Care sunt limitele campaniilor de marketing direct privind respectarea vietii private? | Progresiv
Orice direct marketer si orice comerciant trebuie sa aiba in vedere regulile de baza privind protectia datelor personale ale consumatorilor pe care ii targeteaza atunci când structureaza o campanie de marketing direct. Legislatia româneasca in domeniu, armonizata cu cea europeana, prevede anumite limitari in prelucrarea datelor cu caracter personal. 
In Romania, o campanie de publicitate cade sub incidenta mai multor acte normative, din sfere diferite - legislatia privind protectia consumatorilor si a vietii private, privind canalele de difuzare ale campaniilor (de exemplu, legislatia privind audiovizualul), continutul permis al publicitatii si, nu in ultimul rand, legislatia privind regulile pietei in general (de exemplu, legislatia privind concurenta neloiala, practicile comerciale abuzive, comercializarea serviciilor sau produselor etc.).
Dezideratul comun al tuturor acestor reglementari este acela de a proteja publicul larg de reclamele invazive, agresive, inselatoare sau de natura a prejudicia consumatorul in orice alt mod (inclusiv moralmente). In mod special, pe taramul marketingului direct, acolo unde reclama se realizeaza cu precadere prin mijloace neconventionale si mai putin „publice” (prin posta, inclusiv cea electronica, sau alte mijloace de marketing la distanta), diferite de modalitatile promotionale obisnuite, fiind vizata in mod direct o persoana fizica, se ridica unele probleme legale deosebite. In prezent, legislatia romana privind protectia datelor personale, este armonizata cu cea europeana, insa noi modificari sunt asteptate. La nivel european, peisajul legislativ in aceasta materie este in continua transformare. Ultimele propuneri de reformare a reglementarilor comunitare urmaresc instituirea unui regim unic european de protectie a datelor, precum si o mai mare responsabilizare a companiilor prin cresterea amenzilor pana la un milion de euro sau pana la 2% din cifra de afaceri anuala.
Impactul legislatiei in domeniu asupra campaniilor de publicitate
1. Cadrul legal si personajele principale
Reglementarile din Romania includ, in principal, Legea nr. 677/2001 privind protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, care a implementat Directiva 95/46/EC a Parlamentului European si a Consiliului, precum si din legislatia secundara, avand ca scop garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a dreptului la viata intima, familiala si privata.
Intrucat datele personale reprezinta orice informatii referitoare la o persoana fizica, care, astfel, devine identificata sau identificabila in mod unic (adica poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale), acestea sunt supuse unui regim legal special, pentru a proteja viata privata a persoanelor vizate.
Astfel, orice operatiune prin care, prin mijloace automate sau neautomate, astfel de date se colecteaza, se organizeaza, se stocheaza, se adapteaza, se modifica, se extrag, se consulta, se utilizeaza in orice mod, se dezvaluie catre terti (prin transmitere, diseminare sau in orice alt mod), se sterg sau se distrug, trebuie sa se desfasoare cu respectarea unor garantii legale minime impuse de lege. Persoana - fizica sau juridica, de drept privat ori de drept public - care stabileste scopul si mijloacele de prelucrare a datelor personale, deci toate elementele acesteia (inclusiv categoriile de persoane vizate, de destinatari, etc.) este operatorul. Potrivit legii, orice prelucrare sau transfer in strainatate de date personale trebuie notificate catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal („ANSPDCP”), in unele situatii fiind nevoie chiar de obtinerea unei autorizatii speciale, prealabile, din partea ANSPDCP, pentru derularea operatiunii respective. Notificarea sau, respectiv, autorizarea, trebuie sa aiba loc inainte de efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari avand acelasi scop sau scopuri corelate, ANSPDCP monitorizand implementarea si respectarea regulilor de protectie a datelor personale, cu privire la fiecare operatiune in parte.
2. Principalele obligatii pentru operatori
Operatorului, adica artizanului operatiunii de prelucrare/transfer, ii revine, in primul rand, obligatia de a sesiza ANSPDCP in legatura cu prelucrarea sau transferul in strainatate a unor date personale. In prezent, formularele aferente notificarilor si/sau cererilor de autorizare pentru prelucrarile si transferurile datelor personale se depun online, prin website-ul ANSPDCP (www.dataprotection.ro) si, partial, in format material. Acestea reprezinta prima si cea mai importanta modalitate prin care ANSPDCP verifica daca operatiunile avute in vedere se vor desfasura cu respectarea legii. ANSPDCP are obligatia de a emite un raspuns intr-un termen maximal de 30 de zile, dar poate solicita oricand si alte informatii, in special privind originea datelor, tehnologia de prelucrare automata utilizata si detalii referitoare la masurile de securitate implementate. De asemenea, ANSPDCP poate stabili ca anumite operatiuni sunt susceptibile de a prezenta riscuri speciale pentru drepturile si libertatile persoanelor si poate dispune efectuarea unui control prealabil. Operatorii care nu au fost anuntati in termen de 5 zile de la data depunerii formularelor despre efectuarea unui astfel de control, pot incepe prelucrarea datelor personale.
Datele personale trebuie sa fie: I) prelucrate cu buna-credinta si in conformitate cu prevederile legale in vigoare; II) colectate in scopuri determinate, explicite si legitime; III) adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate; IV) stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate.
Mai mult, operatorul are obligatia de a implementa si mentine, in orice moment, securitatea si confidentialitatea datelor personale prelucrate, respectand cel putin regulile prevazute in acest sens de Ordinul Avocatului Poporului nr. 52/2002 privind aprobarea cerintelor minime de securitate a prelucrarilor de date cu caracter personal. Exemple de masuri care se pot lua in vederea securizarii intregului proces includ instruirea personalului, restrictionarea accesului la sistemele de comunicatie, criptarea datelor, etc.
3. Drepturile persoanelor vizate
Foarte importante sunt cele cinci drepturi fundamentale ale persoanelor vizate, care trebuie respectate in permanenta de operatori:
Dreptul de a fi informat - in cazul in care datele personale sunt obtinute direct de la persoana vizata, operatorul este obligat sa furnizeze persoanei vizate un set minimal de informatii privind: I) identitatea operatorului si a reprezentantului acestuia, daca este cazul; II) scopul in care se face prelucrarea datelor; III) destinatarii sau categoriile de destinatari ai datelor; IV) daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza; V) existenta drepturilor prevazute de prezenta lege pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate.
Dreptul de acces la date - orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat - in situatia in care prelucreaza date personale care privesc solicitantul - sa comunice acestuia, impreuna cu confirmarea, cel putin urmatoarele: I) informatii referitoare la scopurile prelucrarii, categoriile de date avute in vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele; II) comunicarea intr-o forma inteligibila a datelor care fac obiectul prelucrarii, precum si a oricarei informatii disponibile cu privire la originea datelor; III) informatii asupra principiilor de functionare a mecanismului prin care se efectueaza orice prelucrare automata a datelor care vizeaza persoana respectiva; IV) informatii privind existenta dreptului de interventie asupra datelor si a dreptului de opozitie, precum si conditiile in care pot fi exercitate; V) informatii asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor de date personale, prevazut la art. 24, de a inainta plangere catre autoritatea de supraveghere, precum si de a se adresa instantei pentru atacarea deciziilor operatorului.
Dreptul de interventie asupra datelor - orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit: I) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este conforma prezentei legi, in special a datelor incomplete sau inexacte; II) dupa caz, transformarea in date anonime a datelor a caror prelucrare nu este conforma prezentei legi; III) notificarea catre tertii carora le-au fost dezvaluite datele, a oricaror operatiuni realizate conform celor de mai sus, daca aceasta notificare nu se dovedeste imposibila sau nu presupune un efort disproportionat fata de interesul legitim care ar putea fi lezat.
Dreptul de opozitie - persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca datele care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale contrare.
Dreptul de a nu fi supus unei decizii individuale
- orice persoana are dreptul de a cere si de a obtine: I) retragerea sau anularea oricarei decizii care produce efecte juridice in privinta sa, adoptata exclusiv pe baza unei prelucrari de date personale, efectuata prin mijloace automate, destinata sa evalueze unele aspecte ale personalitatii sale, precum competenta profesionala, credibilitatea, comportamentul sau ori alte asemenea aspecte; II) reevaluarea oricarei alte decizii luate in privinta sa, care o afecteaza in mod semnificativ, daca decizia a fost adoptata exclusiv pe baza unei prelucrari de date automate.
Dreptul de a se adresa justitiei - fara a se aduce atingere posibilitatii de a se adresa cu plangere ANSPDCP, persoanele vizate au dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege care le-au fost incalcate. De asemenea, orice persoana care a suferit un prejudiciu in urma unei prelucrari de date personale, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia. In cazul in care datele nu sunt obtinute direct de la persoana vizata, operatorul este obligat ca, in momentul colectarii datelor sau cel mai tarziu pana in momentul primei dezvaluiri (daca se intentioneaza dezvaluirea acestora catre terti), sa furnizeze persoanei vizate acelasi set minimal de informatii ce trebuie pus la dispozitia persoanei vizate in cazul obtinerii directe a datelor. Exceptiile de la aceasta regula sunt limitate, insa includ orice alte situatii in care furnizarea unor asemenea informatii se dovedeste imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, precum si in situatiile in care inregistrarea sau dezvaluirea datelor este expres prevazuta de lege.
4. Sanctiuni
Nerespectarea prevederilor legale in materie de protectia datelor poate fi sanctionata cu amenda in cuantum de pana la 50.000 de lei, daca fapta nu a fost savarsita in astfel de conditii incat sa constituie infractiune. Pe langa aplicarea de contraventii, ANSPDCP poate interzice si procesarea datelor personale. In exercitarea atributiilor de supraveghere, investigare si sanctionare ce ii revin potrivit legii, ANSPDCP poate efectua investigatii din oficiu sau la primirea unor plangeri/sesizari si poate aplica amenzi contraventionale.
