RGPD para remetentes de e-mails de vendas frias – FAQ

Cathy-Dawiskiba-CMO-at-Woodpecker
GDPR for cold email senders

Ultimamente, estamos recebendo muitas perguntas dos usuários do Woodpecker sobre o RGPD (Regulamento Geral de Proteção de Dados). Este parece ser um tópico que ainda precisa de alguma clarificação. Por isso, elaborámos uma FAQ sobre o RGPD – uma lista de perguntas frequentes sobre o regulamento, juntamente com as nossas respostas. Esperamos que encontre aqui algumas pistas úteis e dicas práticas sobre o processamento de dados e a gestão das suas campanhas de email de acordo com os princípios do RGPD.

Se você não tem certeza do que realmente é o RGPD, acesse este post primeiro:

RGPD – Guia Prático do Regulamento Geral de Proteção de Dados para Remetentes de Email >>

Disclaimer: Você deve tratar esta postagem como um guia que o ajudará a entender o RGPD. Por favor, não o trate como aconselhamento jurídico. Se você está procurando aconselhamento jurídico, entre em contato com um advogado depois de ler este post e peça conselhos e respostas a perguntas específicas sobre o seu caso.

Perguntas frequentes sobre o RGPD

Baixar lista de verificação de conformidade com o RGPD >>

Q1: Estou sediado nos EUA, tenho que estar em conformidade com o RGPD?

Depende. O RGPD foi projetado para proteger os cidadãos da UE, portanto, não é realmente uma questão de localização da sua empresa. O que está em causa são os dados pessoais que processa. Se a sua empresa está sediada nos EUA, mas alguns dos seus clientes, parceiros, subscritores, prospects são cidadãos da UE, deve processar os seus dados de uma forma que esteja em conformidade com o RGPD. É essa a sua obrigação enquanto administrador de dados.

Se tem uma empresa que oferece um software e esse software permite que outros administradores de dados processem dados, penso que seria razoável assumir que pelo menos uma parte desses dados pertencerá a cidadãos da UE. O RGPD define algumas obrigações não só para os administradores de dados, mas também para os processadores de dados.

Em suma, se houver uma hipótese de a sua empresa sediada nos EUA ser um administrador ou um processador de dados pessoais de cidadãos da UE, deve estar em conformidade com o RGPD.

Q2: Estou a enviar várias campanhas de correio eletrónico por ano. Devo deixar de o fazer quando o RGPD se tornar juridicamente vinculativo?


Não. Em primeiro lugar, o RGPD não foi projetado para matar o email marketing ou cold emails. Nem sequer é um regulamento sobre emails, ou marketing, ou business. Trata-se de proteger os dados pessoais.

No entanto, é preciso ter em conta que, ao enviar as suas campanhas de correio eletrónico, ao fazer marketing, ao gerir uma empresa, é provável que trate dados pessoais. Se, em qualquer altura, processar dados pessoais de cidadãos da UE, esse processamento deve estar em conformidade com o RGPD, ou seja, seguir determinados princípios. Leia mais sobre os princípios do RGPD aqui.

Por isso, não, não tem de parar as suas campanhas de marketing por email, ou as suas campanhas de email quando o RGPD se tornar obrigatório. Deve certificar-se de que os dados utilizados nessas campanhas estão a ser processados de acordo com as regras do RGPD.

Q3: Posso enviar e-mails frios para pessoas sob o RGPD?

Sim, você pode enviar emails frios para pessoas em empresas sob o RGPD. Estes têm de ser B2B emails que cumpram determinados requisitos.

Em primeiro lugar, não é possível enviá-los para qualquer pessoa. Tem de direcionar os seus prospects com muito cuidado. É necessário ter uma forte razão para afirmar que a empresa para a qual a pessoa trabalha pode beneficiar do que a sua empresa oferece no email. Além disso, a sua atividade de negócio deve estar logicamente ligada à atividade de business da atividade do seu prospect. Esta será uma base legal para enviar a alguém um email sem o seu consentimento prévio para processar os seus dados.


Em segundo lugar, em cada uma das suas mensagens de email, tem de informar os seus destinatários de email que dados pessoais está a processar, com que finalidade e como podem remover os seus dados da sua lista de correio eletrónico ou alterá-los. É assim que cumpre o dever de informação descrito no RGPD.

Em terceiro lugar, não deve processar os dados pessoais dos seus endereços de correio eletrónico frios durante mais tempo do que o necessário. O RGPD não especifica qualquer período de tempo específico. Aconselhamos que retire das suas listas os dados dos prospects que não responderam no prazo de 30 dias a contar do envio da sua primeira mensagem. É assim que se cumpre o princípio da limitação de armazenamento de dados ao enviar frios emails.

Na prática, isso significa o fim da abordagem “pulverizar e rezar”.

Q4: O e-mail de acompanhamento é uma violação do RGPD?

O envio de acompanhamentos não viola o RGPD, desde que cumpra os três requisitos descritos na resposta acima.

O processamento de dados no caso de envio de um acompanhamento não é muito diferente do processamento dos mesmos dados para enviar a primeira mensagem. A única coisa que muda é o tempo de que dispõe para enviar acompanhamentos a potenciais clientes que não respondem na UE. Mais uma vez, o RGPD não define um período de tempo para isso, mas aconselhamos a remover das suas listas os dados dos clientes potenciais que não responderam no prazo de 30 dias a partir do primeiro email que lhes enviou.

Q5: Preciso sempre de obter o consentimento antes de enviar um e-mail a alguém?

Pode enviar B2B frios emails sem o consentimento prévio dos seus destinatários para processar os seus dados pessoais apenas se o emails cumprir os três requisitos descritos em pormenor na resposta à Q3 acima:

  • uma base legal para o processamento de dados
  • cumprimento do dever de informação
  • o cumprimento da limitação de armazenamento de dados

Q6: E a minha lista atual de subscritores de correio eletrónico? Devo recordar-lhes porque estão na minha lista e pedir-lhes novamente autorização para continuar a enviar-lhes as mensagens de correio eletrónico?


Se lhes pediu autorização logo no início e eles lhe deram o seu consentimento para processar os seus dados para fins específicos, não precisa de lhes pedir autorização novamente.

No entanto, se a finalidade do tratamento dos dados tiver mudado ou se planear mudá-la em breve, deve informá-lo da mudança e dar-lhe uma forma fácil de decidir se concorda com a nova finalidade do tratamento dos seus dados.

Ou, no momento em que se inscreveram na sua newsletter, foram informados de que os seus dados seriam processados durante um determinado período de tempo, e esse período já terminou – nesse caso, deve também perguntar-lhes se concordam com o processamento de dados para fins específicos.

Q7: Todos os e-mails enviados (ou e-mails em geral) devem ter um link de cancelamento de inscrição incluído como obrigatório sob o RGPD agora?

A regra de cancelamento de inscrição do RGPD afirma que todos os emails: mensagens de saída e email mensagens de marketing devem especificar claramente a maneira pela qual o destinatário pode remover seus dados da sua lista ou alterá-los. O RGPD não especifica a forma, por isso não diz “deve utilizar a hiperligação ‘anular a subscrição'”. Diz apenas que deve ser uma forma fácil e compreensível para cada pessoa. A hiperligação “anular a subscrição” é uma prática comum nas mensagens de marketing por correio eletrónico. Não é necessário nem muito popular em emails frios. Existem outras formas de conceder uma forma de exclusão aos seus destinatários de email frios. Você pode ler mais sobre eles aqui:

Devo dar ao meu destinatário de Cold Email uma forma de optar por sair? (Atualizado) >>

Q8: E se eu terceirizar a construção de listas. Não tenho nada a ver com a recolha de dados pessoais. Isso significa que eu tenho que me preocupar com o RGPD?

Sim, se for utilizar os dados pessoais que outra empresa recolheu para si e se os proprietários dos dados forem cidadãos da UE. Lembre-se de que o RGPD não se refere apenas à recolha de dados ou ao armazenamento de dados. Trata-se do tratamento de dados em geral. De acordo com o regulamento:

‘tratamento’, uma operação ou um conjunto de operações efectuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”

Assim, se a dada altura obtiver os dados para os utilizar, por exemplo, enviar mensagens de correio eletrónico, também os processará. Lembre-se de que, se decidir sobre a finalidade da recolha e utilização dos dados, é o administrador dos dados. E como administrador dos dados, deve preocupar-se definitivamente com o RGPD. Deve também certificar-se de que a empresa a quem subcontrata a criação de listas recolhe os dados de forma legal, justa e transparente. Em outras palavras, você deve saber exatamente como eles obtêm os dados e ser capaz de explicar aos proprietários dos dados, como e por que você obteve seus dados.

Q9: O que significa “privacidade desde a conceção”?

Privacidade desde a conceção significa desenvolver cada parte da sua solução de forma a garantir o mais elevado nível de privacidade dos dados em todas as fases. Por outras palavras, tem de pensar sempre em proteger a privacidade dos seus utilizadores/assinantes/clientes enquanto planeia o tratamento dos seus dados pessoais.

Pergunta 10: Não quero contratar um especialista em RGPD. Isso significa que não terei hipótese de cumprir o regulamento?

O especialista em proteção de dados não tem de ser uma nova pessoa a contratar na sua empresa. Pode nomear um dos seus actuais funcionários para assumir o papel de Especialista em Proteção de Dados, ou pode tornar-se um você mesmo. Note-se que o especialista em proteção de dados e o responsável pela proteção de dados são duas funções distintas com diferentes conjuntos de competências. Se tem uma pequena ou média empresa e não processa quaisquer dados sensíveis e não existem riscos elevados no processamento de dados na sua empresa, não precisa de um Responsável pela Proteção de Dados qualificado. Pode nomear um especialista em proteção de dados, que analisará o processamento de dados e defenderá soluções que proporcionem o nível mais elevado possível de proteção de dados pessoais.

Q11: Onde posso obter um certificado RGPD?

Não existe um certificado oficial do RGPD, pelo menos para já. Várias certificações de segurança, como a ISO, também têm como objetivo uma melhor organização, processamento e segurança dos dados. Obtê-las será definitivamente um passo em direção à conformidade com o RGPD. Mas não é obrigado a obter qualquer tipo de certificação oficial para estar em conformidade com o RGPD. Pode simplesmente seguir os princípios descritos no próprio regulamento. Se ainda está a trabalhar na sua conformidade com o RGPD, download RGPD compliance checklist >>

Q12: Recebi um email frio de alguém e sinto que é ilegal ao abrigo do RGPD, como posso informar essa pessoa de que não quero receber emails dela?

Nesse caso, pode responder e solicitar verbalmente a eliminação dos seus dados das listas de correio eletrónico. Se, mesmo assim, não respeitarem o seu pedido, pode tentar verificar que serviço utilizam para enviar as mensagens de correio eletrónico e contactar essa empresa como subcontratante dos seus dados pessoais. Na qualidade de subcontratante, a empresa também será obrigada a ajudá-lo a retirar os seus dados de uma lista em que não quer estar.

Q13: Como é que a Woodpecker se prepara para o RGPD?

Temos uma seção separada em nosso site que descreve o que o Woodpecker faz para estar em conformidade com o RGPD. Você pode encontrá-lo aqui:

Conformidade com o RGPD >>

Depois de hospedar nosso segundo webinar relacionado ao manuseio de alcance de e-mail e marketing por e-mail sob o RGPD, queríamos adicionar mais algumas perguntas.

Q14: Você pode enviar um e-mail frio B2B para um endereço de e-mail pessoal (como o Gmail) se o e-mail ainda for direcionado ao cargo de uma pessoa?

Se tiver a certeza de que se trata do e-mail de trabalho da pessoa ou se ela tiver dado o seu consentimento para receber a mensagem nesse e-mail, então sim, pode. Tal como acontece com qualquer tipo de comunicação ao abrigo do RGPD, o seu processo de obtenção dos dados pessoais tem de ser legal e transparente. Tem de ser capaz de rastrear a forma como obteve o endereço de correio eletrónico e provar que a sua mensagem é relevante para essa pessoa. Informe a pessoa sobre a razão pela qual a está a contactar e dê-lhe uma forma clara de optar por não receber os seus e-mails. Não é necessário fazê-lo através da publicação de uma hiperligação para anular a subscrição. A pessoa pode simplesmente escrever que não deseja receber mais mensagens suas. Quando o fizerem, respeite-o e apague o endereço de correio eletrónico. O mais importante no que diz respeito ao cold emailing B2B é certificar-se de que está a contactar a pessoa certa, na posição certa, que representa as empresas e se enquadra no seu ICP. Os e-mails não direccionados podem causar-lhe problemas.

Q15: Manter uma lista de contactos no Woodpecker faz de mim o proprietário/processador dos dados pessoais?

Quando carrega uma lista de potenciais clientes no Woodpecker, o potencial cliente cujos dados pessoais processa é o proprietário. Nesse caso, o utilizador é um administrador de dados. É o utilizador que decide quem e que tipo de dados pessoais pretende processar. Além disso, é responsável pelo cumprimento do princípio da limitação da conservação. A limitação de armazenamento é um princípio que foi introduzido pelo RGPD. Significa que não pode processar os dados durante mais tempo do que o necessário para o objetivo do processamento. Além disso, é necessário respeitar os proprietários de dados pessoais que desejam ser eliminados da sua lista de potenciais clientes e não voltar a ser contactados. Será responsabilizado se abusar do princípio da limitação do armazenamento, bem como de qualquer outro princípio do RGPD. O Woodpecker, por outro lado, torna-se um administrador de dados quando processa os seus dados pessoais como utilizador da aplicação ou subscritor de uma newsletter. Deve tratar os seus dados com o devido cuidado. E cumprir o RGPD.

Q16: Como posso compilar uma base de contactos de forma legal?

Resposta rápida: seleccione cuidadosamente. O RGPD não proíbe o envio de e-mails frios. Se seguir os conselhos que lhe dou neste blogue, não terá problemas. Só precisa de ter um pouco mais de cuidado. O RGPD salienta que deve ter uma forte razão para contactar os seus potenciais clientes. Certifique-se de que ambas as partes beneficiam de uma potencial relação comercial e de que a oferta que coloca no seu “cold email” está logicamente relacionada com o estatuto da empresa. Além disso, deve obter quaisquer dados pessoais para as listas dos seus potenciais clientes de uma forma legal e transparente e estar preparado para explicar como e porque decidiu processar dados pessoais de cidadãos específicos da UE. O que é importante é que o RGPD introduz um novo princípio de limitação da conservação de dados, que não permite o tratamento de dados pessoais durante mais tempo do que o necessário. O período exato de tempo não é especificado no documento. Aconselhamos a remoção dos dados dos destinatários de correio eletrónico não responsivos após 30 dias do primeiro contacto. No caso das listas de opt-in, pode tratar os dados de formas claramente especificadas com as quais o proprietário dos dados concordou, enquanto este lhe der o seu consentimento ou até que este manifeste a sua vontade de o retirar. Qualquer tipo de dados que solicite deve ser justificado pela finalidade para a qual os pretende tratar. Não peça um número de telefone se quiser enviar um livro eletrónico a alguém. E se quiser recolher o número de telefone, diga-lhe diretamente que pode querer telefonar-lhe. Forneça aos destinatários de e-mails não solicitados, bem como aos subscritores da sua lista de opt-in, uma forma clara de optar por não receber mais correspondência e instruções sobre como alterar os seus dados pessoais ou removê-los completamente da sua lista. O mecanismo de ligação “anular a subscrição” é um mecanismo popular, mas não é o único que pode utilizar para o efeito. Se quiser saber mais sobre o RGPD, leia este post do blog:

Guia Prático do RGPD para Remetentes de Email >>

E se estiver a preparar-se para o RGPD, transfira a nossa Lista de verificação da conformidade com o RGPD >> que o ajudará a fazê-lo.