Uma newsletter é uma ferramenta de marketing incrivelmente poderosa. É uma maneira conveniente de construir e consolidar relacionamentos com seus clientes, mas também pode custar caro se você não cumprir as obrigações legais. Se você pensa em realizar ou já realiza atividades de envio de newsletters, você tem a obrigação legal de ter uma política de privacidade completa, uma vez que recolhe dados pessoais dos seus usuários.
A maioria das leis exige que você informe os usuários sobre suas atividades de processamento de dados (normalmente feitas através de um aviso de privacidade) e – dependendo da região – que você obtenha o consentimento do usuário e/ou forneça uma maneira fácil para eles retirarem o consentimento.
Em geral, essas leis se aplicam a qualquer serviço dirigido a residentes de um determinado país, o que significa que podem se aplicar a sua empresa, esteja você ou não naquele país. Isto é ainda mais relevante se você estiver usando uma lista de e-mails comprada porque, neste caso, você pode não saber o país de origem do destinatário. Por este motivo, é sempre aconselhável lidar com as atividades de processamento de dados em conformidade com os regulamentos aplicáveis mais rígidos.
Você pode ler mais sobre quais leis se aplicam a você aqui ou leia nossa visão geral legal aqui.
A maioria das legislações exigem que sua política de privacidade informe seus usuários sobre suas atividades de coleta de dados de forma compreensível, inequívoca e acessível de forma simples.
Sua política de privacidade deve incluir detalhes sobre:
Os aplicativos e serviços de terceiros também devem cumprir a lei. Por esse motivo, muitas vezes é obrigatório que todos os parceiros e clientes que usam seus serviços atendam aos padrões regulatórios. A maior parte das mais conceituadas plataformas de gestão de newsletters obrigam os utilizadores dos seus serviços a ter uma política de privacidade completa, que esclareça o seu envolvimento e cumpra os regulamentos.
Aqui está um exemplo retirado dos Termos de Serviço do Mailchimp:
Você irá descrever claramente por escrito como pretende usar os dados coletados, inclusive para o uso do Mailchimp. Você obterá consentimento expresso para transferir dados para a Mailchimp como parte desse processo e obedecerá a qualquer política de privacidade que tenha postado.
Outro trecho dos Termos de Serviço do Campaign Monitor:
Você adotará e cumprirá uma política de privacidade que esteja em conformidade com todas as leis de privacidade aplicáveis e que seja pelo menos tão rigorosa quanto nossa Política de Privacidade (conforme alterada de tempos em tempos pelo Campaign Monitor). Você reconhece que todos as informações pessoais que você nos fornece foram coletados com o consentimento do titular dos dados, que informou essa pessoa dos fins para os quais os dados foram coletados e pode fornecer essas informações para fins de uso do Serviço. O usuário está ciente que as informações pessoais fornecidos podem ser armazenados em servidores localizados nos Estados Unidos da América e garante que obteve o consentimento das pessoas interessadas no armazenamento e transmissão de suas informações pessoais na forma indicada.
Em geral, os regulamentos estabelecem que sua política de privacidade deve estar visível e acessível em todo o seu site ou aplicativo e, para esse fim, também pode ser suficiente inserir um link simples para as informações diretamente no rodapé da sua página. No entanto, em um contexto de transparência (que geralmente é um dos principais objetivos das leis de privacidade), é aconselhável que você disponibilize sua política de privacidade ao mesmo tempo, por exemplo, inserindo também um link na parte inferior do formulário de registro e na própria newsletter.
Assista nossa live demo e tenha todas suas dúvidas respondidas em tempo real em um de nossos webinars em Inglês totalmente gratuito. Nossos webinars são focados em exemplos práticos, com foco em ajudar você de forma fácil e rápida a cumprir as Leis de Proteção de Dados em seus sites ou apps.
De acordo com o CAN-SPAM Act, você não precisa obter consentimento antes de adicionar usuários dos EUA à sua lista de e-mails ou enviar mensagens comerciais. Entretanto, é obrigatório fornecer aos usuários um mecanismo claro para retirar o consentimento ao recebimento de comunicações futuras.
Como os formulários de inscrição de newsletters são ferramentas de coleta de dados de acordo com a legislação da UE (em particular o GDPR), é obrigatório obter o consentimento informado do usuário antes de assinar o serviço. De acordo com a legislação da UE, a obtenção do consentimento pode ser entendida como um processo em duas etapas que inclui informar o usuário e obter o consentimento verificável por meio de uma ação positiva.
Para informar ao usuário é necessário:
Ser específico.
É necessário indicar claramente o tipo de e-mail com o qual o usuário está consentindo;
Seja claro e inequívoco.
O usuário comum deve ser capaz de entender facilmente com o que está consentindo;
Deixe claro que o registro é opcional.
O consentimento deve ser “dado livremente”: não é permitido obrigar os usuários a se inscreverem em sua lista de e-mails ou fazer parecer que o registro é obrigatório. Por esse motivo, é necessário esclarecer que o registro é opcional. Isso é especialmente importante nos casos em que e-books e white papers se tornam disponíveis para download gratuito. Mesmo que o endereço de e-mail do usuário seja necessário para a prestação do serviço, a assinatura da newsletter não é. Nesse caso, você não deve dar a impressão de que a inscrição no newsletter é obrigatória e deve deixar claro que é opcional.
Portanto, se você também deseja adicionar pessoas que baixam seu e-book à lista de newsletter, você deve inserir uma mensagem no formulário de download do e-book:
Como pode ser visto no exemplo, os usuários devem estar cientes que o consentimento é opcional e não obrigatório.
O consentimento deve ser explícito e verificável.
Portanto, é necessário que o processo de obtenção do consentimento do usuário seja simples e envolva uma ação de “adesão” clara. Isso significa que mecanismos como caixas de seleção pré-selecionadas de assinatura do newsletter não são permitidos, uma vez que o regulamento europeu proíbe expressamente caixas pré-selecionadas e outros métodos alternativos de “opt-out”.
Você pode, entretanto, usar qualquer outro método que exija que o usuário execute uma ação positiva direta (que pode incluir qualquer ação de consentimento verificável, incluindo enviar um e-mail ou clicar em uma caixa de seleção).
Os usuários devem conseguir retirar o consentimento.
Segundo o GDPR, os usuários têm o direito de retirar o consentimento. Isso significa que os usuários têm o direito de retirar o consentimento com a mesma facilidade com que o deram. Este requisito pode ser facilmente atendido inserindo um link de cancelamento de assinatura visível e válido em cada newsletter enviada. O ideal é que os usuários também possam gerenciar suas preferências de e-mail em suas próprias contas.
O consentimento obtido deve ser específico quanto ao tipo de conteúdo enviado.
Isso significa que a newsletter deve conter apenas informações que o usuário consentiu em receber. Por exemplo, se o usuário apenas concorda em receber e-mails sobre novos produtos, não é permitido enviar e-mails promocionais relacionados a ofertas de parceiros terceiros.
Nos casos em que você deseja enviar mais de um tipo de e-mail para seus usuários, você é obrigado a obter consentimento adicional específico para esses usos, pois você deve ter vários consentimentos para múltiplas finalidades.
Este consentimento não precisa ser fornecido por meio de um formulário adicional. Na prática, é suficiente adicionar várias caixas de seleção para informar o usuário de quaisquer outras finalidades e permitir que ele dê seu consentimento específico para essas finalidades.
Isso é particularmente importante para Direct Email Marketing (DEM) (ou seja, para enviar e-mails cujo objetivo é anunciar produtos ou serviços diretamente). No caso de envio de DEM, é necessário obter consentimento adicional se você enviar e-mails sobre produtos / serviços de terceiros, além daqueles relacionados aos seus próprios produtos/serviços.
Existem algumas exceções ao requisito para o tipo de consentimento ativo mencionado acima. Vamos dar uma olhada no soft opt-in e no formulário explícito.
O soft opt-in pode permitir que você ignore a necessidade de consentimento prévio. Soft-opt pode ocorrer quando um usuário fornece seu endereço de e-mail ao comprar um produto ou serviço seu. Em particular, o soft-opt-in pode ser aplicado quando as seguintes condições forem atendidas:
💡 Saiba mais sobre onde o soft opt-in se aplica verificando a nossa global email marketing cheatsheet.
Um formulário explícito é onde o objetivo do mecanismo de inscrição é inequívoco. Assim, por exemplo, em um cenário em que seu site tem uma janela pop-up que convida os usuários a se inscreverem em sua newsletter usando uma frase clara como: “Assine nossa newsletter para ter acesso a cupons de desconto e atualizações de produtos!“, a afirmativa ação que o usuário executa digitando seu endereço de e-mail seria considerada um consentimento válido.
Uma vez que o consentimento sob o GDPR é uma questão primordial, é obrigatório que você mantenha o registro dos consentimentos obtidos. Os registros de consentimento devem incluir ao menos as seguintes informações:
Manter registros válidos, embora seja obrigatório, pode ser um desafio técnico significante. Nossa Consent Database simplifica esse processo, tornando mais fácil para você visualizar, gerenciar e exportar seus registros de consentimento. Você pode ler mais sobre isso aqui.
Se o opt-in único requer que os usuários insiram suas informações para serem adicionadas à sua lista de mala direta, o opt-in duplo exige que os usuários validem seus endereços de e-mail antes de serem adicionados. A validação ocorre quando o usuário clica em um link específico contido em uma mensagem de “confirmação” enviada para seu endereço de e-mail.
Com este método, é possível garantir que o endereço de e-mail que recebe a comunicação realmente pertence à pessoa que dá o consentimento, com a garantia adicional de evitar altas taxas de cancelamento, de preservar a integridade da lista de e-mails e a reputação de seu endereço de e-mail. Este método de registro é considerado uma boa prática em muitos países da União Europeia, especialmente na Alemanha.
Em vários casos, os tribunais alemães chegaram a decidir que o procedimento de opt-in único não constitui prova suficiente de consentimento. Um exemplo é representado por OLG Celle, sentença de 15/05/2014:
Em princípio, o remetente de um anúncio (por correio eletrônico) deve declarar que existe um consentimento do destinatário. O remetente de e-mails publicitários pode cumprir este requisito com o denominado “procedimento double opt-in”… adequadamente para cada endereço de e-mail individual.
Experimente nosso Newsletter Opt-in Booster 👉 ele adiciona um formulário de inscrição personalizável ao seu site, permitindo que você colete e gerencie o consentimento por meio de um processo de opt-in duplo para conquistar um público mais engajado e receptivo.
Ative agoraDependendo de onde seus usuários moram, podem ser aplicadas leis de spam específicas. Nos Estados Unidos, o CAN-SPAM Act estabelece as regras para o envio de mensagens comerciais, inclusive e-mails.
Aqui estão os principais requisitos da Lei CAN-SPAM:
Insira informações verdadeiras no cabeçalho de seus e-mails.
Seu nome, endereço de e-mail e informações de roteamento (incluindo domínio) devem ser precisos e identificar corretamente o remetente da mensagem.
Não use conteúdos enganosos.
O assunto do e-mail deve representar corretamente o conteúdo da mensagem.
Indica que a mensagem é um anúncio.
Não existe um método específico para fazer isso, embora a divulgação deva ser “clara e visível”.
Diga aos destinatários onde você está.
Um endereço de correspondência válido deve ser incluído.
Verifique o que outras organizações estão fazendo em seu nome.
Mesmo que você tenha terceirizado suas atividades de marketing por e-mail, a lei pode responsabilizar você e seu parceiro.
Informe os usuários sobre a possibilidade e forneça-lhes uma opção visível para retirar o consentimento.
A opção “cancelar” deve ser facilmente visível e deve incluir uma explicação clara de como o usuário pode optar por não receber e-mails no futuro. O aviso deve ser claramente reconhecível, legível e compreensível para o usuário comum. Uma forma prática de implementar essa opção é inserir um link para “cancelar” com uma declaração informando o usuário sobre a opção.
Você poderia usar uma frase como esta: “Você recebeu este comunicado comercial da [Nome da empresa] porque demonstrou interesse em nossos produtos e serviços. Se você não deseja mais receber essas comunicações, você pode cancelar a inscrição clicando neste link”.
Conforme o CAN-SPAM, a possibilidade de cancelar a assinatura da newsletter deve ser gratuita e não deve exigir um processo de login. Isso significa que os usuários devem conseguir cancelar a assinatura sem nenhum custo e sem ter que entrar em sua conta. O FTC declara que:
Você não pode exigir o pagamento de uma taxa, nem pedir ao destinatário que forneça informações pessoais além de um endereço de e-mail, ou fazer com que ele execute outras etapas além de enviar um e-mail de resposta ou visitar uma única página da web como condição para cumprir sua solicitação de exclusão.
Alguns tipos de e-mail estão isentos da maioria dos requisitos da Lei CAN-SPAM e estão sujeitos apenas à exigência de informações de roteamento verdadeiras.
Essas isenções incluem e-mails cujo objetivo principal é:
Transacional: são e-mails relacionados a transações já aprovadas ou e-mails que veiculam bens ou serviços como parte de uma transação que o usuário já concordou em receber (por exemplo, um código de licença ou a entrega de um e-book)
Relacionamento: trata-se de e-mails que atualizam os usuários (que já possuem vínculo com o serviço) sobre alterações nos termos do produto / serviço, suas funcionalidades ou informações da conta, que também incluem informações sobre garantias, devoluções, segurança ou proteção de um produto ou serviço.
Outros e-mails não comerciais.
Na União Europeia, a Diretiva de Privacidade Eletrônica estabelece orientações gerais implementadas individualmente pelos Estados-Membros, embora alguns elementos (como a possibilidade de revogação do consentimento) caiam no âmbito do GDPR.
Em geral, as disposições europeias anti-spam afirmam o seguinte:
Forneça um link para cancelar a inscrição diretamente no e-mail.
A opção de revogação deve ser clara, visível e acessível. Este elemento enquadra-se no âmbito do GDPR e, em particular, no âmbito do direito à exclusão; por esse motivo, você deve atender a essas solicitações no prazo máximo de 30 dias. Note, entretanto, que embora a lei preveja até 30 dias para atender a essas solicitações, a maioria dos membros não está disposta a esperar. Portanto, é importante honrar as solicitações de cancelamento para não arriscar ser marcado como spam e, assim, comprometer a legitimidade do seu endereço de e-mail.
Indique claramente a identidade do remetente.
Não é permitido ocultar a identidade do remetente, as informações devem ser claras e diretas.
Inclua um endereço comercial físico.
Um endereço válido deve ser fornecido.
Indique e especifique claramente a natureza da mensagem.
Você deve indicar, de forma inequívoca, o tipo de mensagem enviada (promocional ou não).
Evite o uso de expressões falsas ou enganosas em seu texto.
Qualquer forma de publicidade (incluindo mensagens comerciais) não deve ser formulada para enganar os destinatários.
Algumas legislações (por exemplo, Alemanha e Austrália) também podem exigir que você insira informações sobre como entrar em contato com o remetente. É melhor simplesmente seguir a legislação mais rigorosa ou verificar os requisitos específicos de anti-spam do local onde os destinatários estão localizados.
Abaixo está um exemplo de comunicação comercial que contém todos os elementos básicos. No exemplo, elementos como nome e endereço são incluídos na parte superior do e-mail. No entanto, a colocação fica inteiramente a seu critério, desde que as informações sejam visíveis e facilmente encontradas.
Sua Loja Ltda [endereço] [Cidade] [Estado] [CIP] [País]
[Endereço de e-mail de retorno (por exemplo, info@sualoja.com) ]
[Objeto] Novidades para a primavera! [Nome do site]
[Tipo de e-mail] (por exemplo, mensagem promocional)“Estimado cliente, temos o prazer de apresentar-lhe as nossas últimas novidades para a primavera. Gostou de algo? Adquira qualquer um destes artigos clicando diretamente nos produtos apresentados neste e-mail e será imediatamente redirecionado para o nosso site, onde poderá concluir a compra com segurança.“
[Opt-out] Se você não deseja mais receber nossos comunicados, clique aqui e cancele a inscrição.
As condições descritas aqui também se aplicam a outras ferramentas de marketing que usam mensagens eletrônicas, incluindo Direct Email Marketing (DEM) e mensagens de marketing viral (por exemplo, mensagens pedindo aos usuários que encaminhem uma comunicação de marketing para seus amigos).
As implicações legais do não cumprimento incluem multas tanto na UE como nos EUA, com multas que variam de dezenas de milhares a milhões de euros. Talvez igualmente preocupantes sejam as outras sanções potenciais que podem ser implementadas contra organizações que violam as regras. Essas penalidades incluem reprimendas oficiais (para a primeira violação), avaliações periódicas de proteção de dados e responsabilidade por danos.
O GDPR, em particular, oferece aos usuários o direito explícito de apresentar uma reclamação a uma autoridade reguladora se eles acreditarem que o tratamento de seus dados pessoais foi realizado em violação às regras. Por exemplo, se for feita uma notificação à autoridade sobre um caso de violação da lei, a autoridade pode optar por realizar uma auditoria sobre os processos de tratamento de dados realizados pela organização. Se for descoberto que algumas atividades de tratamento foram realizadas ilegalmente, não só é imposta uma penalidade, mas é possível que o uso dos dados sob investigação e aqueles adquiridos com mecanismos semelhantes também possam ser proibidos. Isso significa que se o uso indevido envolver, por exemplo, a coleta de um endereço de e-mail, a organização arrisca não poder usar toda a lista de e-mails em sua posse.
No que diz respeito à responsabilidade por danos, tanto a legislação da UE como a dos EUA dão aos usuários individuais o direito à compensação por danos resultantes do não cumprimento dos regulamentos por uma organização. Isso significa que a violação dos regulamentos pode expor você ao risco de um possível litígio.
Alguns serviços de terceiros podem tornar a conformidade com os regulamentos parte integrante de seus termos de uso. Nesses casos, uma violação dos requisitos legais também pode ser considerada uma violação de seus termos; tais violações podem, portanto, levar à suspensão do serviço ou, potencialmente, a banimentos permanentes.
O não cumprimento das obrigações legais pode fazer com que os usuários considerem sua atividade maliciosa. Isso pode causar danos significativos e duradouros à imagem pública e à reputação de sua organização.
Quando se trata de conformidade, é sempre aconselhável abordar suas atividades de processamento de dados tendo em mente os regulamentos aplicáveis mais restritos. Em relação ao processo de newsletter, a conformidade requer ao mínimo que você coloque o seguinte em prática:
Defina:
Informe os usuários:
Se você realiza atividades de Direct Email Marketing (DEM) para o mercado alemão, deve adicionar uma declaração na política de privacidade na qual especifica quais empresas e tipos de bens e serviços serão promovidos por meio do boletim informativo.
Obtenha consentimento prévio (de acordo com a legislação local), que seja:
Ofereça a opção de retirar o consentimento:
Mantenha um registro das autorizações coletadas:
Com a entrada em vigor do GDPR, muitas empresas sobrecarregaram seus clientes com pedidos de renovação de consentimento para comunicações comerciais e processamento de dados. No entanto, o envio de e-mails de confirmação de consentimento é uma prática que deve ser tratada com muito cuidado.
Em primeiro lugar, é preciso dizer que o consentimento é apenas uma das seis bases jurídicas para o tratamento de dados pessoais. Os demais são: obrigação legal, contrato, interesses vitais, interesse público e legítimo interesse.
Se você já está processando legitimamente (coletando, acessando, armazenando ou interagindo de outra forma) os dados de seus usuários com base em uma dessas outras cinco bases legais, não há necessidade de enviar e-mails de confirmação de consentimento. No entanto, certifique-se de que esta base legal está indicada na sua política de privacidade e que esta é facilmente acessível aos usuários.
Se, conforme aplicável, essa base legal não tiver sido indicada em sua divulgação ao usuário, você precisará garantir que cumpra os requisitos legais para que possamos processar os dados de seus usuários de acordo com os regulamentos.
A possibilidade de “transferir” o consentimento – eliminando assim a necessidade de o solicitar novamente ou de recorrer a outra base jurídica – depende de duas condições: deve ter sido recolhido de acordo com o GDPR e deve ser possível prová-lo.
Algumas perguntas para se fazer:
Ainda que você tenha usado o consentimento como base legal no passado, isso não significa que deve continuar a fazer desta forma. Na verdade, também pode ser desencorajado, especialmente se você não tiver certeza sobre como adquiriu esses contatos (ex.: compra ilegítima de lista de e-mails) ou se não puder provar que agiu em conformidade com o GDPR.
Para ser claro, se você entrar em contato com um usuário para pedir seu consentimento, e não houver base legal que permita que você tenha suas informações de contato, você também está violando – além do GDPR – a diretiva europeia sobre proteção de dados.
Mais um motivo para avaliar se existe uma base jurídica alternativa aplicável, é que “tecnicamente” falando, se você não tiver o consentimento necessário para entrar em contato com um usuário, provavelmente não terá o consentimento para enviar um e-mail solicitando consentimento.
Se você não puder aproveitar qualquer outra base legal, pode ser necessário obter o consentimento novamente. Um aviso no seu site e/ou uma postagem nas redes sociais são algumas das maneiras de notificar os usuários de que eles terão que realizar o opt-in se quiserem continuar recebendo seu newsletter.
A base jurídica deve ser legitimamente aplicável à sua situação, você não pode “escolher” uma à vontade. Por se tratar de um assunto delicado e de primordial importância, nosso conselho é entrar em contato com um advogado: este certamente será capaz de identificar a base jurídica correta e providenciar conselhos sobre o assunto.
Nosso Gerador de Política de Privacidade e Cookies pode facilmente ajudá-lo a preparar um aviso legal para cumprir a obrigação de informar seus usuários e definir detalhes necessários conforme a lei.
O processo de geração é simples e intuitivo: bastam alguns cliques para adicionar serviços, definir o proprietário do site ou aplicativo e seus dados de contato, bem como integrar o documento ao seu site ou aplicativo.
Parabéns! Sua política de privacidade foi criada. Verifique se todos os detalhes estão corretos e:
Para mais informações sobre políticas de privacidade, clique aqui.
Nossa Consent Database simplifica o processo de coleta e armazenamento de consentimentos. A solução ajuda você a rastrear todos os aspectos do consentimento (incluindo documentos ou avisos legais e formulários de consentimento apresentados no momento da coleta do consentimento), bem como as preferências definidas pelo usuário.
Para ativar a Consent Database e obter sua chave API basta um clique. Assim que a configuração via API HTTP ou widget JS for concluída, você pode recuperar as autorizações salvas e mantê-las atualizadas.
Descubra os recursos da Consent Database, clique aqui e leia sobre o guia introdutório ou, se preferir um exemplo prático, dê uma olhada na implementação do Contact Form 7, um plugin popular do WordPress para a criação de formulários de contato.
Lembre que estes passos para conformidade são referentes aos requisitos específicos para e-mails e newsletters. Se você gostaria de mais informações sobre os requisitos gerais do website, veja nosso Guia de introdução aqui.
→ Tenha suas perguntas respondidas em tempo real e aprenda mais sobre o Gerador de Política de Privacidade e de Cookies e sobre o Privacy Controls and Cookie Solution em um de nossos webinars gratuitos em inglês.
