Reading Time: 4 minutes

Nos últimos dias, e com o cerco a apertar, as caixas de email tornaram-se num gigantesco contentor de SPAM. E o que devemos pensar sobre isso? Afinal o RGPD serviu como um gatilho para uma campanha de SPAM à escala global?

As empresas, à última da hora, decidiram, por bem, investir algum do seu tempo, e dinheiro, no envio de emails a notificar os clientes que estes deveriam voltar a consentir o tratamento dos dados por partes das organizações — caso contrário, deixariam de receber correspondência relacionada com produtos, ou mesmo serviços que tinham subscrito no passado.

 

Mas seria necessário um procedimento tão rebuscado?

rgpd

 

A desinformação pode levar à perda de negócio. Muitas organizações agiram com base em pareceres jurídicos precários — pois naquele momento o pensamento apenas estava centrado nas multas acima de 20 milhões de euros.

O processo de conformidade mais fácil, e quase que decidido durante o café matutino, é pedir aos clientes que renovem o seu contrato para as comunicações de marketing e tratamento de dados.

De notar que, o RGPD no considerando 171 diz o seguinte:

A Diretiva 95/46/CE deverá ser revogada pelo presente regulamento. Os tratamentos de dados que se encontrem já em curso à data de aplicação do presente regulamento deverão passar a cumprir as suas disposições no prazo de dois anos após a data de entrada em vigor. Se o tratamento dos dados se basear no consentimento dado nos termos do disposto na Diretiva 95/46/CE, não será necessário obter uma vez mais o consentimento do titular dos dados, se a forma pela qual o consentimento foi dado cumprir as condições previstas no presente regulamento, para que o responsável pelo tratamento prossiga essa atividade após a data de aplicação do presente regulamento.”

 

Em suma, desde que tenha havido uma relação comercial no passado, e os propósitos do tratamento de dados não tenham mudado, e não estejam envolvidos dados considerados “sensíveis” não é necessário voltar a solicitar o consentimento.

 

Alguns emails recebidos foram desnecessários, e se você ainda se encontra a meio, ou no ínicio do seu processo de conformidade, não faça como milhares de empresas fizeram.

Muitos dos emails enviados não tinham enquadramento e alguns deles estavam  completamente ilegais.

Um caso incrível, aconteceu com o Ghostery. Enquanto a empresa tentava cumprir com as obrigações impostas pelo RGPD, um descuido imaturo aconteceu. Ao enviar um email em massa para os clientes, centenas de emails de clientes foram expostos.

ghostery email leak

 

Final da história: Quando a tentativa de conformidade acaba numa ação ilícita.

É possível evitar problemas desta linha. Eis uma compilação de cenários, inicialmente endereçados numa publicação da ExameInformática, e que pretendem ajudar a perceber quando o consentimento para o tratamento de dados pode ou não ser aplicado.

 

Regra de ouro
-Se existe uma relação comercial anterior que levou à cedência de dados pessoais, as empresas não têm de solicitar o consentimento para o tratamento de dados, desde que seja para anunciar ou abordar produtos ou serviços análogos aos que foram contratualizados no passado. Caso essa empresa pretenda tratar dados no âmbito de um produto ou serviço de tipologia diferente, que não tenha sido contratualizado no passado, então deverá solicitar o consentimento dos clientes.

-Em casos de cumprimento de requisitos legais (por exemplo faturas), nenhuma empresa tem de solicitar consentimento para levar a cabo o tratamento de dados.

-Categorias de dados especiais exigem quase sempre consentimento (dados clínicos, posições filosóficas, orientação sexual). As exceções resultam dos casos em que explícita ou implicitamente o consumidor já forneceu os dados ao abrigo de um contrato ou na inscrição de uma organização (exemplo: um hospital privado não precisa de solicitar o tratamento de dados que fazia antes do RGPD, caso não altere propósitos que constam no contrato; mas os novos cliente poderão ser instados a dar o consentimento).

– As empresas especializadas na comercialização de bases de dados têm sempre de pedir autorização para fazer o tratamento da informação dos consumidores.

-Todas as empresas que pretendem recolher informação de consumidores para efeitos de comercialização de produtos ou serviços que nunca comercializaram junto dessas pessoas têm de solicitar consentimento. O que na prática significa que todas as entidades comerciais têm de pedir consentimento na primeira vez que abordam os consumidores.

-No Estado, muito poucas entidades estarão obrigadas a solicitar o consentimento junto dos cidadãos, uma vez que provavelmente estarão apenas a dar seguimento a obrigações legais

-No caso de mudar a finalidade inicial do tratamento de dados, a empresa tem solicitar o consentimento.

No final, se for mesmo necessário solicitar novo consentimento, não o torne numa campanha de SPAM aborrecida. Faça-o de forma diferente e com estilo, como fez a Control.

control

Fonte: www.control.pt

 

Referências

http://exameinformatica.sapo.pt/noticias/mercados/2018-05-25-RGPD-tem-recebido-muitos-e-mails-e-SMS-de-empresas–Muitos-deles-nao-deveriam-ter-sido-enviados

https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN

 

 

Powered by RISEMA


risema

Este artigo é patrocinado pela RISEMA, uma empresa da área da informática fundada em 1992 e com soluções para micro, pequenas e médias empresas.

 

Pedro Tavares is a professional in the field of information security, currently working as IT Security Engineer. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.