Duas Greenpeace? O caso curioso de uma campanha de email marketing (e como obtiveram estes dados?)

Recentemente, chegou ao conhecimento da CpC uma mensagem que aparentava ser uma operação de phishing ou spam:

“Olá <nome, segundo nome e apelido>,
A florestas são o coração do nosso Planeta, guardiães de uma variedade de vida extraordinária e essenciais para equilibrar o nosso clima. Porém, em quase 20 anos – de 2001 a 2019 – Portugal perdeu acerca de 820.000 hectares de florestas, sendo os incêndios a sua principal causa.
São mais de 3 vezes a dimensão da cidade de Lisboa.
Mas não são apenas os incêndios. As alterações climáticas e a gestão pouco sustentável das terras, são uma ameaça séria aos pulmões verdes de Portugal.
Colabora connosco
Nós na Greenpeace estivemos sempre na linha da frente na defesa florestal, com vitórias importantes. Queres conhecer algumas delas?
A aprovação pela União Europeia duma lei que proíbe a venda de produtos relacionados com a desflorestação: um passo histórico para proteger as florestas do mundo.
A criação de campanhas globais pela defesa das pessoas que vivem nas florestas e que dependem delas para a sua sobrevivência, como os povos indígenas.
O estabelecimento das chamadas food forest, que visam recriar pequenos ecossistemas florestais nas cidades, para torná-las mais resilientes às mudanças climáticas e apoiar os polinizadores, que encontram com cada vez menos espaço para desempenhar as suas valiosas funções.
São muitas as vitórias, mas sabemos que os desafios são enormes e garanto-te, Ana, que é um compromisso constante com batalhas diárias. Não podemos fazer isto sozinhos: ao juntares-te a nós, podemos proteger as florestas com mais um valioso aliado!”
Protege as florestas aqui (link)
Greenpeace Portugal
Praceta da Tabaqueira, A2 1950-256 Lisboa
A Greenpeace é uma organização independente que não aceita dinheiro de governos nem de empresas, para poder denunciar todas as empresas ou instituições que ameaçam o planeta. Apenas pessoas empenhadas como tu tornam possível o nosso trabalho.
Utilizaremos os teus dados apenas para te informar sobre as últimas novidades do meio ambiente e da Greenpeace, em envios como este. Se preferires não os receber, podes cancelar a tua subscrição (link) – embora fiquemos com saudades tuas! 😥“

Perante esta mensagem que refere um domain DNS https://atuacomgreenpeace.org/ importa perceber qual é a relação deste URL com o mais conhecido www.greenpeace.pt

Em primeiro lugar este site utiliza, nos comentários “invisíveis” das páginas, o castelhano embora a linguagem de display seja o português de Portugal p.ex. no comentário: “// Actualizamos las variables data antes de hacer el push.”

Este domain atuacomgreenpeace.org foi registado em 2025-01-21T00:00:00Z o que é intrigante e algo suspeito dado que os dados do registo estão anonimizados o que é suspeito numa ONG tão conhecida e com sede oficial em Portugal:
(p.ex. Registry Registrant ID: REDACTED e Registrant Name: REDACTED embora encontrassemos como “Registrant Organization: DIGITAL+FUNDRAISING%2C+S.L.” com site em https://dgtlfundraising.com/es/ que usa um site, por sua vez, está alojado em Madrid em hs-2001.servidores-dedicados.es o que também indiciava que esta campanha de email marketing não era directamente proveniente da Greenpeace (filial portuguesa).

Contactámos várias destas organizações (ONGs com objectivos humanitários) que nos confirmaram que era de facto “dois sites” sendo que estes “actua” eram também um site da sua organização e, uma respondeu confirmou esta dualidade mas que “we are no longer using this address: “The main one is www.musicosporlasalud.org/hazte-socio. Thank you for notifying us. We will now deactivate it.” De facto estas respostas não eram exactas uma vez que um dos sites era o de uma operação comercial de recolha de fundos feita em nome desta e de outras organizações e em troca de um benefício financeiro indefinido mas certo (provavelmente uma percentagem das doações ou um valor fixo por cada contacto que se materializa num donativo). Até aqui, portanto, tudo parece correcto embora alguns possam ter dúvidas éticas quanto ao uso de um método comercial para causas humanitárias ou cívicas.

Mas, em (o que pode ser lido em https://dgtlfundraising.com/es/):
“Captación de leads: Alcanzamos a los usuarios interesados con formatos tanto clásicos como novedosos y testamos los elementos que mejor funcionan para cada causa. Trabajamos para optimizar nuestras métricas llegando al público objetivo correcto” encontramos a questão de saber onde obtém esta empresa espanhola os contactos (emails, primeiro nome e último nome) destes utilizadores portugueses.

Num destes sites (todos idênticos e clonados uns dos outros com o mesmo template e grafismo) encontramos p.ex.:
“https://atuacomgreenpeace.org/privacidade-politica“
Os seus dados pessoais são recolhidos através de relações com a GREENPEACE ou como resultado das interações com a nossa entidade, seja na qualidade de membro, doador, participante de campanhas, voluntário, ativista ou colaborador, ou ainda por ter solicitado o envio de informações promocionais sobre as nossas atividades, campanhas e iniciativas.
Também é possível que um terceiro nos tenha fornecido os seus dados. Regra geral, tratamos apenas os dados fornecidos pelos titulares dos mesmos, mas em certos casos podemos receber dados de terceiros. Caso nos forneça dados de terceiros dos quais não seja titular, deverá informá-los previamente e obter o seu consentimento, isentando-nos de qualquer responsabilidade em caso de não cumprimento desta obrigação.”
1. Este membro da CpC que nos alertou para esta campanha de email nunca se registou em nenhum site da Greenpeace nem, nunca enviou email para esta organização (foi possível confirmar)
2. Que “terceiro é este”? Como foram obtidos estes dados desta entidade? Foram respeitadas as regras impostas pelo RGPD?
3. O link “Cancelar subscrição”
https://atuacomgreenpeace.org/unsubscribe?hash=73543681653ccb70e39fbaa9fddbb582&l=2429&mailerEmailCampaignId=53&mailerEmailCampaignType=transactional&mailerEmailDeliveryId=dgTTuQoBAP4S_RIBlnXVDOGUqLYVcaqS-DiZ&mailerEmailMessageId=1094&utm_campaign=%5BON%5D+Welcome&utm_content=%5BWelcome%5D+Email+6.+Bosques%3A+los+pulmones+del+planeta&utm_medium=email_action&utm_source=customer.io
https://atuacomgreenpeace.org/unsubscribe?hash=73543681653ccb70e39fbaa9fddbb582&l=2429&mailerEmailCampaignId=53&mailerEmailCampaignType=transactional&mailerEmailDeliveryId=dgTTuQoBAP4S_RIBlnXVDOGUqLYVcaqS-DiZ&mailerEmailMessageId=1094&utm_campaign=%5BON%5D+Welcome&utm_content=%5BWelcome%5D+Email+6.+Bosques%3A+los+pulmones+del+planeta&utm_medium=email_action&utm_source=customer.io
revela que:
Segmentação: É um email de boas-vindas dentro de uma série automatizada (provavelmente o 6.º da sequência).
Conteúdo: Focado nos bosques como pulmões do planeta: um tema ambiental comum nas campanhas da Greenpeace.
Automatização: Gerado automaticamente via a plataforma Customer.io, sugerindo um fluxo automatizado de onboarding ou nutrição de leads.
Rastreabilidade: A campanha está preparada para ser analisada em termos de conversões e interacções.

O cidadão que recebeu este email de marketing enviou (com apoio da CpC) à empresa de marketing digital que gere estas campanhas de mail:

“Assunto: Pedido de Informação e Exercício de Direitos ao Abrigo do RGPD
Exmos. Senhores,
Nos termos do disposto no Regulamento Geral sobre a Protecção de Dados (Regulamento (UE) 2016/679), venho por este meio solicitar as seguintes informações:
1. Queiram informar-me sobre a origem e o modo de obtenção dos meus dados pessoais, nomeadamente o meu nome, apelido, endereço de correio eletrónico e número de telefone.
2. Solicito igualmente que me seja indicado que outros dados pessoais meus se encontram na vossa posse.
3. Requeiro a identificação de terceiros a quem os referidos dados tenham sido transmitidos, bem como a indicação de eventuais campanhas ou finalidades em que os mesmos foram utilizados.
4. Por fim, e ao abrigo do direito ao apagamento consagrado no artigo 17.º do RGPD, solicito a eliminação integral dos meus dados pessoais dos vossos sistemas e bases de dados.
Agradeço confirmação da recepção deste pedido e resposta no prazo legalmente previsto de 30 dias.
Com os melhores cumprimentos“
(Sem resposta)

A Greenpeace Portugal (directamente: não através desta empresa de marketing digital) respondeu – dias depois – que o endereço de email do alvo foi captado porque este cidadão assinou uma petição sem indicar, contudo, qual seria a mesma, quais os dados nessa petição nem como foram cedidos à https://dgtlfundraising.com nem se esta os conserva para usos futuros nem, sobretudo, a que mais organizações foram cedidos nem se essa cedência cumpriu as regras do RGDP.

Vários dias depois do preenchimento do formulário (única forma de contacto) no site da empresa espanhola de marketing digital requerendo a indicação de que dados, como teriam sido obtidos e a sua remoção não tinha sido respondido presumindo-se assim que permaneciam nesta base de dados e provavelmente noutras de outras entidades semelhantes naquilo que parece ser uma violação do RGPD.

Nos termos do artigo 15.º do Regulamento (UE) 2016/679, o titular dos dados tem o direito de acesso aos dados pessoais que lhe digam respeito, incluindo informações sobre a origem dos dados, as finalidades do tratamento e as categorias de destinatários a quem os dados são ou foram divulgados. Complementarmente, o artigo 17.º consagra o direito ao apagamento (“direito a ser esquecido”), permitindo ao titular solicitar a eliminação dos seus dados pessoais, especialmente quando estes já não forem necessários para a finalidade que justificou a sua recolha ou quando o titular retire o consentimento.

O pedido formulado pelo titular dos dados através do formulário no site da empresa constitui, portanto, o exercício legítimo destes direitos. De acordo com o artigo 12.º, n.º 3 do RGPD, o responsável pelo tratamento deve fornecer ao titular dos dados informações sobre as medidas adoptadas sem demora injustificada e, em qualquer caso, no prazo de um mês a contar da recepção do pedido. A ausência de resposta no prazo legal constitui uma violação do RGPD, nomeadamente dos princípios da transparência e da responsabilidade previstos no artigo 5.º e artigo 24.º.

Adicionalmente, o facto de os dados poderem estar a ser partilhados com outras entidades sem o conhecimento e consentimento do titular configura uma possível violação do princípio da limitação das finalidades (art. 5.º, n.º 1, alínea b) e do princípio da licitude do tratamento (art. 6.º), podendo ainda existir uma comunicação ou cedência ilícita de dados a terceiros.

Nestes termos, e face à inércia da empresa, é admissível presumir que os dados permanecem indevidamente armazenados e eventualmente partilhados, em clara violação das obrigações previstas no RGPD, assistindo ao titular dos dados o direito de apresentar reclamação à autoridade de controlo competente (neste caso, a Agência Espanhola de Proteção de Dados – AEPD ou a Comissão Nacional de Proteção de Dados – CNPD, caso o titular esteja em Portugal), conforme previsto no artigo 77.º do RGPD.

Em suma:
1. Este email é enviado por uma empresa espanhola que conduz campanhas para associações espanholas, italianas e portuguesas (como a Salvador) para emails portugueses e em português.
2. Existem dúvidas legítimas sobre a origem das bases de dados de “leads” (emails pessoais e não empresariais com, pelo menos primeiro e último nome e, (há indícios disso), número de telemóvel. Perguntámos a várias destas ONGs como tinha a empresa espanhola obtido estes dados pessoais de utilizadores portugueses mas ninguém respondeu.
3. Pedimos a remoção e envio dos dados (assim como a origem dos mesmos) à https://dgtlfundraising.com/es/ mas não tivemos resposta.
4. A equivalente à CNPD portuguesa é a espanhola https://sedeaepd.gob.es/ mas só se pode fazer queixas com cartão cidadão espanhol. Assim sendo, a competência para lidar com esta eventual utilização de bases de dados de cidadãos portugueses cabe à CNPD (entidade que recebeu uma cópia deste texto).

Iniciativa CpC: Cidadãos pela Cibersegurança