Test 1 minut: ești și tu în zona Brokerului X? (Episodul 5 — Final)

Ai citit despre Brokerul X. Cele 6 baze legale. Bifa de nimic. Capcana CNP. Acum hai să vedem unde stai tu. 7 întrebări. Sub un minut. DA/NU.

Testul

Răspunde sincer. Nimeni nu vede răspunsurile. Numără câte DA.

1. Ai un singur checkbox la signup care acoperă T&C + marketing + cookies sau alt mix? DA / NU

2. În politica ta de confidențialitate, cuvântul „consimțământ" apare de 6+ ori? DA / NU

3. Colectezi CNP, dar nu există o secțiune în politică despre cum îl protejezi (criptare, acces, retenție)? DA / NU

4. Politica ta a fost copiată de undeva în 2018-2020 și n-ai mai atins-o de atunci? DA / NU

5. Termenii de retenție sunt vagi („atâta timp cât este necesar") fără număr de ani concret? DA / NU

6. Faci scoring/segmentare/recomandări personalizate, dar nu menționezi profilarea explicit? DA / NU

7. Dacă-ți cere un client azi „toate datele mele și să le ștergi pe restul", n-ai un proces clar cum răspunzi în 30 de zile? DA / NU

Scorul tău

0 DA-uri → Ești într-o minoritate sănătoasă. Probabil ai și DPO. Felicitări — restul articolului nu e pentru tine.

1-2 DA-uri → Zonă galbenă. Ai goluri reparabile într-o săptămână de muncă concentrată. Plan: vezi mai jos „Galben".

3-4 DA-uri → Zonă portocalie. Ai expunere reală la audit. La o reclamație a unui client, ANSPDCP găsește 2-3 probleme imediat. Plan: vezi mai jos „Portocaliu".

5+ DA-uri → Ești Brokerul X. Nu spun asta să te sperii — spun asta ca să acționezi săptămâna asta. Sancțiune potențială: 5.000-50.000 EUR + ștergere bază de date marketing. Plan: vezi mai jos „Roșu".

Plan de acțiune — Galben (1-2 DA)

Săptămâna 1 (3-4 ore total):

1. Tabel scop / temei / retenție — vezi episodul 2. 3 coloane, 1 rând per flux de date. Cea mai bună investiție de 1 oră pentru GDPR.
2. Separă bifa de signup — un bif T&C (obligatoriu), un bif newsletter (opțional). Vezi episodul 3.
3. Verifică retențiile — pune ani concreti peste tot unde scrie „atâta timp".

Asta îți rezolvă 80% din audit.

Plan de acțiune — Portocaliu (3-4 DA)

Săptămâna 1-2 (10-15 ore total):

Tot ce e în Galben, plus:

4. Refactor signup — separă T&C / newsletter / cookies în bife distincte. Migrarea bazei existente de useri = email de „re-consimțământ" + opt-in nou (acceptă că pierzi 30-50% din listă).
5. Adaugă secțiune Profilare în politică dacă faci scoring/segmentare. 3 propoziții. Vezi episodul 3.
6. Dacă lucrezi cu CNP: 4-6 ore pentru criptare + audit log + retenție. Vezi episodul 4.

Plan de acțiune — Roșu (5+ DA)

Săptămânile 1-4 (30-40 ore total):

Tot ce e mai sus, plus:

7. Rescrie politica de la zero — modelul vechi e contaminat. Pornește de la un model curent (2024-2025), nu de la 2018.
8. Audit complet al fluxurilor de date — ce colectezi, unde stochezi, cu cine partajezi, când ștergi. Pentru fiecare flux: scop + temei + retenție.
9. Document Registru ROPA (Art. 30) — obligatoriu dacă ești peste 250 angajați sau procesezi date sensibile. Recomandat oricum.
10. Consultă DPO sau avocat măcar pentru o ședință de 1-2 ore. Banii bine investiți.

Și începe luni dimineață. Nu „când avem timp". Pentru că „când avem timp" înseamnă „după ce vine reclamația".

Concluzia seriei

Brokerul X există. L-am citit. Nu-i dau numele — nu-i atac brand-ul, atac tiparul. Pentru că tiparul îl repeți și tu, cel puțin parțial. Toți o facem.

Diferența între tine și Brokerul X nu e calitatea avocatului. E disciplina de a face curățenie înainte să-ți vină reclamația.

3 ore săptămâna asta. Sau 3.000-30.000 EUR la audit. Tu alegi.

** Acest articol face parte din Ghidul complet de audit readiness GDPR pentru IMM-uri din România — pillar-ul care acoperă toate cele 6 zone verificate la un audit, cu cifre de cost și 3 niveluri de pregătire. **

Navigare seria — completă:

• Episodul 1: Am citit un acord GDPR. Era plin de tine.
• Episodul 2: Cele 6 baze legale, nu una.
• Episodul 3: Bifa care nu valorează nimic.
• Episodul 4: CNP și Legea 190.
• Episodul 5: Test 1 minut. (ești aici)