Envelope azul com um ícone de escudo no lado direito, ao lado do título “Como enviar e-mails em conformidade com o GDPR a partir do WordPress” sobre um fundo azul claro (imagem principal).

Como enviar e-mails em conformidade com o GDPR a partir do WordPress (Guia completo)

Atualizado: Divulgação do leitor
LinkedIn
Resumir:ChatGPTPerplexidade

Se o seu site WordPress recebe visitantes da UE, você está sujeito ao RGPD, quer saiba disso ou não, e independentemente de sua empresa estar sediada na Europa ou não.

A maioria dos guias sobre o GDPR e o WordPress concentra-se nos banners de cookies e nas políticas de privacidade. Esses aspectos são importantes, mas há toda uma vertente da conformidade que recebe muito menos atenção: os e-mails que o seu site envia.

Sempre que o WordPress envia um e-mail para redefinir senha, uma confirmação de pedido do WooCommerce ou uma newsletter, ele está processando dados pessoais. Isso significa que o GDPR se aplica.

A boa notícia é que a maior parte do que você precisa fazer é bastante simples, uma vez que você compreenda as regras. Este guia aborda tudo: o que o GDPR exige em relação aos e-mails, a diferença entre e-mails transacionais e de marketing, o consentimento, o tratamento de dados, a escolha do provedor de e-mail e a configuração técnica necessária para garantir a conformidade, incluindo como configurar o WP Mail SMTP para cada requisito.

Observação: isto não constitui aconselhamento jurídico. A conformidade com o RGPD depende da sua situação específica. Se tiver dúvidas, consulte um advogado qualificado.

Resumo rápido: o que o GDPR exige para e-mails no WordPress

Os e-mails de marketing exigem consentimento explícito e ativo

Os e-mails transacionais (confirmações de pedidos, redefinições de senha) não exigem consentimento — mas evite incluir conteúdo promocional neles

Os endereços de e-mail são dados pessoais nos termos do RGPD

Você precisa de um contrato de tratamento de dados com qualquer empresa terceirizada de envio de correspondência

Os e-mails devem ser enviados por meio de conexões criptografadas (TLS)

Você deve responder aos pedidos de exclusão de dados no prazo de um mês

As violações de segurança que afetem dados pessoais devem ser comunicadas à sua autoridade de controle no prazo de 72 horas

As multas chegam a 20 milhões de euros ou 4% do faturamento global — a fiscalização é intensa e está se intensificando

O RGPD se aplica aos seus e-mails do WordPress?

Sim, se algum dos visitantes do seu site for residente na UE ou no EEE, o RGPD se aplica ao tratamento que você faz dos dados deles, incluindo seus endereços de e-mail.

Isso não se limita às empresas da UE. Uma loja WooCommerce nos EUA, um site de assinaturas na Austrália, uma empresa de plugins no Canadá: se você tem clientes na UE, o GDPR regula a forma como você processa os dados pessoais deles.

Um endereço de e-mail é considerado um dado pessoal nos termos do RGPD. O mesmo se aplica a um nome. E a um endereço IP. Quando o seu site envia um e-mail a um cliente ou assinante, está processando esses dados.

Dito isso, o GDPR não impede que você envie e-mails. Isso significa que você precisa de uma base legal para fazê-lo, e as regras variam dependendo do tipo de e-mail que você está enviando.

A fiscalização é real e está se intensificando. Só a autoridade de proteção de dados da Espanha já aplicou mais de 1.000 multas desde que o GDPR entrou em vigor, e as violações no marketing por e-mail são um alvo constante. O Google foi multado em 50 milhões de euros na França por falhas no consentimento. Um serviço postal austríaco foi multado em 9,5 milhões de euros por não ter tratado adequadamente as solicitações de direitos dos titulares de dados. Esses não são casos isolados, mas sim o tipo de violação que ocorre quando o tratamento de dados não acompanha as regras.

Se você é proprietário de um site com sede nos EUA, também vale a pena saber que o GDPR é significativamente mais rigoroso do que a CAN-SPAM, a lei federal dos EUA que regulamenta o e-mail comercial. A CAN-SPAM permite o marketing por exclusão (você pode enviar e-mails às pessoas até que elas cancelem a inscrição). O GDPR exige o consentimento prévio antes do envio. Se você tem visitantes da UE, a conformidade apenas com as normas dos EUA não é suficiente.

Os dois tipos de e-mails que o seu site envia

Seu site WordPress envia dois tipos de e-mails fundamentalmente diferentes, e o GDPR os trata de maneira distinta.

E-mails transacionais

Os e-mails transacionais são acionados por alguma ação do usuário. Confirmações de pedidos, notificações de envio, redefinições de senha, alertas de conta, respostas a formulários de contato. Esses e-mails são esperados e os usuários os desejam.

De acordo com o RGPD, geralmente não é necessário obter consentimento específico para enviar e-mails transacionais. A base legal é a “execução de um contrato” (o usuário comprou algo, portanto você está concluindo essa transação) ou o “interesse legítimo” (enviar um link para redefinir a senha é claramente do interesse do usuário).

Mas há um porém. No momento em que você inclui conteúdo promocional, como recomendações de produtos, códigos de desconto e seções do tipo “você também pode gostar”, você altera a natureza do e-mail e pode precisar de consentimento para essa parte.

A abordagem mais segura é manter os e-mails transacionais estritamente limitados às transações. Se você quiser enviar mensagens de marketing aos clientes após uma compra, utilize um e-mail separado, com o devido consentimento prévio.

Para uma análise mais aprofundada das regras relativas aos e-mails transacionais, consulte nosso guia completo sobre as melhores práticas do GDPR para e-mails transacionais.

Dica para usuários do WooCommerce

O WooCommerce possui configurações integradas para o GDPR que vale a pena verificar. Acesse WooCommerce > Configurações > Contas e Privacidade para definir os períodos de retenção de dados pessoais e pedidos pendentes, habilitar solicitações de exclusão de contas e adicionar links para a política de privacidade nas páginas de checkout e de cadastro. Cuide da parte do WooCommerce relacionada à conformidade aqui antes de abordar a configuração do SMTP.

E-mails de marketing

Os e-mails de marketing são diferentes. Se você estiver enviando boletins informativos, campanhas promocionais ou qualquer e-mail cujo objetivo principal seja vender ou promover, é necessário obter o consentimento explícito do destinatário antes de enviá-lo.

Caixas pré-marcadas não são válidas. O consentimento agrupado (ocultar a permissão para receber e-mails de marketing nos termos e condições) não é válido. O consentimento deve ser dado livremente, ser específico e fácil de revogar.

Se você envia e-mails de marketing para assinantes da UE, obter o consentimento desde o início é o ponto de partida para tudo o mais.

O assinante deve dar seu consentimento de forma ativa, marcando uma caixa que esteja desmarcada, e não uma que já esteja marcada. O consentimento deve ser específico para o marketing por e-mail, e não estar oculto em um acordo geral de privacidade. Além disso, deve ser explicado claramente: de quem o assinante receberá comunicações e que tipo de e-mails receberá.

Você também precisa ser capaz de comprovar que o consentimento foi dado. Isso significa registrar quando isso ocorreu, o que constava no formulário e onde o assinante se inscreveu. Se você não puder apresentar os registros de consentimento durante uma auditoria, será como se o consentimento nunca tivesse existido.

Confirmação dupla

A dupla confirmação não é exigida legalmente pelo RGPD, mas é a abordagem mais segura. Quando alguém se inscreve, recebe um e-mail de confirmação e só é adicionado à sua lista após clicar para confirmar. Isso cria um registro de auditoria claro e filtra endereços falsos ou digitados incorretamente.

Cancelar a inscrição tem que ser fácil

Retirar o consentimento deve ser tão fácil quanto concedê-lo. Todo e-mail de marketing precisa ter um link de cancelamento de inscrição que funcione. Quando alguém cancelar a inscrição, processe o pedido imediatamente — atrasos representam tanto um risco de conformidade quanto uma questão de confiança.

Formulários no seu site

Todo formulário que coleta um endereço de e-mail precisa deixar claro para que esse endereço será utilizado. Formulários de contato e formulários de inscrição em boletins informativos têm finalidades diferentes, por isso exigem textos de consentimento distintos.

Formulário de consentimento do RGPD no WPForms

Se você estiver usando o WPForms, poderá adicionar um campo de consentimento do GDPR diretamente a qualquer formulário, desativar o rastreamento de IP e desativar a coleta de cookies, tudo a partir das configurações do formulário, sem precisar de código.

E quanto à sua lista de e-mails atual?

Se você criou sua lista antes da entrada em vigor do GDPR em 2018 (ou coletou endereços sem um consentimento explícito), você pode ter um problema. O consentimento obtido sem a linguagem padrão do GDPR (caixa desmarcada, explicação clara do que os assinantes estavam concordando) não é válido.

O caminho mais seguro é uma campanha de reconfirmação de permissão: envie um e-mail para sua lista atual pedindo que as pessoas confirmem novamente seu consentimento e remova quem não o fizer. É uma situação incômoda, pois sua lista diminuirá. Mas é melhor do que receber uma multa, e as pessoas que reconfirmarem estão muito mais engajadas do que os contatos antigos que mal se lembram de terem se inscrito.

Listas de e-mail compradas

Não as utilize. O consentimento previsto pelo RGPD deve ser específico para a sua organização, e as pessoas que consentiram em receber comunicações de uma empresa não consentiram em receber comunicações de você. Não é possível adquirir uma lista de e-mails válida ao abrigo do RGPD.

Direitos dos titulares de dados e prazos de resposta

De acordo com o RGPD, seus assinantes e clientes têm o direito de acessar, corrigir ou excluir os dados que você mantém sobre eles. Quando alguém faz uma solicitação, você tem um mês para responder. Registre todas as solicitações e como foram tratadas, pois esse é o tipo de informação que costuma ser verificada em auditorias.

O que é considerado dado pessoal nos seus e-mails

De acordo com o RGPD, dados pessoais são quaisquer informações que possam identificar uma pessoa, direta ou indiretamente. No que diz respeito ao e-mail, isso inclui:

  • Nomes e endereços de e-mail
  • Endereços IP
  • Histórico de compras vinculado a uma conta
  • Detalhes da conta no corpo do e-mail

Esses dados estão presentes nos registros de e-mail, no banco de dados e, possivelmente, nos servidores do seu provedor de e-mail terceirizado. Todos eles estão sujeitos ao RGPD.

Minimização de dados

O princípio da minimização de dados do RGPD significa que você só deve coletar e processar os dados de que realmente precisa. Se o seu formulário de contato não precisar de um número de telefone, não o colete. No que diz respeito aos e-mails, não inclua nas suas mensagens mais informações pessoais do que o necessário para a transação. Uma confirmação de pedido não precisa repetir todo o histórico da conta do cliente.

Prazos de retenção

Não é possível manter dados pessoais indefinidamente. O GDPR exige que você decida por quanto tempo irá reter os dados e os exclua quando não forem mais necessários.

No caso das listas de marketing por e-mail, isso significa revisar periodicamente os assinantes inativos e remover aqueles que não interagem há muito tempo. Quanto aos registros de e-mail, significa não mantê-los por mais tempo do que o necessário para os fins da sua empresa. (Mais informações sobre isso na seção sobre registros de e-mail abaixo.)

Escolhendo um serviço de e-mail compatível com o GDPR

Este é o aspecto que a maioria dos proprietários de sites WordPress acaba ignorando. Quando você envia e-mails por meio de um serviço externo, como SendLayer, Amazon SES, Mailgun, Gmail ou qualquer outro provedor de SMTP, você está compartilhando dados pessoais com terceiros.

De acordo com o RGPD, se você transferir dados pessoais a um terceiro para tratamento, é necessário celebrar um acordo de tratamento de dados (DPA) com ele. Um DPA é um contrato que define como o terceiro tratará esses dados, quais medidas de segurança ele possui e o que acontecerá em caso de violação.

A maioria dos provedores de serviços de e-mail de renome oferece acordos de processamento de dados (DPAs), geralmente em sua política de privacidade ou na documentação jurídica. Se um provedor não oferecer um, isso é um sinal de alerta que deve ser levado a sério.

Onde os dados são armazenados?

Se os dados do seu e-mail estiverem armazenados em servidores fora da UE ou do Reino Unido, a transferência precisa estar legalmente amparada. Alguns provedores dispõem de centros de dados na UE que você pode escolher. Outros recorrem às Cláusulas Contratuais Padrão (SCCs) para legitimar as transferências de dados. Verifique as opções de localização dos dados oferecidas pelo seu provedor, caso isso seja uma preocupação para seus usuários.

Quais programas de e-mail mantêm registros?

Muitos serviços de e-mail externos mantêm registros dos e-mails enviados por meio de seus serviços. Esses registros contêm dados pessoais. De acordo com o direito ao apagamento previsto no RGPD, se um usuário solicitar a exclusão de seus dados, você precisa ser capaz de atender a essa solicitação em todos os sistemas — incluindo o seu serviço de e-mail.

Saiba quais dos seus programas de e-mail mantêm registros e como excluí-los, se necessário. Nossa documentação sobre conformidade com o GDPR do WP Mail SMTP aborda os principais programas de e-mail e seu comportamento em relação aos registros.

Requisitos técnicos: criptografia, autenticação e notificação de violações

O RGPD exige que os dados pessoais sejam mantidos em segurança, inclusive quando estão em trânsito. No caso do e-mail, isso significa duas coisas.

Criptografia TLS

Seus e-mails devem ser enviados por meio de conexões TLS (Transport Layer Security). Isso criptografa o e-mail durante a transmissão, impedindo que seja interceptado.

Padrão do WordPress wp_mail() A função não garante a criptografia TLS. Quando você usa o WP Mail SMTP com um provedor de e-mail confiável, os e-mails são enviados por conexões seguras e criptografadas por padrão.

Autenticação de e-mail: SPF, DKIM e DMARC

A autenticação de e-mails não é apenas um recurso de entregabilidade, mas também de segurança e conformidade. Esses três protocolos verificam se os e-mails que afirmam ter sido enviados a partir do seu domínio realmente foram originados por você, protegendo o seu domínio contra falsificação.

  • O SPF informa aos servidores de e-mail receptores quais servidores estão autorizados a enviar e-mails em nome do seu domínio.
  • O DKIM adiciona uma assinatura criptográfica a cada e-mail, comprovando que ele não foi alterado durante o trânsito.
  • O DMARC define uma política sobre o que acontece quando os e-mails não passam nas verificações SPF ou DKIM e envia relatórios para que você possa monitorar o que está sendo enviado em seu nome.

Sem uma autenticação adequada, alguém poderia enviar e-mails que parecem ter sido enviados a partir do seu domínio — praticando phishing contra seus clientes usando a sua marca. Isso constitui uma falha de segurança e uma possível violação do GDPR, pois coloca os dados dos seus usuários em risco.

Verificar registro DMARC

Para um passo a passo completo da configuração, consulte nosso guia sobre DMARC, SPF e DKIM.

Notificação de violação de dados

Se o seu sistema de e-mail for comprometido e dados pessoais forem expostos, o RGPD exige que você notifique a autoridade nacional de supervisão no prazo de 72 horas após tomar conhecimento da violação. Se for provável que a violação represente um risco elevado para as pessoas afetadas, você também deverá notificá-las diretamente.

É por isso que a segurança técnica não é opcional. Autenticação fraca, conexões não criptografadas e plugins desatualizados geram riscos, e não apenas problemas de entrega. Mantenha o WP Mail SMTP e o seu programa de e-mail atualizados e use o teste de e-mail integrado para verificar se a sua autenticação está funcionando corretamente.

Por que o e-mail padrão do WordPress falha em ambos os aspectos

O WordPress utiliza o PHP mail() função padrão. Isso envia e-mails diretamente do seu servidor web, sem autenticação garantida e, muitas vezes, sem TLS. Os e-mails enviados dessa forma não chegam ao destino com mais frequência do que você imagina — o que significa que seus e-mails transacionais exigidos por lei (redefinições de senha, pedidos do WooCommerce) podem nunca chegar aos seus usuários.

O WP Mail SMTP substitui isso por uma conexão SMTP adequada através do seu programa de e-mail preferido, com criptografia e autenticação configuradas corretamente.

Corrija seus e-mails do WordPress agora

Registros de e-mail e o direito ao apagamento

O RGPD confere às pessoas o direito de solicitar a exclusão de seus dados pessoais: o “direito ao esquecimento”.

Se um usuário solicitar a exclusão de seus dados, você precisará tratar disso em toda a sua configuração de e-mail:

  • Seu banco de dados do WordPress (contas de clientes, entradas de formulários, registros de pedidos)
  • Sua lista de e-mails para marketing
  • Registros de e-mail armazenados pelo WP Mail SMTP
  • Registros mantidos pelo seu serviço de e-mail

O WP Mail SMTP Pro inclui um registro de e-mails que armazena informações sobre o que foi enviado, quando e para quem. Isso é útil para fins de documentação de conformidade, pois cria uma trilha de auditoria, mas também significa que você precisa de uma política de retenção para os próprios dados desse registro.

Você pode configurar o WP Mail SMTP para eliminar automaticamente os registros após um determinado período ou excluir manualmente os registros ao atender a solicitações individuais de exclusão.

Como configurar o WP Mail SMTP para estar em conformidade com o GDPR

Aqui está um guia passo a passo das configurações do WP Mail SMTP que são importantes para a conformidade com o GDPR.

Os passos 1 e 2 abaixo, relativos à conexão de um servidor de e-mail e ao envio de um e-mail de teste, estão disponíveis na versão gratuita do WP Mail SMTP. Os passos 3 a 6 (registro de e-mails, exclusão de dados, controles de e-mail e roteamento inteligente) requerem o WP Mail SMTP Pro.

Obter o WP Mail SMTP Pro

Passo 1: Conecte um serviço de e-mail compatível com o GDPR

Se você ainda estiver usando o envio de e-mails padrão do WordPress via PHP, o primeiro passo é configurar um serviço de envio de e-mails adequado. O WP Mail SMTP é compatível com todos os principais provedores: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook e outros.

No painel do WordPress, acesse WP Mail SMTP > Configurações > Geral.

Escolhendo um serviço de e-mail compatível com o GDPR

Em “Conexão principal”, selecione seu programa de e-mail e siga as etapas de configuração. Cada programa de e-mail se conecta por meio de credenciais de API ou SMTP, e o WP Mail SMTP orienta você durante todo o processo.

Depois de conectado, seus e-mails passam por uma conexão SMTP adequada e autenticada, em vez do PHP Mail.

Antes de escolher seu provedor de e-mail: verifique se ele oferece um contrato de processamento de dados. A maioria dos principais provedores (SendLayer, Amazon SES, Mailgun, Brevo) oferece. Se você estiver usando o Gmail ou o Google Workspace, aplicam-se os termos de processamento de dados do Google.

Passo 2: Envie um e-mail de teste e verifique se tudo está configurado corretamente

Depois de configurar seu servidor de e-mail, acesse WP Mail SMTP > Ferramentas > Teste de e-mail e envie um e-mail de teste para o seu próprio endereço de e-mail.

guia de e-mail de teste

Verifique se o e-mail chegou e, em seguida, abra os cabeçalhos do e-mail (no Gmail: três pontos > Mostrar original; no Outlook: Arquivo > Propriedades) e procure por:

  • Assinatura DKIM — confirma que o DKIM está sendo validado
  • spf=pass — confirma que o SPF foi aprovado
  • dmarc=pass — confirma que o DMARC está sendo aprovado

Se algum desses elementos estiver faltando ou não estiver funcionando corretamente, a página de resultados do Teste de E-mail do WP Mail SMTP sinalizará o problema e indicará o que corrigir.

Etapa 3: Configurar o registro de e-mails

Recurso do WP Mail SMTP Pro. O registro de e-mails está disponível nos planos Pro e superiores. Atualize para o plano Pro →

O registro de e-mails do WP Mail SMTP Pro oferece um registro completo de todos os e-mails enviados pelo seu site — essencial para a documentação de conformidade.

Acesse WP Mail SMTP > Registro de e-mails para ver o registro. Em WP Mail SMTP > Configurações > Registros, você pode configurar:

  • Registrar e-mails — ative para iniciar o registro
  • Registrar o conteúdo do e-mail — registra o corpo completo do e-mail (útil para fins de conformidade, mas leve em consideração suas obrigações de minimização de dados)
  • Período de retenção — defina por quantos dias os registros serão mantidos antes da exclusão automática
Registros de e-mail SMTP do WP Mail

Defina um prazo de retenção que reflita as necessidades reais da sua empresa. Manter registros indefinidamente não está em conformidade — escolha um prazo, documente-o na sua política de privacidade e cumpra-o.

Etapa 4: Tratar os pedidos de exclusão de dados

Requer registro de e-mails (Pro). Só é possível pesquisar e excluir registros de e-mails se o registro estiver ativado.

Quando um usuário exercer seu direito de exclusão, você precisará excluir os registros de e-mail dele do log do WP Mail SMTP.

Em WP Mail SMTP > Registro de e-mails, procure o endereço de e-mail do usuário, selecione os registros correspondentes e use a opção de exclusão em massa para removê-los.

Exclusão em massa de registros de e-mail

Certifique-se também de lidar com a exclusão no seu programa de e-mail. Consulte a documentação do seu programa de e-mail para saber como excluir registros de e-mails enviados.

Passo 5: Verifique suas configurações de e-mail

Recurso do WP Mail SMTP Pro. Os controles de e-mail estão disponíveis nos planos Pro e superiores. Atualize para o plano Pro →

O recurso "Controles de e-mail" do WP Mail SMTP Pro permite que você gerencie quais tipos de e-mails o WordPress envia a partir do seu site e por meio de qual conexão.

Acesse WP Mail SMTP > Configurações > Controles de e-mail para ver uma lista dos tipos de e-mail gerados pelo plugin e pelo núcleo do WordPress — e-mails de pedidos do WooCommerce, notificações de comentários, registro de usuários e muito mais.

Controles de e-mail

Isso é útil para a conformidade de duas maneiras:

  1. Você pode desativar os tipos de e-mail que seu site não precisa (minimização de dados; ou seja, se você não estiver usando um recurso, não envie os e-mails correspondentes).
  2. Você pode encaminhar diferentes tipos de e-mails por meio de diferentes serviços de envio; por exemplo, e-mails transacionais do WooCommerce pelo SendLayer notificações de conta separadas por meio de uma conexão diferente.

Passo 6: Configurar uma conexão de backup

Recurso do WP Mail SMTP Pro. O roteamento inteligente e as conexões de backup estão disponíveis nos planos Pro e superiores. Atualize para o plano Pro →

O recurso Smart Routing do WP Mail SMTP Pro permite definir uma conexão de backup que é ativada automaticamente caso o servidor de e-mail principal falhe. Isso é importante no contexto do GDPR, pois, se o e-mail de redefinição de senha não chegar, os usuários não poderão acessar suas contas — e isso constitui uma falha no serviço com implicações para a privacidade.

Acesse WP Mail SMTP > Configurações > Conexões para adicionar uma conexão de backup e configurar o Smart Routing.

Configuração de uma conexão de backup SMTP do WP Mail

Passo 7: Verifique a documentação relativa ao RGPD do seu provedor de e-mail

Assim que seu provedor de e-mail estiver conectado, reserve 10 minutos para localizar e analisar a documentação relativa ao RGPD/DPA. Você precisa confirmar:

  • Está disponível um acordo de tratamento de dados (aceite-o, se necessário)
  • Você sabe onde os dados são armazenados e se eles saem da UE/Reino Unido
  • Você compreende as configurações de retenção de registros e sabe como excluir registros, se necessário

Os provedores mais populares e onde encontrar sua documentação de DPA:

ProvedorDocumentação da DPA
SendLayerDisponível na documentação sobre privacidade
Amazon SESAnexo sobre Processamento de Dados da AWS
Pistola de correioDisponível nos termos legais da Sinch/Mailgun
BrevoDisponível na documentação sobre o RGPD
Espaço de trabalho do GooglePolítica de Proteção de Dados do Google Workspace (aceita automaticamente ao aceitar os termos do Workspace)

Lista de verificação de conformidade do RGPD para e-mails

Use isso para verificar sua configuração atual.

Consentimento e listas

  • ☐ Os e-mails de marketing são enviados apenas para pessoas que se inscreveram voluntariamente
  • ☐ Os registros de consentimento são armazenados (quando, onde e o que foi acordado)
  • ☐ Todos os e-mails de marketing possuem um link de cancelamento de inscrição que funciona
  • ☐ As cancelamentos de inscrição são processados imediatamente
  • ☐ Os assinantes inativos são analisados periodicamente

Tratamento de dados

  • ☐ A política de privacidade está atualizada e inclui um link nos seus e-mails
  • ☐ Você coleta apenas os campos de dados de que realmente precisa
  • ☐ Você possui uma política de retenção de dados definida e a segue
  • ☐ Você pode responder às solicitações de acesso e exclusão de dados no prazo de um mês

Configuração técnica

  • ☐ Os e-mails do WordPress são enviados através do WP Mail SMTP (e não pelo PHP Mail)
  • ☐ Os e-mails são enviados com criptografia TLS
  • ☐ Os registros SPF, DKIM e DMARC estão configurados e estão sendo validados
  • ☐ A retenção de registros de e-mail está configurada no WP Mail SMTP
  • ☐ Você sabe quais programas de e-mail mantêm registros e como excluir esses registros

Serviços de e-mail de terceiros

  • ☐ Você possui um Acordo de Proteção de Dados (DPA) com seu provedor de serviços de e-mail
  • ☐ Você sabe onde seu provedor de e-mail armazena os dados e se eles saem da UE/Reino Unido
Obter o WP Mail SMTP

Perguntas frequentes

O RGPD se aplica se eu não estiver sediado na UE?

Sim. Se você tiver visitantes ou clientes residentes na UE ou no EEE, o RGPD se aplica ao tratamento que você faz dos dados deles, independentemente da localização da sua empresa.

Não, normalmente não. E-mails transacionais, como confirmações de pedidos, redefinições de senha e notificações de envio, são abrangidos pelo “interesse legítimo” ou pela “execução de um contrato”. Não é necessário obter um consentimento de marketing específico para eles. Mas mantenha-os estritamente transacionais, pois adicionar conteúdo promocional altera o quadro.

Um endereço de e-mail é considerado um dado pessoal nos termos do RGPD?

Sim. Um endereço de e-mail que permita identificar uma pessoa é considerado um dado pessoal. O mesmo se aplica a um nome, a um endereço IP e a qualquer histórico de compras associado a uma conta.

O que é um contrato de tratamento de dados?

Um Acordo de Tratamento de Dados (DPA) é um contrato entre você e qualquer terceiro que trate dados pessoais em seu nome. Se você utiliza um serviço SMTP externo ou uma plataforma de e-mail para enviar mensagens, é necessário celebrar um DPA com eles. A maioria dos provedores de renome disponibiliza esses acordos em sua documentação jurídica ou de privacidade.

O WP Mail SMTP armazena dados pessoais nos servidores da Awesome Motive?

Não. O WP Mail SMTP armazena todos os dados do plugin no seu próprio site. A Awesome Motive não mantém seus dados de e-mail.

O que acontece se eu não cumprir o RGPD?

As multas podem chegar a € 20 milhões ou 4% do faturamento anual global, o que for maior. Na prática, a aplicação da lei geralmente começa com uma advertência ou repreensão antes de avançar para sanções financeiras. O risco mais imediato para a maioria das pequenas empresas é a perda da confiança dos clientes.

Embora não seja estritamente obrigatório para e-mails puramente transacionais, uma vez que não são enviados com base no consentimento, é recomendável incluir um link para a sua política de privacidade em todos os rodapés dos e-mails.

Posso usar o Gmail como meu serviço de e-mail no WordPress?

Sim, mas verifique os termos de processamento de dados do Google se você tiver usuários na UE. O Gmail e o Google Workspace processam dados nos servidores do Google. Para envios em grande volume, um serviço dedicado de e-mail transacional, como SendLayer mais confiável e facilita a manutenção da documentação exigida pelo GDPR.

O RGPD se aplica aos e-mails B2B?

Sim. Endereços de e-mail profissionais, como [email protected], identificam uma pessoa, portanto, são considerados dados pessoais. As regras são um pouco mais complexas no caso do B2B. O interesse legítimo é mais justificável ao enviar e-mails a contatos comerciais sobre produtos ou serviços relevantes, mas o consentimento continua sendo a abordagem mais segura. Em caso de dúvida, obtenha o consentimento explícito.

Posso usar uma lista de e-mails comprada?

Não. O consentimento previsto pelo RGPD deve ser específico para a sua organização, e as pessoas que consentiram em receber e-mails de outra empresa não consentiram em receber e-mails de você. Não é possível adquirir uma lista de e-mails válida nos termos do RGPD.

O que devo fazer com uma lista de e-mails antiga, coletada antes do GDPR?

Se sua lista foi criada sem o consentimento exigido pelo GDPR (caixa de aceitação desmarcada, explicação clara sobre o que as pessoas estavam concordando), você está em terreno incerto. A opção mais segura é uma campanha de reconfirmar o consentimento: envie um e-mail para a lista explicando o que você envia e pedindo que as pessoas confirmem ativamente seu consentimento; em seguida, remova quem não responder. Sua lista diminuirá, mas os contatos restantes estarão em conformidade e significativamente mais engajados.

Qual é a diferença entre o GDPR e a lei CAN-SPAM?

A CAN-SPAM é a lei federal dos EUA que regulamenta o e-mail comercial. Ela permite o marketing com opção de cancelamento: você pode enviar mensagens até que alguém peça para parar. O GDPR exige o consentimento prévio antes de enviar seu primeiro e-mail de marketing. Se você tem visitantes da UE, a conformidade com as normas dos EUA por si só não é suficiente. O GDPR se aplica adicionalmente.

O que acontece se meu provedor de e-mail for hackeado?

Se uma violação de segurança expor dados pessoais, o RGPD exige que você notifique a autoridade nacional de supervisão no prazo de 72 horas. Se houver um risco elevado para as pessoas afetadas, você também deverá notificá-las diretamente. É por isso que é importante manter seu plugin e seu sistema de e-mail atualizados, além de ter um Acordo de Tratamento de Dados (DPA) em vigor com seu provedor — o DPA deve definir as obrigações de cada parte em caso de violação.

Este guia aborda os aspectos relacionados ao envio de e-mails no âmbito da conformidade com o GDPR. Para obter informações completas sobre a conformidade do WordPress com o GDPR, incluindo cookies, ferramentas de análise e políticas de privacidade, consulte o guia definitivo do WPBeginner sobre o WordPress e a conformidade com o GDPR.

Em seguida, otimize a capacidade de entrega dos seus e-mails

Garantir que seus e-mails estejam em conformidade com o GDPR é apenas metade do caminho. A outra metade é garantir que eles realmente cheguem à caixa de entrada. A mesma configuração técnica que protege sua conformidade (autenticação adequada, um provedor de e-mail confiável, conexões criptografadas) também tem um grande impacto sobre se seus e-mails vão parar na caixa de entrada ou na pasta de spam. Se você quiser ir além, nosso guia de melhores práticas de entregabilidade de e-mails no WordPress aborda tudo, desde a reputação do remetente e a higiene da lista até subdomínios e segmentação.

Pronto para corrigir seus e-mails? Comece hoje mesmo a usar o melhor plugin SMTP para WordPress. Se você não tiver tempo para corrigir seus e-mails, poderá obter assistência completa da White Glove Setup como uma compra extra, e há uma garantia de reembolso de 14 dias para todos os planos pagos.

Se este artigo o ajudou, siga-nos no Facebook e no Twitter para obter mais dicas e tutoriais sobre o WordPress.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Veja como o WPForms é financiado, por que isso é importante e como você pode nos apoiar.

Rachel Adnyana

Rachel escreve sobre WordPress há uma década e cria sites há muito mais tempo. Além do desenvolvimento web, ela é fascinada pela arte e pela ciência do SEO e do marketing digital.Saiba mais

Experimente nosso plugin gratuito WP Mail SMTP

Use seu provedor de SMTP favorito para enviar seus e-mails do WordPress de forma confiável.