Creativitatea marketing-ului vs. rigurozitatea regulamentului GDPR: datele personale trebuie să fie tratate ca un bun împrumutat pe o perioadă determinată

Autor: Bianca Naghi , D&B | Managing Associate 15.02.2018

Datele cu caracter personal aparţin individului şi sunt indisolubil legate de persoana acestuia. Procesarea acestora trebuie văzută ca pe un simplu împrumut al unui bun aparţinând altuia, pe o perioadă determinată şi pentru un scop bine delimitat. De la bun început, trebuie subliniat că dreptul la protecţia datelor cu caracter personal este ridicat la rang de drept fundamental, astfel că acesta nu poate fi subiect de împrumut perpetuu şi general valabil pentru toate scopurile pe care beneficiarul împrumutului le consideră oportune.

Filonul pe care a fost construită noua legislaţie europeană privind protecţia datelor cu caracter personal (deja faimosul „GDPR”) a pornit de la îngrijorarea indivizilor că nu (mai) deţin controlul asupra propriilor date cu caracter personal, acestea fiind colectate fără acord sau printr-un acord atotcuprinzător şi nelimitat ca timp şi scop în foarte multe activităţi precum navigarea pe internet sau instalarea unor aplicaţii pe telefon.

Interesant este că GDPR s-a făcut mai remarcat într-un an (începând cu data publicării sale în 2016) decât directiva din 1995 în 20 de ani. Punem acest lucru pe seama celebrelor praguri maxime de amendă din GDPR, respectiv cele de maxim 10 milioane EUR - 2% sau 20 milioane - 4% din cifra de afaceri totală globală a unei companii.

Pentru activitatea de marketing, datele cu caracter personal pot fi considerate drept cea mai importantă resursă. Cum poate fi altfel imaginat un efort de vânzare sau promovare?

Suntem de părere că departamentele de marketing trebuie să continue, ba chiar să îşi intensifice aplecarea spre studierea principiilor juridice privind protecţia datelor. Iar lista lor nu e chiar atât de lungă potrivit GDPR, dat fiind faptul că prelucrarea datelor cu caracter personal trebuie realizată sub umbrela legalităţii, echităţii, transparenţei, scopului determinat, necesităţii şi proporţionalităţii şi, nu în ultimul rând, a securităţii.

Prima regulă a procesării datelor cu caracter personal: colectarea datelor cu caracter personal trebuie să fie legală

GDPR enunţă că orice acţiune de colectare de date cu caracter personal trebuie să fie acoperită de oricare dintre: (1) consimţământul persoanei vizate, (2) o obligaţie legală care îi revine operatorului, (3) necesitatea executării unui contract, (4) necesitatea de a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice, (5) necesitatea îndeplinirii unei sarcini care deserveşte unui interes public. Din start, putem concluziona că ultimele 4 fundamente sunt rareori spre niciodată valabile în cadrul activităţii de procesare a datelor cu caracter personal în scop de marketing.

Vom analiza în cele ce urmează prima condiţie premisă, respectiv consimţământul persoanei vizate.

GDPR impune operatorului sarcina de a dovedi că persoana vizată şi-a dat un consimţământ liber exprimat, clar coroborat cu un scop şi bine informat. Mai mult:

−        absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni din partea persoanei vizate nu constituie un consimţământ valabil;

−        identitatea operatorului şi a celorlalte categorii de destinatari trebuie comunicată în prealabil şi într-un limbaj uşor inteligibil;

−        consimţământul nu trebuie să fie o precondiţie pentru încheierea unui contract dacă în cauză nu este necesar pentru executarea acestuia.

Mai jos prezentăm două modalităţi de luare a consimţământului, prima fiind contrară GDPR, iar cealaltă fiind în conformitate cu prevederile regulamentului:

Aspectele de mai sus acoperă în general acele situaţii în care persoanele vizate sunt abordate individual. Ce se întâmplă însă cu cazurile în care datele cu caracter personal pe care departamentul de marketing doreşte să le utilizeze sunt puse la dispoziţia departamentului de marketing sub formă de bază de date agregată (respectiv când departamentul de marketing utilizează date cu caracter personal colectate de o altă companie). Cine va fi tras la răspundere în cazul în care se dovedeşte că persoanele vizate din respectiva bază de date nu şi-au dat consimţământul pentru a primi o atare comunicare comercială?

Răspunsul se poate intui uşor: compania care procesează date cu caracter personal trebuie să dovedească legitimitatea procesării, respectiv că persoana şi-a dat consimţământul pentru comunicări în scop de marketing. Cum? Solicitând companiei de la care dobândeşte baza de date garanţii şi angajamente contractuale, poate solicitând însăşi revizuirea metodei de colectare (respectiv dovada consimţământului persoanei vizate).

Sub semnul întrebării stau şi datele cu caracter personal făcute publice. Se pot transmite comunicări de marketing către aceste persoane?

Răspunsul nu este unul simplu. Iniţial trebuie identificat scopul pentru care aceste date au fost făcute publice (ex. un avocat îşi face cunoscută adresa de email pentru a fi contactat pentru contractarea de servicii de asistenţă juridică, o persoană alege să îşi creeze profil pe site-ul unei platforme de intermediere angajări pentru a primi oferte de muncă). Iar pentru datele cu caracter personal care doar „plutesc” pe internet, fără posibilitatea de a stabili motivul pentru care persoana vizată şi-a dezvăluit datele, răspunsul la întrebarea dacă sau nu să se trimită comunicări de marketing este evident: nu, deoarece prelucrarea nu va putea fi legitimată de către operator. Iar datorită noului regulament, riscul unei interpretări extensive sau relaxate ar putea costa mai mult operatorul decât veniturile ipotetice pe care ar putea să le obţină.

Un alt aspect de care trebuie să ţină cont este că prin GDPR se doreşte ca persoanele vizate să aibă control asupra modului în care datele lor sunt colectate si folosite. Astfel, fiecare persoană are acces la datele sale, iar operatorul trebuie să se asigure că poate oferi informaţii cu privire la categoriile de date care sunt procesate, scopurile prelucrării, destinatarii cărora urmează să le fie divulgate.

O a doua regulă cu privire la procesarea datelor cu caracter personal în scop de marketing este colectarea doar a ceea ce este minim necesar pentru realizarea scopului. Autoritatea din România s-a pronunţat în sensul că datele de identificare personală (ex. CNP) nu pot fi colectate în scop de marketing (cu excepţia cazului în care există o prevedere legală în acest sens).


Chiar dacă un director de marketing nu este direct implicat în acest moment în gestiunea proceselor interne ale unei organizaţii cu privire la conformitatea faţă de GDPR, el trebuie să devină un jucător cheie în acest spaţiu care începe să fie mult mai bine reglementat.

Campaniile de marketing şi activităţile asociate sunt cele care implică gestiunea unor volume semnificative de date cu caracter personal şi aceasta presupune câteva etape adiţionale, care ţin de zona de tehnologie şi care vin peste zona de procese de business.

În consecinţă, persoana care gestionează in organizaţie zona de marketing, trebuie să lucreze împreună cu colegii din zona de IT şi Security, pentru a le oferi sprijin în:

1.       Identificarea tipurilor de date personale şi documentarea locaţiilor fizice şi virtuale în care acestea sunt stocate, fie că vorbim de suport fizic, fie că evaluăm suportul electronic drept mediu de stocare. În acest sens, există câteva tehnologii care sprijină acest demers: EMS Scanner, acea componentă din soluţia Microsoft Enterprise Mobility & Security, care sprijină efortul de inventariere şi documentare a datelor cu caracter personal, dar şi funcţiile de căutare avansată de pe sistemele ce rulează Windows/ Windows server şi bazele de date SQL.

2.       Clasificarea datelor cu caracter personal identificate în etapa anterioară cu definirea unui ciclu de viaţă al informaţiei, înrolarea acestui nou atribut şi monitorizarea permanentă din partea unui sistem care să poată automatiza într-o măsură cât mai mare acest proces. O soluţie care deja îşi aduce valoarea in acest scenariu este Azure Information Protection (componentă a Microsoft EMS), care susţine iniţiativa de guvernanţă a datelor şi care gestionează securitatea informaţiei şi din perspectiva securităţii identităţii, clasificând-o şi din punctul de vedere al celor care, într-un orizont de timp definit şi într-un spaţiu de acţiune controlat, au acces la informaţia respectivă.

3.       Securitatea datelor cu caracter personal – prin implementarea măsurilor de securitate proactivă şi reactivă, care să permită atât protecţia infrastructurii fizice şi virtuale, cât şi posibilitatea raportării unui incident de securitate care a avut impact asupra datelor cu caracter personal, în mai puţin de 72 de ore.

Aceste acţiuni nu pot fi posibile fără instrumente de urmărire a jurnalelor de audit. Plecând de la banala autentificare în AD, există instrumente de monitorizare a tentativelor de sign-in, locaţiilor de sign-in şi a politicilor de acces. ATA sau Advanced Threat Analytics determină imediat  şi transmite o alertă asupra unei breşe de securitate, monitorizând atât fluxul de date cu exteriorul organizaţiei, cât şi pe cel din interiorul reţelei. Auditarea înregistrărilor se întâmplă atât la nivelul suitei de productivitate Office 365, cât şi la nivel de SQL Database şi SQL Server, pentru că se monitorizează atât activităţile curente, cât şi cele istorice, pentru a identifica ameninţările potenţiale şi posibile încălcări ale regulilor de securitate. În plus, SQL Server Threat Detection foloseşte un set de algoritmi inteligenţi prin care învaţă comportamentul standard şi detectează imediat orice abatere în fluxurile de date.

4.       Raportarea – toate acţiunile trebuie documentate pentru o bună funcţionare a organizaţiei şi pentru a păstra abilitatea de a răspunde diverselor solicitări care pot veni atât din partea subiecţilor, cât şi din partea Autorităţii de Supraveghere. Sistemele de audit intern şi raportare din EMS – Azure Information protection, bazele de date Microsoft SQL şi, evident, soluţiile de log - reporting din Office 365 contribuie la construcţia unui sistem consistent la nivelul organizaţii, sistem care să ofere deopotrivă claritate şi uşurinţa în utilizare.

Mai multe informaţii în legătură cu reglementările GDPR cu reglementările GDPR şi modul în care tehnologia poate veni în sprijinul îndeplinirii cerinţelor se regăsesc aici.


Ar mai fi multe de spus, însă important este ca în cele câteva luni care ne mai despart de data la care GDPR intră în vigoare să aibă loc, în primul rând, o schimbare de percepţie asupra datelor cu caracter personal şi a importanţei care trebuie atribuită lor astfel încât „lanţul” procedurilor de colectare, stocare şi utilizare a acestora să nu conţină verigi slabe care pot avea consecinţe foarte serioase atât pentru compania dumneavoastră cât şi pentru persoanele despre ale căror date personale vorbim.

După o epocă de pionierat şi descoperire când vine vorba de confidenţialitatea prezenţei noastre digitale ca indivizi, GDPR e poate primul pas al unei epoci care ia în serios provocările pe care transformarea digitală le aduce prezenţei şi participării individului la conversaţia globală – una dintre temele imperative ale timpurilor moderne.

Acest material editorial face parte dintr-o campanie pe tema Regulamentului General privind Protecţia Datelor realizată de Microsoft cu sprijinul Ziarului Financiar.