2 noi amenzi aplicate de ASNPDCP în legătură cu trimiterea de e-mailuri nesolicitate

e-mail GDPR newsletter marketing direct

ANSPDCP a sancționat două companii pentru lipsa consimțământului în cazul trimiterii newslettere-lor.

Cu toate acestea, lucrurile nu stau chiar așa.

Prima amendă se duce la elefant.ro

Elefant.ro, unul dintre cei mai mari retaileri pe piața magazinelor din România a fost amendat de către ANSPDCP cu o amendă de 10.000 lei pentru că nu a făcut dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail.

Investigația a început ca urmare a unei plângeri efectuate de un fost abonat care, după a dat click pe ”dezabonare”, a continuat să primească e-mailuri, ce au devenit astfel nesolicitate.

A doua amendă se duce la avocatnet.ro

Nu este o noutate, Alin Popescu postase de ceva vreme pe LinkedIn postarea privind amenda:

Hai să disecăm totuși, pentru ce a fost amendat avocatnet și de ce e posibil ca lucrurile să nu fie chiar așa de clare.

Dacă trimiți e-mailuri, trebuie să ai mereu consimțământul persoanei

De fapt, NU.

Consimțământul persoanei vizate este necesar atunci când îi trimiți mail-uri care intră în sfera marketingului direct. Adică prin care încerci să îi vinzi ceva.

GDPR nu spune exact ce înseamnă marketing direct, așa că mergem la autoritatea din Marea Britanie, care afirmă că:

Practic, aflăm că marketingul direct înseamnă ”comunicarea (prin orice fel de mijloace a materialelor publicitare sau de marketing care este direcționată către persoanele fizice”.

Versiunea mai nouă a ghidului autorității din Marea Britanie privind marketingul direct în lumina legii adoptate ca urmare a GDPR prevede fix aceeași definiție.

Dacă nu ne place definiția dată de ICO, mergem la cea regăsită în propunerea oficială la nivelul Uniunii Europene în ceea ce privește legislația privind protecția datelor, care prevede că:

În prezentul regulament, marketingul direct se referă la orice formă de publicitate prin care o persoană fizică sau juridică trimite comunicații în scopuri de marketing direct către unul sau mai mulți utilizatori finali identificați sau identificabili care utilizează servicii de comunicații electronice. În plus față de oferta de produse și servicii în scopuri comerciale, această noțiune ar trebui să cuprindă și mesajele trimise de partidele politice care contactează persoane fizice prin intermediul serviciilor de comunicații electronice cu scopul de a se promova. Același lucru ar trebui să se aplice în cazul mesajelor trimise de alte organizații nonprofit în vederea îndeplinirii obiectivelor organizației. .
preambul (32)

Sursa: Propunere de REGULAMENT AL PARLAMENTULUI EUROPEAN ŞI AL CONSILIULUI privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și de abrogare a Directivei 2002/58/CE (Regulamentul privind viața privată și comunicațiile electronice)

Iar în definiții regăsim și mai clar formulat:

comunicații în scopuri de marketing direct” înseamnă orice tip de publicitate, în formă scrisă sau orală, trimisă unuia sau mai multor utilizatori finali identificați sau identificabili de servicii de comunicații electronice, inclusiv folosirea sistemelor de apelare și comunicare automate, cu sau fără interacțiune umană, a e-mailurilor, a SMS-urilor etc.; 
art. 4 pct. lit. f)

Așadar, în primul rând, ANSPDCP ar fi trebuit să analizeze:

  1. dacă respectivele e-mailuri trimise de avocatnet conțin sau nu materiale publicitare sau de marketing; și
  2. câți dintre destinatari sunt persoane juridice și câți sunt persoane fizice.

Iar apoi să facă un pie-chart frumușel cu aceste procente, ca să ne putem da seama de impact.

Ca să tragem o concluzie, ai nevoie de consimțământul expres al persoanei vizate (persoană fizică, nu juridică), doar atunci când trimiți comunicări de publicitate (marketing).

Comunitatea avocatnet reprezintă marketing?

Când te pune cineva să îți faci cont pe avocatnet, vezi mare următorul mesaj:

Dacă ai atins limita de 6 vizualizări gratuite lunar, trebuie să-ți faci un cont și primești următorul mesaj:

Iar dacă mergem mai departe, unde ni se explică ce reprezintă limita de articole, vedem explicația următoare:

Am introdus aceasta condiție (să fii logat în contul tău dacă vrei să citești mai mult de 6 articole lunar) pentru că ne dorim ca, într-o perioadă deloc îndepărtată, să renunțăm la publicitatea online care îți este afișată și să îți furnizăm conținut din ce în ce mai relevant. Vom folosi datele colectate pentru a afla cât de utile sunt articolele noastre pentru cititori și despre ce subiecte și-ar dori oamenii să citească mai des pe avocatnet.ro.

Eu mi-aș fi dorit ca în politica lor de prelucrare a datelor să mi se explice și pentru ce îmi folosesc în mod concret datele respective. Și asta pentru că articolul 13 din GDPR, prevede, în virtutea dreptului la informare, că trebuie să îmi spui, în calitate de operator

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

Însă, revenind la topicul discuției noastre: faptul că avocatnet trimite mail-uri de informare asupra modificărilor legislative reprezintă marketing direct?

Așa arată un e-mail de ”personal update”, la care face referire comunicatul de presă al ANSPDCP:

Articolul cu chenar roșu este un link, de fapt, către un curs. Și atunci se pune întrebarea: este acest e-mail un e-mail de marketing direct?

Răspunsul meu, personal, este că nu: scopul acestui e-mail nu este de a vinde, nu este publicitar, ci este de informare. Că există și link-uri către produse și servicii similare care sunt oferite contracost, aceasta este o facilitate, o extra-optiune. Dacă am accepta că un asemenea tip de e-mail este considerat marketing direct, ar însemna că nu voi mai putea trimite e-mailuri clienților care au un anumit tip de nivel de acces și să fac referire la resurse din alt nivel de acces, pentru care trebuie să plătească extra. E absurd.

Putem folosi alt temei pentru trimiterea newsletterelor?

Răspunsul este DA.

Avocatnet au spus că au folosit drept temei ”încheierea sau executarea unui contract”. Suntem în situația asta?

Răspunsul este DA.

Ce este un contract?

Hai să mergem la definiția dată de Codul Civil:

Contractul este acordul de voințe dintre două sau mai multe persoane cu intenția de a constitui, modifica sau stinge un raport juridic.
art. 1166 Cod Civil

Până acum, faptul că un utilizator și-a făcut cont pe avocatnet este un acord de voință între două sau mai multe persoane.

Dar este un raport juridic?

Să ne uităm la definiție:

Gabriel Boroi , Carla Alexandra Anghelescu, Curs de drept civil. Partea generala
editia a 2-a revizuita si adaugita

Așadar, suntem în prezența unui raport juridic care se constituie: utilizatorul își face cont pe site pentru a beneficia (dreptul său) de informații de la site (obligația corelativă a site-ului).

Temeiul juridic al prelucrării fiind executarea sau încheierea unui contract, putem spune că între utilizator și site a fost încheiat un contract care constă în obligația site-ului de a furniza informații către utilizator în schimbul acestuia din urmă de a-și face un cont (practic vânzarea și plata reprezintă crearea unui cont).

Ce alt temei mai putem folosi pentru trimiterea newsletterelor, în afară de consimțământ?

Interesul legitim, pentru început, despre care am șcris în mod exhaustiv în manualul complet despre GDPR (nu ne lăudăm, dar am scris 300 pagini despre GDPR cu exemple, checklist și aplicații. Nu copy-paste din Regulament.)

Vrei să folosești interesul legitim drept temei pentru trimiterea newsletterelor? Găsești aici un model pe care să-l adaptezi.

Inclusiv GDPR spune că poți folosi interesul legitim ca temei pentru prelucrarea datelor, chiar și atunci când faci marketing direct.

[…] Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim.
Preambulul (47)

Pe scurt, pentru a putea trimite newselettere de marketing pe baza interesului legitim, trebuie să faci testul de interes legitim, compus din 3 părți:

  1. identificarea unui interes legitim, spre exemplu informarea corectă și sporirea vânzărilor, care să poată menține în continuare utilizarea gratuită a site-ului pentru anumite categorii de utilizatori, ceea ce duce la scopul mai mare al informării generale a comunității;
  2. prelucrarea este necesară pentru atingerea scopului;
  3. să găsiți echilibrul în raport de interesele, drepturile și libertățile persoanei vizate.

La final, ar trebui ca analiza să arate așa:

Prezentare decizie interes legitim cursuri avocatoo

Interesele legitime pot fi interesele organizației sau interesele terților. Acestea pot include interese comerciale, interese individuale sau beneficii sociale mai largi.


Vrei să înțelegi cum să aplici GDPR?

Explicăm GDPR live exact cum o facem și în scris: simplu și eficient. Ținem cursuri off-line și te ajutăm să economisești timp instruind angajații prin cursuri online.

Am scris despre mai multe situații, cu exemple practice, în manual.

Sau te poți duce pe soft opt-in

Soft opt-in nu înseamnă consimțământ. Cei de la ICO arată mai jos exact cum se poate folosi soft-in.

Practic, pot să dau newsletter comercial unei persoane cu care am încheiat un contract/aveam intenția de a încheia unul (dar vânzarea nu s-a încheiat) dacă îi prezint produse și servicii similare cu cele pe care el le-a achiziționat sau le voia inițial.

Să luăm un exemplu: dacă un client achiziționează de pe avocatoo.ro kit-ul pentru informarea corectă a angajaților & candidaților, aș putea să îi trimit un newsletter când îi vorbesc despre monitorizarea video a angajaților la locul de muncă conform GDPR, pentru care ANSPDCP a aplicat și o amendă și să îi pun link către procedura de monitorizare video, dar nu pot să îi bag pe gât un contract de intermediere. Aș putea în schimb să îi zic că oferim și servicii de recuperare a sumelor aferente concediilor medicale de la CNAS (asta pentru că are angajați, care se mai și îmbolnăvesc).

Qui prodest GDPR?

Nu aș ști să zic concret. Inițial ziceam că GDPR vine în sprijinul persoanelor pentru că le face mai conștiente despre drepturile pe care le au în materie de date personale. Și că poate fi folosit de organizații pentru a spori încrederea utilizatorilor în serviciile și produsele oferite și a pune astfel bazele unui brand sănătos. Dar pentru asta trebuie să fie aplicat și înțeles de toți în mod corect.


Problema aplicării GDPR este departe de a fi lămurită și va mai dura ceva timp până se vor contura niște direcții clare. Dar nouă ne place să citim mult și să explicăm pe înțelesul tău. Ca să știi cum implementezi mai departe.

Vrei să ne auzim? Contactează-ne. Si te poți abona și la newsletter, că scriem chestii faine și documentate.