Política de Privacidade em Marketing e Cookies

A Política de Privacidade em Marketing e Cookies define requisitos obrigatórios de privacidade para marketing, cookies, tecnologias de rastreio, análise, tecnologia de publicidade, segmentação de públicos, marketing direto, gestão de preferências, supressão, tags de terceiros, revisão de campanhas e tratamento de informações pessoais identificáveis (PII) relacionado. A sua finalidade declarada é assegurar que estas atividades são governadas através de registos de finalidade claros, aviso transparente, controlos adequados de consentimento ou preferências, tratamento da supressão e da retirada do consentimento, supervisão de terceiros e evidência preparada para auditoria. A política aplica-se a contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, sendo as obrigações do responsável pelo tratamento aplicáveis quando a organização determina as finalidades e os meios de marketing, e as obrigações do subcontratante aplicáveis quando informações pessoais identificáveis (PII) relacionadas com marketing, análise, rastreio ou campanhas são tratadas segundo instruções documentadas de clientes ou de subcontratantes a montante. Um requisito central é que as finalidades de marketing e rastreio devem ser registadas antes do início do tratamento. Para atividades do responsável pelo tratamento, o Proprietário do processo ou o proprietário do negócio deve registar cada campanha de marketing, canal, finalidade do tratamento, categoria de PII, fonte do público, ligação ao fundamento de licitude, categoria de tecnologia de rastreio, dependência de fornecedor ou tag, ligação a aviso, dependência de consentimento ou preferência, ligação ao calendário de retenção e indicador de transferência em REG02 antes do início da campanha ou da atividade de rastreio. O Responsável de Privacidade / Gestor PIMS deve confirmar a ligação ao aviso REG07 atual e a ligação ao consentimento ou preferência REG05 antes do lançamento da campanha. Quando exista atividade conjunta de marketing, público partilhado, campanha co-branded ou rastreio partilhado, a repartição de responsabilidades do responsável conjunto pelo tratamento deve ser registada em REG08 antes do lançamento. A política estabelece requisitos operacionais detalhados para controlos de consentimento, preferências, cookies e rastreio. Exige que a organização identifique se o consentimento, a preferência, a oposição, a instrução contratual ou outro fundamento aprovado é necessário para cada canal de marketing, e que registe a decisão em REG02 e REG05 antes da recolha ou da utilização da campanha. Cookies não essenciais, tags, píxeis, SDKs e tecnologias de rastreio semelhantes devem permanecer inativos até que o estado de consentimento ou preferência exigido esteja disponível em REG05. Sinais de consentimento ou preferência não devem ser substituídos, contornados ou ignorados durante alterações ao website, à aplicação, à campanha ou ao gestor de tags, e a evidência de validação deve ser registada antes do lançamento. A evidência de consentimento, preferência, retirada do consentimento, supressão e versão deve ser registada em REG05 no prazo de um dia útil após a captura, alteração ou retirada do consentimento. A transparência e a governação de terceiros são também temas centrais. O Responsável de Privacidade / Gestor PIMS deve criar ou atualizar o registo do aviso de privacidade de marketing ou do aviso de cookies em REG07 antes de lançar um novo canal de marketing, tecnologia de rastreio, configuração de análise ou alteração material de campanha. O conteúdo do aviso deve estar alinhado com as finalidades de marketing em REG02, categorias de PII, categorias de destinatários, categorias de fornecedores, categorias de tecnologias de rastreio, opções de preferências e indicadores de transferência antes da publicação. Fornecedores de marketing, prestadores de análise, plataformas de publicidade, tags, píxeis, SDKs e parceiros de partilha de dados devem ser registados em REG08 antes da utilização em produção, com a classificação como subcontratante, responsável conjunto pelo tratamento ou responsável independente pelo tratamento confirmada antes da integração ou renovação. Fornecedores internacionais, tags, prestadores de análise, plataformas de publicidade, transferências de públicos ou transferências de partilha de dados devem ser encaminhados para REG09 antes da entrada em produção, quando aplicável. A política também estabelece requisitos para revisão de campanhas, supressão, encaminhamento de opt-outs, aplicação e supervisão contínua. A fonte do público, os critérios de segmentação, as categorias de PII, as exclusões por supressão, as restrições de preferências e a ligação ao aviso devem ser verificados antes do lançamento da campanha, e os indivíduos com estado de retirada do consentimento, oposição, não contactar ou supressão devem ser excluídos antes da ativação. Objeções a marketing, opt-outs, pedidos de retirada do consentimento, falhas de cancelamento de subscrição e reclamações de marketing direto devem ser encaminhados para REG06 no prazo de dois dias úteis, e o estado de supressão ou preferência deve ser atualizado no prazo de um dia útil após a validação. Os controlos de governação incluem revisão trimestral do estado dos controlos de privacidade de marketing em REG12, revisão anual de fornecedores de marketing ativos em REG08, métricas trimestrais para ligações de consentimento ou aviso em falta, exceções de trackers e de estado de consentimento, itens de cumprimento em atraso, e constatações de auditoria ou ações corretivas registadas em REG12.