Blog de Email Marketing

Boas Práticas

O PL 53/2018 de proteção de dados pessoais e seu impacto sobre o email marketing

Juliana Padron Por Juliana Padron

Como o PL 53/2018 influencia sua prática de email marketing

O Senado brasileiro aprovou, dia 10.07.2018, projeto de lei que regulamenta e protege o uso dos dados pessoais dos brasileiros, o PL 53/2018 (incialmente o PL 4060/2012), que:

  • exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada;
  • obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados;
  • proíbe, entre outras coisas, o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva;
  • determina punição para infrações, de advertência a multa diária de até R$ 50 milhões, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

Distribuído em 10 capítulos, o PLC 53/2018 tem 65 artigos. O texto foi inspirado em linhas específicas da regulação europeia que entrou em vigor no dia 25 de maio deste ano. O texto, agora, segue para a sanção presidencial.

Fonte: Senado

O cenário atual

É importante lembrar que, atualmente – até que o presidente em exercício sancione o PL aprovado pelo Senado -, o Brasil é o único país do G-20 que não possui lei sobre dados pessoais.

A falta de um documento oficial que estabeleça como as empresas devem tratar nossas informações pessoais é uma das causas dessa grande desordem que é o Brasil quanto ao compartilhamento de bases de dados entre empresas.

É muito comum nos cadastrarmos em algum estabelecimento e, alguns dias depois, passarmos a ser contatados por empresas que não conhecíamos ou não tínhamos relacionamento algum. Isso é resultado do compartilhamento de mailings – ou interconexão, como cita o projeto de lei – que acontece entre empresas de diversos segmentos, que acumulam grande volume de informações de seus contatos e decidem que é hora de criar um novo negócio utilizando informações alheias como fonte de lucro.

Propostas do Projeto de Lei

O projeto lei diz, basicamente, que nossas informações pessoais são de nossa propriedade e apenas nós podemos permitir que elas sejam exploradas por terceiros. Alguns dos termos do projeto garantem:

  • Permissão para que as pessoas tenham acesso às suas informações armazenadas com terceiros;
  • Renovação periódica do consentimento do titular dos dados, em casos de serviços de execução continuada;
  • Elaboração de códigos de boas práticas para empresas que lidam intensivamente com dados pessoais.

Isso significa que muitas empresas e entidades que administram dados pessoais terão que mudar suas políticas de privacidade para que fiquem de acordo com as cláusulas do projeto de lei, se aprovado.

Sabemos que, no Brasil, há empresas que lidam intensivamente com dados pessoais e sequer mantêm uma política de privacidade de dados, justamente por falta de um documento oficial que as obrigue a prestar esclarecimentos ao público sobre o tratamento dado às informações pessoais.

Especificamente, empresas que fazem ações de email marketing (e spam) correrão mais riscos ao compartilhar suas bases de contatos indiscriminadamente, e terão que disponibilizar uma política de privacidade de dados que esclareça como (e com quem) as informações pessoais dos usuários serão armazenadas e manipuladas.

De outro lado, o usuário, a qualquer momento, poderá revogar o uso de suas informações por parte das empresas. É o direito de opt-out dos destinatários tornando-se um dever para os remetentes, não só válido para o email marketing, mas também para outras formas de comunicação.

O que são dados pessoais pelo PL 53/2018

Basicamente, são quaisquer informações relacionadas à pessoa natural identificada ou identificável, tais como:

  • Nome e apelido
  • Endereço de residência
  • Endereço eletrônico
  • Número de um cartão de identificação
  • Dados de localização
  • Endereço IP
  • Cookies
  • Identificador de publicidade do telefone
  • Dados obtidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca

O texto ainda traz o conceito de dados sensíveis, como origem racial ou étnica, convicções religiosas, opiniões políticas e outros, que receberão tratamento diferenciado.

O PLC 53/2018 abrange a coleta dos dados pessoais obtidos em qualquer tipo de suporte: papel, eletrônico, som, imagem etc, o que diz respeito a todos que enviam email marketing.

Coibição de compartilhamento de mailing

Um dos aspectos importantes do PL 53/2018 é a coibição do compartilhamento indiscriminado de mailings, aquela velha história comprar listas no Mercado Livre, pegar de um amigo, de uma associação comercial ou mesmo comprar de uma empresa.

Isso, porque o Parágrafo 5 do Artigo 13 do Capítulo III do documento diz que:

“O controlador que o obteve o consentimento (… do titular) que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim (…).”

Controlador é a entidade física ou jurídica a quem competem as decisões referentes ao tratamento dos dados pessoais, e titular é a pessoa a quem os dados se referem.

A principal intenção do PL 53/2018 é manter o titular dos dados pessoais no controle do uso de seus dados por terceiros, tendo garantidos os seus direitos de suspender o uso de seus dados por algum controlador – salvo em casos específicos – e saber como o controlador conseguiu seus dados, já que, de acordo com o Artigo 14, Parágrafo 2:

“Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei”.

Transparência na obtenção do consentimento

Outro item do documento que pode ter algum impacto sobre certos remetentes de email marketing – aqueles que trabalham com o famoso “jeitinho” – é o disposto no Parágrafo 3 do Artigo 14:

“É vedado o tratamento de dados pessoais mediante vício de consentimento”.

Sabe aquelas permissões para opt-in que ficam escondidas em algum formulário numa página web? O usuário preenche um formulário e não percebe que estava marcada a opção de receber email marketing deste remetente.

A coisa fica ainda pior quando o opt-in camuflado cita a permissão ao envio de email marketing não só por esse remetente mas também por seus parceiros, que geralmente não são citados no formulário.

O CAPEM também tem disposições específicas para esse caso de envio de email marketing por um remetente e seus parceiros, mas ele recomenda que, nas mensagens de parceiros, existam diferentes métodos de opt-out para que o usuário possa se descadastrar do remetente original, de um parceiro específico e de todos os parceiros de uma vez.

Por mais que exista o CAPEM, que “autoriza” o envio de email marketing a pessoas que não consentiram expressamente o recebimento de mensagem comerciais – mas que já tiveram algum relacionamento com o remetente antes -, é bom lembrar que o CAPEM é só um guia de boas práticas, enquanto que o PL 53/2018 pode virar Lei.

O que você precisa fazer agora

Diante de todas as recomendações do PL 53/2018 – que pode ser sancionado a qualquer momento -, você já pode tomar algumas providências para adequar suas práticas de email marketing:

Crie ou revise sua política de privacidade de dados e respeite-a

Temos um post com uma espécie de roteiro para você redigir sua política de privacidade de dados pessoais – caso ainda não tenha uma -, mas é importante que você seja transparente e se comprometa com as coisas que dispuser nela, afinal, sendo o PL 53/2018 aprovado, os usuários estarão amparados pela lei na vigilância da origem e uso de seus dados pessoais por terceiros.

Informe aos visitantes de seu site sobre o uso de cookies

Se sua empresa administra o uso de cookies ou usa os serviços de uma empresa que faz isso, coloque um aviso no seu site informando aos visitantes que os dados deles disponíveis em cookies no computador serão coletados e utilizados.

Um cookie é um arquivo que fica armazenado no computador do usuário quando ele realiza certas ações em certos sites. Quando ele se cadastra para receber a newsletter de um site, por exemplo, esse site pode gravar cookies em seu computador com dados que o identificarão posteriormente quando ele acessar esse site novamente, gravando inclusive aqueles dados que ele preencheu no formulário da newsletter.

O que algumas empresas fazem é administrar esses cookies para que eles sejam usados em outros locais também, então o usuário passa a ser reconhecido num site que ele nunca acessou antes, e pode até começar a receber email marketing desse site porque o cookie armazenou anteriormente o seu endereço de email.

Há algumas controvérsias sobre empresas que administram cookies porque elas obtêm dados de milhares de pessoas e os distribui a seus clientes, que passam a usar esses dados sem que as pessoas tenham autorizado o uso a cada uma dessas empresas individualmente – e nem saibam quem é que está de posse de seus dados.

Informações armazenadas em cookies não garantem o consentimento ou permissão de uso desses dados por outras entidades que não sejam aquelas onde o usuário se cadastrou efetivamente, por isso, o recomendado é apenas usar os cookies caso o usuário tenha consentido isso.

Por causa do GDPR (Regulamento Geral sobre a Proteção de Dados 2016/679) europeu, que entrou em vigor este ano, muitos sites internacionais avisam aos visitantes que os acessam pela primeira vez sobre o uso de cookies, dizendo que os cookies serão efetivamente coletados apenas caso o usuário concorde – estes avisos, geralmente, têm um link para o aceite da prática.

Revise seus processos de opt-in

Se você pulverizou formulários de opt-in em vários formulários de seu site ou em diferentes landing pages, revise todos esses processos para identificar possíveis problemas de usabilidade e de “consentimento compulsório”.

O correto é que o usuário dê sua permissão para receber email marketing apenas se ele quiser, não porque acidentalmente enviou um formulário que já estava com essa permissão pré-preenchida sem que ele percebesse.

Muitas empresas fazem isso com caixas de checkbox já ativadas e que ficam localizadas em posição imperceptível da página, uma clara demonstração de má fé e que não ajudará o remetente em um caso em que o destinatário queira analisar melhor a origem as comunicações que vem recebendo.

Confira as melhores práticas em nosso artigo sobre otimização dos processos de opt-in e de opt-out.

Pare imediatamente de usar mailings de terceiros

Você, que tem o costume de usar mailings que não sejam os seus próprios, pare imediatamente de fazer isso.

Se esse PL 53/2018 for aprovado e as pessoas que recebem seus emails comerciais quiserem satisfações de onde você pegou os dados pessoais delas – porque endereço de email também é dado pessoal -, você estará em maus lençóis, pois certamente não poderá justificar que teve a permissão da pessoa para enviar email marketing.

Lembre-se de que não é porque você recebe spam (emails comerciais de quem você nunca autorizou que lhe enviasse), que você pode fazer o mesmo com os outros. Se a gente for aplicar a lei de talião pra tudo nessa vida, estamos perdidos.

Consulte um advogado especialista em direito digital

Como na maioria das leis, essa – se aprovada – tem suas possibilidades de “brechas”, interpretações dúbias e exceções.

Por isso, consulte um advogado especialista em direito digital para ver como suas práticas de email marketing podem ser afetadas pelas disposições deste documento e como você pode deixar sua política de privacidade transparente e dentro dos dispostos no PL 53/2018.

Para ficar ainda mais por dentro, leia aqui a redação final do PL 53/2018.

Assine Nossa Newsletter



Por favor informe um endereço de email válido.

Acompanhe Nossas Publicações