Como o RGPD afeta o telemarketing?

O Regulamento Geral de Proteção de Dados (RGPD) é um regulamento que se foca na proteção de dados e cobre vários aspetos de como as empresas usam dados. Assim, os call centers e empresas de telemarketing, que lidam com vários tipos de dados pessoais, vão ser afetadas.

A pergunta que se deve estar colocar é:

Posso fazer prospeção a frio com o RGPD?

A resposta é sim, mas para o fazer precisa de saber alguns conceitos.

Neste artigo vou explicar o que podemos fazer para continuar uma campanha de outbound marketing para todos aqueles residentes no Espaço Económico Europeu (EEU).

Antes de começarmos, não sou advogado. As sugestões e conselhos aqui descritos têm como base estudo e investigação extensiva sobre o RGPD.

Use a informação neste artigo como apoio para a sua própria pesquisa, e verifique com o seu advogado(a).

É importante mencionar também que uma outra componente deste regulamento que vem a caminho é a diretiva ePrivacy Regulation (ePR), que vem substitui a antiga ePrivacy Directive de 2002 e que se pode sobrepor ao RGPD em tópicos específicos.

Usar dados pessoais para prospeção?

Há uma série de pontos que precisamos perceber no Artigo 6 do RGPD intitulado “Licitude do tratamento”. É aqui que sabemos os requisitos que uma entidade tem de cumprir para poder usar dados pessoais para negócios.

Uma nota: em vez de “tratamento”, a palavra que o RGPD usa em relação aos dados, vou usar a palavra “uso”.

Isto porque “uso” ou “utilização” faz mais sentido do que “tratamento”, que sugere que estas regras só se aplicam quando tratadas por um computador ou algo do género. O RGPD aplica-se a qualquer uso de dados pessoais, quer seja meios automáticos ou manuais (ex.: arrumar ficheiros em gavetas).

Guardar os dados no seu PC está sujeito ao RGPD, assim como apagar, alterar, acrescentar, partilhar ou carregar esses dados para qualquer outro sítio, online ou offline.

Por exemplo, colocar um número de telefone dum potencial cliente numa CRM ou no calendário do seu PC (para lembrar de telefonar) é contado como tratamento de dados. Colocar um curriculum numa secretária ou gaveta é considerado como tratamento de dados.

Está a começar a perceber que o RGPD impacta praticamente todo o tipo de atividade numa empresa.

O que são dados pessoais?

O RGPD menciona que o dever duma empresa é proteger os dados pessoais.

Dados pessoais não são apenas coisas como nome, email e data de nascimento. É mais abrangente que isso. Por outro lado, não é registos médicos nem afiliação política, porque isso é considerado como uma categoria especial de dados.

“Dados pessoais é qualquer informação relativa a uma pessoa singular identificada ou identificável.”

– RGPD (26)

Dados pessoais podem ser nomes, moradas, emails, n.º de telefone, e tudo o que uma empresa de telemarketing ou call center considera como dados essenciais.

Uma brecha no regulamento?

No RGPD, mais especificamente no artigo 6, existem seis razões que uma empresa pode usar legalmente os dados pessoais na sua atividade, como por exemplo fazer prospeção a frio.

No ponto 1 do artigo 6 temos seis alíneas de interesse, que vou reescrever pelas minhas palavras para ser mais fácil de perceber (mas pode ver o texto original aqui):

a) Se alguém lhe deu consentimento explícito para usar os seus dados, então pode usá-los para esse fim.

b) Se entrou num contrato com alguém e precisa de usar os dados de forma a cumprir esse contrato, então pode usar esses dados.

c) Se é necessário usar os dados para cumprir uma obrigação jurídica, então pode e deve usar esses dados.

d) Se o tratamento é necessário para proteger os interesses vitais, ou seja, se a saúde e bem estar estão em causa, então pode usar esses dados.

e) Se o uso desses dados é necessário para o desempenho de funções de interesse público, também pode usar esses dados.

f) Se nenhuma das alíneas anteriores se aplicarem, mas conseguir demonstrar que os seus “interesses legítimos” não são sobrepostos pelos direitos e liberdades fundamentais do titular, então poderá talvez usar esses dados.

b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

Então, a alínea a) diz-nos que a primeira razão dada é que o indivíduo (os dados da pessoa que está a usar) deu o seu consentimento para usar os seus dados.

Note que o consentimento é específico para o uso particular dos dados duma pessoa. Se o meio como vai usar os dados duma pessoa difere de outro meio para o qual eles deram consentimento, então esse consentimento não conta.

Por exemplo, se alguém lhe deu consentimento para ser contactado por email, isto não significa que lhe deu consentimento para ser contactado por telefone. Não é que não lhe possa telefonar, mas para o fazer necessita de cumprir um dos outros cinco critérios.

As outras quatro alíneas, b) c) d) e) são fáceis de perceber se elas se aplicam à sua situação. Na maioria dos casos utilizar dados pessoais para prospeção a frio não é considerado apropriado.

É por isso que nos vamos apoiar na alínea f).

Como usar o artigo 6 para fazer prospeção legal

Partindo do princípio que os seus contactos incluem indivíduos que não lhe deram consentimento explícito para lhes telefonar pela razão pela qual você lhes quer telefonar, e nenhum dos critérios b) c) d) e) se aplicam, como é que vai usar os dados pessoais duma pessoa, como o n.º telefone, para fazer chamadas?

A resposta está na parte 1 do artigo 6, na alínea f), que menciona:

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O que é que isto significa?

Bastante.

Deixando de lado a parte do indivíduo ser uma criança (se quiser ligar uma lista de crianças tem de ter precauções adicionais), isto significa que quando os “interesses legítimos” do seu negócio não são sobrepostos (não são prevalecidos) pelos “interesses ou direitos e liberdades fundamentos” do indivíduo a que está a ligar, pode ter uma hipótese de lhes telefonar a frio.

A comparação dos seus interesses vs. aqueles do indivíduo a quem quer contactar, pode-se referir como o “teste da balança”.

Já vamos perceber melhor o que isto significa.

O segredo: interesses legítimos

A cláusula dos “interesses legítimos” no RGPD é importante ao ponto de lhe ser atribuída uma “opinião” de 110 páginas, em que o Grupo de Trabalho para a Proteção de Dados refere que a inclusão desta cláusula não é uma brecha ou um livre-trânsito para permitir às empresas usar dados pessoais sem mais nem menos.

O RGPD contém regras que garantem que, se você puder justificar o uso de dados pessoais, através da consideração justa do que são os interesses legítimos do seu negócio e como poderá impactar cada indivíduo, que poderá fazer apoiar-se nisto para contactar as pessoas.

Isto não é feito à toa. Para esta justificação precisa de algum tipo de documentação que prova que pode usar dados pessoais para a sua atividade.

O que é um “interesse legítimo”?

A razão 47 do RGPD explica o que é um interesse legítimo:

Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta.

Isto é um dos direitos como disposto no Artigo 16 da Carta dos Direitos Fundamentais da União Europeia, apelidado de “Liberdade de empresa”.

Você tem o direito a gerir o seu negócio, mesmo que seja para marketing direto.

Então o primeiro passo do “teste da balança” é documentar qual é o seu interesse legítimo.

Um interesse pode ser o benefício que o seu negócio obtém ao usar dados pessoais. Gerar lucros, criar emprego, fornecer bons produtos e serviços são considerados interesses legítimos, desde que cumpram a lei e não tentem enganar o consumidor. Isto é um benefício para a sociedade.

Pode usar o seu plano de negócios para criar esta documentação, esta prova.

Ainda assim, precisamos de prestar atenção ao outro peso da balança, os “interesses ou direitos e liberdades fundamentos” do indivíduo.

O outro lado da balança

Os “interesses ou direitos e liberdades fundamentos” do indivíduo devem ter em conta as “expectativas razoáveis do titular dos dados quanto à sua posterior utilização”, assim como qualquer impacto que possa ter o uso desses dados, tais como rejeitar um empréstimo sem recurso (não se pode recusar serviço como chantagem se o indivíduo recusar consentimento).

As orientações do RGPD requerem que você tenha em consideração qualquer prejuízo potencial que as suas atividades possam causar, e se assim for o caso, exigem que tome as ações necessárias para minimizar esse prejuízo.

O objetivo do RGPD é impedir que as empresas causem desconforto emocional nos indivíduos quando os dados pessoais deles são mal usados.

No entanto, o RGPD reconhece que isto não é só preto e branco: existe uma escala de cinzentos. Alguém que pode ter emoções negativas porque você obteve o n.º de telefone deles, de forma legal, e usou isso para os contactar para efeitos de marketing, não é visto como sendo tão sério quanto as emoções negativas que podem passar se os dados financeiros deles fossem publicados no website da empresa.

Na prospeção a frio para efeitos de marketing, o RGPD vê os interesses da empresa a querer promover o seu produto como sendo algo de baixa importância.

Mas por outro lado, também vê a pequena inconveniência do consumidor em receber uma chamada não solicitada como sendo algo banal. Desde que o contacto seja feito de forma profissional e as regras sejam seguidas, o equilíbrio das necessidades e direitos é relativamente igual.

Assim, o peso na balança, por este ponto de vista do RGPD, diz-nos que o desejo que a empresa tem em informar o potencial cliente dos seus produtos e serviços é considerado tão significante quanto o desejo do indivíduo de não querer ser contactado enquanto está a ver a última temporada do Game of Thrones.

No entanto, para efeitos de equilíbrio, precisamos mostrar que as suas necessidades são mais importantes dos indivíduos que vai contactar, e não tão importantes.

Então o que fazer para colocar o peso da balança a seu favor?

Salvaguardas: quanto mais melhor

Em casos que os dois lados da balança são relativamente iguais, o RGPD menciona que devem ser fornecidas “salvaguardas” para minimizar o risco de acontecer alguma coisa má ao usar dados pessoais duma pessoa. Algumas salvaguardas são obrigatórias, outras são opcionais. Por exemplo:

  • Os indivíduos devem ter a capacidade de fazer opt-out do uso dos seus dados. Para isso deve garantir que não está a ligar a alguém que pediu à sua empresa para não ser contactado.
  • Documentação da necessidade dos dados recolhidos e a duração de tempo que os dados são mantidos. Por exemplo, se não precisa da morada da pessoa, não peça. Se não precisa dos detalhes da encomenda após esta ser sido feita, pode apagá-los. O objetivo aqui é ter uma justificação na recolha e retenção dos dados.
  • Fazer assessorias frequentes no seu call center para verificar se o RGPD e outras leis em vigor sobre dados pessoais estão a ser cumpridas.
  • Formação dos empregados em como saber lidar com pedidos de informação sobre a empresa e os dados que têm sobre os indivíduos, ou pedidos para alterar ou apagar dados.
  • Uso de tecnologia de privacidade, como chamadas encriptadas, carregamento de listas de dados por FTP seguro, isto mostra que leva a sério a proteção dos dados das pessoas.
  • Colocar limite no número de chamadas feitas a indivíduos num terminado período de tempo para minimizar o nível de desconforto para eles. Impactos negativos são encarados como cumulativos, assim várias destas “inconveniências” terão peso suficiente se repetidas frequentemente.
  • Formação de empregados e orientações a seguir no que respeita à identificação de adultos vulneráveis, tais como aqueles com doenças mentais (demência, Alzheimer, etc.) e como terminar o contacto sem causar desconforto.
  • Ensinar empregados a saber responder à pergunta “onde obteve os meus dados”? Isto mostra que a empresa é responsável e transparente de como e onde obtiveram os dados.

Quanto mais destas salvaguardas uma empresa tiver, mais a balança pesa a seu favor no que toca a poder usar os dados pessoais para contactos.

Provar o peso na balança

Eis o que já fizemos até agora:

  • Considerámos a necessidade justificada para usar os dados pessoais da nossa lista para prospeção;
  • Analisámos o nível de inconveniência que isso pode causar no indivíduo a ser contactado;
  • Implementámos tantas salvaguardas quanto possíveis.

Agora estamos prontos para avançar certo?

Não, ainda não.

Há três coisas que ainda tem de fazer, e convém fazê-las bem para não ter de pagar as multas, que são 20 milhões de euros ou 4% da faturação mundial da empresa (o valor que for maior).

1. Provas

Precisa de provar que efetuou o teste da balança de cada vez que o seu uso dos dados pessoais mudar. Isto porque sem ter algum tipo de registo que prova que o seu negócio consegue justificar o seu peso na balança como mais pesado, não se pode apoiar nos “interesses legítimos” para usar dados pessoais.

Quando lançar uma nova campanha, quando muda os seus termos e serviços, quando muda os formulários de contrato que os agentes preenchem nas chamadas, quando muda os relatórios, carrega ou exporta dados pessoais, precisa de ter prova que o teste da balança foi feito. Este registo pode vir a ser usado em tribunal, por isso não deve ser feito em cima do joelho.

Deve também informar as pessoas de qualquer tipo de definição de “perfil de uma pessoa singular, especialmente para tomar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e as suas atitudes.” Assim está a mostrar que não vai atrás de indivíduos vulneráveis com serviços não apropriados para elas.

Para tornar isto mais eficaz, pode disponibilizar este teste da balança aos próprios indivíduos, ou seja, informar as pessoas que está a contactar a razão de ter analisado o seu desejo de os contactar como sendo mais importante do que o potencial desejo deles de não serem contactados. Isto até pode fazer parte do seu script para lidar com objeções.

2. Pedidos do indivíduo

As pessoas devem poder exercitar o direito ao uso dos seus dados pessoais, e a menos que haja razões legítimas que você precisa de usar os dados (o que é improvável no marketing direto), terá de parar de usar os dados deles.

Da mesma forma, a pessoa tem o direito de fazer opt-out após ter feito opt-in, ou pedir que os seus dados não sejam usados para efeitos de marketing direito.

3. Cópias

O indivíduo tem o direito de pedir uma cópia eletrónica de todos os dados que tem dele. Tem um mês para cumprir esse pedido e não pode pedir pagamento para isso.

O indivíduo tem também o direito de pedir a alteração dos seus dados (caso queira corrigir alguma informação), ou pedir que os seus dados sejam eliminados.

O “direito de ser esquecido” não envolve necessariamente todos os dados que você tem sobre o indivíduo. Eles podem pedir que você apague os dados que tem sobre eles, com a exceção, por exemplo, de que mantenha o n.º de telefone como um número a não ligar.

O que trará o futuro

Talvez daqui a alguns anos vamos olhar para trás, para o dia 25 de maio, como uma medida que “civilizou” as empresas de telemarketing e os call center, de forma a ter empresas transparentes que recuperaram a confiança do consumidor.

A longo prazo isto vai dar confiança às pessoas para que quando recebam um contacto da sua empresa, vão pelo menos dar valor de que você está a usar e proteger os seus dados.

Isto pode ser benéfico também para ter mais recetividade para o que o seu agente diz e ter em maior consideração os seus produtos e serviços.

Deixe um comentário