Foi publicada a Diretriz 2022/1 emitida pela Comissão Nacional de Proteção de Dados (CNPD), relativa às comunicações eletrónicas de marketing direto e tendo como principais destinatários os responsáveis pelo tratamento de dados e os subcontratantes.

A CNPD vem assim fixar várias orientações nesta Diretriz, num período em que tem recebido um número crescente de participações relacionadas com comunicações eletrónicas não solicitadas para fins de marketing direto.

Em primeiro lugar, é reiterado que o envio de comunicações eletrónicas para marketing direto deve ser feito nas seguintes condições:  

1. Se já existe uma relação de clientela e:

                        i.         Se o marketing respeita a produtos ou serviços análogos aos adquiridos anteriormente pelo cliente, não é necessário o seu consentimento; mas tem de ser garantido o direito de oposição, no momento da recolha dos dados e em cada mensagem enviada; 

                      ii.         Se o marketing respeita a produtos ou serviços diferentes dos adquiridos anteriormente pelo cliente, apenas com o consentimento prévio e expresso do cliente.

        2. Se não existe uma relação jurídica prévia entre o responsável e o destinatário, apenas com o expresso consentimento prévio do titular dos dados.

As operações de marketing direto devem respeitar o princípio fundacional que delimita o âmbito do tratamento de dados pessoais na sua tripla dimensão: licitude, lealdade e transparência. 

 Neste sentido, não são considerados válidos os consentimentos:

1. Ambíguos e pouco transparentes na forma como se explica o tratamento de dados e como está redigida a declaração de consentimento, recolhidos através da participação em passatempos ou concursos online, que procuram por este meio obter autorizações para a cedência de dados a terceiros ou para desenvolver campanhas de marketing direto por conta de terceiros;
2. Recolhidos por determinada entidade, pedindo autorização ao titular dos dados para o tratamento dos mesmos por terceiro, sem que estejam identificados expressamente, de forma clara e transparente a identidade do mesmo e o contexto específico em que a operação de tratamento de dados decorrerá.
3. Exigidos como condição de acesso a websites ou de participação em determinadas atividades (como passatempos ou visionamento de conteúdos), que assim fica dependente da subscrição e aceitação de todas as operações de tratamento de dados pessoais em bloco, tanto as efetivamente necessárias para a concretização desse acesso ou participação como outras, nas quais se inclui o marketing direto.

O consentimento deve, então, ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca, de acordo com o estabelecido no Regime Geral de Proteção de Dados.

Destacam-se, ainda, as várias obrigações do responsável pelo tratamento de dados de acordo com o princípio da responsabilidade. 

Deste modo, as entidades são obrigadas a adotar medidas técnicas e organizativas adequadas à proteção dos dados pessoais. Nos casos em as mesmas recorrem a subcontratantes, a sua escolha deve ser criteriosa de forma a assegurar a defesa dos direitos do titular dos dados.

Adicionalmente, o responsável pelo tratamento de dados não pode isentar-se de responsabilidade por inércia ou omissão de decisão, competindo-lhe dar instruções precisas e documentadas aos subcontratantes relativamente a todas as vertentes do tratamento em causa e, por conseguinte, monitorizar a sua atuação.

É, também, evidenciado que o responsável deve exercer um controlo efetivo sobre subcontratações subsequentes, devendo conhecê-las e autorizá-las previamente, sendo estas relações reguladas por contrato escrito.

Assim, o responsável deve manter uma lista atualizada de pessoas que manifestaram expressamente e de forma gratuita o consentimento para a receção deste tipo de comunicações, tal como os clientes que não se opuseram à sua receção.

Finalmente, o ónus da prova referente à prestação de consentimento do titular dos dados e à garantia do direito de oposição recai sobre o responsável pelo tratamento de dados.