Devido ao aumento exponencial do número de participações que a CNPD tem vindo a receber sobre o envio de comunicações não solicitadas para fins de marketing direto, a CNPD emitiu, no passado dia 25 de janeiro de 2022, as primeiras diretrizes sobre as comunicações eletrónicas de marketing direto.
1. Os fundamentos
1.1 São fundamentos para o tratamento de dados para fins de marketing direto o interesse legítimo e o consentimento dos titulares dos dados.
a) O consentimento não será necessário, podendo ser invocado o interesse legítimo, nas seguintes condições: se já existir uma relação prévia de clientela com o destinatário da comunicação; se a comunicação de marketing respeitar a produtos ou serviços iguais ou similares aos transacionados; se os dados foram recolhidos no contexto da venda de um produto ou serviço; se o direito de oposição foi disponibilizado ao titular no momento da recolha dos dados.
b) O consentimento deverá ser expresso e obedecer aos requisitos impostos pelo RGPD, designadamente: ser informado e a informação ser clara, simples e concisa; ser um ato positivo expresso; ser específico; ser livre; ser leal e transparente
2. A recolha dos dados
2.1 Os dados pessoais são recolhidos para fins de marketing direto através das seguintes formas:
a) Pela própria empresa que pretende promover os seus produtos ou serviços.
b) Indiretamente, através de terceiros (rede social, concursos, passatempos).
3. Os subcontratantes
3.1 O subcontratante apenas atua mediante instruções do responsável pelo tratamento e se existirem instruções contrárias à lei, é obrigação daquele informar de imediato o responsável pelo tratamento.
3.2 O responsável pelo tratamento tem o dever de dar instruções ao subcontratante no que respeita à realização de ações de marketing através de meios eletrónicos para que o subcontratante faça o tratamento dos dados de acordo com a lei.
3.3 A recolha de dados para fins de marketing direto de uma determinada entidade responsável pelo tratamento, através de meios eletrónicos, só pode ser realizada após a contratualização desse serviço pelo responsável pelo tratamento.
4. As obrigações
4.1 Adotar medidas técnicas e organizativas adequadas à proteção dos dados pessoais.
4.2 Celebrar um contrato escrito com os prestadores de serviços sempre que estes tratem dados por conta do responsável pelo tratamento.
4.3 Realizar uma avaliação de impacto sobre a proteção de dados, sempre que tal seja obrigatório.
