Como Enviar E-mails em Conformidade com o GDPR do WordPress

Como Enviar E-mails em Conformidade com o GDPR a Partir do WordPress (Guia Completo)

Atualizado: Aviso ao Leitor
LinkedIn
Resumir:ChatGPTPerplexity
Ver Markdown

Se o seu site WordPress tem visitantes da UE, você está sujeito ao GDPR, saiba disso ou não, e independentemente de sua empresa estar sediada na Europa ou não.

A maioria dos guias sobre GDPR e WordPress foca em banners de cookies e políticas de privacidade. Essas coisas importam, mas há um lado inteiro da conformidade que recebe muito menos atenção: os e-mails que seu site envia.

Toda vez que o WordPress envia uma redefinição de senha, uma confirmação de pedido do WooCommerce ou uma newsletter, ele está processando dados pessoais. Isso significa que o GDPR se aplica.

A boa notícia é que a maior parte do que você precisa fazer é simples assim que você entende as regras. Este guia cobre tudo: o que o GDPR exige para e-mails, a diferença entre e-mails transacionais e de marketing, consentimento, tratamento de dados, escolha do provedor de e-mail e a configuração técnica que mantém você em conformidade, incluindo como configurar o WP Mail SMTP para cada requisito.

Observação: Isto não é aconselhamento jurídico. A conformidade com o GDPR depende da sua situação específica. Se você tiver preocupações, fale com um advogado qualificado.

Resumo rápido: o que o GDPR exige para e-mails do WordPress

E-mails de marketing exigem consentimento explícito e ativo de opt-in

E-mails transacionais (confirmações de pedido, redefinições de senha) não precisam de consentimento — mas mantenha-os livres de conteúdo promocional

Endereços de e-mail são dados pessoais sob o GDPR

Você precisa de um acordo de processamento de dados com qualquer provedor de e-mail terceirizado

E-mails devem ser enviados por conexões criptografadas (TLS)

Você deve ser capaz de responder a solicitações de exclusão de dados em até um mês

Violações de dados que afetam dados pessoais devem ser relatadas à sua autoridade supervisora em até 72 horas

Multas chegam a € 20 milhões ou 4% do faturamento global — a fiscalização é ativa e crescente

O GDPR se aplica aos seus e-mails do WordPress?

Sim, se algum dos visitantes do seu site for residente da UE ou do EEE, o GDPR se aplica a como você lida com os dados deles, incluindo o endereço de e-mail.

Isso não se limita a empresas da UE. Uma loja WooCommerce nos EUA, um site de membros na Austrália, uma empresa de plugins no Canadá: se você tem clientes da UE, o GDPR cobre como você processa os dados pessoais deles.

Um endereço de e-mail é um dado pessoal sob o GDPR. Assim como um nome. Assim como um endereço IP. Quando seu site envia um e-mail para um cliente ou assinante, ele está processando esses dados.

Dito isso, o GDPR não o impede de enviar e-mails. Significa que você precisa de uma base legal para fazê-lo, e as regras diferem dependendo do tipo de e-mail que você está enviando.

A fiscalização é real e está aumentando. Somente a autoridade de proteção de dados da Espanha emitiu mais de 1.000 multas desde que o GDPR entrou em vigor, e as violações de marketing por e-mail são um alvo constante. O Google foi multado em 50 milhões de euros na França por falhas de consentimento. Um serviço postal austríaco foi multado em 9,5 milhões de euros por não lidar adequadamente com as solicitações de direitos do titular dos dados. Estes não são casos extremos, mas sim os tipos de violações que ocorrem quando o manuseio de dados não acompanhou as regras.

Se você é proprietário de um site baseado nos EUA, também vale a pena saber que o GDPR é significativamente mais rigoroso do que o CAN-SPAM, a lei federal dos EUA que rege o e-mail comercial. O CAN-SPAM permite marketing de opt-out (você pode enviar e-mails para as pessoas até que elas se desinscrevam). O GDPR exige consentimento de opt-in antes de enviar. Se você tem visitantes da UE, a conformidade apenas com as leis dos EUA não é suficiente.

Os dois tipos de e-mails que seu site envia

Seu site WordPress envia dois tipos fundamentalmente diferentes de e-mails, e o GDPR os trata de forma diferente.

E-mails transacionais

E-mails transacionais são acionados por algo que o usuário faz. Confirmações de pedido, notificações de envio, redefinições de senha, alertas de conta, respostas de formulário de contato. Esses e-mails são esperados e os usuários os desejam.

Sob o GDPR, você geralmente não precisa de consentimento separado para enviar e-mails transacionais. A base legal é "execução de um contrato" (o usuário comprou algo, então você está completando essa transação) ou "interesse legítimo" (enviar uma redefinição de senha é claramente do interesse do usuário).

Mas há um porém. No momento em que você adiciona conteúdo promocional, como recomendações de produtos, códigos de desconto e seções "você também pode gostar", você mudou o caráter do e-mail e pode precisar de consentimento para essa parte.

A abordagem mais segura é manter os e-mails transacionais estritamente transacionais. Se você quiser fazer marketing para clientes após uma compra, use um e-mail separado com o consentimento adequado em vigor.

Para uma análise mais aprofundada das regras sobre e-mails transacionais, consulte nosso guia completo sobre melhores práticas do GDPR para e-mails transacionais.

Dica para usuários do WooCommerce

O WooCommerce tem configurações de GDPR integradas que valem a pena verificar. Vá para WooCommerce > Configurações > Contas e Privacidade para configurar os períodos de retenção de dados para dados pessoais e pedidos pendentes, habilitar solicitações de exclusão de conta e adicionar links de política de privacidade às páginas de checkout e registro. Cuide do lado do WooCommerce da conformidade aqui antes de abordar sua configuração de SMTP.

E-mails de marketing

E-mails de marketing são diferentes. Se você está enviando newsletters, campanhas promocionais ou qualquer e-mail cujo propósito principal seja vender ou promover, você precisa de consentimento explícito do destinatário antes de enviá-lo.

Caixas pré-marcadas não contam. Consentimento agrupado (ocultar permissão de marketing por e-mail dentro dos termos e condições) não conta. O consentimento deve ser livremente dado, específico e fácil de retirar.

Se você envia e-mails de marketing para assinantes da UE, obter o consentimento correto desde o início é onde todo o resto se constrói.

O assinante deve optar ativamente por meio de uma caixa de seleção desmarcada, não pré-marcada. O consentimento deve ser específico para marketing por e-mail, não oculto em um acordo geral de privacidade. E deve ser claramente explicado: de quem eles estão recebendo e-mails e que tipo de e-mails receberão.

Você também precisa ser capaz de provar que o consentimento foi dado. Isso significa registrar quando aconteceu, o que o formulário dizia e onde o assinante se inscreveu. Se você não puder apresentar registros de consentimento durante uma auditoria, é como se o consentimento nunca tivesse existido.

Opt-in duplo

O opt-in duplo não é legalmente exigido pelo GDPR, mas é a abordagem mais defensável. Quando alguém se inscreve, recebe um e-mail de confirmação e só é adicionado à sua lista após clicar para confirmar. Isso cria um rastro de auditoria claro e filtra endereços falsos ou digitados incorretamente.

Cancelar a inscrição deve ser fácil

Retirar o consentimento deve ser tão fácil quanto dá-lo. Cada e-mail de marketing precisa de um link de cancelamento de inscrição funcional. Quando alguém cancela a inscrição, processe prontamente — atrasos são um risco de conformidade e um problema de confiança.

Formulários em seu site

Todo formulário que coleta um endereço de e-mail deve ser claro sobre para que esse endereço será usado. Formulários de contato e formulários de inscrição de newsletter têm propósitos diferentes, portanto, precisam de linguagem de consentimento diferente.

Formulário de consentimento LGPD no WPForms

Se você estiver usando o WPForms, pode adicionar um campo de consentimento GDPR diretamente a qualquer formulário, desabilitar o rastreamento de IP e desativar a coleta de cookies, tudo nas configurações do formulário, sem necessidade de código.

E sua lista de e-mail existente?

Se você construiu sua lista antes que o GDPR entrasse em vigor em 2018 (ou coletou endereços sem um opt-in claro), você pode ter um problema. Consentimento coletado sem linguagem padrão do GDPR (caixa desmarcada, explicação clara do que os assinantes estavam se inscrevendo) não conta.

O caminho mais seguro é uma campanha de re-permissão: envie um e-mail para sua lista existente pedindo às pessoas que optem ativamente novamente e remova quem não o fizer. É desconfortável porque sua lista diminuirá. Mas é melhor do que uma multa, e as pessoas que reconfirmam são muito mais engajadas do que contatos antigos que mal se lembram de se inscrever.

Listas de e-mail compradas

Não as use. O consentimento GDPR deve ser específico para sua organização e pessoas que consentem em ouvir de uma empresa não consentiram em ouvir de você. Você não pode comprar seu caminho para uma lista de mala direta válida sob o GDPR.

Direitos do titular dos dados e tempos de resposta

Sob o GDPR, seus assinantes e clientes têm o direito de acessar, corrigir ou excluir os dados que você possui sobre eles. Quando alguém faz uma solicitação, você tem um mês para responder. Documente cada solicitação e como ela foi tratada, pois este é o tipo de coisa que surge em auditorias.

O que conta como dados pessoais em seus e-mails

Sob o GDPR, dados pessoais são qualquer informação que possa identificar uma pessoa, direta ou indiretamente. Para fins de e-mail, isso inclui:

  • Nomes e endereços de e-mail
  • Endereços IP
  • Histórico de compras vinculado a uma conta
  • Detalhes da conta no corpo do e-mail

Esses dados existem nos seus registros de e-mail, no seu banco de dados e, potencialmente, nos servidores do seu provedor de e-mail. Tudo isso se enquadra no GDPR.

Minimização de dados

O princípio de minimização de dados do GDPR significa que você deve coletar e processar apenas os dados de que realmente precisa. Se o seu formulário de contato não precisa de um número de telefone, não o colete. Em termos de e-mail, não inclua mais informações pessoais em suas mensagens do que a transação exige. Uma confirmação de pedido não precisa repetir todo o histórico da conta do cliente.

Períodos de retenção

Você não pode reter dados pessoais indefinidamente. O GDPR exige que você decida por quanto tempo reterá os dados e os exclua quando não precisar mais deles.

Para listas de marketing por e-mail, isso significa revisar periodicamente os assinantes inativos e remover pessoas que não se engajam há muito tempo. Para registros de e-mail, significa não mantê-los por mais tempo do que o necessário para seus propósitos comerciais. (Mais sobre isso na seção de registros de e-mail abaixo.)

Escolhendo um provedor de e-mail compatível com o GDPR

Esta é a parte que a maioria dos proprietários de sites WordPress ignora. Ao enviar e-mails por meio de um serviço externo, como SendLayer, Amazon SES, Mailgun, Gmail ou qualquer outro provedor SMTP, você está compartilhando dados pessoais com terceiros.

Sob o GDPR, se você transferir dados pessoais para terceiros para processamento, você precisará de um acordo de processamento de dados (DPA) com eles. Um DPA é um contrato que define como o terceiro lidará com esses dados, quais medidas de segurança eles têm em vigor e o que acontece em caso de violação.

A maioria dos provedores de serviços de e-mail respeitáveis oferece DPAs, geralmente em sua documentação de privacidade ou legal. Se um provedor não oferecer um, isso é um sinal de alerta que vale a pena levar a sério.

Onde os dados são armazenados?

Se seus dados de e-mail forem armazenados em servidores fora da UE ou do Reino Unido, a transferência precisa ser legalmente coberta. Alguns provedores têm data centers na UE nos quais você pode optar por usar. Outros dependem de Cláusulas Contratuais Padrão (SCCs) para legitimar transferências de dados. Verifique as opções de residência de dados do seu provedor se isso for uma preocupação para seus usuários.

Quais remetentes mantêm registros?

Muitos remetentes externos mantêm registros de e-mails enviados por meio de seu serviço. Esses registros contêm dados pessoais. Sob o direito ao esquecimento do GDPR, se um usuário solicitar que você exclua seus dados, você precisará ser capaz de lidar com isso em todos os sistemas, incluindo seu remetente.

Saiba quais de seus remetentes mantêm registros e como excluí-los, se necessário. Nossos documentos de conformidade GDPR do WP Mail SMTP cobrem os principais remetentes e seu comportamento de registro.

Requisitos técnicos: criptografia, autenticação e notificação de violação

O GDPR exige que os dados pessoais sejam mantidos seguros, inclusive em trânsito. Para e-mail, isso significa duas coisas.

Criptografia TLS

Seus e-mails devem ser enviados por meio de conexões TLS (Transport Layer Security). Isso criptografa o e-mail em trânsito para que ele não possa ser interceptado.

A função padrão wp_mail() do WordPress não garante criptografia TLS. Ao usar o WP Mail SMTP com um remetente respeitável, os e-mails são enviados por meio de conexões seguras e criptografadas por padrão.

Autenticação de e-mail: SPF, DKIM e DMARC

A autenticação de e-mail não é apenas um recurso de entregabilidade, é um recurso de segurança e conformidade. Esses três protocolos verificam se os e-mails que afirmam vir do seu domínio realmente se originaram de você, protegendo seu domínio contra falsificação.

  • O SPF informa aos servidores de e-mail receptores quais servidores estão autorizados a enviar e-mails em nome do seu domínio.
  • O DKIM adiciona uma assinatura criptográfica a cada e-mail, provando que ele não foi alterado durante o trânsito.
  • O DMARC define uma política para o que acontece quando os e-mails falham nas verificações SPF ou DKIM e envia relatórios para que você possa monitorar o que está sendo enviado em seu nome.

Sem autenticação adequada, alguém poderia enviar e-mails que parecem vir do seu domínio — fazendo phishing com seus clientes usando sua marca. Isso é uma falha de segurança e uma potencial violação do GDPR, pois coloca os dados de seus usuários em risco.

Verificar registro DMARC

Para um guia completo de configuração, consulte nosso guia sobre DMARC, SPF e DKIM.

Notificação de violação de dados

Se o seu sistema de e-mail for comprometido e dados pessoais forem expostos, o GDPR exige que você notifique sua autoridade supervisora nacional dentro de 72 horas após tomar conhecimento da violação. Se a violação provavelmente causar alto risco às pessoas afetadas, você também precisará notificá-las diretamente.

É por isso que a segurança técnica não é opcional. Autenticação fraca, conexões não criptografadas e plugins desatualizados criam responsabilidades, não apenas problemas de entregabilidade. Mantenha o WP Mail SMTP e seu provedor de e-mail escolhido atualizados e use o teste de e-mail integrado para verificar se sua autenticação está funcionando corretamente.

Por que o e-mail padrão do WordPress falha em ambas as contagens

O WordPress usa a função mail() do PHP por padrão. Isso envia e-mails diretamente do seu servidor web, sem autenticação garantida e, muitas vezes, sem TLS. E-mails enviados dessa forma falham em chegar com mais frequência do que você imagina — o que significa que seus e-mails transacionais legalmente exigidos (redefinições de senha, pedidos do WooCommerce) podem nunca chegar aos seus usuários.

O WP Mail SMTP substitui isso por uma conexão SMTP adequada através do seu provedor de e-mail escolhido, com criptografia e autenticação configuradas corretamente.

Corrija seus e-mails do WordPress agora

Logs de e-mail e o direito ao esquecimento

O GDPR concede às pessoas o direito de ter seus dados pessoais excluídos: o "direito ao esquecimento".

Se um usuário solicitar a exclusão de seus dados, você precisará lidar com isso em toda a sua configuração de e-mail:

  • Seu banco de dados WordPress (contas de clientes, entradas de formulário, registros de pedidos)
  • Sua lista de marketing por e-mail
  • Logs de e-mail armazenados pelo WP Mail SMTP
  • Logs mantidos pelo seu serviço de provedor de e-mail

O WP Mail SMTP Pro inclui um log de e-mail que registra o que foi enviado, quando e para quem. Isso é útil para documentação de conformidade, pois cria uma trilha de auditoria, mas também significa que você precisa de uma política de retenção para os próprios dados do log.

Você pode configurar o WP Mail SMTP para purgar automaticamente os logs após um período definido ou excluir manualmente registros ao lidar com solicitações individuais de exclusão.

Como configurar o WP Mail SMTP para conformidade com o GDPR

Aqui está um guia passo a passo das configurações do WP Mail SMTP que importam para a conformidade com o GDPR.

As etapas 1 e 2 abaixo para conectar um remetente e enviar um e-mail de teste estão disponíveis na versão gratuita do WP Mail SMTP. As etapas 3 a 6 (registro de e-mail, exclusão de dados, controles de e-mail e roteamento inteligente) exigem o WP Mail SMTP Pro.

Obtenha o WP Mail SMTP Pro

Etapa 1: Conecte um remetente compatível com o GDPR

Se você ainda estiver usando o mail() padrão do PHP do WordPress, a primeira etapa é conectar um remetente adequado. O WP Mail SMTP suporta todos os principais provedores: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook e outros.

No seu painel do WordPress, vá para WP Mail SMTP > Configurações > Geral.

Escolhendo um provedor de e-mail compatível com o GDPR

Em Conexão Principal, selecione seu remetente e siga as etapas de configuração. Cada remetente se conecta via API ou credenciais SMTP, e o WP Mail SMTP o orienta durante o processo.

Uma vez conectado, seus e-mails passam por uma conexão SMTP adequada e autenticada em vez do e-mail PHP.

Antes de escolher seu remetente: Verifique se o seu provedor oferece um acordo de processamento de dados. A maioria dos principais provedores (SendLayer, Amazon SES, Mailgun, Brevo) oferece. Se você estiver usando Gmail ou Google Workspace, os termos de processamento de dados do Google se aplicam.

Etapa 2: Envie um e-mail de teste e verifique sua configuração

Após conectar seu remetente, vá para WP Mail SMTP > Ferramentas > Teste de E-mail e envie um teste para seu próprio endereço de e-mail.

aba de e-mail de teste

Verifique se o e-mail chegou e, em seguida, abra os cabeçalhos do e-mail (no Gmail: três pontos > Mostrar original; no Outlook: Arquivo > Propriedades) e procure por:

  • DKIM-Signature — confirma que o DKIM está passando
  • spf=pass — confirma que o SPF está passando
  • dmarc=pass — confirma que o DMARC está passando

Se algum desses estiver ausente ou falhando, a página de resultados do Teste de E-mail do WP Mail SMTP sinalizará o problema e dirá o que corrigir.

Etapa 3: Configure o registro de e-mail

Recurso do WP Mail SMTP Pro. O registro de e-mail está disponível nos planos Pro e superiores. Atualize para Pro →

O registro de e-mail do WP Mail SMTP Pro oferece um registro completo de todos os e-mails que seu site envia — essencial para documentação de conformidade.

Vá para WP Mail SMTP > Registro de E-mail para ver o registro. Em WP Mail SMTP > Configurações > Registros, você pode configurar:

  • Registrar e-mails — ative para começar a gravar
  • Registrar conteúdo do e-mail — grava o corpo completo do e-mail (útil para conformidade, mas considere suas obrigações de minimização de dados)
  • Período de retenção — defina por quantos dias os registros são mantidos antes da exclusão automática
Logs de e-mail do WP Mail SMTP

Defina um período de retenção que reflita suas necessidades reais de negócios. Manter registros indefinidamente não está em conformidade — escolha um período, documente-o em sua política de privacidade e cumpra-o.

Etapa 4: Lide com solicitações de exclusão de dados

Requer registro de e-mail (Pro). Você só pode pesquisar e excluir registros de e-mail se o registro estiver ativado.

Quando um usuário exercer seu direito de exclusão, você precisará excluir os registros de e-mail do log do WP Mail SMTP.

Em WP Mail SMTP > Registro de E-mail, pesquise o endereço de e-mail do usuário, selecione os registros dele e use a opção de exclusão em massa para removê-los.

Excluir registros de e-mail em massa

Certifique-se de também lidar com a exclusão no nível do seu provedor de e-mail. Verifique a documentação do seu provedor para saber como excluir registros de e-mail enviados.

Etapa 5: Revise seus controles de e-mail

Recurso do WP Mail SMTP Pro. Os Controles de E-mail estão disponíveis nos planos Pro e superiores. Atualize para Pro →

O recurso de Controles de E-mail do WP Mail SMTP Pro permite gerenciar quais tipos de e-mails o WordPress envia do seu site e através de qual conexão.

Vá para WP Mail SMTP > Configurações > Controles de E-mail para ver uma lista de tipos de e-mail por plugin e pelo núcleo do WordPress — e-mails de pedidos do WooCommerce, notificações de comentários, registro de usuários e muito mais.

Controles de e-mail

Isso é útil para conformidade de duas maneiras:

  1. Você pode desabilitar tipos de e-mail que seu site não precisa (minimização de dados, ou seja, se você não está usando um recurso, não envie seus e-mails).
  2. Você pode rotear diferentes tipos de e-mail através de diferentes provedores, por exemplo, e-mails transacionais do WooCommerce através do SendLayer e notificações de conta separadas através de uma conexão diferente.

Etapa 6: Configure uma conexão de backup

Recurso do WP Mail SMTP Pro. O Roteamento Inteligente e as conexões de backup estão disponíveis nos planos Pro e superiores. Atualize para Pro →

O Roteamento Inteligente do WP Mail SMTP Pro permite definir uma conexão de backup que é ativada automaticamente se o seu provedor principal falhar. Isso é importante para o GDPR, pois se o seu e-mail de redefinição de senha não chegar, os usuários não poderão acessar suas contas — e isso é uma falha de serviço com implicações de privacidade.

Vá para WP Mail SMTP > Configurações > Conexões para adicionar uma conexão de backup e configurar o Roteamento Inteligente.

Configurando uma conexão de backup WP Mail SMTP

Etapa 7: Verifique a documentação GDPR do seu provedor de e-mail

Depois que seu provedor de e-mail estiver conectado, reserve 10 minutos para localizar e revisar a documentação GDPR/DPA dele. Você precisa confirmar:

  • Um acordo de processamento de dados está disponível (e aceite-o, se necessário)
  • Você sabe onde os dados são armazenados e se eles saem da UE/Reino Unido
  • Você entende as configurações de retenção de log dele e como excluir logs, se necessário

Os provedores mais populares e onde encontrar a documentação DPA deles:

ProvedorDocumentação DPA
SendLayerDisponível na documentação de privacidade deles
Amazon SESAdendo de Processamento de Dados da AWS
MailgunDisponível nos termos legais da Sinch/Mailgun
BrevoDisponível na documentação GDPR deles
Google WorkspaceGoogle Workspace DPA (aceito automaticamente com os termos do Workspace)

Lista de verificação de conformidade de e-mail com o GDPR

Use isso para auditar sua configuração atual.

Consentimento e listas

  • ☐ E-mails de marketing só vão para pessoas que optaram ativamente
  • ☐ Registros de consentimento são armazenados (quando, onde, com o que concordaram)
  • ☐ Todo e-mail de marketing tem um link de cancelamento de inscrição funcional
  • ☐ Cancelamentos são processados prontamente
  • ☐ Assinantes inativos são revisados periodicamente

Manuseio de dados

  • ☐ Política de privacidade está atualizada e vinculada em seus e-mails
  • ☐ Você coleta apenas os campos de dados que realmente precisa
  • ☐ Você tem uma política definida de retenção de dados e a segue
  • ☐ Você pode responder a solicitações de acesso e exclusão de dados em até um mês

Configuração técnica

  • ☐ E-mails do WordPress passam pelo WP Mail SMTP (não pelo PHP mail)
  • ☐ E-mails são enviados via criptografia TLS
  • ☐ Registros SPF, DKIM e DMARC estão configurados e passando
  • ☐ Retenção de log de e-mail está configurada no WP Mail SMTP
  • ☐ Você sabe quais remetentes mantêm logs e como excluir registros

Remetentes de terceiros

  • ☐ Você tem um DPA com seu provedor de serviços de e-mail
  • ☐ Você sabe onde seu remetente armazena os dados e se eles saem da UE/Reino Unido
Obter WP Mail SMTP

Perguntas Frequentes

O GDPR se aplica se eu não estiver baseado na UE?

Sim. Se você tem visitantes ou clientes que residem na UE ou no EEE, o GDPR se aplica a como você lida com os dados deles, independentemente de onde sua empresa esteja localizada.

Não, geralmente não. E-mails transacionais como confirmações de pedido, redefinições de senha e notificações de envio são cobertos por "interesse legítimo" ou "execução de contrato". Você não precisa de consentimento de marketing separado para eles. Mas mantenha-os estritamente transacionais, pois adicionar conteúdo promocional muda o cenário.

Um endereço de e-mail é considerado dado pessoal sob o GDPR?

Sim. Um endereço de e-mail que possa identificar um indivíduo é um dado pessoal. O mesmo vale para um nome, um endereço IP e qualquer histórico de compras associado a uma conta.

O que é um acordo de processamento de dados?

Um DPA é um contrato entre você e qualquer terceiro que processe dados pessoais em seu nome. Se você usa um serviço SMTP externo ou plataforma de e-mail para enviar e-mails, você precisa de um DPA com eles. A maioria dos provedores respeitáveis oferece esses em sua documentação legal ou de privacidade.

O WP Mail SMTP armazena dados pessoais nos servidores da Awesome Motive?

Não. O WP Mail SMTP armazena todos os dados do plugin em seu próprio site. A Awesome Motive não retém seus dados de e-mail.

O que acontece se eu não cumprir o GDPR?

As multas podem chegar a € 20 milhões ou 4% do faturamento anual global, o que for maior. Na prática, a fiscalização geralmente começa com um aviso ou repreensão antes de escalar para penalidades financeiras. O risco mais imediato para a maioria das pequenas empresas é o dano à confiança do cliente.

Não é estritamente necessário para e-mails puramente transacionais, pois eles não são enviados com base em consentimento. Incluir um link para sua política de privacidade em todos os rodapés de e-mail é uma prática recomendada.

Posso usar o Gmail como meu serviço de e-mail do WordPress?

Sim, mas verifique os termos de processamento de dados do Google se você tiver usuários da UE. O Gmail e o Google Workspace processam dados nos servidores do Google. Para envio de alto volume, um serviço de e-mail transacional dedicado como o SendLayer é mais confiável e fácil de manter documentado para o GDPR.

O GDPR se aplica a e-mails B2B?

Sim. Endereços de e-mail de trabalho como [email protected] identificam um indivíduo, portanto, contam como dados pessoais. As regras são um pouco mais sutis para B2B. O interesse legítimo é mais defensável ao enviar e-mails para contatos comerciais sobre produtos ou serviços relevantes, mas o consentimento ainda é a abordagem mais segura. Em caso de dúvida, obtenha opt-in explícito.

Posso usar uma lista de e-mails comprada?

Não. O consentimento do GDPR deve ser específico para sua organização e as pessoas que consentem em receber e-mails de outra empresa não consentiram em receber e-mails de você. Você não pode comprar uma lista de mala direta válida sob o GDPR.

O que devo fazer com uma lista de e-mails antiga coletada antes do GDPR?

Se sua lista foi criada sem consentimento padrão do GDPR (caixa de opt-in desmarcada, explicação clara do que as pessoas estavam se inscrevendo), você está em território incerto. A opção mais segura é uma campanha de repermissionamento: envie um e-mail para a lista explicando o que você envia e pedindo às pessoas que optem ativamente novamente, em seguida, remova qualquer pessoa que não responda. Sua lista encolherá, mas os contatos restantes estarão em conformidade e significativamente mais engajados.

Qual é a diferença entre GDPR e CAN-SPAM?

CAN-SPAM é a lei federal dos EUA que rege o e-mail comercial. Ela permite marketing de opt-out: você pode enviar até que alguém peça para você parar. O GDPR exige consentimento de opt-in antes de enviar seu primeiro e-mail de marketing. Se você tiver visitantes da UE, a conformidade apenas com as leis dos EUA não é suficiente. O GDPR se aplica adicionalmente.

O que acontece se meu provedor de e-mail for hackeado?

Se uma violação expuser dados pessoais, o GDPR exige que você notifique sua autoridade supervisora nacional dentro de 72 horas. Se houver alto risco para as pessoas afetadas, você também precisa notificá-las diretamente. É por isso que manter seu plugin e serviço de e-mail atualizados, e ter um DPA em vigor com seu provedor, é importante — o DPA deve definir as obrigações de cada parte em caso de violação.

Este guia cobre o lado do envio de e-mails da conformidade com o GDPR. Para conformidade completa do WordPress com o GDPR, incluindo cookies, análises e políticas de privacidade, consulte o guia definitivo de conformidade do WordPress e GDPR do WPBeginner.

Em seguida, Maximize Sua Entregabilidade de E-mail

Tornar seus e-mails compatíveis com o GDPR é metade da história. A outra metade é garantir que eles realmente cheguem à caixa de entrada. A mesma configuração técnica que protege sua conformidade (autenticação adequada, um serviço de e-mail confiável, conexões criptografadas) também tem um grande impacto se seus e-mails chegam à caixa de entrada ou à pasta de spam. Se você quiser ir mais longe, nosso guia sobre melhores práticas de entregabilidade de e-mail do WordPress cobre tudo, desde reputação do remetente e higiene da lista até subdomínios e segmentação.

Pronto para corrigir seus e-mails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se você não tem tempo para corrigir seus e-mails, pode obter assistência completa de Configuração White Glove como uma compra adicional, e há uma garantia de devolução do dinheiro em 14 dias para todos os planos pagos.

Se este artigo ajudou você, por favor, siga-nos no Facebook e Twitter para mais dicas e tutoriais do WordPress.

Aviso: Nosso conteúdo é sustentado pelos leitores. Isso significa que, se você clicar em alguns de nossos links, poderemos ganhar uma comissão. Veja como o WPForms é financiado, por que isso importa e como você pode nos apoiar.

Rachel Adnyana

Rachel escreve sobre WordPress há uma década e constrói sites há muito mais tempo. Além do desenvolvimento web, ela é fascinada pela arte e ciência de SEO e marketing digital. Saiba Mais

Experimente nosso plugin gratuito WP Mail SMTP

Use seu provedor SMTP favorito para enviar seus e-mails do WordPress de forma confiável.