Envelope azul com um ícone de escudo no lado direito, ao lado do título «Como enviar e-mails em conformidade com o RGPD a partir do WordPress», sobre um fundo azul claro (imagem principal).

Como enviar e-mails em conformidade com o RGPD a partir do WordPress (Guia completo)

Atualizado: Divulgação aos leitores
LinkedIn
Resumir:ChatGPTPerplexidade

Se o seu site WordPress tem visitantes da UE, está sujeito ao RGPD, quer saiba disso ou não, e quer a sua empresa esteja sediada na Europa ou não.

A maioria dos guias sobre o RGPD e o WordPress centra-se nos banners de cookies e nas políticas de privacidade. Esses aspetos são importantes, mas há toda uma vertente da conformidade que recebe muito menos atenção: os e-mails que o seu site envia.

Sempre que o WordPress envia um e-mail para redefinir uma palavra-passe, uma confirmação de encomenda do WooCommerce ou uma newsletter, está a tratar dados pessoais. Isso significa que o RGPD se aplica.

A boa notícia é que a maior parte do que precisa de fazer é bastante simples, assim que compreender as regras. Este guia aborda tudo: o que o RGPD exige em relação ao e-mail, a diferença entre e-mails transacionais e de marketing, o consentimento, o tratamento de dados, a escolha do serviço de envio de e-mails e a configuração técnica necessária para garantir a conformidade, incluindo como configurar o WP Mail SMTP para cada requisito.

Nota: Isto não constitui aconselhamento jurídico. A conformidade com o RGPD depende da sua situação específica. Se tiver dúvidas, consulte um advogado qualificado.

Resumo rápido: o que o RGPD exige em relação aos e-mails do WordPress

Os e-mails de marketing exigem um consentimento explícito e ativo

Os e-mails transacionais (confirmações de encomendas, redefinições de palavra-passe) não requerem consentimento — mas certifique-se de que não incluem conteúdo promocional

Os endereços de e-mail são dados pessoais ao abrigo do RGPD

É necessário celebrar um acordo de tratamento de dados com qualquer prestador de serviços de envio de correio

Os e-mails devem ser enviados através de ligações encriptadas (TLS)

Deve ser capaz de responder aos pedidos de eliminação de dados no prazo de um mês

As violações de segurança que afetem dados pessoais devem ser comunicadas à sua autoridade de controlo no prazo de 72 horas

As multas atingem 20 milhões de euros ou 4 % do volume de negócios global — a aplicação da lei é rigorosa e está a intensificar-se

O RGPD aplica-se aos seus e-mails do WordPress?

Sim, se algum dos visitantes do seu site for residente na UE ou no EEE, o RGPD aplica-se à forma como trata os seus dados, incluindo o endereço de e-mail.

Isto não se limita às empresas da UE. Uma loja WooCommerce nos EUA, um site de assinaturas na Austrália, uma empresa de plugins no Canadá: se tiver clientes na UE, o RGPD regula a forma como processa os seus dados pessoais.

Um endereço de e-mail é considerado um dado pessoal ao abrigo do RGPD. O mesmo se aplica a um nome. E a um endereço IP. Quando o seu site envia um e-mail a um cliente ou assinante, está a tratar esses dados.

Dito isto, o RGPD não o impede de enviar e-mails. Significa apenas que precisa de uma base legal para o fazer, e as regras variam consoante o tipo de e-mail que estiver a enviar.

A fiscalização é uma realidade e está a intensificar-se. Só a autoridade de proteção de dados de Espanha já aplicou mais de 1 000 coimas desde a entrada em vigor do RGPD, sendo as violações no âmbito do marketing por e-mail um alvo constante. A Google foi multada em 50 milhões de euros em França por falhas no processo de obtenção de consentimento. Um serviço postal austríaco foi multado em 9,5 milhões de euros por não ter tratado adequadamente os pedidos relativos aos direitos dos titulares dos dados. Não se trata de casos isolados, mas sim do tipo de violações que ocorrem quando o tratamento de dados não acompanha as regras.

Se é proprietário de um site sediado nos EUA, convém saber que o RGPD é significativamente mais rigoroso do que a CAN-SPAM, a lei federal dos EUA que regula o correio eletrónico comercial. A CAN-SPAM permite o marketing de exclusão (pode enviar e-mails às pessoas até que estas cancelem a subscrição). O RGPD exige o consentimento prévio antes do envio. Se tiver visitantes da UE, a conformidade apenas com a legislação dos EUA não é suficiente.

Os dois tipos de e-mails que o seu site envia

O seu site WordPress envia dois tipos de e-mails fundamentalmente diferentes, e o RGPD trata-os de forma distinta.

E-mails transacionais

Os e-mails transacionais são acionados por uma ação do utilizador. Confirmações de encomendas, notificações de envio, redefinições de palavra-passe, alertas de conta, respostas a formulários de contacto. Estes e-mails são esperados e os utilizadores querem recebê-los.

Nos termos do RGPD, normalmente não é necessário obter um consentimento específico para enviar e-mails transacionais. A base jurídica é a «execução de um contrato» (o utilizador comprou algo, pelo que está a concluir essa transação) ou o «interesse legítimo» (o envio de um link para redefinir a palavra-passe é claramente do interesse do utilizador).

Mas há um senão. No momento em que adiciona conteúdo promocional, como recomendações de produtos, códigos de desconto e secções do tipo «também pode gostar», altera a natureza do e-mail e poderá precisar de consentimento para essa parte.

A abordagem mais segura consiste em manter os e-mails transacionais estritamente transacionais. Se pretender enviar mensagens de marketing aos clientes após uma compra, utilize um e-mail separado, tendo obtido o consentimento adequado.

Para uma análise mais aprofundada das regras relativas aos e-mails transacionais, consulte o nosso guia completo sobre as melhores práticas do RGPD para e-mails transacionais.

Dica para utilizadores do WooCommerce

O WooCommerce inclui definições integradas relativas ao RGPD que vale a pena verificar. Aceda a WooCommerce > Definições > Contas e Privacidade para configurar os períodos de retenção de dados pessoais e de encomendas pendentes, ativar os pedidos de eliminação de contas e adicionar links para a política de privacidade nas páginas de finalização de compra e de registo. Trate aqui da parte do WooCommerce relacionada com a conformidade antes de abordar a configuração do SMTP.

E-mails de marketing

Os e-mails de marketing são diferentes. Se estiver a enviar newsletters, campanhas promocionais ou qualquer e-mail cujo objetivo principal seja vender ou promover, necessita do consentimento explícito do destinatário antes de o enviar.

As caixas pré-marcadas não são válidas. O consentimento agrupado (ocultar a autorização para receber marketing por e-mail nos termos e condições) não é válido. O consentimento deve ser dado livremente, ser específico e fácil de revogar.

Se enviar e-mails de marketing a assinantes da UE, obter o consentimento desde o início é o ponto de partida para tudo o resto.

O assinante tem de dar o seu consentimento de forma ativa, marcando uma caixa que não esteja pré-marcada, e não uma que já esteja pré-marcada. O consentimento tem de ser específico para o marketing por e-mail, não pode estar oculto num acordo geral de privacidade. E tem de ser explicado de forma clara: de quem é que se está a inscrever para receber comunicações e que tipo de e-mails irá receber.

Também é necessário poder comprovar que o consentimento foi dado. Isso significa registar quando ocorreu, o que constava no formulário e onde o assinante se inscreveu. Se não for possível apresentar registos de consentimento durante uma auditoria, é como se o consentimento nunca tivesse existido.

Confirmação dupla

A dupla confirmação não é exigida legalmente pelo RGPD, mas é a abordagem mais defensável. Quando alguém se inscreve, recebe um e-mail de confirmação e só é adicionado à sua lista depois de clicar para confirmar. Isto cria um registo de auditoria claro e filtra endereços falsos ou digitados incorretamente.

Cancelar a subscrição tem de ser fácil

Retirar o consentimento deve ser tão fácil quanto concedê-lo. Todos os e-mails de marketing devem incluir um link de cancelamento de subscrição que funcione. Quando alguém cancelar a subscrição, processe o pedido imediatamente — os atrasos representam tanto um risco de conformidade como uma questão de confiança.

Formulários no seu site

Todos os formulários que recolhem um endereço de e-mail devem indicar claramente para que fim esse endereço será utilizado. Os formulários de contacto e os formulários de inscrição na newsletter têm finalidades diferentes, pelo que requerem uma formulação diferente do pedido de consentimento.

Formulário de consentimento RGPD no WPForms

Se estiver a utilizar o WPForms, pode adicionar um campo de consentimento RGPD diretamente a qualquer formulário, desativar o rastreio de IP e desativar a recolha de cookies, tudo a partir das definições do formulário, sem necessidade de código.

E a sua lista de e-mails atual?

Se criou a sua lista antes da entrada em vigor do RGPD em 2018 (ou recolheu endereços sem um consentimento explícito), poderá ter um problema. O consentimento obtido sem a formulação padrão do RGPD (caixa de seleção não marcada, explicação clara do que os assinantes estavam a aceitar) não é válido.

A opção mais segura é uma campanha de reconfirmação de consentimento: envie um e-mail à sua lista atual pedindo às pessoas que voltem a dar o seu consentimento de forma ativa e elimine quem não o fizer. É uma situação incómoda, porque a sua lista irá diminuir. Mas é melhor do que receber uma multa, e as pessoas que reconfirmarem o seu consentimento estão muito mais envolvidas do que os contactos antigos que mal se lembram de se terem inscrito.

Listas de e-mail compradas

Não as utilize. O consentimento ao abrigo do RGPD tem de ser específico para a sua organização, e as pessoas que consentem em receber comunicações de uma empresa não consentiram em receber comunicações suas. Não é possível adquirir uma lista de correio válida ao abrigo do RGPD.

Direitos dos titulares dos dados e prazos de resposta

Nos termos do RGPD, os seus assinantes e clientes têm o direito de aceder, corrigir ou eliminar os dados que detém sobre eles. Quando alguém apresenta um pedido, dispõe de um mês para responder. Registe todos os pedidos e a forma como foram tratados, uma vez que este é o tipo de informação que surge nas auditorias.

O que se considera dados pessoais nos seus e-mails

Nos termos do RGPD, entendem-se por dados pessoais quaisquer informações que permitam identificar uma pessoa, direta ou indiretamente. No que diz respeito ao e-mail, isso inclui:

  • Nomes e endereços de e-mail
  • Endereços IP
  • Histórico de compras associado a uma conta
  • Detalhes da conta no corpo do e-mail

Esses dados encontram-se nos seus registos de e-mail, na sua base de dados e, potencialmente, nos servidores do seu serviço de e-mail externo. Todos eles estão abrangidos pelo RGPD.

Minimização de dados

O princípio da minimização de dados do RGPD significa que só deve recolher e tratar os dados de que realmente necessita. Se o seu formulário de contacto não precisar de um número de telefone, não o recolha. No que diz respeito aos e-mails, não inclua nas suas mensagens mais informações pessoais do que as necessárias para a transação. Uma confirmação de encomenda não precisa de repetir todo o histórico da conta do cliente.

Períodos de retenção

Não é possível conservar dados pessoais indefinidamente. O RGPD exige que se determine por quanto tempo os dados serão conservados e que sejam eliminados quando já não forem necessários.

No que diz respeito às listas de marketing por e-mail, isto significa rever periodicamente os assinantes inativos e eliminar as pessoas que não interagem há muito tempo. No que diz respeito aos registos de e-mail, significa não os conservar por mais tempo do que o necessário para os fins da sua empresa. (Mais informações sobre este assunto na secção sobre registos de e-mail, abaixo.)

Escolher um serviço de envio de e-mails em conformidade com o RGPD

Este é o aspeto que a maioria dos proprietários de sites WordPress ignora. Quando envia e-mails através de um serviço externo, como SendLayer, o Amazon SES, o Mailgun, o Gmail ou qualquer outro fornecedor de SMTP, está a partilhar dados pessoais com terceiros.

Nos termos do RGPD, se transferir dados pessoais para um terceiro para tratamento, é necessário celebrar um acordo de tratamento de dados (DPA) com esse terceiro. Um DPA é um contrato que define a forma como o terceiro irá tratar esses dados, quais as medidas de segurança que tem em vigor e o que acontece em caso de violação.

A maioria dos prestadores de serviços de e-mail de renome disponibiliza acordos de processamento de dados (DPAs), normalmente na sua política de privacidade ou na documentação jurídica. Se um prestador não disponibilizar um, isso constitui um sinal de alerta que deve ser levado a sério.

Onde são armazenados os dados?

Se os seus dados de e-mail estiverem armazenados em servidores fora da UE ou do Reino Unido, a transferência tem de estar legalmente amparada. Alguns fornecedores dispõem de centros de dados na UE que pode escolher. Outros recorrem às Cláusulas Contratuais Padrão (SCC) para legitimar as transferências de dados. Verifique as opções de localização dos dados do seu fornecedor, caso esta seja uma preocupação para os seus utilizadores.

Quais programas de e-mail mantêm registos?

Muitos serviços de e-mail externos mantêm registos dos e-mails enviados através do seu serviço. Esses registos contêm dados pessoais. Ao abrigo do direito ao apagamento previsto no RGPD, se um utilizador lhe solicitar que apague os seus dados, terá de ser capaz de tratar dessa situação em todos os sistemas — incluindo o seu serviço de e-mail.

Saiba quais dos seus programas de e-mail mantêm registos e como os eliminar, se necessário. A nossa documentação sobre a conformidade com o RGPD do WP Mail SMTP aborda os principais programas de e-mail e o seu comportamento em termos de registo.

Requisitos técnicos: encriptação, autenticação e notificação de violações

O RGPD exige que os dados pessoais sejam mantidos em segurança, inclusive quando estão em trânsito. No caso do e-mail, isso significa duas coisas.

Criptografia TLS

Os seus e-mails devem ser enviados através de ligações TLS (Transport Layer Security). Isto encripta o e-mail durante a transmissão, para que não possa ser interceptado.

Predefinição do WordPress wp_mail() A função não garante a encriptação TLS. Quando utiliza o WP Mail SMTP com um programa de e-mail de confiança, os e-mails são enviados através de ligações seguras e encriptadas por predefinição.

Autenticação de e-mail: SPF, DKIM e DMARC

A autenticação de e-mail não é apenas uma funcionalidade de entregabilidade, mas também de segurança e conformidade. Estes três protocolos verificam se os e-mails que afirmam ter sido enviados a partir do seu domínio foram realmente originados por si, protegendo o seu domínio contra falsificações.

  • O SPF indica aos servidores de correio de destino quais os servidores autorizados a enviar e-mails em nome do seu domínio.
  • O DKIM adiciona uma assinatura criptográfica a cada e-mail, comprovando que este não foi alterado durante o trânsito.
  • O DMARC define uma política sobre o que acontece quando os e-mails não passam nas verificações SPF ou DKIM e envia-lhe relatórios para que possa monitorizar o que está a ser enviado em seu nome.

Sem uma autenticação adequada, alguém poderia enviar e-mails que parecem ter sido enviados a partir do seu domínio — praticando phishing contra os seus clientes utilizando a sua marca. Trata-se de uma falha de segurança e de uma potencial violação do RGPD, pois coloca em risco os dados dos seus utilizadores.

Verificar o registo DMARC

Para obter um passo a passo completo da configuração, consulte o nosso guia sobre DMARC, SPF e DKIM.

Notificação de violação de dados

Se o seu sistema de e-mail for comprometido e os dados pessoais forem expostos, o RGPD exige que notifique a autoridade de controlo nacional no prazo de 72 horas após ter tomado conhecimento da violação. Se for provável que a violação represente um risco elevado para as pessoas afetadas, também terá de as notificar diretamente.

É por isso que a segurança técnica não é opcional. Uma autenticação fraca, ligações não encriptadas e plugins desatualizados criam riscos, e não apenas problemas de entrega. Mantenha o WP Mail SMTP e o seu programa de e-mail atualizados e utilize o teste de e-mail integrado para verificar se a sua autenticação está a funcionar corretamente.

Por que é que o e-mail predefinido do WordPress falha em ambos os aspetos

O WordPress utiliza o PHP mail() função por predefinição. Isto envia e-mails diretamente a partir do seu servidor web, sem autenticação garantida e, muitas vezes, sem TLS. Os e-mails enviados desta forma não chegam ao destino com mais frequência do que se imagina — o que significa que os seus e-mails transacionais exigidos por lei (redefinições de palavra-passe, encomendas do WooCommerce) podem nunca chegar aos seus utilizadores.

O WP Mail SMTP substitui isto por uma ligação SMTP adequada através do programa de e-mail que escolheu, com a encriptação e a autenticação configuradas corretamente.

Corrija seus e-mails do WordPress agora

Registos de e-mail e o direito ao apagamento

O RGPD confere às pessoas o direito de solicitar a eliminação dos seus dados pessoais: o «direito ao esquecimento».

Se um utilizador solicitar a eliminação dos seus dados, terá de tratar dessa questão em toda a sua configuração de e-mail:

  • A sua base de dados do WordPress (contas de clientes, entradas em formulários, registos de encomendas)
  • A sua lista de e-mail marketing
  • Registos de e-mail armazenados pelo WP Mail SMTP
  • Registos mantidos pelo seu serviço de correio eletrónico

O WP Mail SMTP Pro inclui um registo de e-mails que regista o que foi enviado, quando e para quem. Isto é útil para fins de conformidade, uma vez que cria uma pista de auditoria, mas também significa que é necessária uma política de retenção para os próprios dados do registo.

Pode configurar o WP Mail SMTP para eliminar automaticamente os registos após um determinado período, ou eliminar manualmente os registos ao responder a pedidos de eliminação individuais.

Como configurar o WP Mail SMTP para estar em conformidade com o RGPD

Aqui está um guia passo a passo das configurações do WP Mail SMTP que são importantes para a conformidade com o RGPD.

Os passos 1 e 2 abaixo, relativos à ligação de um servidor de e-mail e ao envio de um e-mail de teste, estão disponíveis na versão gratuita do WP Mail SMTP. Os passos 3 a 6 (registo de e-mails, eliminação de dados, controlos de e-mail e encaminhamento inteligente) requerem o WP Mail SMTP Pro.

Obter o WP Mail SMTP Pro

Passo 1: Ligue um serviço de envio de e-mails em conformidade com o RGPD

Se ainda estiver a utilizar o sistema de e-mail padrão do WordPress, o primeiro passo é configurar um serviço de envio de e-mails adequado. O WP Mail SMTP é compatível com todos os principais fornecedores: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook e muitos outros.

No painel de controlo do WordPress, aceda a WP Mail SMTP > Definições > Geral.

Escolher um serviço de envio de e-mails em conformidade com o RGPD

Na secção «Conexão principal», selecione o seu programa de e-mail e siga os passos de configuração. Cada programa de e-mail estabelece a ligação através de credenciais de API ou SMTP, e o WP Mail SMTP orienta-o ao longo do processo.

Depois de estabelecida a ligação, os seus e-mails passam por uma ligação SMTP adequada e autenticada, em vez de utilizar o PHP Mail.

Antes de escolher o seu serviço de envio de e-mails: verifique se o seu fornecedor disponibiliza um acordo de tratamento de dados. A maioria dos principais fornecedores (SendLayer, Amazon SES, Mailgun, Brevo) disponibiliza. Se estiver a utilizar o Gmail ou o Google Workspace, aplicam-se os termos de tratamento de dados do Google.

Passo 2: Envie um e-mail de teste e verifique a sua configuração

Depois de configurar o seu servidor de e-mail, aceda a WP Mail SMTP > Ferramentas > Teste de e-mail e envie um e-mail de teste para o seu próprio endereço de e-mail.

separador de correio eletrónico de teste

Verifique se o e-mail chega e, em seguida, abra os cabeçalhos do e-mail (no Gmail: três pontos > Mostrar original; no Outlook: Ficheiro > Propriedades) e procure por:

  • Assinatura DKIM — confirma que o DKIM está a ser validado
  • spf=pass — confirma que o SPF foi aprovado
  • dmarc=pass — confirma que o DMARC está a ser aprovado

Se algum destes elementos estiver em falta ou não estiver a funcionar corretamente, a página de resultados do Teste de E-mail do WP Mail SMTP irá assinalar o problema e indicar-lhe o que deve corrigir.

Passo 3: Configurar o registo de e-mails

Funcionalidade do WP Mail SMTP Pro. O registo de e-mails está disponível nos planos Pro e superiores. Atualizar para o Pro →

O registo de e-mails do WP Mail SMTP Pro fornece-lhe um registo completo de todos os e-mails enviados pelo seu site — essencial para a documentação de conformidade.

Vá a WP Mail SMTP > Registo de e-mail para ver o registo. Em WP Mail SMTP > Definições > Registos, pode configurar:

  • Registar e-mails — ative esta opção para iniciar o registo
  • Registar o conteúdo dos e-mails — regista o corpo completo do e-mail (útil para fins de conformidade, mas tenha em conta as suas obrigações em matéria de minimização de dados)
  • Período de retenção — defina durante quantos dias os registos são mantidos antes da eliminação automática
Registos de correio eletrónico SMTP do WP Mail

Defina um período de retenção que reflita as necessidades reais da sua empresa. Manter os registos indefinidamente não está em conformidade — escolha um período, documente-o na sua política de privacidade e cumpra-o.

Passo 4: Tratar os pedidos de eliminação de dados

Requer o registo de e-mails (Pro). Só é possível pesquisar e eliminar registos de e-mail se o registo estiver ativado.

Quando um utilizador exercer o seu direito de apagamento, terá de eliminar os registos de e-mail desse utilizador do registo do WP Mail SMTP.

Em WP Mail SMTP > Registo de e-mails, procure o endereço de e-mail do utilizador, selecione os seus registos e utilize a opção de eliminação em massa para os remover.

Eliminar em massa registos de e-mail

Certifique-se de que também trata da eliminação ao nível do seu programa de e-mail. Consulte a documentação do seu programa de e-mail para saber como eliminar registos de e-mails enviados.

Passo 5: Verifique as suas configurações de e-mail

Funcionalidade do WP Mail SMTP Pro. Os controlos de e-mail estão disponíveis nos planos Pro e superiores. Atualizar para o Pro →

A funcionalidade «Controles de e-mail» do WP Mail SMTP Pro permite-lhe gerir os tipos de e-mails que o WordPress envia a partir do seu site e através de que ligação.

Vá a WP Mail SMTP > Configurações > Controlos de e-mail para ver uma lista dos tipos de e-mail do plugin e do núcleo do WordPress — e-mails de encomendas do WooCommerce, notificações de comentários, registo de utilizadores e muito mais.

Controles de e-mail

Isto é útil para fins de conformidade de duas formas:

  1. Pode desativar os tipos de e-mail de que o seu site não necessita (minimização de dados; ou seja, se não estiver a utilizar uma funcionalidade, não envie os e-mails associados a ela).
  2. Pode encaminhar diferentes tipos de e-mail através de diferentes serviços de envio; por exemplo, os e-mails transacionais do WooCommerce através SendLayer as notificações de conta separadamente através de uma ligação diferente.

Passo 6: Configurar uma ligação de reserva

Funcionalidade do WP Mail SMTP Pro. O encaminhamento inteligente e as ligações de reserva estão disponíveis nos planos Pro e superiores. Atualizar para o Pro →

A funcionalidade Smart Routing do WP Mail SMTP Pro permite-lhe definir uma ligação de reserva que entra em ação automaticamente caso o seu servidor de e-mail principal falhe. Isto é importante no contexto do RGPD, pois se o e-mail de redefinição de palavra-passe não chegar, os utilizadores não conseguem aceder à sua conta — o que constitui uma falha no serviço com implicações em matéria de privacidade.

Vá a WP Mail SMTP > Definições > Ligações para adicionar uma ligação de reserva e configurar o Smart Routing.

Definir uma ligação de cópia de segurança SMTP do WP Mail

Passo 7: Verifique a documentação relativa ao RGPD do seu provedor de e-mail

Assim que o seu serviço de e-mail estiver ligado, reserve 10 minutos para localizar e analisar a documentação relativa ao RGPD/DPA. Deve confirmar:

  • Está disponível um acordo de tratamento de dados (aceite-o, se necessário)
  • Sabe onde os dados são armazenados e se saem da UE/Reino Unido
  • Compreende as definições de retenção de registos e sabe como eliminar registos, se necessário

Os fornecedores mais populares e onde encontrar a sua documentação relativa ao Acordo de Tratamento de Dados (DPA):

FornecedorDocumentação da DPA
SendLayerDisponível na documentação sobre privacidade
Amazon SESAnexo sobre o Processamento de Dados da AWS
Pistola de correioDisponível nos termos legais da Sinch/Mailgun
BrevoDisponível na documentação relativa ao RGPD
Espaço de trabalho GooglePolítica de Proteção de Dados do Google Workspace (aceite automaticamente com os termos do Workspace)

Lista de verificação de conformidade do RGPD para e-mails

Utilize isto para verificar a sua configuração atual.

Consentimento e listas

  • ☐ Os e-mails de marketing são enviados apenas a pessoas que tenham dado o seu consentimento expresso
  • ☐ Os registos de consentimento são guardados (quando, onde e o que foi acordado)
  • ☐ Todos os e-mails de marketing têm um link de cancelamento de subscrição que funciona
  • ☐ Os pedidos de cancelamento de subscrição são processados imediatamente
  • ☐ Os assinantes inativos são analisados periodicamente

Tratamento de dados

  • ☐ A política de privacidade está atualizada e inclui um link nos seus e-mails
  • ☐ Só recolhe os campos de dados de que realmente precisa
  • ☐ Tem uma política de retenção de dados definida e cumpre-a
  • ☐ Pode responder aos pedidos de acesso e apagamento de dados no prazo de um mês

Configuração técnica

  • ☐ Os e-mails do WordPress são enviados através do WP Mail SMTP (e não pelo PHP Mail)
  • ☐ Os e-mails são enviados com encriptação TLS
  • ☐ Os registos SPF, DKIM e DMARC estão configurados e a passar a verificação
  • ☐ A retenção dos registos de e-mail está configurada no WP Mail SMTP
  • ☐ Sabe quais os programas de e-mail que mantêm registos e como eliminar esses registos

Serviços de envio de e-mails de terceiros

  • ☐ Tem um acordo de processamento de dados (DPA) com o seu fornecedor de serviços de e-mail
  • ☐ Sabe onde o seu serviço de correio eletrónico armazena os dados e se estes saem da UE/Reino Unido
Obter o WP Mail SMTP

FAQs

O RGPD aplica-se se eu não estiver sediado na UE?

Sim. Se tiver visitantes ou clientes residentes na UE ou no EEE, o RGPD aplica-se à forma como trata os seus dados, independentemente da localização da sua empresa.

Não, normalmente não. Os e-mails transacionais, como confirmações de encomendas, redefinições de palavra-passe e notificações de envio, são abrangidos pelo «interesse legítimo» ou pela «execução de um contrato». Não é necessário obter um consentimento de marketing específico para esses e-mails. No entanto, certifique-se de que se mantêm estritamente transacionais, pois a inclusão de conteúdo promocional altera a situação.

Um endereço de e-mail é considerado um dado pessoal ao abrigo do RGPD?

Sim. Um endereço de e-mail que permita identificar uma pessoa é considerado um dado pessoal. O mesmo se aplica a um nome, a um endereço IP e a qualquer histórico de compras associado a uma conta.

O que é um acordo de tratamento de dados?

Um Acordo de Tratamento de Dados (DPA) é um contrato entre si e qualquer terceiro que trate dados pessoais em seu nome. Se utilizar um serviço SMTP externo ou uma plataforma de e-mail para enviar mensagens, necessita de celebrar um DPA com esses prestadores. A maioria dos prestadores de renome disponibiliza estes acordos na sua documentação jurídica ou de privacidade.

O WP Mail SMTP armazena dados pessoais nos servidores da Awesome Motive?

Não. O WP Mail SMTP armazena todos os dados do plugin no seu próprio site. A Awesome Motive não guarda os seus dados de e-mail.

O que acontece se eu não cumprir o RGPD?

As multas podem atingir 20 milhões de euros ou 4 % do volume de negócios anual global, consoante o valor mais elevado. Na prática, a aplicação da lei começa normalmente com uma advertência ou repreensão, antes de se passar a sanções pecuniárias. O risco mais imediato para a maioria das pequenas empresas é a perda de confiança dos clientes.

Não é estritamente necessário para e-mails puramente transacionais, uma vez que estes não são enviados com base no consentimento. É recomendável incluir um link para a sua política de privacidade em todos os rodapés dos e-mails.

Posso usar o Gmail como meu serviço de e-mail no WordPress?

Sim, mas consulte os termos de tratamento de dados do Google se tiver utilizadores na UE. O Gmail e o Google Workspace processam os dados nos servidores do Google. Para envios em grande volume, um serviço dedicado de e-mail transacional, como SendLayer mais fiável e mais fácil de manter em conformidade com o RGPD.

O RGPD aplica-se aos e-mails B2B?

Sim. Os endereços de e-mail profissionais, como [email protected], identificam uma pessoa, pelo que são considerados dados pessoais. As regras são um pouco mais complexas no contexto B2B. O interesse legítimo é mais justificável quando se enviam e-mails a contactos comerciais sobre produtos ou serviços relevantes, mas o consentimento continua a ser a abordagem mais segura. Em caso de dúvida, obtenha um consentimento explícito.

Posso utilizar uma lista de e-mails comprada?

Não. O consentimento ao abrigo do RGPD deve ser específico para a sua organização, e as pessoas que consentem em receber e-mails de outra empresa não consentiram em receber e-mails da sua parte. Não é possível adquirir uma lista de correio válida ao abrigo do RGPD.

O que devo fazer com uma lista de e-mails antiga, recolhida antes do RGPD?

Se a sua lista foi criada sem o consentimento exigido pelo RGPD (caixa de aceitação desmarcada, explicação clara do que as pessoas estavam a aceitar), encontra-se numa situação de incerteza. A opção mais segura é uma campanha de renovação de consentimento: envie um e-mail à lista explicando o que envia e pedindo às pessoas que voltem a dar o seu consentimento de forma ativa; em seguida, elimine quem não responder. A sua lista irá diminuir, mas os contactos que ficarem estarão em conformidade e serão significativamente mais envolvidos.

Qual é a diferença entre o RGPD e a lei CAN-SPAM?

A CAN-SPAM é a lei federal dos EUA que regula o correio eletrónico comercial. Permite o marketing de exclusão: pode enviar mensagens até que alguém lhe peça para parar. O RGPD exige o consentimento prévio antes de enviar o seu primeiro e-mail de marketing. Se tiver visitantes da UE, a conformidade com a legislação dos EUA, por si só, não é suficiente. O RGPD aplica-se adicionalmente.

O que acontece se o meu provedor de e-mail for alvo de um ataque informático?

Se uma violação de segurança expor dados pessoais, o RGPD exige que notifique a autoridade de controlo nacional no prazo de 72 horas. Se houver um risco elevado para as pessoas afetadas, também terá de as notificar diretamente. É por isso que é importante manter o seu plugin e o seu sistema de envio de e-mails atualizados e ter um Acordo de Tratamento de Dados (DPA) em vigor com o seu fornecedor — o DPA deve definir as obrigações de cada parte em caso de violação de segurança.

Este guia aborda os aspetos relacionados com o envio de e-mails no âmbito da conformidade com o RGPD. Para obter informações completas sobre a conformidade do WordPress com o RGPD, incluindo cookies, ferramentas de análise e políticas de privacidade, consulte o guia definitivo do WPBeginner sobre o WordPress e a conformidade com o RGPD.

A seguir, otimize a capacidade de entrega dos seus e-mails

Garantir que os seus e-mails cumprem o RGPD é apenas metade do caminho. A outra metade consiste em assegurar que chegam efetivamente à caixa de entrada. A mesma configuração técnica que garante a sua conformidade (autenticação adequada, um serviço de e-mail de confiança, ligações encriptadas) também tem um grande impacto no facto de os seus e-mails chegarem à caixa de entrada ou à pasta de spam. Se quiser aprofundar o assunto, o nosso guia sobre as melhores práticas de entregabilidade de e-mails no WordPress abrange tudo, desde a reputação do remetente e a manutenção da lista até aos subdomínios e à segmentação.

Pronto para corrigir os seus e-mails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se não tiver tempo para corrigir os seus e-mails, pode obter assistência completa de Configuração de Luva Branca como uma compra extra, e há uma garantia de reembolso de 14 dias para todos os planos pagos.

Se este artigo o ajudou, siga-nos no Facebook e no Twitter para obter mais dicas e tutoriais sobre o WordPress.

Divulgação: O nosso conteúdo é apoiado pelos leitores. Isso significa que se você clicar em alguns de nossos links, podemos ganhar uma comissão. Veja como o WPForms é financiado, por que isso é importante e como você pode nos apoiar.

Rachel Adnyana

A Rachel escreve sobre WordPress há uma década e constrói sítios Web há muito mais tempo. Para além do desenvolvimento web, é fascinada pela arte e ciência do SEO e do marketing digital.Saiba mais

Experimente o nosso plugin gratuito WP Mail SMTP

Use seu provedor SMTP favorito para enviar seus e-mails do WordPress de forma confiável.