Desde a entrada em vigor da nova lei federal de proteção de dados (nLPD) a 1 de setembro de 2023, muitas empresas suíças presumem que, por operarem apenas na Suíça, só a nLPD lhes diz respeito. A realidade é mais matizada: consoante a origem dos contactos e os mercados visados, o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD) também pode aplicar-se a leads tratados a partir da Suíça. Para uma empresa que compra ou revende pedidos de clientes, saber que lei governa os dados recebidos não é uma formalidade jurídica abstrata: é o que determina como o consentimento deve ser recolhido, como os dados podem circular e quem assume a responsabilidade em caso de incumprimento.
Este dossiê compara os dois quadros na perspetiva precisa da compra de leads qualificados, sem jargão inútil. Não substitui o parecer de um jurista sobre a sua situação específica, mas dá-lhe as referências para colocar as perguntas certas a um fornecedor e verificar que a cadeia de dados que chega até si está conforme. Completa o nosso dossiê dedicado à nLPD e à compra de leads B2B, bem como os dossiês sobre a qualidade dos leads e sobre a escolha de um fornecedor, onde a vertente contratual é aprofundada.
Porque as duas leis podem dizer respeito à sua empresa
O primeiro erro consiste em raciocinar pela nacionalidade da empresa em vez de pela situação de tratamento. A nLPD aplica-se aos tratamentos de dados que produzem efeitos na Suíça, independentemente do local onde são efetuados. O RGPD, por seu lado, tem um alcance extraterritorial: aplica-se assim que uma empresa, mesmo estabelecida fora da União, oferece bens ou serviços a pessoas situadas na UE ou monitoriza o seu comportamento. Em concreto, uma empresa suíça que compra leads correspondentes exclusivamente a residentes suíços permanece principalmente sob a nLPD; mas assim que um lead diz respeito a uma pessoa residente na UE, ou a sua atividade visa clientes transfronteiriços, o RGPD entra em jogo em paralelo.
Para quem compra leads, isto tem uma consequência prática: é preciso saber de onde vêm os contactos que recebe. Um fornecedor que recolhe pedidos através de formulários acessíveis a partir da vizinha França ou destinados a trabalhadores transfronteiriços trata potencialmente dados abrangidos pelo RGPD. Não é um obstáculo em si — os dois regimes são amplamente compatíveis — mas obriga a verificar que o fornecedor aplica o mais exigente dos dois padrões, em vez de supor que «como estamos na Suíça, basta a nLPD». Na dúvida, é mais prudente tratar todos os leads segundo o padrão mais rigoroso.
A base comum aos dois regimes
Apesar das suas diferenças, a nLPD e o RGPD assentam nos mesmos grandes princípios, e isso é uma boa notícia para quem compra leads: cumprir seriamente um aproxima muito do outro. Ambos os textos impõem a transparência (a pessoa deve saber quem recolhe os seus dados e para quê), a limitação à finalidade (os dados recolhidos para uma ligação entre partes não podem ser desviados para um uso sem relação), a minimização (recolher apenas o necessário), a segurança dos dados e o respeito pelos direitos das pessoas: acesso, retificação, apagamento, oposição.
Para a empresa recetora, estes princípios traduzem-se em obrigações concretas. Deve poder dizer a um cliente, se este o pedir, de onde vem o seu pedido e porque o contacta. Deve estar em condições de apagar os seus dados se ele se opuser ou se já não tiver uma razão legítima para os conservar. Deve proteger o ficheiro de leads recebidos como quaisquer outros dados pessoais. Estes requisitos são idênticos ou muito próximos nos dois regimes; as diferenças reais, as que contam no momento de escolher um fornecedor ou redigir um contrato, situam-se noutro lado.
O que muda realmente: base jurídica, consentimento e sanções
A diferença mais estrutural incide sobre a base jurídica do tratamento. O RGPD exige, para cada tratamento, uma base jurídica explícita de entre uma lista fechada: consentimento, execução de um contrato, obrigação legal, interesse legítimo, e assim por diante. A nLPD raciocina de forma diferente: para uma empresa privada, o tratamento de dados não sensíveis é em princípio lícito enquanto não constituir uma ofensa ilícita à personalidade do titular. O consentimento não é sistematicamente exigido; torna-se necessário nomeadamente para levantar uma ofensa, para os dados sensíveis ou para certas comunicações. Na prática, a nLPD deixa um pouco mais de margem no tratamento de contactos profissionais, mas essa flexibilidade nunca dispensa de informar as pessoas nem de respeitar o seu direito de oposição.
A segunda diferença importante reside nas sanções e em quem elas visam. O RGPD prevê coimas administrativas dirigidas contra a empresa responsável, calculadas em proporção do seu volume de negócios mundial. A nLPD, por seu lado, prevê sanções penais que visam prioritariamente a pessoa singular responsável dentro da empresa (por exemplo o dirigente que infringiu certas obrigações), e não a entidade enquanto tal. Esta lógica muito diferente explica porque a conformidade com a nLPD se joga muito ao nível das responsabilidades internas claramente atribuídas. Existem outras divergências — prazo de notificação de uma violação de dados, limiares de isenção para o registo de tratamentos das PME, designação de um representante na Suíça para os responsáveis estabelecidos no estrangeiro — mas base jurídica e regime de sanções são os dois pontos que quem compra leads deve ter em mente.
Consentimento, prospeção e o papel da LCD
Sobre os leads, a questão do consentimento junta-se a uma regra frequentemente esquecida: na Suíça, a prospeção comercial em massa não é regida apenas pela nLPD, mas também pela lei contra a concorrência desleal (LCD). Esta sujeita o envio de publicidade em massa por via eletrónica (e-mail, SMS) a um regime de opt-in: em princípio exige o consentimento prévio do destinatário, uma identificação correta do remetente e uma possibilidade de recusa simples. Esta regra visa a empresa que explora o lead, não apenas a que o recolheu. Por outras palavras, comprar um lead não o dispensa de verificar em que base está autorizado a contactá-lo, e por que canal.
O ponto tranquilizador para o comprador é que um lead corretamente qualificado resolve o essencial do problema: a pessoa preencheu um formulário pedindo explicitamente para ser recontactada por um profissional do seu setor. Esse consentimento, desde que documentado e rastreável, constitui uma base sólida tanto face à nLPD como ao RGPD, e cobre o primeiro contacto previsto pela LCD. É precisamente por isso que a rastreabilidade do consentimento — marca temporal, formulação exata do formulário, endereço IP se for o caso — é o critério mais importante a exigir de um fornecedor. Um lead sem prova de consentimento é um risco jurídico disfarçado de oportunidade comercial, qualquer que seja o regime aplicável.
O que quem compra leads deve verificar concretamente
No momento de escolher um fornecedor, algumas verificações simples permitem proteger toda a cadeia. Peça primeiro a prova do consentimento: o fornecedor deve poder mostrar-lhe, para um dado lead, aquilo a que a pessoa consentiu, quando e como. Certifique-se depois de que o contrato que o vincula precisa os papéis de cada um em termos de proteção de dados — quem decide as finalidades, quem trata por conta de quem — pois é este documento que determinará a sua responsabilidade em caso de controlo ou de reclamação. Verifique a forma como os leads lhe são transmitidos e armazenados, e durante quanto tempo o fornecedor conserva os dados depois de lhos ter cedido.
Dois pontos merecem uma atenção particular se existir uma dimensão europeia. Primeiro, as transferências de dados: a Suíça dispõe do seu próprio regime para os fluxos transfronteiriços, e a UE reconhece à Suíça uma proteção adequada, o que fluidifica as trocas — mas um fornecedor que aloja ou subcontrata fora deste espaço deve poder justificá-lo. Segundo, a existência de um ponto de contacto claro para os pedidos das pessoas em causa (acesso, apagamento), que terá de poder honrar. Uma vez reunidos estes elementos, a sua exposição jurídica torna-se controlada: trabalha a partir de pedidos consentidos, num quadro contratual claro, com um fornecedor capaz de documentar a conformidade da sua recolha. É este rigor a montante, muito mais do que a escolha entre nLPD e RGPD, que protege duradouramente a empresa recetora.