recorra a terceiros para solicitar o consentimento.
São ainda consideradas ilícitas as seguintes práticas de constituição de bases de dados para envio de mensagens para fins de marketing directo:
- recolha automática de dados pessoais em espaços públicos na Internet (email harvesting);
- recolha automática realizada por software.
As entidades que enviam comunicações para fins de marketing directo devem manter uma lista actualizada de pessoas que manifestaram de forma expressa e gratuita o seu consentimento para a recepção deste tipo de comunicações.
Recordamos que a CNPD emitiu, em 25 de Janeiro de 2022, as primeiras directrizes sobre o tratamento de dados pessoais no âmbito das comunicações electrónicas de marketing directo, que podem sintetizar-se da seguinte forma:
São fundamentos para o tratamento de dados para fins de marketing directo o interesse legítimo e o consentimento dos titulares dos dados.
1. O interesse legítimo
O consentimento expresso dos titulares dos dados não será necessário, podendo ser invocado o interesse legítimo, nas seguintes condições:
- Se já existir uma relação prévia de clientela com o destinatário da comunicação;
- Se a comunicação de marketing respeitar a produtos ou serviços iguais ou similares aos transaccionados;
- Se os dados foram recolhidos no contexto da venda de um produto ou serviço; e
- Se o direito de oposição foi disponibilizado ao titular no momento da recolha dos dados, devendo cada mensagem de marketing conter a possibilidade de o cliente recusar, fácil e gratuitamente, a utilização dos seus dados para marketing directo, devendo estar explícitos a identidade e o meio de contacto do fornecedor.
2. O consentimento
O consentimento, quando necessário, deverá ser expresso e obedecer aos requisitos impostos pelo RGPD, entre os quais:
- Ser um acto positivo expresso-os consentimentos pré-preenchidos e os consentimentos implícitos são inválidos;
- Ser específico – cada consentimento deverá corresponder a uma finalidade e no caso de transmissão de dados cada terceiro que receba os dados para realizar comunicações electrónicas de marketing directo deverá ser objecto de um consentimento autónomo;
3. A recolha dos dados
Os dados pessoais (e-mail e telefone, entre outros) são recolhidos para fins de marketing directo através das seguintes formas:
- Pela própria empresa que pretende promover os seus produtos ou serviços;
- Indirectamente, através de terceiros (rede social, p. ex.) – neste caso, a empresa benificiária da acção irá adquirir os dados pessoais de contacto a estes terceiros.
4. Os subcontratantes
A recolha de dados para fins de marketing directo de uma determinada entidade, através de meios electrónicos, só pode ser realizada após a contratualização desse serviço pelo responsável pelo tratamento.
5. Obrigações do responsável pelo tratamento
- Adoptar medidas técnicas e organizativas adequadas à protecção dos dados pessoais;
- Escolher criteriosamente os subcontratantes que dêem garantias suficientes de execução de medidas técnicas e organizativas adequadas para cumprimento do RGPD e com eles celebrar um contrato escrito nos termos do artigo 28.º do RGPD;
- Manter uma lista actualizada das pessoas que deram o seu consentimento para receber comunicações electrónicas de marketing directo;
- Manter uma lista actualizada dos clientes que não se opuseram à recepção deste tipo de comunicações;
- Manter prova dos consentimentos dados para a recepção de comunicações electrónicas de marketing directo;
- Manter prova de que foi prestada ao titular a informação sobre a possibilidade e condições em que este pode revogar o consentimento e exercer o direito de oposição.
Orientações Comité Europeu para a Protecção de Dados: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_pt.pdf