Quando o RGPD entrou em vigor em maio de 2018, ele causou um choque no mundo do email marketing. De repente, a abordagem casual das listas de email que funcionou por décadas passou a ser potencialmente ilegal. As empresas correram para obter consentimento, eliminar endereços não conformes e reconstruir seus programas de email do zero.
Cinco anos depois, o RGPD continua sendo a regulação de privacidade mais significativa que afeta profissionais de email marketing. Se você envia email para qualquer pessoa na União Europeia — independentemente de onde sua empresa esteja baseada — precisa entender e cumprir os requisitos do RGPD.
O requisito de consentimento
A exigência mais impactante do RGPD para profissionais de email marketing é o consentimento. Diferentemente do CAN-SPAM, que permite email comercial não solicitado desde que certas regras sejam seguidas, o RGPD exige uma base legal para o tratamento de dados pessoais — e, para email de marketing, essa base quase sempre é o consentimento.
O consentimento no RGPD deve ser livre, específico, informado e inequívoco. A pessoa deve tomar uma ação afirmativa clara para optar por participar. Caixas pré-marcadas não contam. Consentimento condicionado (concordar com marketing como condição do serviço) não conta. Silêncio ou inatividade não contam.
Você deve explicar claramente ao que a pessoa está consentindo: quem irá enviar emails, que tipo de conteúdo e com que frequência. Linguagem vaga como 'podemos contatá-lo com ofertas' não é específica o suficiente. 'Enviaremos atualizações semanais do produto e ofertas promocionais ocasionais' é melhor.
O consentimento deve ser documentado. Você precisa ser capaz de provar que cada pessoa na sua lista realmente consentiu, quando consentiu e a que consentiu. Se você não pode provar o consentimento, você não o tem.
O consentimento pode ser retirado a qualquer momento, e a retirada deve ser tão fácil quanto dar o consentimento. Se alguém pode se inscrever com um clique, deve poder cancelar a inscrição com um clique.
Interesse legítimo: a base alternativa
Existe uma alternativa ao consentimento chamada 'interesse legítimo', mas ela é mais estreita do que muitos profissionais de marketing esperam.
O interesse legítimo pode se aplicar quando você tem um relacionamento de cliente existente e o marketing está relacionado a produtos ou serviços que eles já compraram. Se alguém comprou tênis de corrida de você, talvez haja interesse legítimo para enviar emails sobre artigos de corrida.
Mas o interesse legítimo exige um teste de balanceamento. Seu interesse em fazer marketing não pode sobrepor os direitos e expectativas do indivíduo. Se a pessoa razoavelmente não esperaria receber seu email, o interesse legítimo provavelmente não se aplica.
Mesmo com interesse legítimo, você deve oferecer uma opção de opt-out fácil no momento da coleta dos dados e em cada email. E deve documentar sua avaliação de interesse legítimo — por que você acredita que se aplica e como fez a ponderação de interesses.
Na prática, a maioria dos profissionais de email marketing depende do consentimento em vez do interesse legítimo. O consentimento é mais claro, mais fácil de documentar e menos propenso a contestação. O interesse legítimo é um recurso para situações específicas, não uma permissão geral para enviar emails.
Direitos dos titulares de dados
O RGPD concede aos indivíduos amplos direitos sobre seus dados pessoais, e esses direitos afetam como você gerencia listas de email.
O direito de acesso significa que as pessoas podem solicitar uma cópia de todos os dados que você mantém sobre elas, incluindo seu histórico de emails, preferências e quaisquer dados de perfil. Você deve responder em até um mês.
O direito à retificação significa que as pessoas podem corrigir dados imprecisos. Se o endereço de email ou as preferências de alguém estiverem errados, ela pode exigir que você corrija.
O direito ao apagamento ('direito a ser esquecido') significa que as pessoas podem solicitar a exclusão de seus dados. Se alguém pedir para ser apagado, você deve excluir seu endereço de email e os dados associados, não apenas descadastrá-lo.
O direito à portabilidade dos dados significa que as pessoas podem solicitar seus dados em um formato legível por máquina para transferir a outro serviço. Isso é menos comum para email, mas ainda se aplica.
O direito de oposição significa que as pessoas podem se opor ao tratamento com base em interesse legítimo. Se elas se opuserem, você deve parar, a menos que possa demonstrar motivos legítimos imperiosos.
Você precisa de processos para lidar com esses pedidos. Alguém da sua equipe deve ser responsável por responder dentro dos prazos exigidos. Ignorar solicitações de titulares de dados é uma violação de conformidade.
Medidas técnicas e organizacionais
O RGPD exige 'medidas técnicas e organizacionais apropriadas' para proteger dados pessoais. Para email, isso significa:
Armazenamento seguro de listas de email e dados de assinantes. Criptografia, controles de acesso e avaliações regulares de segurança. Sua lista de email é dado pessoal; trate-a como tal.
Minimização de dados — colete e retenha apenas os dados de que você realmente precisa. Se você não precisa do aniversário de alguém para seu programa de email, não o colete. Se você não precisa de cinco anos de histórico de email, não o mantenha.
Gestão de fornecedores para quaisquer terceiros que processem dados em seu nome. Seu provedor de serviço de email, seu CRM, suas ferramentas de análise — todos precisam estar em conformidade com o RGPD, e você precisa de acordos de processamento de dados com cada um.
Procedimentos de notificação de violação. Se dados de assinantes forem comprometidos, talvez você precise notificar as autoridades em 72 horas e os indivíduos afetados sem demora injustificada. Tenha um plano antes de precisar dele.
Privacidade desde a concepção — incorporar considerações de privacidade ao seu programa de email desde o início, não como um remendo depois. Isso inclui configurações de privacidade padrão, fluxos claros de consentimento e gestão fácil de preferências.
Fiscalização e penalidades
As penalidades do RGPD são severas: até €20 milhões ou 4% do faturamento anual global, o que for maior. Isso não é teórico — as autoridades já aplicaram multas substanciais por violações relacionadas a email.
Além das multas, a fiscalização pode incluir ordens para cessar o tratamento, o que pode encerrar seu programa de email por completo. Danos reputacionais decorrentes de uma ação pública podem ser piores que a própria multa.
A fiscalização varia por país. Alguns Estados-membros da UE são mais agressivos que outros. Mas, com o mecanismo do balcão único, uma queixa em qualquer país da UE pode levar à aplicação em todo o bloco.
Queixas individuais impulsionam muitas investigações. Uma única pessoa relatando suas práticas de email não conformes pode desencadear escrutínio regulatório. Com milhões de residentes da UE cientes de seus direitos sob o RGPD, o risco de queixas é real.
O Reino Unido tem sua própria versão do RGPD após o Brexit, com requisitos e penalidades semelhantes. Se você envia para endereços do Reino Unido, precisa cumprir o RGPD do Reino Unido e o RGPD da UE.
Passos práticos de conformidade
Ficar em conformidade com o RGPD não é um projeto único — é uma prática contínua. Veja por onde começar:
Audite sua lista atual. Para cada assinante, você consegue provar o consentimento? Se não, você precisa revalidar o consentimento ou removê-lo. Isso é doloroso, mas necessário.
Corrija seus formulários de inscrição. Linguagem clara de consentimento, caixas de opt-in desmarcadas, links para sua política de privacidade. Registre o consentimento com carimbo de data/hora e a linguagem exata com a qual a pessoa concordou.
Implemente centros de preferências. Permita que os assinantes controlem o que recebem e com que frequência. Preferências granulares reduzem cancelamentos e demonstram respeito pelas escolhas deles.
Revise seus fornecedores. Garanta que seu provedor de email, CRM e outras ferramentas estejam em conformidade com o RGPD. Celebre acordos de processamento de dados com cada um.
Treine sua equipe. Todos que lidam com dados de email precisam entender o básico do RGPD. A conformidade falha quando alguém que não conhece as regras comete um erro.
Documente tudo. Seus registros de consentimento, suas avaliações de interesse legítimo, seus acordos de processamento de dados, suas medidas de segurança. Se você não pode provar conformidade, você não está em conformidade.
Frequently asked questions
O RGPD se aplica se minha empresa não estiver na UE?
Sim. O RGPD se aplica ao tratamento de dados de residentes da UE, independentemente de onde o agente de tratamento esteja localizado. Se você envia email para pessoas na UE, o RGPD se aplica a você.
Posso enviar email a clientes existentes sem novo consentimento?
Possivelmente, com base em interesse legítimo, se o marketing se relacionar a produtos semelhantes que eles já compraram. Mas você precisa documentar sua avaliação de interesse legítimo e oferecer opt-out fácil. Em caso de dúvida, obtenha consentimento.
E quanto a email B2B?
O RGPD se aplica a dados pessoais, o que inclui endereços de email corporativos que identificam indivíduos ([email protected]). Endereços genéricos ([email protected]) podem não ser dados pessoais, mas contatos comerciais individuais estão cobertos.
Por quanto tempo posso manter dados de assinantes de email?
Apenas pelo tempo necessário à finalidade. Se alguém não interage há anos, provavelmente você não tem um motivo legítimo para manter seus dados. Defina períodos de retenção e faça-os cumprir.