O objetivo deste artigo não é explicar todas as implicações do Regulamento Geral sobre a Proteção de Dados, mas sim dissipar algumas dúvidas comuns, assim como dar alguns conselhos úteis.

O paradigma nacional em volta do RGPD

Se "RGPD à moda portuguesa" fosse uma receita de confeção de um prato, este terá sido indigesto, pois muitas empresas perderam ou destruíram as listas de contactos com clientes e subscritores, simplesmente por má interpretação do RGPD.
Seguramente a maior parte de nós acompanhou o movimento de quase "histeria nacional" em volta da transposição de normativas europeias, quem não recebeu os muitos e-mails copiados "tal e qual" contendo sempre o mesmo texto "Queremos continuar consigo" ... "o seu consentimento livre informado e explícito" ... "Confirme aqui".
Fica a sensação de que os portugueses preocupam-se apenas com o não ser castigados com a tal multa gigante, do que ler e interpretar o regulamento, do que com o prevenir, com o fazer e cumprir, tomando medidas verdadeiramente proactivas no sentido de estar em conformidade com o RGPD.

Mas afinal qual o é objetivo?

O RGPD, que já existe há muitos anos, visa promover a auto-regulação na proteção dos dados pessoais, e não complicar, nem muito menos provocar o que vimos acontecer nos últimos anos. Atualizado com as transposições de normativas europeias de 2018, tem o propósito de proteger os dados pessoais dos cidadãos no mundo digital.

Os blocos de texto nos rodapés dos e-mails, por vezes com letras minúsculas

Incluir "testamentos" no rodapé dos e-mails não vai ilibar ninguém de quaisquer violações do RGPD, caso ocorram. Mas se pretende informar sugerimos que coloque um link para a Política de privacidade ou Aviso legal se existir no seu website.
Há quem inclua no fim do e-mail um bloco de texto, o "Aviso de confidencialidade". Se alguém com bastante tempo livre, der-se ao trabalho de o ler, apenas poderá ter efeitos de... bem, nem sabemos o que dizer, quase nada tem a ver com proteção, pois a legislação que o protege obviamente existe e seguramente será bem mais ampla. O resultado: e-mails cheios de texto adicional que gera ruído, será isto producente?... Claro que não, deixe as modas!

Alguns conselhos sobre ações a executar

- Rever os procedimentos internos no manuseamento de dados de clientes, colaboradores, fornecedores, etc., no sentido de garantir que os dados estão seguros.

- Quando a atividade da sua empresa, implica um elevado risco do tratamento e processamento de dados pessoais, é obrigatório a realização de uma AIPD (Avaliação de Impacto na Proteção de Dados) às operações de tratamento existentes de forma a mitigar os riscos identificados. (Mais informações aqui)

- Rever os futuros contratos e se não existirem, inserirem cláusulas em que se comprometem respeitar a privacidade a proteger os dados dos clientes. (Aqui pode ser pertinente elaborarem uma pequena política de privacidade contratual).

- Elaborar uma Política de Privacidade ou Aviso Legal, ao nível do website, ondem informam todos os visitantes de que forma vão manusear dados pessoais (se existirem), assim como os direitos dos titulares desses mesmos dados.

- Relações comerciais: Não têm de pedir qualquer autorização aos vossos clientes para manusear os dados que eles vos forneceram, trata-se de uma relação comercial, há documentos para emitir todos os meses, pagamentos a fazer, está tudo dito aqui.

As relações de marketing

- Sempre que alguém vos contacta e demonstra interesse em algo que vocês vendem, faz o chamado "soft opt-in", o que vos confere a "liberdade" de enviar propostas para o solicitado assim como de produtos e serviços correlacionados. Também poderão usar o e-mail para campanhas desde que o contacto tenha uma forma simples de ser removido por sua iniciativa.

- Os já clientes são por si só opt-in implícito pois existe uma relação comercial.

- No âmbito do website, os contactos vindos por este meio já fizeram o opt-in, e se foi através de dois passos (subscrição e validação), não necessitam de fazer mais nada. Se não dispõe dessa forma de validar, no mínimo o subscritor deve ter uma checkbox onde escolhe ou não subscrever a vossa newsletter assim como deve sempre ter forma de consultar a vossa política de privacidade.

O Marketing por e-mail

Tem uma base de dados de contactos comprada? É puro lixo! Estas bases de dados estão repletas de contactos de particulares que, como é óbvio, não fizeram opt-in, aconselhamos a usarem apenas contactos que interagiram convosco de alguma forma.

Importante: O envio de marketing por e-mail para particulares só pode ser feito com o expresso consentimento, o opt-in. Tem de haver consentimento para o envio de e-mails neste caso, por exemplo, a subscrição on-line da newsletter.

O encarregado da proteção de dados (EPD)

Em caso geral, as empresas não são obrigadas a ter ou contratar um DPO ou EPD, o encarregado da proteção de dados, apenas aplica-se a um conjunto de casos específicos.

Saiba mais em no Artigo 37º e verifique se está abrangido.

Síntese do que a sua empresa/organização deve assegurar a titulares de dados

O titular de dados:

- Pode opor-se sem encargos, ao tratamento dos dados pessoais para fins de marketing direto;

- Solicitar alteração dos dados (no caso de afetar contratos, podem implicar encargos imputáveis ao titular, por exemplo, uma escritura);

- Invocar o "direito ao esquecimento" e o direito de apagarem em definitivo os seus dados pessoais, desde que estes não sejam necessários por exemplo, para emitir documentos contabilísticos relacionados com serviços contratados; Normalmente este direito aplica-se a relações não comerciais.

- Solicitar a portabilidade dos dados e a receber uma cópia em formato estruturado dos seus dados, exemplo, dados em ficheiro CSV;

- A ser informado caso ocorra uma violação dos sistemas que permita o acesso não autorizado aos dados pessoais.

Para concluir, um sincero conselho

Concentre-se nas boas práticas, em todas as frentes no manuseamento de dados pessoais, privilegiando o "informar-se", o "definir e melhorar procedimentos" e o "implementar e fazer", e seguramente estará em conformidade com o RGPD.