A rămas mai puțin de un an până la 25 mai 2018 când va deveni aplicabil noul regulament general privind protecția datelor personale (RGPD). La aceeași dată se preconiza și intrarea în vigoarea a noului regulament ePrivacy, aflat acum în stadiul de proiect. Deși la acest moment data de 25 mai 2018 nu mai pare fezabilă pentru aplicarea noului regulament ePrivacy, care mai poate suferi modificări până la adoptare, majoritatea măsurilor propuse prin cele 2 regulamente sunt iminente și vor influența semnificativ posibilitatea de a folosi date personale pentru a face marketing.
RGPD va influența datele prelucrate pentru marketing direct atunci când acesta se realizează prin mijloace clasice (de ex. prin poștă), iar regulamentul ePrivacy, va avea efecte asupra marketingului direct realizat prin utilizarea serviciilor de comunicații electronice (eg. e-mail, marketing direct prin Bluetooth, publicitate in-app, telefon, etc.).
Când se mai pot prelucra datele personale pentru marketing direct?
Ca regulă generală, datele colectate de către companii vor putea fi prelucrate în scopuri de marketing direct în 2 situații:
- când companiile au obținut acordul persoanei vizate; sau
- când companiile reușesc să demonstreze că au un interes legitim pentru această prelucrare (de exemplu, în cazul transmiterii cataloagelor de produse prin poștă către clienți existenți).
În ambele situații, companiile vor fi obligate să informeze persoana vizată foarte exact și în mod transparent despre scopul în care vor fi folosite datele, durata pentru care vor fi păstrate și despre dreptul acesteia de a se opune oricând prelucrării datelor personale colectate. Companiile vor trebui să redacteze cu atenție sporită aceste informări, pentru a se asigura că respectă exigențele RGPD, folosind un limbaj simplu și clar care să poată fi ușor înțeles.
Acest aspect este important în practică, având în vedere că un studiu recent realizat de către SAS, una dintre cele mai mari companii producătoare de software din lume, a arătat că 56% dintre adulții din Marea Britanie aprobă introducerea dreptului de opoziție în forma propusă de către RGPD. Ceea ce înseamnă că odată ce a fost informată în mod transparent că poate refuza prelucrarea datelor, persoana în cauză ar putea mai degrabă să aleagă să își protejeze datele personale, decât să permită procesarea lor.
Marketing direct doar cu acordul publicului targetat
Potrivit regulamentului ePrivacy, în cazul marketingului direct prin comunicații electronice, prelucrarea datelor se va putea realiza doar cu acordul persoanei vizate. Singura excepție de la această regulă se referă la situația în care adresa de email este obținută de la client, în contextul vânzării unui produs sau a unui serviciu. În această situație, respectiva adresă de email va putea fi folosită pentru marketingul direct al propriilor produse sau servicii similare, dacă respectivului client i se oferă posibilitatea în mod clar și distinct de a se opune oricând, în mod gratuit și facil, unei astfel de utilizări.
Datele colectate cu ocazia diverselor campanii promoționale nu vor putea fi folosite pentru marketing direct prin mijloace electronice decât dacă persoana vizată și-a dat acordul pentru utilizarea lor în acest scop. Dacă datele au fost colectate cu un alt scop în timpul campaniei promoționale iar, ulterior, compania decide să le folosească în scopuri de marketing direct și cere acordul prin email, aceasta se va considera o încălcare a RGPD și a regulamentului ePrivacy, pentru că solicitarea acordului e tot o formă de marketing direct, pentru care compania nu avea consimțământul. Astfel, în acest caz, prelucrarea datelor este nelegală și poate atrage amenzi uriașe pentru companii.
De asemenea, utilizarea bazelor de date de către agenții pentru diverse campanii realizate pentru clienți diferiți, în care se transmit comunicări nesolicitate prin email către persoanele incluse în respectiva bază de date, este, în principiu, interzisă. Aceste baze de date pot fi folosite cu o singură excepție, aceea în care persoanele vizate au fost informate și și-au dat acordul pentru acest scop.
Cum se obține acordul?
Obținerea acordului nu se va mai face ca până acum, ci va fi supusă unor reguli mult mai stricte: acordul trebuie să fie dat într-un mod clar și explicit (opt-in), fără dubii, fără să fie implicit. Dacă, de exemplu, acordul este dat prin declarație scrisă care se referă și la alte aspecte, este posibil să fie considerat neclar cu privire la procesarea de date și, prin urmare, să nu poată fi folosit de companie.
Cu toate acestea, nu trebuie să ne imaginăm că, în toate cazurile, consimțământul va însemna o frază prin care persoana va arăta că este de acord cu prelucrarea datelor personale în scopul respectiv. De exemplu, în situația companiilor care intenționează să utilizeze tehnologia Bluetooth în scopuri de marketing direct, consimțământul s-ar putea da prin plasarea dispozitivului într-o zona de dimensiuni relativ mici, dar clar delimitată, prin care utilizatorul ar trebui să treacă propriul dispozitivul pentru a se conecta prin Bluetooth.
Desigur, utilizatorul va trebui să fie informat în prealabil că, prin trecerea dispozitivului prin zona respectivă, va declanșa o prelucrare a datelor sale cu caracter personal.
Perioada în care pot fi folosite datele colectate
O atenție specială trebuie acordată și perioadei pe care sunt păstrate aceste date. Regula impusă de RGPD este aceea că datele personale trebuie păstrate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele.
Cu alte cuvinte, datele personale vor trebui șterse atunci când ele nu mai sunt necesare realizării scopului pentru care au fost colectate. De exemplu, în situația în care datele au fost colectate în cadrul unei campanii promoționale și nu există un consimțământ expres, clar și explicit pentru prelucrarea ulterioară a datelor, compania va avea obligația să înceteze orice fel de prelucrare a datelor și să le șteargă.
Ce e de făcut?
Un prim pas este ca toată lumea să înțeleagă că obligațiile impuse prin noile regulamente vor fi serioase și că amenzile pentru nerespectarea acestora vor fi de-a dreptul uriașe. De cele mai mult ori, transferarea operațiunilor de colectare a datelor către un terț sau argumentul că datele sunt colectate în numele și pe seama clientului nu vor fi suficiente pentru a diminua riscul aplicării unei amenzi pentru nerespectarea obligațiilor din acest domeniu.
În aceste condiții, toate companiile, inclusiv cele din industria de marketing și comunicare, vor trebui să se adapteze noilor cerințe și, în cele mai multe cazuri, să obțină acordul persoanelor vizate pentru prelucrarea datelor.
--------------
Flavius Florea este avocat senior în cadrul bpv Grigorescu Ștefănică. El acordă consultanță în sectoarele tehnologie, media, telecom atât start-up-urilor locale, cât și companiilor internaționale. Flavius asistă și reprezintă companii din diverse domenii de activitate în litigii în fața instanțelor românești.
bpv Grigorescu Ștefănică este o societate românească de avocați care are în portofoliul său unele dintre cele mai sonore nume din industria de IT din plan internațional. În ultimii doi ani, avocații bpv Grigorescu Ștefănică au oferit consultanță juridică pentru companii precum Google, Atos, Amazon, Facebook, Hootsuite, Acton, Riverbed Technology, Unisys. Publicația internațională Legal 500 a plasat bpv Grigorescu Ștefănică pe primul loc în topul firmelor de avocați din România pentru expertiza din domeniul TMT (tech, media, telecom).