- 9 August 2021
Articol – studiu: Cât costă în România transmiterea nelegală a unui newsletter către o persoană fizică?
Ce zice legea?
Sunt două legi care reglementează în prezent comunicările comerciale (prin e-mail) în România şi respectiv UE, după cum urmează:
- Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
- Regulamentul General privind Protecția Datelor (GDPR).
Conform GDPR, nicio dată cu caracter personal nu poate fi utilizată în scop de marketing fără acordul (consimțământul) prealabil al clientului.
Astfel, consimțământul trebuie să fie:
- clar exprimat, printr-o manifestare pozitivă de voință;
- trebuie să fie informat (adică omul trebuie să știe cum urmează să îi fie prelucrate informațiile)
- trebuie să fie neechivoc (consimțimântul nu se subînțelege, iar consimțământul implicit ex: „prin continuarea navigării pe website-ul nostru”, nu este considerat legal exprimat);
- să fie liber exprimat (înseamnă că oferim clientului ambele opțiuni, aceea de a fi de acord și aceea de a nu fi de acord).
Legea nr. 506/2004, art.12 - alin. (1) și (2) „Comunicările nesolicitate” prevede:
(1) Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare care nu necesită intervenția unui operator uman, prin fax ori prin poștă electronică sau prin orice altă metodă care folosește serviciile de comunicații electronice destinate publicului, cu excepția cazului în care abonatul sau utilizatorul vizat și-a exprimat în prealabil consimțământul expres pentru a primi asemenea comunicări.
(2) Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obține în mod direct adresa de e-mail a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile GDPR, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiția de a oferi în mod clar şi expres clienților posibilitatea de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, atât la obținerea adresei de poștă electronică, cât și cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus inițial.
Conform Legii 506/2004, contravenția de a transmite comunicări nesolicitate este sancționată după cum urmează:
- - cu amendă de la 5.000 lei la 100.000 lei,
- - iar pentru societățile comerciale cu o cifră de afaceri de peste 5.000.000 lei cu amendă în cuantum de până la 2% din cifra de afaceri.
Conform GDPR, amendă pentru transmiterea comunicărilor comerciale nesolicitate si respective pentru nerespectarea condițiilor privind consimțământul, este:
- - 20.000.000 euro sau în cazul unei întreprinderi, până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.
Studiu de caz al amenzilor GDPR acordate în 2020 si 2021 de Autoritatea de Supraveghere a prelucrării datelor cu caracter personal din România (A.N.S.P.D.C.P.) având ca subiect transmiterea nesolicitată a comunicărilor comerciale (newsletter):
- Martie 2020 – EMAG este amendată cu 3000 euro (14.420,4 lei) pentru transmiterea unor Newsletter unor persoane care s-au dezabonat de la această opțiune. ANSPDCP a declanșat investigația ca urmare a sesizării unui client a cărui drepturi au fost încălcate.
- Martie 2020 – ENEL Muntenia SA este amendată cu 3000 euro (14.423,7 lei) în urma unei investigații desfășurate de ANSPDCP în urma sesizării unui client. Clientul adresează o plângere autorității prin care prezintă dovezi (screeen-shot-uri și copii de pe mailul primit) în mod nesolicitat de către un angajat al ENEL Muntenia care a trimis mesajul către o adresă greșită: numele și prenumele, adresa de domiciliu, e-mailul, codul de client și Codul Eneltel al altui client erau cuprinse în aceasta comunicare eronată!
- Octombrie 2020 – MEGAREDUCERI SRL este amendată cu 3000 euro (14.519 lei) dar si cu aplicarea măsurii corective de a oferi răspuns către Autoritate în termen de 5 zile calendaristice. Amenda a fost acordată după ce operatorul a trimis mai multe SMS-uri pe telefon cu privire la serviciile website-ului www.reduceriazi.ro unor persoane care nu și-au exprimat consimțământul în acest sens.
- Decembrie 2020 – ING BANK este amendată cu 3000 de euro pentru că cererea de închidere a unui cont transmisă de client în atenția băncii, nu a fost realizată de operator, păstrând statusul contului „activ”. Persoana fizică a sesizat Autoritatea care a constatat în acest caz continuarea prelucrării datelor cu caracter personale ale clientului (numele, prenumele, adresa de e-mail, data de expirare a cărții de identitate) după adresarea de către client a unei solicitări de ștergere a acestor informații.
- Februarie 2021 – BNP Paribas Personal Finance S.A. Paris Sucursala București este amendată cu 10.000 lei (aproximativ 2000 euro). Investigația a fost demarată ca urmare a plângerii transmise de persoana vizată care a primit pe numărul sau de telefon mobil un mesaj comercial (SMS) din partea BNP Paribas, nerespectând astfel prevederile art. 12 referitor la comunicările nesolicitate reglementate de legea 506/2004.
- Iunie 2021 – SC. DREAMTIME CALL S.R.L., a fost amendata cu 2000 euro (9852,2 lei). Investigația s-a demarat ca urmare a unei plângeriprin care se reclamă faptul că SC Dreamtime Call S.R.L. a prelucrat nelegal datele personale ale unei persoane fizice (numărul de telefon), prin contactarea telefonică în mod repetat a acesteia, fără acordul prealabil. Mai mult, compania nu a răspuns solicitărilor ANSPDCP în termenul indicat, deși a confirmat primirea solicitării autorității și astfel a urmat sancțiunea.
De unde concluzionăm că transmiterea unei comunicări comerciale nesolicitate de către companie costă, în eventualitatea unei sancțiuni, aproximativ 2000 – 3000 de euro. Unele companii ar considera că merită să continue transmiterea nelimitată a comunicărilor comerciale nesolicitate clienților lor pentru că GDPR „nu-și arata colții” în acest caz, iar legea națională nici atât.
Totuși, ce recomandăm noi?- Atenție sporită la solicitările de dezabonare transmise de clienți privind comunicările comerciale. Aceste persoane nu ar trebui să mai fie contactate, dar totodată, ar trebui să distingem între comunicările administrative, care țin de executarea (bunul mers) al unei relații contractuale și comunicările care au ca scop promovarea serviciilor și/sau produselor. Cele din urmă sunt problema.
- Putem oferi stimulente clienților în schimbul obținerii consimțământului de abonare la newsletter. Legislația nu interzice acordarea unor avantaje, gratuități, reduceri sau alte stimulente clienților în schimbul adresei lor de mail spre exemplu sau a consimțământului în vederea abonării la newsletter prin intermediul site-ului (sau a unui Landing Page creat special ca o campanie de abonare la newsletter).
- În cazul unui shop online, considerăm că ar trebui să avem mai multe tipuri de abordare în funcție de statusul relației companiei cu clientul. Spre exemplu, într-un fel ne adresăm clientului care a plasat comenzi recent dar care nu a optat pentru abonarea la newsletter și altfel abordăm clientul care nu este abonat la newsletter și nu a plasat comenzi de mult timp.
- Clienții din baza de date inactivi de peste un an de zile reprezintă un risc pentru organizație având în vedere ca datele sunt vechi (neactualizate): nu știm daca un client inactiv răspunde în prezent la aceeași adresa de mail introdusă în baza de date încă de la prima interacțiune online cu organizația. Așadar, contactarea acestor persoane reprezintă un risc, dar de regulă, adresele de e-mail devin în cel mai rău caz neutilizate. Am spus în repetate rânduri că în online, inactivitatea unui client dobândit este exclusiv vina companiei și la fel, compania este de vină și în cazul „perisabilității” datelor cu caracter personal ale clientului.