Inteligente. Focado. E-mail.
E-mail rápido e multiplataforma, projetado para filtrar o ruído.
Definição
💡 GDPR: O Regulamento Geral sobre a Proteção de Dados, basicamente a ampla lei de privacidade da UE que controla como você coleta, armazena e usa os dados pessoais das pessoas (incluindo endereços de e-mail). Entrou em vigor em 25 de maio de 2018 e se aplica a qualquer organização que processe dados de residentes da UE, independentemente de onde sua empresa esteja realmente localizada.
Quando o GDPR é importante para o e-mail?
Se você envia e-mails para qualquer pessoa na Europa, está sob a jurisdição do GDPR.
O regulamento exige que você proteja os dados das pessoas e facilite para elas controlar o que você faz com esses dados.
Organizações que violam o GDPR enfrentam multas de até €20 milhões ou 4% da receita global, o que for maior. Não é uma punição leve.
No caso do e-mail especificamente, o GDPR mudou tudo em relação ao funcionamento de mensagens de marketing e transacionais. Você não pode simplesmente comprar uma lista e começar a disparar mensagens. O GDPR exige que as empresas obtenham consentimento claro e explícito antes de entrar em contato com alguém por e-mail. Isso significa caixas de seleção reais nas quais as pessoas clicam ativamente, não caixas já marcadas ou consentimento implícito.
Mas não se trata apenas de marketing. O GDPR rege toda a sua operação de e-mail. Por quanto tempo você armazena mensagens, como as protege e o que acontece quando alguém pede que você exclua os dados dessa pessoa. Isso importa mais do que a maioria das pessoas imagina.
O que o GDPR exige
Há quatro áreas principais de conformidade:
Base legal para o tratamento. Você precisa de uma razão legal para coletar e usar o endereço de e-mail de alguém . O tratamento só é permitido se o titular dos dados tiver dado consentimento ou se houver outra base legal. Para e-mails de marketing, isso quase sempre é consentimento. Para e-mails transacionais (confirmações de pedido, redefinições de senha), você pode se basear em interesse legítimo ou necessidade contratual.
Direitos individuais. As pessoas podem solicitar acesso aos seus dados, pedir que você os corrija ou exigir que você os exclua totalmente. O famoso "direito ao esquecimento" exige que você apague os dados pessoais quando eles não forem mais necessários. Seus sistemas de e-mail precisam realmente dar suporte a essas solicitações, não apenas reconhecê-las.
Segurança dos dados. O GDPR exige "proteção de dados desde a concepção e por padrão", o que significa que as organizações devem sempre considerar as implicações para a proteção de dados de quaisquer produtos ou serviços novos ou existentes. A criptografia de e-mail é mencionada especificamente como uma medida técnica que você deve implementar. Há cinco anos, e-mail criptografado não era prático. Agora é o mínimo esperado.
Prova de conformidade. Você precisa de registros. Quando alguém deu consentimento, como fez isso, com o que concordou. O GDPR exige que as empresas mantenham registros de consentimento, incluindo quem deu permissão, quando e como o fez e quais informações lhe foram mostradas naquele momento. Sem documentação, você não consegue comprovar a conformidade durante uma auditoria.
Como acertar no consentimento por e-mail
O consentimento é válido se for livre, informado, inequívoco e específico. Essa última parte costuma confundir as pessoas. Você não pode agrupar o consentimento para e-mails de marketing com o consentimento para os termos de serviço. São coisas separadas que exigem caixas de seleção separadas.
Veja como é um consentimento válido: alguém visita seu site, vê uma caixa desmarcada que diz "Sim, envie-me atualizações semanais de produtos", clica nela ativamente e envia o formulário. Isso funciona.
O que não funciona: caixas pré-marcadas. Consentimento implícito dado ao fazer uma compra. Presumir que silêncio significa sim. Se você não tiver consentimento explícito e inequívoco do visitante para receber mensagens de marketing, então não poderá enviar essas mensagens — ou enfrentará multas pesadas.
O double opt-in é ainda melhor. Depois que alguém preenche o formulário de inscrição e clica em enviar, essa pessoa recebe um e-mail com um link de confirmação, e as comunicações de marketing só começam depois que o consentimento é confirmado. Isso elimina inscrições acidentais e oferece uma prova muito sólida de consentimento.
Há uma exceção: soft opt-in para clientes existentes. Se você obtiver o endereço de e-mail do seu cliente durante a venda do seu produto ou serviço, poderá usá-lo para marketing direto de produtos semelhantes, desde que ofereça uma opção de descadastramento. Mas você ainda precisa desse link de cancelamento de inscrição em cada mensagem.
Retenção e exclusão de dados
O Artigo 5(e) afirma que os dados pessoais podem ser armazenados por "não mais tempo do que o necessário para os fins para os quais os dados pessoais são tratados." A maioria de nós nunca exclui e-mails. Isso agora é um problema de conformidade.
Você precisa de uma política de retenção. Por quanto tempo você mantém os e-mails dos clientes? Tickets de suporte? Listas de marketing? Seja qual for sua decisão, documente-a e realmente a siga. Alguns serviços de e-mail oferecem uma opção de expiração que permite programar a exclusão de mensagens após um período determinado.
Quando alguém solicita a exclusão, você precisa agir. Depois que alguém cancela a inscrição, você deve excluir o nome e as informações pessoais dessa pessoa da sua lista de e-mail. Mantenha apenas o suficiente para lembrar a preferência de descadastramento, nada mais.
Dicas de conformidade com o GDPR
Mais importante ainda, leia as regras do GDPR e mantenha-se atualizado sobre elas no site do GDPR. Essas regras podem mudar ao longo do tempo, então você deve verificá-las periodicamente para ter certeza de que está em conformidade.
Em caso de dúvida, contrate um especialista para ajudar você a configurar sistemas em conformidade com os regulamentos.
Use double opt-in para todas as listas de marketing. É a prova de consentimento mais clara e filtra endereços falsos.
Facilite o cancelamento da inscrição. De acordo com os padrões do GDPR, retirar o consentimento deve ser tão fácil quanto concedê-lo. Links de cancelamento de inscrição com um clique em todos os e-mails. Sem burocracia, sem pressão emocional.
Criptografe e-mails sempre que possível. O GDPR menciona especificamente a criptografia como uma medida de proteção. Hoje existem serviços de e-mail com criptografia de ponta a ponta e eles não são tão difíceis de implementar.
Separe o transacional do marketing. Bases legais diferentes, regras de retenção diferentes. Mantenha-os em sistemas diferentes, se puder.
Documente tudo. Registros de consentimento, políticas de retenção, medidas de segurança. Se você não puder provar que tentou cumprir, as penalidades serão maiores.
Revise suas listas de e-mail regularmente. Remova assinantes inativos, verifique se a documentação de consentimento ainda existe e confira se as solicitações de descadastramento foram realmente processadas.
Conteúdo relacionado
Termos relacionados