GDPR da UE e do Reino Unido: 5 coisas que você deve saber sobre o consentimento por e-mail

Publicados: 2021-03-09

A lei de privacidade da União Europeia, Regulamento Geral de Proteção de Dados (GDPR), entrou em vigor em 25 de maio de 2018. Na época, muitos se perguntavam o que o GDPR significa para os profissionais de marketing por e-mail. E, felizmente, o GDPR não eliminou o e-mail como os pessimistas previram. Mas uma coisa que ainda pode causar dores de cabeça? Como coletar e armazenar consentimento de e-mail.

O GDPR eleva a fasquia para um padrão mais elevado de consentimento para assinantes localizados na União Europeia (UE), o que significa que a forma como você coletou o consentimento de assinantes da UE no passado pode não estar mais em conformidade.

E mesmo agora que o Reino Unido (UK) formalmente deixou a UE, PIBR após Brexit não mudou muito. O Reino Unido criou seu próprio GDPR do Reino Unido, que é essencialmente o mesmo que o GDPR da UE, exceto que se aplica apenas a residentes no Reino Unido. Os detalhes estão incluídos no Guia do RGPD do Reino Unido do Gabinete do Comissário de Informação (ICO) do Reino Unido. Para simplificar, vou me referir a ambos apenas como GDPR, a menos que faça referência a um especificamente.

Portanto, a verdadeira questão é: o que tudo isso significa para o consentimento por e-mail de seus assinantes da UE e do Reino Unido?

Como manter o consentimento por e-mail em conformidade com o GDPR

O GDPR exige que as marcas obtenham consentimento afirmativo “dado livremente, específico, informado e inequívoco” para estar em conformidade. A OIC também forneceu um guia abrangente sobre consentimento no GDPR. Se você ainda não está pronto para mergulhar no guia de 39 páginas completo, aqui está uma análise das cinco coisas mais importantes que você deve saber sobre o consentimento por e-mail no GDPR - com muitos exemplos de como os colocamos em ação aqui no Litmus .

1. Obtenha o consentimento de uma opção positiva, não caixas pré-marcadas

GDPR de e-mail de aceitação

Para que o consentimento seja válido de acordo com o GDPR, o cliente deve confirmar ativamente seu consentimento, por exemplo, marcando uma caixa de aceitação desmarcada. Caixas pré-marcadas que pressupõem consentimento se as pessoas não as desmarcam não são válidas no GDPR.

Considerando 32:
“Silêncio, caixas pré-marcadas ou inatividade não devem constituir consentimento.”

Exemplo

Na captura de tela acima, mostramos um exemplo de como usamos caixas opt-in desmarcadas no Litmus para obter consentimento. Se a caixa fosse pré-marcada, isso não estaria de acordo com o GDPR.

2. Mantenha os pedidos de consentimento separados de outros termos e condições

O consentimento por e-mail deve ser dado livremente - e isso só acontece se a pessoa realmente puder escolher se deseja ou não assinar as mensagens de marketing. Se a assinatura de um boletim informativo for necessária para fazer o download de um white paper, por exemplo, esse consentimento não é dado gratuitamente.

No GDPR, o consentimento por e-mail precisa ser separado . Nunca agrupe consentimento com seus termos e condições, avisos de privacidade ou qualquer um dos seus serviços (a menos que o consentimento por e-mail seja necessário para concluir esse serviço).

Artigo 7 (4):
“Ao avaliar se o consentimento é dado livremente, deve-se levar em consideração se [...] a execução de um contrato, incluindo a prestação de um serviço, está condicionada ao consentimento para o tratamento de dados pessoais que não sejam necessários para a execução de aquele contrato. ”

Exemplo

Na mesma imagem acima: Quando alguém baixa um e-book ou outro conteúdo do Litmus, há uma caixa desmarcada para entrar em nossa lista de e-mail. Mas inscrever-se para receber e-mails é opcional - você sempre pode baixar o e-book sem se inscrever em nossos e-mails.

No entanto, neste exemplo abaixo, temos um formulário de inscrição por e-mail no rodapé do site Litmus. A caixa ainda está desmarcada, mas o asterisco vermelho indica que o consentimento é necessário .

Formulário de assinatura de e-mail GDPR

Porque? Porque o consentimento do email é necessário para concluir o serviço. Em outras palavras, esse serviço específico é para enviar nossos e-mails e não podemos fazer isso a menos que você aceite.

3. Torne mais fácil para as pessoas retirarem o consentimento - e diga-lhes como fazê-lo

Consentimento de retirada de GDPR por e-mail

Artigo 7 (3):
“O titular dos dados terá o direito de retirar o seu consentimento a qualquer momento [...] Deve ser tão fácil retirar quanto dar o consentimento.”

Todas as principais leis de e-mail, incluindo CASL no Canadá e CAN-SPAM nos EUA, exigem que as marcas dêem a seus assinantes a oportunidade de cancelar o recebimento de e-mails. Cada e-mail promocional que você enviar deve incluir uma opção para cancelar a assinatura.

Se você já está em conformidade com as atuais leis de e-mail canadenses, americanas ou europeias, talvez não precise fazer muitas alterações no que diz respeito a este requisito para conformidade com o GDPR. Ainda assim, este é o momento perfeito para revisar seu processo de desativação atual para garantir que você está seguindo as práticas recomendadas para cancelar a inscrição:

  • Não cobra taxa.
  • Não exija nenhuma outra informação além de um endereço de e-mail.
  • Não exija que os assinantes façam login.
  • Não peça aos assinantes que visitem mais de uma página para enviar sua solicitação.

Exemplo

No rodapé de cada e-mail promocional do Litmus, incluímos uma opção para cancelar o recebimento de e-mails. Isso facilita o cancelamento da assinatura, caso um assinante perca o interesse.

Também vale a pena ressaltar que uma experiência de cancelamento de assinatura hostil também é um dos principais impulsionadores de reclamações de spam. Metade dos consumidores norte-americanos afirma ter relatado os e-mails de uma marca como spam porque não foi possível cancelar o recebimento facilmente, de acordo com nosso relatório Adaptando-se à Nova Definição de Spam dos Consumidores. Portanto, colocar barreiras de exclusão não apenas prejudica sua conformidade legal, mas também pode prejudicar sua capacidade de entrega.

4. Mantenha evidências de quem consentiu, quando e como

exemplo de consentimento em conformidade com GDPR da Litmus

O GDPR define as regras sobre como coletar consentimento e também exige que as empresas mantenham um registro desses consentimentos.

Artigo 7 (1):
“Quando o processamento é baseado no consentimento do titular dos dados, o controlador deve ser capaz de demonstrar que o titular dos dados deu consentimento para a operação de processamento.”

Em alguns países, o ônus de provar o consentimento sempre foi responsabilidade da empresa que recolheu o opt-in. Para muitos outros profissionais de marketing, no entanto, esse requisito é um novo desafio a ser enfrentado.

Manter evidências de consentimento significa que você deve ser capaz de fornecer provas de:

  • Quem consentiu
  • Quando eles consentiram
  • O que foi dito a eles no momento do consentimento
  • Como eles consentiram (por exemplo, na finalização da compra ou via formulário do Facebook)
  • Se eles retiraram o consentimento

Exemplo

Se alguém se inscrever para receber atualizações do Litmus, receberá um e-mail solicitando a confirmação da inscrição (leia mais sobre os prós e contras do double opt-in aqui). Se eles clicarem no link do e-mail de solicitação de confirmação de aceitação, nosso provedor de serviço de e-mail registrará essa ação. Com isso, podemos olhar para cada assinante individualmente, ver quando eles ativaram e de que forma costumavam fazer isso.

5. Revise suas práticas de consentimento e opções existentes

Revise sua prática de consentimento

Já se passaram alguns anos desde que o GDPR entrou em vigor, mas se sua lista de e-mail estiver saindo da hibernação, você precisará verificar suas práticas de consentimento e dados de consentimento existentes.

Considerando 171:
“Quando o processamento se baseia no consentimento nos termos da Diretiva 95/46 / CE, não é necessário que o titular dos dados dê novamente o seu consentimento se a forma como o consentimento foi dado estiver em conformidade com as condições deste Regulamento. ”

Mesmo que você esteja em conformidade há algum tempo, é sempre bom revisar regularmente o seu processo e o consentimento dos assinantes.

O GDPR se aplica a todos os assinantes existentes da UE e do Reino Unido em sua lista de e-mail, independentemente de quando eles foram adicionados - mesmo que tenha sido antes do GDPR existir. Se seus assinantes existentes deram seu consentimento de uma forma que já está em conformidade com o GDPR - e se você manteve um registro desses opt-ins - não há necessidade de recuperar o consentimento desses assinantes.

No entanto, se seus registros existentes não atendem aos requisitos do GDPR, você deve tomar as seguintes providências:

  1. Audite sua lista de e-mail existente. Descubra quem em sua lista de e-mail já forneceu consentimento compatível com GDPR e certifique-se de ter um registro claro desses consentimentos.
  2. Implemente um programa de nova permissão. Para qualquer um de seus contatos para os quais você não tenha consentimento à prova de GDPR - ou se não tiver certeza se o consentimento deles é compatível ou não - você terá que executar uma campanha de nova permissão para atualizar esse consentimento. Ou remova esses assinantes de sua lista de discussão.

E embora o consentimento não expire, é provável que se degrade com o tempo. Também depende do contexto: se alguém dá consentimento para receber um e-mail em estoque, por exemplo, a expectativa é que o consentimento expire assim que receber essa notificação. Não há mais e-mails para essa pessoa.

Exemplo

No Litmus, usamos um programa de re-permissão periodicamente para ajudar a manter nossas listas de e-mail limpas. Inclui uma linguagem muito explícita solicitando ao assinante que confirme se ainda deseja receber nossos e-mails clicando em um link de confirmação no e-mail.

As campanhas de re-permissão são uma maneira poderosa de atualizar os registros de contato existentes para garantir o consentimento em conformidade com o GDPR, mas exigem planejamento e execução detalhados. Lembre-se: Se você precisar de consentimento atualizado para conformidade com o GDPR, mas seu assinante não conseguir se envolver com sua campanha de nova permissão, você deve removê-lo de sua lista de e-mail.

O consentimento de seus assinantes deve ser sempre valorizado

Seus assinantes de email são seu público mais valioso - trate-os assim. Embora essas medidas de consentimento do GDPR devam ser aplicadas aos assinantes da UE e do Reino Unido, todo assinante deve ser tratado com respeito. Estabeleça e continue a construir confiança com seus assinantes. E se eles quiserem ir embora? Deixa eles irem.

Isenção de responsabilidade

Esta postagem fornece uma visão geral de alto nível sobre o consentimento por e-mail de acordo com o GDPR, mas não tem a intenção e não deve ser considerada como aconselhamento jurídico. Entre em contato com seu advogado para obter orientação sobre as regulamentações de marketing por e-mail ou quaisquer problemas jurídicos específicos.

Publicado originalmente em 22 de janeiro de 2018, por Bettina Specht. Última atualização em 8 de março de 2021, para maior clareza e com novas informações.