Ne lovim de asta în fiecare zi. Suntem bombardați cu mesaje pe care nu le dorim, care ne deranjează și pentru ștergerea cărora pierdem timp prețios. Deși avem legi pentru comunicările nesolicitate, sunt încă mulți cei care nu le respectă. Și mult prea puțini cei care plătesc pentru asta…
Pentru că am tot vorbit despre spam în ultima vreme și unii cred că se scrie prea puțin despre asta, m-am gândit să discutăm ceva despre legislația referitoare la mesajele nedorite, dar și despre punerea în aplicare a regulilor. Și ca să fie pe înțelesul tuturor, am ales o formulare ”mai relaxată”, sub forma unei mici scenete, cu un dialog între două personaje fictive. Orice asemănare cu situații și persoane reale s-ar putea să nu fie chiar întâmplătoare…
Cine sunt personajele?
Pe primul îl cheamă ”TU” și este (nu contează genul) un tip care continuă să trimită cu voie bună mesaje nesolicitate. Nu este un personaj rău. Intențiile sale sunt destul de bune. Are ceva de oferit și un șef care îl tot bate la cap cu planul, liste de prospecți, pipeline-uri și lucruri de acestea, care fac parte din esența unei afaceri. ”TU” se pricepe destul de bine la marketing, are niște cursuri de comunicare și în esență e un tip descurcăreț, a cărui experiență vine mai mult din școala vieții. Adică află de niște lucruri atunci când se lovește de ele. Știe că pe undeva există niște reguli, dar gândirea sa mizează pe logica practică, în care pentru promovarea afacerii totul este permis. Asta îl face ca atunci când cineva îi atrage atenția, să aibă niște răspunsuri pregătite, menite să dezarmeze interlocutorul care are tupeul să îi ceară socoteală: ”Ce, domnu’ e ofensat? La mii de spamuri, ce mai contează unul în plus. N-ai decât să treci cu vederea. Eu ți-am făcut cinstea să te bag în seamă și tu te superi? Păi adresa ta de email este publică, pusă pe site. La ce atâta deranj și supărăciune? Rușinică!”… E o atitudine tipică de om cu inițiativă din ziua de azi. Aceleași reacții le găsim la cel care ne ocupă locul de parcare sau chiar ne blochează mașina, dar ne lasă undeva pe bord un număr de telefon. Ce putem noi face? Îl sunăm, personajul vine când vine, iar dacă avem tupeul să zicem ceva, ni se reproșează că ești tare nepoliticos. ”Ce sari așa, te grăbești? Am avut o treabă importantă. Ce, nu ți-am lăsat telefonul? Puteam să nu ți-l las! Vezi cum ești…”
Pe al doilea personaj îl cheamă ”EU”, fără conotații egocentrice… ”EU” e un tip bine intenționat, la fel de activ ca amicul ”TU”, dar care s-a confruntat la un moment dat cu niște probleme care l-au făcut să se intereseze, să afle mai mult. Acum știe destul de multe încât ceea ce face să fie corect și să nu aibă alte probleme. Mai mult de atât, e dispus să vorbească și cu alții și să-i convingă că, dacă tot sunt nevoiți să facă niște lucruri, măcar să le facă corect.
Câte ceva despre subiectul dialogului
Cum spuneam chiar din introducere, subiectul principal al dialogului dintre cele două personaje este spamul, mesajul acela nedorit pe care toți îl primim în continuare. E drept, mai rar, mai puțin agresiv, dar tot îl primim. Iar în perioada aceasta de Pandemie, a devenit chiar periculos, pentru că ne atrage cu informații emoționale despre ce se mai întâmplă cu virusul. Ca să înțelegem fenomenul spam, trebuie să ne gândim că orice mesaj nedorit are cel puțin două aspecte. Unul practic, vizibil și palpabil: primim un mesaj, îl citim sau nu, și îl ștergem. Cât de greu e asta? E ca și cum cineva ne calcă pe bombeu… Dacă facem asta de câteva ori pe zi, nu-i bai. Dar dacă facem asta de câteva zeci de ori, ca să nu zic sute, atunci e deranjant, pentru că asta ne ia niște timp, pe care am putea să îl folosim altfel. Din fericire, multe mesaje intră direct în cutia de Spam, atunci când algoritmii aplicației de email consideră că sunt mesaje nedorite. Și se șterg automat după câteva zile.
Al doilea aspect e cel mai sensibil, pentru că ține de componenta psihologică, de faptul că ne sunt încălcate niște drepturi fundamentale. Cele de intimitate și libertate. Oamenii nu înțeleg că, ceea ce pentru ei este perfect legitim și deci corect, pentru mine este o agresare, un abuz, o încălcare a unor drepturi și principii câștigate cu greu, într-o istorie atât de zbuciumată. Iar în orice balanță ar fi pusă să cântărească, acest drept al mei are o greutate mai mare decât orice interes legitim. Și aici apare nevoia de a mi se lăsa opțiunea să aleg. Aici nu este vorba despre bune intenții, logică sau libertate comercială. În dialogul care urmează, vom vedea împreună că aici este vorba în esență despre două legi, despre drepturi fundamentale și, nu în ultimul rând, despre bun simț.
Ce mai e și cu spamul ăsta?
”TU”: Salutare, măi ”EU-le”. Știu că cu le ai cu astea. M-am certat cu unu care zicea că îl tot spămuiesc cu mesaje. Ia zi-mi și mie, ce e cu spamul ăsta?
”EU”: Buna, ”TU”. Da ce-ți veni? Te-a reclamat vre-unul? Stai să văd cum aș putea să îți explic… Sunt multe definiții, mai academice sau mai tehnice, dar cea mai simplă pe care trebuie să o înțelegi, este aceea de MESAJ NEDORIT.
”TU”: Păi asta e valabil și când dau telefon? Că așa mi-a zis unu…
”EU”: Dacă vorbim de mesaj comercial nedorit, putem extinde subiectu’ la metoda de adresare: poți primi mesaje nedorite pe telefon, prin e-mail și mai ales la cutia poștală. Dintre toate astea, cel mai popular și cel mai deranjant e spamul prin email. Zilnic ștergem zeci de mesaje care se adună, de care nu avem nevoie și pe care nu le vrem. Asta poate fi deranjant, dar nu prea tare. Pierdem câteva minute pe zi cu ștersul și cu golirea lăzii de gunoi. Cele mai deranjante sunt mesajele cu un conținut agresiv, care ne forțează să facem ceva ce nu vrem sau care vin cu cârlige emoționale. Astea deja se apropie de malware, pentru că sunt malițioase pentru bunul simț.
Cine se ocupă de spamuri?
”TU”: Nu mi-ai răspuns ce e cu telefonu…
”EU”: De adresările nedorite prin telefon, teoretic se ocupă GDPR-ul, dar odată cu telefonia digitală ar trebui să intre și sub incidența ePrivacy (vezi mai jos), dar încă se lucrează la asta. ePrivacy consideră apelul ca spam atunci când sună robotu’, nu omu’. SMS-urile intră sigur, că sunt trimise tot pe canal electronic. De spamurile prin poștă nu se ocupă nimeni. Oricum cine trimite, cheltuie destul bani pe nimic, mai bine salvau pădurile. Cu spamul pe email e mai complicat pentru că intră sub incidența mai multor legi.
Ce e cu legile astea?
”TU”: Hai, lămurește-mă ce e cu legile astea…
”EU”: Păi una este o lege europeană din 2002, cunoscută ca Directiva 58, care are câte o transpunere diferită în legislația fiecărei țări din UE. La noi e Legea 506 din 2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Hai să îi zicem la legea asta ”ePrivacy”, cum o știu toți. Toată lumea așteaptă cu drag noua versiune, care se va chema ”ePR”, care ar trebui să fie tot un Regulament General și deci să se pupe cu GDPR, adică să ne facă viața mai ușoară.
”TU”: Așa… Alta!
”EU”: A doua este tot o lege UE scoasă ca Directivă în 1995 și actualizată ca Regulament General în 2016, dar devenit valabil din 25 mai 2018. Până atunci, la noi se aplica legea 677/2001, care era transpunerea locală a vechii Directive și care te obliga să te înscrii într-un Registru național al operatorilor de date. Hai să îi zicem noului Regulament ”GDPR” – cum îl știe toată lumea.
”TU”: Și care e treaba cuspamul, ePrivacy și GDPR?
”EU”: Păi, pe ePrivacy îl interesează comunicarea, adică faptul că trimiți aiurea mii de mesaje nedorite, din care dacă ai un răspuns de 1-2% se cheamă că esti un marketer de succes. Pe GDPR îl interesează relația cu individu’ și cum e formulat mesajul din spam, avem sau nu acordul individului și cum dovedim asta.
Ne ostenim să aruncăm o privire?
”TU”: Zi-mi ce e cu ePrivacy …
”EU”: În ePrivacy există articolul 12: Comunicările nesolicitate care în aliniatul (1) zice așa: Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare care nu necesită intervenția unui operator uman, prin fax ori prin poștă electronică sau prin orice altă metodă care folosește serviciile de comunicații electronice destinate publicului, cu excepția cazului în care abonatul sau utilizatorul vizat și-a exprimat în prealabil consimțământul expres pentru a primi asemenea comunicări”.
Ce înțelegem noi de aici?
”TU”: Ia-le pe rând…
”EU”: Textul ăsta e important, pentru că cine știe să citească, poate învăța mai multe lucruri. Păi, în primul rând, de aici aflăm prima oară că lui Spam îi zice oficial Comunicare nesolicitată. Apoi, că sunt spamuri doar Comunicările comerciale…, adică mesajele alea care te trag de mânecă și îți arată degetul dacă nu te apuci să cumperi imediat. Terțo, prin răsucirea negației, că dacă necesită intervenția unui operator uman nu e spam…
”TU”: Stai, să mă prind. Păi eu știam că dacă introduc manual fiecare adresă de email, se cheamă că nu e ceva automatizat…
”EU”: Știi tu ceva, dar nici tu nu știi ce știi… Dacă mai mergeai câteva cuvinte mai încolo, vedeai că sistemele astea automate se referă doar la apelare și comunicare și că spam e orice mesaj comercial nesolicitat trimis prin poștă electronică…
”TU”: Și ce mai e și cu consimțământul acela de care zice la sfârșit?
”EU”: Aici e șmecheria. Că dacă ne-am lăsat o dată fraieriți și ne-am dat acordul, se cheamă că suntem abonați sau cel puțin utilizatori vizați, și atunci nu e spam iar noi trebuie să fim super-încântați că a căzut taman pe noi pleașca de a fii aleșii unei asemenea super-oferte…
Crezi că ai scăpat cu atât?
”TU”: În loc să mă lămurești, mai rău mă încurci…
”EU”: Ai răbdare că o să vezi acum lămurire… Pentru că Articolul 12 mai are și aliniatul (2), care zice că: ”Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obține în mod direct adresa de poștă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001 (înlocuită de amicul nostru GDPR), persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiția de a oferi în mod clar și expres clienților posibilitatea de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, atât la obținerea adresei de poștă electronică, cât și cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus inițial.”
Ne ajută asta sau mai rău ne încurcă?
”TU”: Iar m-ai luat repede. Cum ne ajută asta?
”EU”: Păi, ne ajută, că de aici aflăm multe lucruri noi: Dacă am obținut adresa ta în mod direct, și mai exact dacă mi-ai fost sau îmi ești client, GDPR zice că am voie să îți folosesc această adresă, pe care mi-ai dat-o în mod direct, ca să îți trimit informații comerciale.
”TU”: Și asta înseamnă că pot să trimit liniștit mesaje la toți clienții?
”EU”: Da, dar nu oricum. Ai voie să faci asta numai dacă aceste comunicări se referă la aceleași tipuri de produse și servicii pe care le-ai vândut clienților și care știi bine că îi interesează…
”TU”: Nu înțeleg. Nu pot promova și produse și servicii în același timp?
”EU”: Ba poți, dar numai dacă se referă la categorii asemănătoare. Adică mașini, piese de schimb și schimbare de cauciucuri. Sau imprimante, cartușe de toner și servicii de întreținere. Nu poți să trimiți unui client căruia i-ai vândut un calculator și o promoție cu vila ta de la munte…
”TU”: Asta parcă ar avea noimă, dar mi se pare cam aiurea.
”EU”: Mai mult de atât, trebuie să îi asiguri clientului clar și expres posibilitatea să refuze. Deci chiar dacă îți este deja client și știi că îl interesează ceva, că doar a cumpărat așa ceva de la tine, poate nu mai vrea la un moment dat să primească mesaje.
”TU”: Și cum fac asta în fiecare email?
”EU”: Simplu de tot. Nu trebuie decât să treci în fiecare mesaj, undeva jos de tot, opțiunea de renunțare sau dezabonare.
Hai ca m-am lămurit…
”TU”: E complicat, dar încep să mă prind…
”EU”: Stai, că n-ai scăpat! Tot articolul acesta din ePrivacy, mai are și alineatul (3):: ” În toate cazurile este interzisă efectuarea prin poşta electronică de comunicări comerciale în care identitatea reală a persoanei în numele şi pe seama căreia sunt făcute este ascunsă, cu încălcarea art. 5 din Legea nr. 365/2002, republicată, sau în care nu se specifică o adresă valabilă (…)”.
”TU”: Altă lege? Păi nu ziceai că sunt doar două?
”EU”: Cele două de care tot vorbim se ocupă de prelucrarea datelor. Legea 365 din 2002 (http://legislatie.just.ro/Public/DetaliiDocument/37075) se ocupă cu comerțul electronic. În articolul 5, cel cu pricina, se zice că dacă ești proprietarul unui site de comerț electronic, trebuie să afișezi undeva clar, cine ești, ce firmă ai, ce date fiscale, care sunt prețurile, și cum stai cu livrarea. Destul de nașpa… O groază de informații.
”TU”: Și ce are asta cu spamul?
”EU”: Păi asta e: degeaba te dai tu peste cap să trimiti mesaje comerciale, dacă în conținutul acestora nu îți dai identitatea reală, și o adresă reală unde clientul să îți scrie de câte ori vrea câte ceva.
Ce să zic, m-ai dat gata…
”TU”: Am terminat cu ePrivacy acesta?
”EU”. Nu chiar… Nesuferitul ăsta de articol 12 din ePrivacy mai are și alineatul (4) care ne dă cu totul peste cap: ”Prevederile alin. (1) şi (3) se aplică în mod corespunzător şi abonaţilor persoane juridice.” ”TU”: Cum asta, și la firme? Păi am o grămadă de posibili clienți la care le scriu pe adresa de office ca să nu fie spam…
”EU”: Asta-i beleaua cea mai mare. Credeai că dacă scrii la firme și nu folosești adrese de email personale ai scăpat? Că amicul GDPR poate închide ochii? Ei bine, chiar dacă pe GDPR nu îl jenează asta în mod fățiș, că doar datele generice de firmă nu sunt date personale, pe fratisu ePrivacy îl cam deranjează și, chiar dacă pe lista ta bagi sute de adrese de office@, sales@, commercial@ sau magazin@, se cheamă că tot ai trimis mesaje nesolicitate și că ești un spamagiu…
Și ce are GDPR cu spamu’?
”TU”: Hai că iar m-ai adus la GDPR…
”EU”: Păi nu ți-am zis? Chiar înainte ca lumea să știe de GDPR, “bătrâna” lui, adică legea românească din 2001, te lăsa să trimiți mesaje comerciale către clienți, dacă le respectai dreptul să se răzgândească. Acum, la asta îi zice ”retragerea consimțământului”, căci da, în problema noastră pe nenea GDPR îl interesează ce se întâmplă cu acest consimțământ.
”TU”: Păi noi vorbeam de spam…
”EU”: Asta e șmecheria cu GDPR, care deși nu pomenește o vorbuliță de spam sau de comunicare nesolicitată, vine cu niște chestii care te pot lăsa cu gura căscată dacă le auzi. În primul rând se ia de marketingul direct. Chiar dacă noțiunea de ”marketing” nu apare decât de vreo șapte ori în ditamai textul de 85 de pagini, toată lumea a zis că ăștia care se ocupă cu așa ceva sunt legați de mâini și de picioare.
”TU”: Păi asta zic și eu!
”EU”: Mulți au făcut gălăgie pentru asta, dar treaba nu e chiar așa, căci dacă te ții de niște reguli totul poate fi pe bune. Iar nenea GDPR ne povestește despre asta chiar înainte să înceapă cu numărătoarea pe articole, în niște explicații la care le zice Preambuluri sau Considerente sau Recitaluri. În fine, oricum le-o zice, aicea se scrie pe șleau tot ce nu a putut să intre în textul unui articol. Și avem în considerentul 70 niște vorbe care arată că am dreptul să mă opun: ”În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată (clientul) ar trebui să aibă dreptul de a se opune unei astfel de prelucrări, inclusiv creării de profiluri în măsura în care aceasta are legătură cu marketingul direct, indiferent dacă prelucrarea în cauză este cea iniţială sau una ulterioară, în orice moment şi în mod gratuit. Acest drept ar trebui adus în mod explicit în atenţia persoanei vizate şi prezentat în mod clar şi separat de orice alte informaţii.
”TU”: Păi,…
”EU”: Adică, chiar dacă clientul nu are habar că se poate opune, tu, cel care îi trimiți mesajul, trebuie să îl tragi de mânecă și să îi spui că se poate opune… și asta cât se poate de clar, explicit, pe gratis și neamestecat cu alte informații cu care ai putea să îl ”aburești”.
Acum chiar că nu mai înțeleg nimic
”TU”: Iar m-ai amețit de cap…
”EU”: Nu înțelegi, pentru că n-ai răbdare să asculți tot. După ce ne-a încălzit nițel cu un preambulul, GDPR ne pune pe tavă un articol întreg care se ocupă numai de dreptul clientului de a se opune, de a refuza, de a zice pas. Aici e un întreg articol, 21, care ne povestește doar despre dreptul la opoziție și care zice în alineatul (2) că: ”Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv”, iar puțin mai încolo, în alineatul (3) că: ”În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”
”TU”: Păi nu ziceai că la clienți se poate?
”EU”: Trebuie să îți rămână clar în minte că cineva se poate opune dacă primește mesaje nesolicitate, nu este clientul tău și nu este abonat. Iar dacă m-a opus, nu mai poți folosi adresa lui de email din momentul în care ți-a comunicat asta.
Până la urmă, ce mai e și cu Consimțământul ăsta?
”TU”: Hai să vedem cum mă ajută dacă fac rost de consimțământul ăsta?
”EU”: Hai că te-am adus unde am vrut eu… Păi, în primul rând GDPR ne lămurește ce se înțelege prin acest cuvânt, într-un capitol special (Articolul 4) care se ocupă numai de definiții, la alineatul ( 11): ”consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.
”TU”: Bun, bun, că trebuie să îi cer o declarație am înțeles, dar ce poate să însemne ”acțiune fără echivoc”?
”EU”: Aici cam ai dreptate. Doar din definiție nu se prea înțelege, dar ți-am spus mai devreme că preambulurile alea au rostul lor, de a ne deschide ochii. Iar aici avem un preambul cu numărul 32 care ne zice tot, dintr-o suflare: ”Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuţe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altă declaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ. Consimţământul ar trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile prelucrării.”
”TU”: Ce să înțeleg eu de aici? Că dacă îl rog să îmi dea acordul ăla și omul nu îmi răspunde, asta nu înseamnă că el nu poate fi de acord cu asta? E aiurea. Poate că nu a răspuns pentru că n-a văzut mesajul sau că n-a avut timp, dar pe el de fapt te interesează ce vreau să îi zic eu…
”EU”: N-ai priceput nimic. Păi nu zice chiar la început că tu trebuie să ai răspunsul lui, care trebuie să fie liber exprimat, clar și în cunoștință de cauză?
”TU”: Și ce mai înseamnă și asta cu consimțământul dat pentru toate scopurile prelucrării? Că doar așa facem și noi pe site: am pus acolo o căsuță prin care obligăm clientul să primească informații despre toate activitățile noastre de marketing?
”EU”: Iar n-ai citit tot. Acolo scrie că dacă îi prelucrezi omului datele și pentru newsletter, și pentru promoții, și pentru evenimente, și pentru cardurile de fidelitate, adică pentru mai multe scopuri, trebuie să îi ceri aprobarea separat, pentru fiecare scop…
”TU”: Prea multă bătaie de cap… Ce, dacă întreabă cineva, nu pot să zic că am avut acordul omului?
”EU”: Nu prea… căci tot în GDPR avem articolul 7 care se ocupă numai de condițiile privind acordul persoanei vizate și care în alineatul (1) zice. ”În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.”
”TU”: Și cum pot ajunge eu să demonstrez asta?
”EU”: Nu e simplu, dar se poate. Dar trebuie să apelați la un consultant care să vă învețe cum să faceți asta…
”TU”: Tocmai acum, când ziceam că pot să înțeleg?
”EU”: Noi am trecut prin asta și ne-am dat seama că, între a înțelege și a pune în practică e cale lungă și dificilă. Pentru asta e nevoie să faci niște analize de proces, niște cartografieri de date, niște tabele de tabele și multe politici și proceduri. Dacă parcurgi toate etapele astea, care se leagă una de alta în mod natural, vei putea afla și cum poți să scrii un mesaj către un necunoscut, fără ca el să poată fi considerat spam.
”TU”: Păi se poate asta până la urmă?
”EU”: Se poate, dacă știi de unde să o apuci și cum să formulezi…
Epilog:
Credeți că dialogul dintre cele două personaje a fost util? Personajul ”TU” ar trebui să fi înțeles până la urmă că totul se supune unor reguli și că se pot face campanii de promovare prin marketing direct dacă acestea sunt respectate. Cât despre personajul ”EU”… Cred că v-ați prins și voi că ”EU” știe ceva mai multe despre cum se poate face asta, dar că nu a intrat în amănunte pentru că, de la un moment dat, orice interpretare și metodă de abordare ține de niște proceduri care se aplică într-un proiect, pentru care cel mai bine este să apelezi la un consultant…
GDPR READY! 