Um ano depois: a aplicação do RGPD e as ferramentas de marketing – Meios & Publicidade

Um ano após a aplicação do RGPD (Regulamento Geral de Protecção de Dados), podemos afirmar que ainda há um longo caminho a percorrer nas práticas e na cultura das empresas portuguesas em matéria de protecção de dados pessoais. Assiste-se a uma implementação um tanto deficitária e díspar.
Algumas empresas começaram por implementar procedimentos internos detalhados, reestruturaram e renovaram o conteúdo das bases de dados, apostaram e investiram nas mais variadas aplicações e serviços de envio massivo de e-mails. Assistiu-se de um lado a uma aposta generalizada em novos produtos, e de outro lado, à modificação e melhorias por alguns prestadores de serviços nas suas ferramentas de marketing – com um objectivo comum: garantir a capacidade para gestão e demonstração do consentimento.
A par destas primeiras acções, algumas empresas portuguesas apostaram também na reformulação de estratégias de envio de comunicações electrónicas e meios de publicidade. Em muitos casos, repensou-se (embora por vezes de modo superficial) em como chegar ao cliente (titular de dados pessoais), sem infringir a legislação aplicável à protecção de dados pessoais, especialmente no que respeita ao envio de comunicações electrónicas.
Para algumas empresas o RGPD significou um novo começo: com a decisão de renovação total das bases de dados e a certeza de legitimidade para o envio de comunicações electrónicas futuras (marketing directo). Para outras significou o empreendimento de novas estratégias para reverter a perda de significativos números de dados.
Se é certo que o consentimento foi e continua a ser o fundamento de licitude para tratamento de dados pessoais mais utilizado, é também certo que as empresas continuam frequentemente a requerer o consentimento dos titulares, quando este não obrigatório ou sequer adequado, criando a percepção errada nos cidadãos de que tudo está dependente do seu consentimento. A consequência inevitável: os titulares projectam um direito de retirar um consentimento que na verdade não necessitavam ter dado. Este factor gerou no titular um sentimento reivindicativo por algo que, na verdade, não encontra sustentação legal.
Relembre-se que o consentimento não é o fundamento de licitude adequado para todos os tratamentos e que a sua solicitação poderá causar más decisões de negócio a longo prazo.
As regras aplicáveis ao envio de comunicações electrónicas (e-mail e SMS, por exemplo) para efeitos de marketing também continuam a não ser correctamente entendidas.
Referimo-nos aqui sobretudo à desnecessidade de consentimento prévio (opt-in), no contexto de uma relação comercial previamente existente e relativamente a produtos ou serviços similares anteriormente adquiridos pelo cliente. Neste caso, as empresas poderão enviar comunicações comercias não solicitadas desde que seja dada ao cliente a possibilidade de se opor a essas comunicações, tanto no momento da recolha, como por ocasião do envio de cada comunicação (opt-out).
Em suma, assistimos neste último ano a alguns exageros e a tentativas de mitigação de risco por parte de muitas empresas pouco razoáveis. Não somente por desconhecimento, mas pela incapacidade de conseguir demonstrar a legitimidade dos consentimentos obtidos anteriormente. O factor ‘receio’, atendendo aos valores avultados das coimas aplicáveis às infracções, também terá influenciado e contribuído para a corrida pela renovação do consentimento.
De igual modo, a falta de lei nacional relativa à implementação do RGPD, entre outros factores, contribuiu para um estado de inércia, estando muitas empresas em estado e negação ou a avançar a um ritmo lento nesta matéria.
Prevemos que até ao Verão seja publicada a lei nacional, e que a CNPD comece a fiscalizar o cumprimento do RGPD com mais energia. Nessa altura haverá seguramente um novo impulso pela parte das empresas para alterar os seus procedimentos; esperamos que agora com mais ponderação.

Artigo de opinião de Daniel Reis  e Maria Abreu Ferreira, sócio coordenador e associada da área de Tecnologia e Privacidade da PLMJ Advogados