În acordul Brokerului X am găsit un singur checkbox care suna așa: „Sunt de acord ca datele mele să fie prelucrate de companie sau de partenerii ei, inclusiv pentru profilare în scop de marketing." Trei lucruri într-o bifă.
Concret, acel checkbox acoperea simultan:
- Marketing făcut de companie
- Marketing făcut de „parteneri" (cine? câți? necunoscut)
- Profilare comportamentală
De ce e problemă
Pentru că GDPR cere ca fiecare consimțământ să fie specific. O bifă pentru o acțiune, clar identificată. Nu un meniu degustare.
Asta e scris în Art. 7(2) GDPR și Considerentul 43 explică: dacă un consimțământ acoperă mai multe scopuri grupate, persoana nu poate să spună „da la newsletter, nu la profilare". Trebuie să refuze tot sau să accepte tot. GDPR consideră asta invalidare a consimțământului.
Asta înseamnă că la un audit, acel checkbox e considerat invalid pentru toate cele 3 prelucrări. Nu pentru una — pentru toate. Brokerul X nu are voie să facă marketing, nici profilare, nici să paseze date la parteneri, deși tehnic clientul a bifat.
Cum apare asta în startup-ul tău?
Cel mai des, în signup. Vezi de câte ori ai văzut formular care zice:
☐ Sunt de acord cu Termenii și Condițiile, Politica de Confidențialitate și să primesc comunicări de marketing.
Trei lucruri într-o bifă:
- Termenii sunt obligatorii (parte din contract — Art. 6(1)(b))
- Confidențialitatea e o informare, nu cere consimțământ
- Marketingul e opțional (consimțământ — Art. 6(1)(a))
Le-ai pus la grămadă → marketing-ul tău e neconform.
Plus problema profilării.
Profilarea — capcana ascunsă
Dacă faci una din astea:
- Scoring de utilizatori
- Segmentare avansată
- Recomandări personalizate
- Prețuri dinamice
- A/B testing bazat pe identitate, nu doar pe sesiune
...toate sunt profilare conform GDPR. Art. 22 cere să spui clientului:
- Ce profilezi (ce date intră în decizia automată)
- Cu ce consecințe (ce decide despre el — preț, ofertă, acces)
- Cum poate cere intervenție umană (dreptul de a contesta decizia)
Bifă fără context = consimțământ neinformat = invalid.
Ce faci concret
Două lucruri.
Unu — separă bifele:
- ✅ O bifă pentru T&C (obligatoriu)
- ✅ O bifă pentru newsletter (opțional)
- ✅ O bifă pentru profilare (opțional, dacă o faci)
- ❌ NU o singură bifă care le acoperă pe toate
Doi — dacă profilezi clienții, scrie 3 propoziții despre asta în politica de confidențialitate:
„Folosim X date ca să facem Y. Poți cere oricând să nu mai facem asta scriind la [email]. Avem și un proces prin care un om revizuiește decizia automată dacă consideri că e greșită."
Atât. 10 minute de muncă.
Bonus: efectul cascadă al unui consimțământ invalidat
La inspecție, ANSPDCP poate decide că tot marketing-ul tău din ultimii 2-3 ani e neconform. Asta înseamnă:
- Ștergerea bazei de date marketing
- Reluarea opt-in pentru fiecare abonat
- Pierdere de 30-60% din lista de newsletter (în medie, doar 40-70% reconfirmă)
- Posibilă sancțiune pentru perioada de prelucrare ilegală
Pentru un newsletter de 5.000 abonați, ștergerea poate însemna 50.000-150.000 EUR pierderi indirecte (LTV pierdut). Mult mai mult decât amenda directă.
Ai un signup cu 1 bifă pentru mai multe?
Verifică acum în 5 minute cu scannerul MYDESKS. Sau citește episoadele următoare pentru capcana CNP + testul final.
Navigare seria: ← Episodul 2 · Episodul 3 (ești aici) · Episodul 4 →