Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Como manter seus e-mails e newsletters em conformidade (com exemplos de formulário)

Uma newsletter é uma ferramenta de marketing incrivelmente poderosa. É uma maneira conveniente de construir e consolidar relacionamentos com seus clientes, mas também pode custar caro se você não cumprir as obrigações legais. Se você pensa em realizar ou já realiza atividades de envio de newsletters, você tem a obrigação legal de ter uma política de privacidade completa, uma vez que recolhe dados pessoais dos seus usuários.

Requisitos legais em geral

A maioria das leis exige que você informe os usuários sobre suas atividades de processamento de dados (normalmente feitas através de um aviso de privacidade) e – dependendo da região – que você obtenha o consentimento do usuário e/ou forneça uma maneira fácil para eles retirarem o consentimento.

Em geral, essas leis se aplicam a qualquer serviço dirigido a residentes de um determinado país, o que significa que podem se aplicar a sua empresa, esteja você ou não naquele país. Isto é ainda mais relevante se você estiver usando uma lista de e-mails comprada porque, neste caso, você pode não saber o país de origem do destinatário. Por este motivo, é sempre aconselhável lidar com as atividades de processamento de dados em conformidade com os regulamentos aplicáveis ​​mais rígidos.

Você pode ler mais sobre quais leis se aplicam a você aqui ou leia nossa visão geral legal aqui.

Informando usuários sobre suas atividades de coleta de dados

A maioria das legislações exigem que sua política de privacidade informe seus usuários sobre suas atividades de coleta de dados de forma compreensível, inequívoca e acessível de forma simples.

Sua política de privacidade deve incluir detalhes sobre:

  • Quais dados são tratados;
  • Como ocorre o tratamento;
  • Finalidade do tratamento (por exemplo, envio de newsletters ou análise de mercado);
  • Serviços de terceiros utilizados;
  • Direitos dos usuários em relação aos seus dados;
  • Como você gerencia as solicitações dos usuários em relação ao exercício de seus direitos;
  • Ferramentas de comunicação utilizadas (e-mail, correio, etc.);
  • Como você protege estes dados

Requisitos de terceiros

Os aplicativos e serviços de terceiros também devem cumprir a lei. Por esse motivo, muitas vezes é obrigatório que todos os parceiros e clientes que usam seus serviços atendam aos padrões regulatórios. A maior parte das mais conceituadas plataformas de gestão de newsletters obrigam os utilizadores dos seus serviços a ter uma política de privacidade completa, que esclareça o seu envolvimento e cumpra os regulamentos.

Aqui está um exemplo retirado dos Termos de Serviço do Mailchimp:

Você irá descrever claramente por escrito como pretende usar os dados coletados, inclusive para o uso do Mailchimp. Você obterá consentimento expresso para transferir dados para a Mailchimp como parte desse processo e obedecerá a qualquer política de privacidade que tenha postado.

Outro trecho dos Termos de Serviço do Campaign Monitor:

Você adotará e cumprirá uma política de privacidade que esteja em conformidade com todas as leis de privacidade aplicáveis ​​e que seja pelo menos tão rigorosa quanto nossa Política de Privacidade (conforme alterada de tempos em tempos pelo Campaign Monitor). Você reconhece que todos as informações pessoais que você nos fornece foram coletados com o consentimento do titular dos dados, que informou essa pessoa dos fins para os quais os dados foram coletados e pode fornecer essas informações para fins de uso do Serviço. O usuário está ciente que as informações pessoais fornecidos podem ser armazenados em servidores localizados nos Estados Unidos da América e garante que obteve o consentimento das pessoas interessadas no armazenamento e transmissão de suas informações pessoais na forma indicada.

Onde você deve colocar sua política de privacidade

Em geral, os regulamentos estabelecem que sua política de privacidade deve estar visível e acessível em todo o seu site ou aplicativo e, para esse fim, também pode ser suficiente inserir um link simples para as informações diretamente no rodapé da sua página. No entanto, em um contexto de transparência (que geralmente é um dos principais objetivos das leis de privacidade), é aconselhável que você disponibilize sua política de privacidade ao mesmo tempo, por exemplo, inserindo também um link na parte inferior do formulário de registro e na própria newsletter.

🎙️
Pergunte à um de nossos especialistas

Assista nossa live demo e tenha todas suas dúvidas respondidas em tempo real em um de nossos webinars em Inglês totalmente gratuito. Nossos webinars são focados em exemplos práticos, com foco em ajudar você de forma fácil e rápida a cumprir as Leis de Proteção de Dados em seus sites ou apps.

Participe gratuitamente de uma de nossas webinars.

Obrigações legais ao adicionar os usuários em sua lista de e-mail

Lei dos EUA

De acordo com o CAN-SPAM Act, você não precisa obter consentimento antes de adicionar usuários dos EUA à sua lista de e-mails ou enviar mensagens comerciais. Entretanto, é obrigatório fornecer aos usuários um mecanismo claro para retirar o consentimento ao recebimento de comunicações futuras.

Legislação européia

Como os formulários de inscrição de newsletters são ferramentas de coleta de dados de acordo com a legislação da UE (em particular o GDPR), é obrigatório obter o consentimento informado do usuário antes de assinar o serviço. De acordo com a legislação da UE, a obtenção do consentimento pode ser entendida como um processo em duas etapas que inclui informar o usuário e obter o consentimento verificável por meio de uma ação positiva.

Para informar ao usuário é necessário:

  • Ser específico.
    É necessário indicar claramente o tipo de e-mail com o qual o usuário está consentindo;

  • Seja claro e inequívoco.
    O usuário comum deve ser capaz de entender facilmente com o que está consentindo;

  • Deixe claro que o registro é opcional.
    O consentimento deve ser “dado livremente”: não é permitido obrigar os usuários a se inscreverem em sua lista de e-mails ou fazer parecer que o registro é obrigatório. Por esse motivo, é necessário esclarecer que o registro é opcional. Isso é especialmente importante nos casos em que e-books e white papers se tornam disponíveis para download gratuito. Mesmo que o endereço de e-mail do usuário seja necessário para a prestação do serviço, a assinatura da newsletter não é. Nesse caso, você não deve dar a impressão de que a inscrição no newsletter é obrigatória e deve deixar claro que é opcional.

Portanto, se você também deseja adicionar pessoas que baixam seu e-book à lista de newsletter, você deve inserir uma mensagem no formulário de download do e-book:

Newsletter - Consentimento

Como pode ser visto no exemplo, os usuários devem estar cientes que o consentimento é opcional e não obrigatório.

O consentimento deve ser explícito e verificável.
Portanto, é necessário que o processo de obtenção do consentimento do usuário seja simples e envolva uma ação de “adesão” clara. Isso significa que mecanismos como caixas de seleção pré-selecionadas de assinatura do newsletter não são permitidos, uma vez que o regulamento europeu proíbe expressamente caixas pré-selecionadas e outros métodos alternativos de “opt-out”.

Você pode, entretanto, usar qualquer outro método que exija que o usuário execute uma ação positiva direta (que pode incluir qualquer ação de consentimento verificável, incluindo enviar um e-mail ou clicar em uma caixa de seleção).

Os usuários devem conseguir retirar o consentimento.
Segundo o GDPR, os usuários têm o direito de retirar o consentimento. Isso significa que os usuários têm o direito de retirar o consentimento com a mesma facilidade com que o deram. Este requisito pode ser facilmente atendido inserindo um link de cancelamento de assinatura visível e válido em cada newsletter enviada. O ideal é que os usuários também possam gerenciar suas preferências de e-mail em suas próprias contas.

O consentimento obtido deve ser específico quanto ao tipo de conteúdo enviado.
Isso significa que a newsletter deve conter apenas informações que o usuário consentiu em receber. Por exemplo, se o usuário apenas concorda em receber e-mails sobre novos produtos, não é permitido enviar e-mails promocionais relacionados a ofertas de parceiros terceiros.

Nos casos em que você deseja enviar mais de um tipo de e-mail para seus usuários, você é obrigado a obter consentimento adicional específico para esses usos, pois você deve ter vários consentimentos para múltiplas finalidades.

Este consentimento não precisa ser fornecido por meio de um formulário adicional. Na prática, é suficiente adicionar várias caixas de seleção para informar o usuário de quaisquer outras finalidades e permitir que ele dê seu consentimento específico para essas finalidades.

Isso é particularmente importante para Direct Email Marketing (DEM) (ou seja, para enviar e-mails cujo objetivo é anunciar produtos ou serviços diretamente). No caso de envio de DEM, é necessário obter consentimento adicional se você enviar e-mails sobre produtos / serviços de terceiros, além daqueles relacionados aos seus próprios produtos/serviços.

Exceções

Existem algumas exceções ao requisito de consentimento explícito mencionado acima. As exceções são as seguintes:

  • Soft opt-in: o destinatário forneceu seu endereço de e-mail ao comprar um produto ou serviço. Se o endereço de e-mail foi coletado como parte de uma compra anterior feita em seu site, você pode usar os dados coletados para enviar e-mails promocionais relacionados a produtos e serviços semelhantes. No entanto, isto só se aplica se o usuário tiver sido devidamente informado desta eventualidade (por exemplo, através de um aviso na página de confirmação da encomenda) e desde que tenha optado por não recusar tal utilização.

  • Forma explícita: neste caso, a finalidade pretendida é indicada de forma inequívoca no formulário de inscrição. Por exemplo, se o seu site tiver uma janela pop-up convidando os usuários a se inscreverem em suas newsletters usando uma frase clara, como: “Assine nosso newsletter para acessar cupons de desconto e atualizações sobre nossos produtos“, a ação positiva que o usuário realiza digitando seu endereço de e-mail, neste caso, é considerada um consentimento válido.

Registros de consentimento

Uma vez que o consentimento sob o GDPR é uma questão primordial, é obrigatório que você mantenha o registro dos consentimentos obtidos. Os registros de consentimento devem incluir ao menos as seguintes informações:

  • A identidade do usuário que deu o consentimento;
  • Quando o consentimento foi dado;
  • As informações fornecidas ao usuário quando ele consentiu com o tratamento dos dados;
  • Os métodos usados ​​para obter consentimento (por exemplo, via formulário de assinatura, newsletter, durante o checkout, etc.);
  • Se eles retiraram o consentimento ou não

Manter registros válidos, embora seja obrigatório, pode ser um desafio técnico significante. Nossa Consent Solution simplifica esse processo, tornando mais fácil para você visualizar, gerenciar e exportar seus registros de consentimento. Você pode ler mais sobre isso aqui.

Opt-In único vs. Opt-In duplo

Se o opt-in único requer que os usuários insiram suas informações para serem adicionadas à sua lista de mala direta, o opt-in duplo exige que os usuários validem seus endereços de e-mail antes de serem adicionados. A validação ocorre quando o usuário clica em um link específico contido em uma mensagem de “confirmação” enviada para seu endereço de e-mail.

Com este método, é possível garantir que o endereço de e-mail que recebe a comunicação realmente pertence à pessoa que dá o consentimento, com a garantia adicional de evitar altas taxas de cancelamento, de preservar a integridade da lista de e-mails e a reputação de seu endereço de e-mail. Este método de registro é considerado uma boa prática em muitos países da União Europeia, especialmente na Alemanha.

Em vários casos, os tribunais alemães chegaram a decidir que o procedimento de opt-in único não constitui prova suficiente de consentimento. Um exemplo é representado por OLG Celle, sentença de 15/05/2014:

Em princípio, o remetente de um anúncio (por correio eletrônico) deve declarar que existe um consentimento do destinatário. O remetente de e-mails publicitários pode cumprir este requisito com o denominado “procedimento double opt-in”… adequadamente para cada endereço de e-mail individual.

Obrigações legais relativas ao conteúdo do newsletter

Lei dos EUA

Dependendo de onde seus usuários moram, podem ser aplicadas leis de spam específicas. Nos Estados Unidos, o CAN-SPAM Act estabelece as regras para o envio de mensagens comerciais, inclusive e-mails.

Aqui estão os principais requisitos da Lei CAN-SPAM:

  • Insira informações verdadeiras no cabeçalho de seus e-mails.
    Seu nome, endereço de e-mail e informações de roteamento (incluindo domínio) devem ser precisos e identificar corretamente o remetente da mensagem.

  • Não use conteúdos enganosos.
    O assunto do e-mail deve representar corretamente o conteúdo da mensagem.

  • Indica que a mensagem é um anúncio.
    Não existe um método específico para fazer isso, embora a divulgação deva ser “clara e visível”.

  • Diga aos destinatários onde você está.
    Um endereço de correspondência válido deve ser incluído.

  • Verifique o que outras organizações estão fazendo em seu nome.
    Mesmo que você tenha terceirizado suas atividades de marketing por e-mail, a lei pode responsabilizar você e seu parceiro.

  • Informe os usuários sobre a possibilidade e forneça-lhes uma opção visível para retirar o consentimento.
    A opção “cancelar” deve ser facilmente visível e deve incluir uma explicação clara de como o usuário pode optar por não receber e-mails no futuro. O aviso deve ser claramente reconhecível, legível e compreensível para o usuário comum. Uma forma prática de implementar essa opção é inserir um link para “cancelar” com uma declaração informando o usuário sobre a opção.

    Você poderia usar uma frase como esta: “Você recebeu este comunicado comercial da [Nome da empresa] porque demonstrou interesse em nossos produtos e serviços. Se você não deseja mais receber essas comunicações, você pode cancelar a inscrição clicando neste link”.

    Conforme o CAN-SPAM, a possibilidade de cancelar a assinatura da newsletter deve ser gratuita e não deve exigir um processo de login. Isso significa que os usuários devem conseguir cancelar a assinatura sem nenhum custo e sem ter que entrar em sua conta. O FTC declara que:

    Você não pode exigir o pagamento de uma taxa, nem pedir ao destinatário que forneça informações pessoais além de um endereço de e-mail, ou fazer com que ele execute outras etapas além de enviar um e-mail de resposta ou visitar uma única página da web como condição para cumprir sua solicitação de exclusão.

Pedidos de cancelamento

  • O link de cancelamento de inscrição deve ser válido por no mínimo 30 dias após o envio do e-mail.
  • Os pedidos de cancelamento também devem ser atendidos em até 10 dias.

Exceções

Alguns tipos de e-mail estão isentos da maioria dos requisitos da Lei CAN-SPAM e estão sujeitos apenas à exigência de informações de roteamento verdadeiras.

Essas isenções incluem e-mails cujo objetivo principal é:

  • Transacional: são e-mails relacionados a transações já aprovadas ou e-mails que veiculam bens ou serviços como parte de uma transação que o usuário já concordou em receber (por exemplo, um código de licença ou a entrega de um e-book)

  • Relacionamento: trata-se de e-mails que atualizam os usuários (que já possuem vínculo com o serviço) sobre alterações nos termos do produto / serviço, suas funcionalidades ou informações da conta, que também incluem informações sobre garantias, devoluções, segurança ou proteção de um produto ou serviço.

  • Outros e-mails não comerciais.

Legislação européia

Na União Europeia, a Diretiva de Privacidade Eletrônica estabelece orientações gerais implementadas individualmente pelos Estados-Membros, embora alguns elementos (como a possibilidade de revogação do consentimento) caiam no âmbito do GDPR.

Em geral, as disposições europeias anti-spam afirmam o seguinte:

  • Forneça um link para cancelar a inscrição diretamente no e-mail.
    A opção de revogação deve ser clara, visível e acessível. Este elemento enquadra-se no âmbito do GDPR e, em particular, no âmbito do direito à exclusão; por esse motivo, você deve atender a essas solicitações no prazo máximo de 30 dias. Note, entretanto, que embora a lei preveja até 30 dias para atender a essas solicitações, a maioria dos membros não está disposta a esperar. Portanto, é importante honrar as solicitações de cancelamento para não arriscar ser marcado como spam e, assim, comprometer a legitimidade do seu endereço de e-mail.

  • Indique claramente a identidade do remetente.
    Não é permitido ocultar a identidade do remetente, as informações devem ser claras e diretas.

  • Inclua um endereço comercial físico.
    Um endereço válido deve ser fornecido.

  • Indique e especifique claramente a natureza da mensagem.
    Você deve indicar, de forma inequívoca, o tipo de mensagem enviada (promocional ou não).

  • Evite o uso de expressões falsas ou enganosas em seu texto.
    Qualquer forma de publicidade (incluindo mensagens comerciais) não deve ser formulada para enganar os destinatários.

Algumas legislações (por exemplo, Alemanha e Austrália) também podem exigir que você insira informações sobre como entrar em contato com o remetente. É melhor simplesmente seguir a legislação mais rigorosa ou verificar os requisitos específicos de anti-spam do local onde os destinatários estão localizados.

Abaixo está um exemplo de comunicação comercial que contém todos os elementos básicos. No exemplo, elementos como nome e endereço são incluídos na parte superior do e-mail. No entanto, a colocação fica inteiramente a seu critério, desde que as informações sejam visíveis e facilmente encontradas.

Sua Loja Ltda [endereço] [Cidade] [Estado] [CIP] [País]
[Endereço de e-mail de retorno (por exemplo, info@sualoja.com) ]
[Objeto] Novidades para a primavera! [Nome do site]
[Tipo de e-mail] (por exemplo, mensagem promocional)

Estimado cliente, temos o prazer de apresentar-lhe as nossas últimas novidades para a primavera. Gostou de algo? Adquira qualquer um destes artigos clicando diretamente nos produtos apresentados neste e-mail e será imediatamente redirecionado para o nosso site, onde poderá concluir a compra com segurança.

[Opt-out] Se você não deseja mais receber nossos comunicados, clique aqui e cancele a inscrição.

As condições descritas aqui também se aplicam a outras ferramentas de marketing que usam mensagens eletrônicas, incluindo Direct Email Marketing (DEM) e mensagens de marketing viral (por exemplo, mensagens pedindo aos usuários que encaminhem uma comunicação de marketing para seus amigos).

Consequências da não conformidade

Consequências legais

As implicações legais do não cumprimento incluem multas tanto na UE como nos EUA, com multas que variam de dezenas de milhares a milhões de euros. Talvez igualmente preocupantes sejam as outras sanções potenciais que podem ser implementadas contra organizações que violam as regras. Essas penalidades incluem reprimendas oficiais (para a primeira violação), avaliações periódicas de proteção de dados e responsabilidade por danos.

O GDPR, em particular, oferece aos usuários o direito explícito de apresentar uma reclamação a uma autoridade reguladora se eles acreditarem que o tratamento de seus dados pessoais foi realizado em violação às regras. Por exemplo, se for feita uma notificação à autoridade sobre um caso de violação da lei, a autoridade pode optar por realizar uma auditoria sobre os processos de tratamento de dados realizados pela organização. Se for descoberto que algumas atividades de tratamento foram realizadas ilegalmente, não só é imposta uma penalidade, mas é possível que o uso dos dados sob investigação e aqueles adquiridos com mecanismos semelhantes também possam ser proibidos. Isso significa que se o uso indevido envolver, por exemplo, a coleta de um endereço de e-mail, a organização arrisca não poder usar toda a lista de e-mails em sua posse.

No que diz respeito à responsabilidade por danos, tanto a legislação da UE como a dos EUA dão aos usuários individuais o direito à compensação por danos resultantes do não cumprimento dos regulamentos por uma organização. Isso significa que a violação dos regulamentos pode expor você ao risco de um possível litígio.

Outras consequências

Interrupção de serviços de terceiros

Alguns serviços de terceiros podem tornar a conformidade com os regulamentos parte integrante de seus termos de uso. Nesses casos, uma violação dos requisitos legais também pode ser considerada uma violação de seus termos; tais violações podem, portanto, levar à suspensão do serviço ou, potencialmente, a banimentos permanentes.

Danos à reputação

O não cumprimento das obrigações legais pode fazer com que os usuários considerem sua atividade maliciosa. Isso pode causar danos significativos e duradouros à imagem pública e à reputação de sua organização.

Passos para tornar sua newsletter compatível com a lei

O que você precisa fazer

Quando se trata de conformidade, é sempre aconselhável abordar suas atividades de processamento de dados tendo em mente os regulamentos aplicáveis ​​mais restritos. Em relação ao processo de newsletter, a conformidade requer ao mínimo que você coloque o seguinte em prática:

Defina:

  • seus serviços;
  • os dados que você coleta;
  • as finalidades do processamento;
  • os tipos de comunicação que você pode enviar;
  • seu método de entrega.

Informe os usuários:

  • de quaisquer fornecedores terceirizados envolvidos no processo de gerenciamento do newsletter e inclua links para os documentos de privacidade relevantes;
  • sobre os direitos aos seus dados (incluindo o direito de retirar o consentimento).

Se você realiza atividades de Direct Email Marketing (DEM) para o mercado alemão, deve adicionar uma declaração na política de privacidade na qual especifica quais empresas e tipos de bens e serviços serão promovidos por meio do boletim informativo.

Obtenha consentimento prévio (de acordo com a legislação local), que seja:

  • com base em uma ação afirmativa clara;
  • informado;
  • específico.

Ofereça a opção de retirar o consentimento:

  • disponível no próprio boletim informativo;
  • claramente visível;
  • simples de entender.

Mantenha um registro das autorizações coletadas:

  • Se você se enquadrar no escopo do GDPR (o que é muito provável), deverá registrar claramente todas as autorizações obtidas. Sem registro, os consentimentos coletados não são válidos. O registro de consentimento deve incluir quando e como o consentimento foi dado; de quem; o formulário de coleta de consentimento apresentado ao usuário na coleta do mesmo; é as informações legais ou de privacidade em vigor quando o consentimento foi coletado.

Como a iubenda pode ajudar

Política de Privacidade

Nosso Gerador de Política de Privacidade e Cookie pode facilmente ajudá-lo a preparar um aviso legal para cumprir a obrigação de informar seus usuários e definir detalhes necessários conforme a lei.

O processo de geração é simples e intuitivo: bastam alguns cliques para adicionar serviços, definir o proprietário do site ou aplicativo e seus dados de contato, bem como integrar o documento ao seu site ou aplicativo.

1. Adicione seus serviços

  • Clique em Adicionar um serviço e comece a digitar o nome do serviço que deseja adicionar. Neste caso, será Newsletter;
  • Selecione a cláusula Mailing list ou Newsletter e adicione os tipos de dados pessoais coletados (ao definir os serviços, as cláusulas preparadas pela nossa equipe jurídica serão personalizadas, incluindo os direitos dos usuários e definições de serviços incluídos por você);
  • Se você depende de um serviço de terceiros para gerenciamento de newsletters (por exemplo, Mailchimp, Constant Contact etc.), você deve adicionar estes terceiros provedores também (você deve incluir “formulário de inscrição” ou qualquer outro formulário de coleta quando aplicável);
  • Se você promover serviços ou produtos de terceiros por meio de seu newsletter de alguma forma, dê uma olhada na cláusula Direct Email Marketing (DEM) e adicione-a, se aplicável;
  • Se quiser adicionar uma cláusula personalizada, clique no botão Criar serviço manualmente e preencha o formulário.

2. Defina o proprietário do site/aplicativo e detalhes de contato

  • Inclua nome e endereço completo
  • Inclua seu endereço de e-mail

Parabéns! Sua política de privacidade foi criada. Verifique se todos os detalhes estão corretos e:

3. Integre

  • Personalize a aparência do seu botão ou escolha um link de texto simples;
  • Escolha o método de inclusão entre widgets no rodapé, link direto e texto no corpo;
  • Inclua onde preferir. Integre facilmente em qualquer lugar que você quiser. Conforme mencionado acima, você deve escolher um local que seja facilmente acessível e visível para os usuários.

Para mais informações sobre políticas de privacidade, clique aqui.

Registro do consentimento que você coletou

Nossa Consent Solution simplifica o processo de coleta e armazenamento de consentimentos. A solução ajuda você a rastrear todos os aspectos do consentimento (incluindo documentos ou avisos legais e formulários de consentimento apresentados no momento da coleta do consentimento), bem como as preferências definidas pelo usuário.

Para ativar a Consent Solution e obter sua chave API basta um clique. Assim que a configuração via API HTTP ou widget JS for concluída, você pode recuperar as autorizações salvas e mantê-las atualizadas.

Descubra os recursos da Consent Solution, clique aqui e leia sobre o guia introdutório ou, se preferir um exemplo prático, dê uma olhada na implementação do Contact Form 7, um plugin popular do WordPress para a criação de formulários de contato.

Lembre que estes passos para conformidade são referentes aos requisitos específicos para e-mails e newsletters. Se você gostaria de mais informações sobre os requisitos gerais do website, veja nosso Guia de introdução aqui.

→ Tenha suas perguntas respondidas em tempo real e aprenda mais sobre o Gerador de Política de Privacidade e de Cookies e sobre a Cookie Solution em um de nossos webinars gratuitos em inglês.

Veja também