Resumo de IA
Se o seu site WordPress tem visitantes da UE, está sujeito ao RGPD, quer saiba ou não, e quer o seu negócio esteja sediado na Europa ou não.
A maioria das guias sobre RGPD e WordPress foca-se em banners de cookies e políticas de privacidade. Essas coisas importam, mas há um lado inteiro da conformidade que recebe muito menos atenção: os e-mails que o seu site envia.
Todas as vezes que o WordPress envia um reenvio de palavra-passe, uma confirmação de encomenda WooCommerce, ou uma newsletter, está a processar dados pessoais. Isso significa que o RGPD se aplica.
A boa notícia é que a maior parte do que precisa de fazer é simples, uma vez que compreenda as regras. Este guia cobre tudo: o que o RGPD exige para e-mails, a diferença entre e-mails transacionais e de marketing, consentimento, tratamento de dados, escolha do serviço de envio de e-mails, e a configuração técnica que o mantém em conformidade, incluindo como configurar o WP Mail SMTP para cada requisito.
Nota: Isto não é aconselhamento jurídico. A conformidade com o RGPD depende da sua situação específica. Se tiver preocupações, fale com um advogado qualificado.
- O RGPD aplica-se aos seus e-mails do WordPress?
- Os dois tipos de e-mails que o seu site envia
- Dica para utilizadores do WooCommerce
- Como recolher consentimento de e-mail corretamente
- O que conta como dados pessoais nos seus e-mails
- Escolher um serviço de envio de e-mails compatível com o RGPD
- Requisitos técnicos: encriptação, autenticação e notificação de violação
- Registos de e-mail e o direito à eliminação
- Como configurar o WP Mail SMTP para conformidade com o RGPD
- Lista de verificação de conformidade de e-mail com o RGPD
- FAQs
O RGPD aplica-se aos seus e-mails do WordPress?
Sim, se algum dos visitantes do seu site for residente da UE ou do EEE, o RGPD aplica-se à forma como trata os seus dados, incluindo o seu endereço de e-mail.
Isto não se limita a empresas da UE. Uma loja WooCommerce nos EUA, um site de membros na Austrália, uma empresa de plugins no Canadá: se tiver clientes da UE, o RGPD abrange como processa os seus dados pessoais.
Um endereço de e-mail é um dado pessoal ao abrigo do RGPD. Tal como um nome. Tal como um endereço IP. Quando o seu site envia um e-mail para um cliente ou assinante, está a processar esses dados.
Dito isto, o RGPD não o impede de enviar e-mails. Significa que precisa de uma base legal para o fazer, e as regras diferem dependendo do tipo de e-mail que está a enviar.
A fiscalização é real e está a aumentar. A autoridade espanhola de proteção de dados, por si só, emitiu mais de 1.000 multas desde que o RGPD entrou em vigor, e as violações de marketing por e-mail são um alvo constante. O Google foi multado em 50 milhões de euros em França por falhas de consentimento. Um serviço postal austríaco foi multado em 9,5 milhões de euros por não tratar adequadamente os pedidos de direitos dos titulares de dados. Estes não são casos extremos, mas sim os tipos de violações que ocorrem quando o tratamento de dados não acompanhou as regras.
Se for proprietário de um site sediado nos EUA, também vale a pena saber que o RGPD é significativamente mais rigoroso do que o CAN-SPAM, a lei federal dos EUA que rege o e-mail comercial. O CAN-SPAM permite o marketing de exclusão (pode enviar e-mails às pessoas até que elas se desinscrevam). O RGPD exige consentimento de inclusão antes de enviar. Se tiver visitantes da UE, a conformidade apenas com as leis dos EUA não é suficiente.
Os dois tipos de e-mails que o seu site envia
O seu site WordPress envia dois tipos fundamentalmente diferentes de e-mails, e o RGPD trata-os de forma diferente.
E-mails transacionais
Os e-mails transacionais são acionados por algo que o utilizador faz. Confirmações de encomenda, notificações de envio, redefinições de palavra-passe, alertas de conta, respostas a formulários de contacto. Estes e-mails são esperados e os utilizadores querem recebê-los.
Ao abrigo do RGPD, geralmente não necessita de consentimento separado para enviar e-mails transacionais. A base legal é "execução de um contrato" (o utilizador comprou algo, pelo que está a completar essa transação) ou "interesse legítimo" (enviar uma redefinição de palavra-passe está claramente no interesse do utilizador).
Mas há um senão. No momento em que adiciona conteúdo promocional, como recomendações de produtos, códigos de desconto e secções "pode também gostar", alterou a natureza do e-mail e pode necessitar de consentimento para essa parte.
A abordagem mais segura é manter os e-mails transacionais estritamente transacionais. Se quiser fazer marketing aos clientes após uma compra, utilize um e-mail separado com o consentimento adequado em vigor.
Para uma análise mais aprofundada das regras relativas a e-mails transacionais, consulte o nosso guia completo sobre as melhores práticas do RGPD para e-mails transacionais.
E-mails de marketing
Os e-mails de marketing são diferentes. Se estiver a enviar newsletters, campanhas promocionais ou qualquer e-mail cujo objetivo principal seja vender ou promover, necessita de consentimento explícito do destinatário antes de o enviar.
As caixas pré-selecionadas não contam. O consentimento agrupado (ocultar a permissão de marketing por e-mail nos termos e condições) não conta. O consentimento tem de ser livremente dado, específico e fácil de retirar.
Como recolher consentimento de e-mail corretamente
Se enviar e-mails de marketing para subscritores da UE, obter o consentimento correto desde o início é onde todo o resto se constrói.
O que constitui consentimento válido
O assinante tem de consentir ativamente assinalando uma caixa não assinalada, não uma pré-assinalada. O consentimento tem de ser específico para marketing por e-mail, não estar oculto num acordo geral de privacidade. E tem de ser claramente explicado: de quem vão receber e-mails e que tipo de e-mails receberão.
Também precisa de ser capaz de provar que o consentimento foi dado. Isso significa registar quando aconteceu, o que o formulário dizia e onde o assinante se inscreveu. Se não conseguir apresentar registos de consentimento durante uma auditoria, é como se o consentimento nunca tivesse existido.
Duplo consentimento
O duplo consentimento não é legalmente exigido pelo RGPD, mas é a abordagem mais defensável. Quando alguém se inscreve, recebe um e-mail de confirmação e só é adicionado à sua lista após clicar para confirmar. Isto cria um rasto de auditoria claro e filtra endereços falsos ou mal digitados.
Cancelar a subscrição tem de ser fácil
Retirar o consentimento deve ser tão fácil quanto dá-lo. Todos os e-mails de marketing precisam de um link de cancelamento de subscrição funcional. Quando alguém cancela a subscrição, processe-o prontamente — atrasos são um risco de conformidade e um problema de confiança.
Formulários no seu site
Todos os formulários que recolhem um endereço de e-mail precisam de ser claros sobre para que será utilizado esse endereço. Formulários de contacto e formulários de inscrição de newsletters têm propósitos diferentes, pelo que precisam de linguagem de consentimento diferente.
Se estiver a usar o WPForms, pode adicionar um campo de consentimento RGPD diretamente a qualquer formulário, desativar o rastreamento de IP e desativar a recolha de cookies, tudo a partir das definições do formulário, sem necessidade de código.
E a sua lista de e-mail existente?
Se construiu a sua lista antes de o RGPD entrar em vigor em 2018 (ou recolheu endereços sem um consentimento claro), pode ter um problema. O consentimento recolhido sem linguagem padrão do RGPD (caixa não assinalada, explicação clara do que os assinantes estavam a subscrever) não conta.
O caminho mais seguro é uma campanha de reautorização: envie um e-mail para a sua lista existente pedindo às pessoas que consintam ativamente novamente, e remova quem não o fizer. É desconfortável porque a sua lista encolherá. Mas é melhor do que uma multa, e as pessoas que reconfirmam estão muito mais envolvidas do que contactos antigos que mal se lembram de se inscrever.
Listas de e-mail compradas
Não as use. O consentimento RGPD tem de ser específico para a sua organização e as pessoas que consentem em ouvir de uma empresa não consentiram em ouvir de si. Não pode comprar o seu caminho para uma lista de correio válida sob o RGPD.
Direitos do titular dos dados e prazos de resposta
Sob o RGPD, os seus assinantes e clientes têm o direito de aceder, corrigir ou eliminar os dados que detém sobre eles. Quando alguém faz um pedido, tem um mês para responder. Documente todos os pedidos e como foram tratados, pois este é o tipo de coisa que surge em auditorias.
O que conta como dados pessoais nos seus e-mails
Sob o RGPD, dados pessoais são qualquer informação que possa identificar uma pessoa, direta ou indiretamente. Para fins de e-mail, isso inclui:
- Nomes e endereços de e-mail
- Endereços IP
- Histórico de compras associado a uma conta
- Detalhes da conta no corpo do e-mail
Estes dados existem nos seus registos de e-mail, na sua base de dados e, potencialmente, nos servidores do seu fornecedor de e-mail. Tudo isto está abrangido pelo RGPD.
Minimização de dados
O princípio da minimização de dados do RGPD significa que só deve recolher e processar os dados de que realmente necessita. Se o seu formulário de contacto não necessita de um número de telefone, não o recolha. Em termos de e-mail, não inclua mais informações pessoais nas suas mensagens do que as exigidas pela transação. Uma confirmação de encomenda não precisa de repetir todo o histórico de conta do cliente.
Períodos de retenção
Não pode manter dados pessoais indefinidamente. O RGPD exige que decida por quanto tempo irá reter os dados e que os elimine quando já não forem necessários.
Para listas de marketing por e-mail, isto significa rever periodicamente os subscritores inativos e remover pessoas que não interagem há muito tempo. Para registos de e-mail, significa não os manter por mais tempo do que o necessário para os seus fins comerciais. (Mais sobre isto na secção de registos de e-mail abaixo.)
Escolher um serviço de envio de e-mails compatível com o RGPD
Esta é a parte que a maioria dos proprietários de sites WordPress ignora. Quando envia e-mails através de um serviço externo como SendLayer, Amazon SES, Mailgun, Gmail ou qualquer outro fornecedor SMTP, está a partilhar dados pessoais com um terceiro.
Ao abrigo do RGPD, se transferir dados pessoais para um terceiro para processamento, necessita de um acordo de processamento de dados (DPA) com eles. Um DPA é um contrato que estabelece como o terceiro irá manusear esses dados, que medidas de segurança têm em vigor e o que acontece em caso de violação.
A maioria dos fornecedores de serviços de e-mail reputados oferece DPAs, geralmente na sua documentação de privacidade ou legal. Se um fornecedor não oferecer um, isso é um sinal de alerta que vale a pena levar a sério.
Onde são armazenados os dados?
Se os seus dados de e-mail forem armazenados em servidores fora da UE ou do Reino Unido, a transferência precisa de ser legalmente coberta. Alguns fornecedores têm centros de dados na UE nos quais pode optar por aderir. Outros dependem de Cláusulas Contratuais Padrão (SCCs) para legitimar as transferências de dados. Verifique as opções de residência de dados do seu fornecedor se isto for uma preocupação para os seus utilizadores.
Quais os remetentes que mantêm registos?
Muitos remetentes externos mantêm registos de e-mails enviados através do seu serviço. Estes registos contêm dados pessoais. Ao abrigo do direito ao apagamento do RGPD, se um utilizador lhe pedir para apagar os seus dados, tem de ser capaz de o fazer em todos os sistemas — incluindo o seu remetente.
Saiba quais dos seus remetentes mantêm registos e como eliminá-los, se necessário. A nossa documentação de conformidade RGPD do WP Mail SMTP abrange os principais remetentes e o seu comportamento de registo.
Requisitos técnicos: encriptação, autenticação e notificação de violação
O RGPD exige que os dados pessoais sejam mantidos seguros, inclusive quando estão em trânsito. Para e-mail, isto significa duas coisas.
Criptografia TLS
Os seus e-mails devem ser enviados através de ligações TLS (Transport Layer Security). Isto encripta o e-mail em trânsito para que não possa ser intercetado.
A função padrão wp_mail() do WordPress não garante a encriptação TLS. Quando utiliza o WP Mail SMTP com um remetente reputado, os e-mails são enviados através de ligações seguras e encriptadas por defeito.
Autenticação de e-mail: SPF, DKIM e DMARC
A autenticação de e-mail não é apenas uma funcionalidade de entregabilidade, é uma de segurança e conformidade. Estes três protocolos verificam que os e-mails que afirmam vir do seu domínio realmente se originaram consigo, protegendo o seu domínio de ser falsificado.
- O SPF informa aos servidores de e-mail recetores quais servidores estão autorizados a enviar e-mails em nome do seu domínio.
- O DKIM adiciona uma assinatura criptográfica a cada e-mail, provando que não foi alterado durante o trânsito.
- O DMARC define uma política para o que acontece quando os e-mails falham nas verificações SPF ou DKIM, e envia relatórios para que possa monitorizar o que está a ser enviado em seu nome.
Sem autenticação adequada, alguém poderia enviar e-mails que parecem vir do seu domínio — fazendo phishing aos seus clientes usando a sua marca. Isso é uma falha de segurança e uma potencial violação do GDPR, porque coloca os dados dos seus utilizadores em risco.
Para um guia completo de configuração, consulte o nosso guia sobre DMARC, SPF e DKIM.
Notificação de violação de dados
Se o seu sistema de e-mail for comprometido e dados pessoais forem expostos, o GDPR exige que notifique a sua autoridade supervisora nacional no prazo de 72 horas após ter conhecimento da violação. Se a violação for suscetível de causar um risco elevado às pessoas afetadas, também precisa de as notificar diretamente.
É por isso que a segurança técnica não é opcional. Autenticação fraca, ligações não encriptadas e plugins desatualizados criam responsabilidades, não apenas problemas de entregabilidade. Mantenha o WP Mail SMTP e o seu serviço de e-mail escolhido atualizados, e utilize o teste de e-mail integrado para verificar se a sua autenticação está a funcionar corretamente.
Por que o e-mail padrão do WordPress falha em ambas as contagens
O WordPress utiliza a função mail() do PHP por defeito. Isto envia e-mails diretamente do seu servidor web, sem autenticação garantida e muitas vezes sem TLS. E-mails enviados desta forma falham em chegar mais vezes do que pensa — o que significa que os seus e-mails transacionais legalmente exigidos (redefinições de palavra-passe, encomendas WooCommerce) podem nunca chegar aos seus utilizadores.
O WP Mail SMTP substitui isto por uma ligação SMTP adequada através do seu serviço de e-mail escolhido, com encriptação e autenticação configuradas corretamente.
Corrija os Seus Emails do WordPress Agora
Registos de e-mail e o direito à eliminação
O GDPR concede às pessoas o direito de ter os seus dados pessoais eliminados: o "direito a ser esquecido".
Se um utilizador solicitar a eliminação dos seus dados, precisa de a tratar em toda a sua configuração de e-mail:
- A sua base de dados WordPress (contas de clientes, entradas de formulários, registos de encomendas)
- A sua lista de marketing por e-mail
- Registos de e-mail armazenados pelo WP Mail SMTP
- Registos mantidos pelo seu serviço de e-mail
O WP Mail SMTP Pro inclui um registo de e-mail que regista o que foi enviado, quando e para quem. Isto é útil para documentação de conformidade, pois cria um rasto de auditoria, mas também significa que precisa de uma política de retenção para os próprios dados do registo.
Pode configurar o WP Mail SMTP para purgar automaticamente os registos após um período definido, ou eliminar manualmente os registos ao tratar de pedidos individuais de apagamento.
Como configurar o WP Mail SMTP para conformidade com o RGPD
Aqui está um guia passo a passo das definições do WP Mail SMTP que importam para a conformidade com o GDPR.
Os passos 1 e 2 abaixo para conectar um remetente e enviar um e-mail de teste estão disponíveis na versão gratuita do WP Mail SMTP. Os passos 3 a 6 (registo de e-mails, eliminação de dados, controlos de e-mail e encaminhamento inteligente) requerem o WP Mail SMTP Pro.
Passo 1: Conectar um remetente compatível com o RGPD
Se ainda estiver a usar o e-mail PHP predefinido do WordPress, o primeiro passo é conectar um remetente adequado. O WP Mail SMTP suporta os principais fornecedores: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook e outros.
No seu painel do WordPress, vá a WP Mail SMTP > Definições > Geral.
Em Conexão Principal, selecione o seu remetente e siga os passos de configuração. Cada remetente conecta-se através de API ou credenciais SMTP, e o WP Mail SMTP guia-o através do processo.
Uma vez conectado, os seus e-mails passam por uma conexão SMTP adequada e autenticada em vez de e-mail PHP.
Antes de escolher o seu remetente: Verifique se o seu fornecedor oferece um acordo de processamento de dados. A maioria dos principais fornecedores (SendLayer, Amazon SES, Mailgun, Brevo) oferece. Se estiver a usar Gmail ou Google Workspace, aplicam-se os termos de processamento de dados do Google.
Passo 2: Enviar um e-mail de teste e verificar a sua configuração
Após conectar o seu remetente, vá a WP Mail SMTP > Ferramentas > Teste de E-mail e envie um teste para o seu próprio endereço de e-mail.
Verifique se o e-mail chega, depois abra os cabeçalhos do e-mail (no Gmail: três pontos > Mostrar original; no Outlook: Ficheiro > Propriedades) e procure por:
- DKIM-Signature — confirma que o DKIM está a passar
- spf=pass — confirma que o SPF está a passar
- dmarc=pass — confirma que o DMARC está a passar
Se algum destes estiver em falta ou a falhar, a página de resultados do Teste de E-mail do WP Mail SMTP assinalará o problema e dir-lhe-á o que corrigir.
Passo 3: Configurar o registo de e-mails
Funcionalidade do WP Mail SMTP Pro. O registo de e-mails está disponível nos planos Pro e superiores. Atualizar para Pro →
O registo de e-mails do WP Mail SMTP Pro fornece um registo completo de todos os e-mails que o seu site envia — essencial para documentação de conformidade.
Vá a WP Mail SMTP > Registo de E-mail para ver o registo. Em WP Mail SMTP > Definições > Registos, pode configurar:
- Registar e-mails — ativar para começar a gravar
- Registar conteúdo do e-mail — grava o corpo completo do e-mail (útil para conformidade, mas considere as suas obrigações de minimização de dados)
- Período de retenção — defina quantos dias os registos são mantidos antes da eliminação automática
Defina um período de retenção que reflita as suas necessidades de negócio reais. Manter registos indefinidamente não é compatível — escolha um período, documente-o na sua política de privacidade e cumpra-o.
Passo 4: Lidar com pedidos de eliminação de dados
Requer registo de e-mails (Pro). Só pode pesquisar e eliminar registos de e-mail se o registo estiver ativado.
Quando um utilizador exerce o seu direito de apagamento, terá de eliminar os seus registos de e-mail do registo do WP Mail SMTP.
Em WP Mail SMTP > Registo de E-mails, procure o endereço de e-mail do utilizador, selecione os seus registos e utilize a opção de eliminação em massa para os remover.
Certifique-se de que também lida com a eliminação ao nível do seu serviço de e-mail. Consulte a documentação do seu serviço de e-mail para saber como eliminar registos de e-mails enviados.
Passo 5: Reveja os seus controlos de e-mail
Funcionalidade do WP Mail SMTP Pro. Os Controlos de E-mail estão disponíveis nos planos Pro e superiores. Atualizar para Pro →
A funcionalidade de Controlos de E-mail do WP Mail SMTP Pro permite-lhe gerir que tipos de e-mails o WordPress envia do seu site e através de qual ligação.
Aceda a WP Mail SMTP > Definições > Controlos de E-mail para ver uma lista de tipos de e-mail por plugin e pelo núcleo do WordPress — e-mails de encomenda do WooCommerce, notificações de comentários, registo de utilizadores e muito mais.
Isto é útil para conformidade de duas formas:
- Pode desativar tipos de e-mail que o seu site não necessita (minimização de dados, ou seja, se não está a usar uma funcionalidade, não envie os seus e-mails).
- Pode encaminhar diferentes tipos de e-mail através de diferentes serviços de e-mail, por exemplo, e-mails transacionais do WooCommerce através do SendLayer e notificações de conta separadas através de uma ligação diferente.
Passo 6: Configurar uma ligação de reserva
Funcionalidade do WP Mail SMTP Pro. O Encaminhamento Inteligente e as ligações de reserva estão disponíveis nos planos Pro e superiores. Atualizar para Pro →
O Encaminhamento Inteligente do WP Mail SMTP Pro permite-lhe definir uma ligação de reserva que é ativada automaticamente se o seu serviço de e-mail principal falhar. Isto é importante para o RGPD porque se o seu e-mail de reposição de palavra-passe não chegar, os utilizadores não conseguem aceder à sua conta — e isso é uma falha de serviço com implicações de privacidade.
Aceda a WP Mail SMTP > Definições > Ligações para adicionar uma ligação de reserva e configurar o Encaminhamento Inteligente.
Passo 7: Verifique a documentação RGPD do seu serviço de e-mail
Depois de o seu serviço de e-mail estar ligado, dedique 10 minutos a localizar e rever a sua documentação RGPD/DPA. Precisa de confirmar:
- Um acordo de processamento de dados está disponível (e aceite-o se necessário)
- Sabe onde os dados são armazenados e se saem da UE/Reino Unido
- Compreende as suas definições de retenção de registos e como eliminar registos, se necessário
Os fornecedores mais populares e onde encontrar a sua documentação DPA:
| Fornecedor | Documentação DPA |
|---|---|
| SendLayer | Disponível na sua documentação de privacidade |
| Amazon SES | Adendo de Processamento de Dados da AWS |
| Mailgun | Disponível nos termos legais da Sinch/Mailgun |
| Brevo | Disponível na sua documentação RGPD |
| Google Workspace | Google Workspace DPA (automaticamente aceite com os termos do Workspace) |
Lista de verificação de conformidade de e-mail com o RGPD
Use isto para auditar a sua configuração atual.
Consentimento e listas
- ☐ E-mails de marketing só vão para pessoas que optaram ativamente
- ☐ Registos de consentimento são armazenados (quando, onde, com o que concordaram)
- ☐ Cada e-mail de marketing tem um link de cancelamento de subscrição funcional
- ☐ As anulações são processadas prontamente
- ☐ Os assinantes inativos são revistos periodicamente
Tratamento de dados
- ☐ A política de privacidade está atualizada e é vinculada nos seus e-mails
- ☐ Recolhe apenas os campos de dados de que necessita realmente
- ☐ Tem uma política de retenção de dados definida e segue-a
- ☐ Consegue responder a pedidos de acesso e eliminação de dados no prazo de um mês
Configuração técnica
- ☐ Os e-mails do WordPress são enviados através do WP Mail SMTP (não PHP mail)
- ☐ Os e-mails são enviados através de encriptação TLS
- ☐ Os registos SPF, DKIM e DMARC estão configurados e a passar
- ☐ A retenção de registos de e-mail está configurada no WP Mail SMTP
- ☐ Sabe quais os serviços de e-mail que mantêm registos e como eliminar registos
Serviços de e-mail de terceiros
- ☐ Tem um DPA com o seu fornecedor de serviços de e-mail
- ☐ Sabe onde o seu serviço de e-mail armazena os dados e se estes saem da UE/Reino Unido
FAQs
O RGPD aplica-se se eu não estiver sediado na UE?
Sim. Se tiver visitantes ou clientes que sejam residentes na UE ou no EEE, o RGPD aplica-se à forma como trata os seus dados, independentemente de onde a sua empresa esteja localizada.
Preciso de consentimento para enviar e-mails transacionais?
Não, normalmente não. E-mails transacionais como confirmações de encomenda, reposição de palavra-passe e notificações de envio estão abrangidos pelo "interesse legítimo" ou "execução de um contrato". Não necessita de consentimento de marketing separado para eles. Mas mantenha-os estritamente transacionais porque a adição de conteúdo promocional muda o cenário.
É uma morada de e-mail um dado pessoal ao abrigo do RGPD?
Sim. Uma morada de e-mail que possa identificar um indivíduo é um dado pessoal. O mesmo se aplica a um nome, um endereço IP e qualquer histórico de compras associado a uma conta.
O que é um acordo de processamento de dados?
Um DPA é um contrato entre si e qualquer terceiro que processe dados pessoais em seu nome. Se utilizar um serviço SMTP externo ou uma plataforma de e-mail para enviar e-mails, necessita de um DPA com eles. A maioria dos fornecedores reputados oferece estes nos seus documentos legais ou de privacidade.
O WP Mail SMTP armazena dados pessoais nos servidores da Awesome Motive?
Não. O WP Mail SMTP armazena todos os dados do plugin no seu próprio site. A Awesome Motive não detém os seus dados de e-mail.
O que acontece se eu não cumprir o RGPD?
As multas podem atingir 20 milhões de euros ou 4% do volume de negócios anual global, o que for mais elevado. Na prática, a aplicação começa tipicamente com um aviso ou reprimenda antes de escalar para penalidades financeiras. O risco mais imediato para a maioria das pequenas empresas é o dano à confiança do cliente.
Preciso de um link de anulação de subscrição em e-mails transacionais?
Não é estritamente necessário para e-mails puramente transacionais, uma vez que não são enviados com base em consentimento. Incluir um link para a sua política de privacidade em todos os rodapés de e-mail é uma prática recomendada.
Posso usar o Gmail como meu serviço de envio de e-mail do WordPress?
Sim, mas verifique os termos de processamento de dados do Google se tiver utilizadores da UE. O Gmail e o Google Workspace processam dados nos servidores do Google. Para envios de alto volume, um serviço de e-mail transacional dedicado como o SendLayer é mais fiável e mais fácil de manter documentado para o RGPD.
O RGPD aplica-se a e-mails B2B?
Sim. Endereços de e-mail de trabalho como [email protected] identificam um indivíduo, pelo que contam como dados pessoais. As regras são ligeiramente mais complexas para B2B. O interesse legítimo é mais defensável ao enviar e-mails a contactos comerciais sobre produtos ou serviços relevantes, mas o consentimento continua a ser a abordagem mais segura. Em caso de dúvida, obtenha um opt-in explícito.
Posso usar uma lista de e-mails comprada?
Não. O consentimento do RGPD deve ser específico para a sua organização e as pessoas que consentem em receber e-mails de outra empresa não consentiram em receber e-mails seus. Não pode comprar uma lista de e-mails válida ao abrigo do RGPD.
O que devo fazer com uma lista de e-mails antiga recolhida antes do RGPD?
Se a sua lista foi criada sem consentimento padrão do RGPD (caixa de opt-in desmarcada, explicação clara para o que as pessoas se estavam a inscrever), está em território incerto. A opção mais segura é uma campanha de reautorização: envie um e-mail à lista explicando o que envia e pedindo às pessoas que optem ativamente por voltar a subscrever, removendo depois quem não responder. A sua lista encolherá, mas os contactos restantes estarão em conformidade e significativamente mais envolvidos.
Qual é a diferença entre o RGPD e o CAN-SPAM?
O CAN-SPAM é a lei federal dos EUA que rege o e-mail comercial. Permite marketing de opt-out: pode enviar até que alguém lhe peça para parar. O RGPD exige consentimento de opt-in antes de enviar o seu primeiro e-mail de marketing. Se tiver visitantes da UE, a conformidade apenas com as leis dos EUA não é suficiente. O RGPD aplica-se adicionalmente.
O que acontece se o meu fornecedor de e-mail for hackeado?
Se uma violação expuser dados pessoais, o RGPD exige que notifique a sua autoridade supervisora nacional no prazo de 72 horas. Se houver um risco elevado para as pessoas afetadas, também precisa de as notificar diretamente. É por isso que manter o seu plugin e o serviço de envio de e-mail atualizados, e ter um Acordo de Processamento de Dados (DPA) em vigor com o seu fornecedor, é importante — o DPA deve definir as obrigações de cada parte em caso de violação.
Este guia abrange o lado do envio de e-mails da conformidade com o RGPD. Para uma conformidade completa do WordPress com o RGPD, incluindo cookies, análises e políticas de privacidade, consulte o guia definitivo do WPBeginner sobre conformidade do WordPress e RGPD.
Em seguida, Maximize a Sua Entregabilidade de E-mail
Tornar os seus e-mails compatíveis com o RGPD é metade da equação. A outra metade é garantir que eles realmente chegam à caixa de entrada. A mesma configuração técnica que protege a sua conformidade (autenticação adequada, um serviço de envio de e-mail de renome, conexões criptografadas) também tem um grande impacto se os seus e-mails chegam à caixa de entrada ou à pasta de spam. Se quiser ir mais longe, o nosso guia sobre melhores práticas de entregabilidade de e-mail do WordPress abrange tudo, desde a reputação do remetente e higiene da lista até subdomínios e segmentação.
Pronto para corrigir os seus emails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se não tem tempo para corrigir os seus emails, pode obter assistência completa de Configuração White Glove como compra adicional, e existe uma garantia de reembolso de 14 dias para todos os planos pagos.
Se este artigo o ajudou, por favor siga-nos no Facebook e Twitter para mais dicas e tutoriais do WordPress.
