avocatnet.ro 
ANSPDCP ajunge să deruleze o investigație la o firmă care trimitea sms-uri comerciale prin care-și promova unele servicii, deși cei căutați nu-și dăduseră acordul pentru primirea acelor mesaje comerciale.
După mai multe sesizări primite de la consumatorii deranjați de mesaje, Autoritatea decide să facă verificări și ajunge chiar să sancționeze operatorul, aflăm dintr-un comunicat de presă publicat azi, dar amenda nu e pentru trimiterea mesajelor comerciale nesolicitate, ci pentru refuzul firmei de a răspunde solicitărilor ANSPDCP (operatorii de date sunt obligați prin lege să coopereze cu Autoritatea, odată ce e demarată o investigație care-i privește, iar refuzul de a o face poate fi dur sancționat - în cazul de față, firma a primit o amendă de 4.000 de euro).
Dincolo de amenda pentru lipsa de cooperare, Autoritatea a cerut firmei respective:
- „să asigure conformitatea operațiunilor de prelucrare cu dispozițiile RGPD, respectiv să fie evitate situațiile de prelucrare a datelor cu caracter personal fără consimțământul persoanelor vizate și fără existența unei alte situații în care consimțământul nu este necesar” și
- să ia măsurile necesare privind „evaluarea datelor cu caracter personal prelucrate, astfel încât date precum numărul de telefon să nu mai fie prelucrat în scop de marketing direct sau de transmiterea de comunicări comerciale prin servicii de comunicații electronice destinate publicului fără consimțământul prealabil expres al persoanelor vizate”.
Vorbim de două măsuri coercitive impuse entității respective, pe care aceasta va trebui să le pună în aplicare, riscând apoi sancțiuni mai serioase din partea Autorității, dacă vor continua sesizările de la consumatori.
Marketingul direct prin sms-uri nesolicitate, adică pentru care consumatorii (clienți, potențiali clienți) nu și-au dat acordul, nu e o practică de ieri, de azi, ci una destul de veche, care a cunoscut o ușoară „liniștire” în perioada în care GDPR a intrat în vigoare și au fost punctate și „puse la zid”, inclusiv de către consumatori, toate aceste practici ale comercianților.
În contextul recentei amenzi ANSPDCP, ne reamintim că GDPR nu interzice în vreun fel astfel de comunicări comerciale, ci doar le pune în vedere operatorilor de date că au nevoie de consimțământul celor pe care-i deranjează cu acele mesaje, așa cum subliniază și ANSPDCP în recentul comunicat. Mai mult decât atât, chiar dacă și l-au oferit, și-l pot oricând retrage:
- atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv și
- în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop, potrivit art. 21 din GDPR (dreptul la opoziție).
O altă chestiune de mare interes pentru firmele care vor să folosească astfel de practici este cum anume ar trebui să arate formularul de solicitare a acelui consimțământ, respectiv cum ar trebui dat acesta. Condițiile privind consimțământul sunt listate într-un articol special dedicat în GDPR (art. 7, mai exact). De pildă, în cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. În acest context, așa cum scria redacția noastră în trecut:
- firmele trebuie să evite să ceară clienților să facă eforturi suplimentare pentru a refuza prelucrarea datelor;
- se pot da amenzi pentru procedurile greoaie de retragere a consimțământului și, chiar dacă ANSPDC nu are un istoric de sancționare extrem de dur, comparativ cu alte autorități de specialitate din alte state ale Uniunii Europene, comportamentul nu este privit cu ochi buni de Autoritatea noastră.
Bine de știut: În preambulul regulamentului e specificat, totodată și că „prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim”. Folosirea interesului legitim aici se poate dovedi însă ceva mai complicată pentru operatorul de date, întrucât nu e suficient să prevadă, la nivel intern, că acesta e temeiul de prelucrare și problema să se rezolve în felul acesta - o discuție mai veche pe acest subiect, aici.
Și, totuși, ce este marketingul direct? Comunicările comerciale sunt definite într-o lege ceva mai veche, de dinainte de GDPR:
„comunicare comercială - orice formă de comunicare destinată să promoveze, direct sau indirect, produsele, serviciile, imaginea, numele ori denumirea, firma sau emblema unui comerciant ori membru al unei profesii reglementate; nu constituie prin ele însele comunicări comerciale următoarele: informațiile permițând accesul direct la activitatea unei persoane fizice sau juridice, în special pe nume de domeniu sau o adresă de poștă electronică, comunicările legate de produsele, serviciile, imaginea, numele ori mărcile unei persoane fizice sau juridice, efectuate de un terț independent față de persoana în cauză, mai ales atunci când sunt realizate cu titlu gratuit”.
Merită să citești și: Comunicările comerciale pentru produse și servicii similare. Sau despre GDPR și ePrivacy, într-o relație de reguli și excepții aplicabile în marketingul direct
DoruD 
nytro3