Porquê? O que é que devo então fazer na minha empresa?

Esta check-list ajuda a rebater de forma simples e objetiva todas as questões com que ainda se debate neste momento para salvaguardar os interesses da sua empresa e do seu negócio.

1. Resolver os desafios atuais na captação

Para que, a partir de agora, possa melhorar a qualidade dos processos de captação de novos clientes é essencial analisarmos os processos de captação e delinear um plano de ação.
O momento de captação deve ser explícito para o consentimento para a receção de futuras comunicações da marca.
De uma forma geral deve ser pedido o consentimento para comunicar, muito claro quanto ao âmbito, tema, tempo, e tudo o que faça sentido informar, e guardar esse registo, mas consegue fazer tudo isto, de forma muito fácil na plataforma E-goi.
Este é um exemplo de um modelo E-goi que pode servir como base para uma inscrição simples para comunicação com clientes e leads:

2. Não tenho “opt-in” mas tenho alguma relação com as pessoas

O Artigo 6º ponto b) legitima as suas comunicações:
“O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
(…)
b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;”
Ou seja, se no passado, o titular já tinha tomado alguma iniciativa de o contactar, inscrevendo-se numa newsletter, ou enviando-lhe um email, então estará dispensado da recolha de consentimento.
Por outro lado, ainda temos o conceito de Soft Opt-in:
O facto de o contacto ter algum tipo de relação comercial pode constituir a figura do soft opt-in, tema que está já espelhado no ePrivacy, legislação específica da União Europeia que se irá sobrepor ao RGPD.

“There is an exception called the ‘soft opt-in’. This means that consent is not required if you are sending marketing message about similar products and services to your customers/clients or thoseyou have negotiated with to provide products or services, as long as:

You give them the opportunity to opt-out when you receive their contact information; and You give them the opportunity to opt-out when you send them subsequent messages.

This processing is not based on consent, but rather the legitimate interests processing conditionand can only be relied upon by the organisation that collected the contact details, not third parties.”

Fonte: ePrivacy – União Europeia

Outras razões para tratar dados e comunicar:

Mesmo sem o “opt-in” tradicional, a lei permite que os dados sejam tratados quando, por exemplo, existe um legítimo interesse por parte da sua empresa. Um contrato onde esteja já espelhado o âmbito e tratamento dos dados é também suficiente à luz do RGPD
Mesmo sem “opt-in”, está legal quando existe:

• Legal obligation
• Vital interests
• A public task
• Legitimate interests

Se não tem optin explicito nem uma relação activa com uma parte da sua lista, pode e fazer um processo de inscrição (optin) convidando as pessoas a inscreverem-se num novo formulário que o ponto 1 já dá como exemplo.

3. Não tenho opt-in por canal

Não existe qualquer referência na lei que obrigue a que o consentimento tenha que ser dado, separadamente, por canal.
Se existe um pedido de autorização para captação e tratamento dos dados, dados esses que incluem vários tipos de coordenadas eletrónicas (Email e telemóvel, por exemplo), essa autorização é dada para as coordenadas eletrónicas fornecidas pelo consumidor.
Não é necessário obter autorização por canal.

4. Não tenho modo de remoção no SMS

Se por um lado podemos comunicar com os clientes sem o opt-in, tendo, por exemplo, apenas o soft opt-in ou legítimo interesse, à luz da regulamentação do ePrivacy (que se sobrepõe ao RGPD), éessencial fornecer um modo de remoção simples e direta aos consumidores.
Por isso, a E-goi fornece um serviço patenteado que permite a inserção automática de um link de remoção diretamente no SMS: https://helpdesk.e-goi.com/235705-Envio-SMS-O-RGPD-obriga-a-mudar-alguma-coisa

Assim, mesmo que comunique tendo como base de autorização, por exemplo, o soft opt-in ou o legítimo interesse, já está dentro da legalidade pela presença do modo de remoção automático.

5. Tenho consentimento para comunicar mas é anterior ao RGPD

Perfeito, não é necessário efetuar absolutamente nada para esses contactos.
Deve-se, naturalmente, continuar o processo, que deve ser permanente, de melhoria e optimização dos processos de captação, e garantir sempre os direitos das pessoas.

6. Tenho consentimento mas não tenho a assinatura do cliente

Não existe obrigatoriedade de ter a assinatura do cliente.
Não invalida que, no processo contínuo de melhoria nos processos de captação para os futuros contactos se possa considerar essa forma de prova do consentimento.
A E-goi disponibiliza soluções para integrar um módulo de assinatura em todos os pontos de captação digital de contactos.

7. A Fiscalização

O conceito base do RGPD é, acima de tudo, permitir e motivar a auto-regulação. Por esse motivo, não deverá existir a fiscalização proativa por parte da entidade que será a autoridade deste tema: em Portugal, a CNPD.
As fiscalizações deverão ter por base, as queixas feitas pelos cidadãos ao regulador, por isso é muito importante que se consigam garantir os direitos das pessoas (ex. acesso, remoção, retificação, esquecimento, que a E-goi já o faz cumprir em grande parte) e assim evitar qualquer tipo de insatisfação, mas na eventualidade de existir alguma pergunta do regulador à sua empresa, deverá estar preparado com informação relevante (relativos a processos de optin, optout, etc.).

8. As multas RGPD

As multas são de vários milhões de Euros?

Não.

Na proposta de lei que assegura a implementação do RGPD em Portugal as coimas mínimas passam para mínimos de 500€ a 5000€.

Mas mesmo com multas de valor reduzido

É provável que a CNPD multe as empresas portuguesas por qualquer irregularidade?

Não.

Muito antes das multas existem recomendações de melhoria de processos como, aliás, é efetuado atualmente pela CNPD.

As multas só serão eventualmente aplicadas em casos de interferência grave com os direitos e as liberdades fundamentais da pessoa, o que não se enquadra nos temas do consentimento.

O que poderia então acontecer, no pior dos cenários?

1. Alguém recebe mensagem Email, SMS (ou por outro canal);
2. Apesar de ter opção na mensagem para se opor/remover, prefere, por má fé ou outro motivo qualquer, optar por procurar informação para fazer queixa, e entra no site CNPD e submete queixa;
3. CNPD demora um “certo” tempo até dar seguimento à mesma, e caso veja alguma razão abre inquérito e entra em contacto com a empresa;
4. A empresa visada, defende-se durante o inquérito, com informações de optin, optout, ePrivacy, Artigo 16.º (Comunicações não solicitadas), Interesses legítimos, não interferência grave com os direitos e as liberdades fundamentais da pessoa, etc.
5. Se existir irregularidades a CNPD aplica a normal recomendação para melhoria de processos;
6. Mesmo que, existisse uma multa, a proposta de lei que assegura a implementação do RGPD em Portugal as coimas mínimas passam de 500€ a 5000€.
7. As multas serão aplicadas em caso de problemas muito graves que coloquem em causa os direitos fundamentais da privacidade dos consumidores.
8. A empresa pode levar o caso para tribunal e mesmo que a coima não passe a ser zero, a decisão ainda é passível de recurso.