Ceea ce trăim de la apariția GDPR pînă în prezent este firesc în opinia mea: ani de zile nu s-a făcut mare lucru și dintr-o dată vrem să fie rezolvate toate. Pe lîngă „butoanele„ pentru cookies, un subiect des discutat este și cel legat de consimțămînt (sau lipsa lui) în cazul marketingului direct.

Care sînt cerințele legale aplicabile?

• GDPR + L 190/2018

Considerent 47: „ Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim. „

Considerent 70: „ În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată ar trebui să aibă dreptul de a se opune unei astfel de prelucrări, inclusiv creării de profiluri în măsura în care aceasta are legătură cu marketingul direct, indiferent dacă prelucrarea în cauză este cea inițială sau una ulterioară, în orice moment și în mod gratuit. Acest drept ar trebui adus în mod explicit în atenția persoanei vizate și prezentat în mod clar și separat de orice alte informații „

Art. 21 (2): „Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv. „

Legea 190/2018 nu face nici o referire la acest subiect :). Cum de fapt nici GDPR nu definește/clarifică „marketingul direct„.

• Directiva 2002/58 + L 506/2004 – (altfel spus legislație specifică)

Considerent 17: „ În sensul prezentei directive, consimțământul acordat de un utilizator sau un abonat, indiferent dacă acesta din urmă este o persoană fizică sau juridică, trebuie să aibă aceeași însemnătate ca și consimțământul acordat de subiectul datelor așa cum este definit și specificat de Directiva 95/46/CE. Consimțământul poate fi acordat prin orice metodă potrivită acestui scop, care oferă indicații specifice și clare, acordate prin proprie voință, despre dorința utilizatorului, inclusiv prin bifarea unei căsuțe la vizitarea unui site Internet. „

Art. 12: „Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare care nu necesită intervenția unui operator uman, prin fax ori prin poșta electronică sau prin orice altă metodă care folosește serviciile de comunicații electronice destinate publicului, cu excepția cazului în care abonatul vizat și-a exprimat în prealabil consimțământul expres pentru a primi asemenea comunicări. „

• Directiva 2000/31 + L 356/2002

Art. 6: „Efectuarea de comunicări comerciale prin poșta electronică este interzisă, cu excepția cazului în care destinatarul și-a exprimat în prealabil consimțământul expres pentru a primi asemenea comunicări.„

Lucrurile par simple. GDPR are în vedere orice tip de comunicare comercială. Apoi vine Directiva 58 și legea națională care fac referire la comunicările comerciale electronice:

comunicare comercială – orice formă de comunicare destinată să promoveze, direct sau indirect, produsele, serviciile, imaginea, numele ori denumirea, firma sau emblema unui comerciant ori membru al unei profesii liberale; nu constituie prin ele însele comunicări comerciale următoarele: informații permițând accesul direct la activitatea unei persoane fizice sau juridice, în special un nume de domeniu sau o adresă de poștă electronică, comunicări legate de produsele, serviciile, imaginea, numele ori mărcile unei persoane fizice sau juridice, efectuate de un terț independent față de persoana în cauză, mai ales atunci când sunt realizate cu titlu gratuit;

Orice altă comunicare ce nu se încadrează în definiția de mai sus NU ESTE comunicare comercială.

Pînă aici lucrurile sînt destul de clare și pentru unul ca mine care nu are studii de drept. Problema apare în cazul excepției dată de marketingul direct.

Art. 12 din L506:

„(2) Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obține în mod direct adresa de poștă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiția de a oferi în mod clar și expres clienților posibilitatea de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, atât la obținerea adresei de poștă electronică, cât și cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus inițial.„

Art. 13 din Directiva 58:

Folosirea sistemelor de apelare automată fără intervenție umană (mașini de apelare automată), a faxurilor sau a poștei electronice în scopuri de marketing direct este permisă doar în legătură cu acei abonați care și-au dat în prealabil acordul.

Să analizăm puțin definiția din legea națională:

• adresa de mail a fost obținută DIRECT cu ocazia VÎNZĂRII;
• produse și servicii SIMILARE – (aici este de discutat)
• posibilitatea opunerii trebuie să existe atît la momentul inițial cît și ulterior în orice mesaj email.

Temeiul juridic pentru prelucrarea datelor personale în scopuri de marketing direct este deci interesul legitim conform GDPR.

Directiva și legea națională fac referire la „opt-in„ pentru consimțămînt.

Apare excepția de la aceste reguli („opt-out„) dacă adresa de mail a fost colectată anterior în urma unei vînzări (și numărul de telefon?)

• 

Voi relua acum un exemplu personal despre care am mai scris. Service-ul la care îmi fac reviziile auto are și adresa de mail și numărul de telefon. Așa îmi fac programările, confirmările etc. Adresa de mail și numărul de telefon au fost colectate în momentul vînzării mașinii. Service-ul îmi transmsite pe mail și informări cu privire la promoții auto, piese de schimb. Nu are nevoie de nici un consimțămînt. Să presupunem însă că, la un moment dat, primesc de la ei un mail în care sînt anunțat, printre altele și că sînt sponsorii unui eveniment. Au ei interes legitim? Cu siguranță. Este mailul cu „sponsorizarea„ un „produs sau serviciu similar„? Nu prea. Pentru astfel de situații (să le spunem „news„) cred că se aplică atît „opt-in„ cît și „opt-out„.

Alt exemplu.

Brokerul la care am asigurarea RCA este obligat să mă anunțe cu 30 de zile înainte că expiră polița. Poate să îmi folosească adresa de email să îmi transmită orice informații legate de asigurările din portofoliul său de servicii.

Prin aceste două exemple vreau să scot în evidență că nu există o regulă generală după care putem interpreta „produse și servicii similare„. Este rezonabil însă să mă gîndesc că, un cabinet de servicii financiare sau unul de avocatură, vor considera un mail în care mă anunță că s-a modificat o lege ca fiind „serviciu similar.

Știu că se folosește sintagma „soft opt-in„. Dar în GDPR, cînd se face referire la consimțămînt, așa ceva nu există. Este de fapt „excepția„..