Datorită modului în care este conceput business-ul, a contactului direct cu clienții, a numărului mare de comercianți de bunuri sau de servicii din România și, nu în ultimul rând, a diversității tehnicilor de promovare utilizate, retail-ul va fi în continuare sectorul în care GDPR va avea un impact semnificativ.

Cristina IacobescuFoto: Reff & Asociații

La aproape 6 luni de la intrarea în vigoare a GDPR, luând în considerare acțiunile întreprinse până în prezent, - inclusiv faptul că o parte din comercianții de pe piață au demarat din timp procesul de actualizare a politicilor și practicilor în materie -, semnalăm unele aspecte practice care derivă din activitățile de promovare ale business-ului.

Aplicații

Ca urmare a dezvoltării și integrării tehnologice, precum și a dorinței business-ului de retail de a-și promova produsul prin intermediul unei aplicații ce poate fi utilizată de către clienți, potențiali clienți sau suporteri ai brand-ului, o atenție specială va trebui acordată asigurării conformării cu reglementările aplicabile în materia prelucrării datelor de către aceste aplicații.

În funcție de specificațiile aplicației și utilitatea sa, aceasta poate prelucra următorul tip de date cu caracter personal: nume, prenume, e-mail și alte detalii de contact, adresa MAC (i.e. identificatorul unic al unui telefon, care definește conexiunea acestuia cu o rețea de WI-FI), date din cookies (i.e. acestea se colectează chiar și prin utilizarea aplicațiilor de mobil), date de localizare GPS, alte date din telefon (e.g., poze, contacte) etc.

În consecință, compania va trebui să îndeplinească, în principal, două mari cerințe: să demonstreze existența unui temei legal, respectiv să îi informeze pe utilizatori cu privire la coordonatele prelucrării datelor cu caracter personal colectate și stocate de către aplicație.

De cele mai multe ori, datele cu caracter personal colectate sunt prelucrate pentru ca aplicația să poată funcționa - spre exemplu, prelucrarea datelor de identificare/contact pentru autentificarea in aplicație, sau a datelor de locație de către o aplicație al cărui scop este de a prezenta cel mai apropiat magazin de desfacere al unei companii. În aceste cazuri, temeiul de prelucrare va fi cel reprezentat de executarea unui contract (i.e. cu mici excepții aplicabile datelor de localizare GPS și a datelor din telefon ce intervin la momentul incipient al instalării aplicației).

Însă prelucrarea datelor respective se va putea realiza suplimentar față de scopul prestării serviciilor - e.g. prelucrarea MAC-ului, a datelor de locație sau a datelor din cookies, pentru identificarea preferințelor utilizatorului culminând cu o personalizare a conținutului sau chiar cu o promovare targetată.

În această situație, companiile vor trebui să identifice un alt temei legal care, de cele mai multe ori, va fi consimțământul. Bineînțeles, acesta va trebui să respecte toate cerințele legale de valabilitate. Cele mai mari provocări în practică sunt generate de obținerea consimțământului liber exprimat, utilizatorul neputând fi "ademenit" în acordarea sa, precum și de obținerea unui consimțământ specific, pentru fiecare scop în parte. Mai mult, consimțământul va trebui exprimat prin intermediul unei acțiuni afirmative, în mod clar, distinct și numai în urma informării utilizatorului.

Este recomandabil ca informarea utilizatorului cu privire la prelucrarea datelor să fie realizată prin intermediul unei note de informare accesibilă utilizatorilor pe pagina magazinului de aplicații, chiar și înainte de descărcarea și instalarea aplicației, precum și în cadrul unei secțiuni a aplicației, după instalare.

Marketing

Când vorbim de marketing, trebuie să avem în vedere și prevederile Legii 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice care consacră regula de obținere a consimțământului în ceea ce privește efectuarea comunicărilor comerciale, dar și excepția pentru clienții existenți (așa numitul soft opt-in). Acest consimțământ va trebui să îndeplinească rigorile impuse de Regulament.

Din acest motiv s-au transmis, în ultima vreme, atât de multe e-mailuri de confirmare a opțiunilor de marketing - mai precis, deoarece, în cele mai multe din cazuri consimțământul preluat anterior GDPR nu era conform cu cerințele GDPR – fie pentru că era obținut printr-o căsuță pre-bifată, fie pentru că era obținut ca urmare a oferirii unor reduceri/gratuități, fie pentru că era obținut cumulat pentru mai multe canale de comunicare sau scopuri pre-definite.

Astfel, atunci când decid promovarea propriilor produse și servicii prin transmiterea de e-mailuri sau mesaje SMS/MMS, companiile vor trebui să obțină consimțământul utilizatorului conform legii de mai sus. Datorită prevederilor restrictive și aproape singulare la nivel european ale Legii 506/2004, aceste cerințe vor trebui considerate aplicabile și transmiterii mesajelor de promovare către persoanele juridice. Modalitatea efectivă în care va putea fi preluat consimțământul celor din urmă este foarte controversată din cauza limitărilor generate de subiecții care pot angaja voința unei societăți, precum și de scopul relațiilor de tip business-to-business care presupune o flexibilitate și o orientare înspre lead generation.

În plus, dobândirea datelor despre comportamentul și preferințele clienților sau potențialilor clienți reprezintă un adevărat avantaj competitiv. Tocmai din acest motiv companiile utilizează din ce în ce mai mult cookies sau alte mijloace tehnice similare (e.g., widgets, pixeli) pe care le integrează în site-urile lor de prezentare sau chiar în site-urile de tip magazin/portal online.

Interesant de menționat este că modulele cookies se vor regăsi chiar și prin implementarea unor facilități în cadrul site-ului care în aparență nu par să prelucreze date cu caracter personal deși în realitate o astfel de prelucrare se produce - spre exemplu integrarea unor videoclipuri Youtube sau folosirea unor tool-uri de verificare a audienței precum Google Analytics.

Odată cu utilizarea tipurilor de cookies, companiile vor trebui să respecte cerințele în materie de temei legal și informare. Dacă alegerea temeiului este destul de simplă - consimțământul utilizatorilor fiind necesar de cele mai multe ori pentru utilizarea cookies de analiză sau de publicitate -, provocarea va interveni în identificarea unei modalități de preluare a acestui consimțământ în conformitate cu cerințele GDPR care să întrerupă activitatea utilizatorului cât mai puțin.

În viitor

Așa cum menționam anterior, asigurarea conformării sectorului de retail cu prevederile aplicabile în materia protecției datelor se face nu doar din perspectiva GDPR, dar și prin corelarea cu un alt act normativ - Legea 506/2004 care implementează la nivel național Directiva Europeană 2002/58/CE. La nivel European există discuții avansate cu privire la forma finală a Regulamentului E-Privacy prin care se dorește abrogarea Directivei 2002/58/CE și implicit a Legii 506/2004.

Regulamentul E-Privacy va introduce o serie de reglementări aplicabile prelucrărilor de date din sectorul comunicațiilor electronice, aplicațiilor - precum prelucrarea datelor ca urmare a transmiterii mesajelor de marketing direct, datelor din cookies, datelor de conținut și a metadatelor aferente unor comunicații. Avantajul introducerii Regulamentului E-Privacy este că va conduce la o interpretare și aplicare unitară la nivelul Statelor Membre a prevederilor de la nivel european și că va acoperi lacunele existente în Directiva 2002/58/CE cauzate de avansul tehnologic în zona comunicațiilor electronice și Internet of Things (IoT) din 2002 până în prezent.

Concluzie

Impactul GDPR în sectorul retail este indiscutabil. Modalitatea de aplicare a rigorilor și cerințelor acestuia în funcție de fiecare tip de business in parte, de nevoile acestuia, precum și de evoluția tehnologiei sau de creativitatea actorilor implicați în activitatea de marketing poate face însă obiectul unor îndelungi dezbateri. Evident, bunele practici în materie vor fi creionate și cu ajutorul autorităților de protecție a datelor din Uniunea Europeană pe măsură ce acestea vor aplica GDPR în cazurile sau spețele aflate pe rol.

Așadar, fie că vorbim de utilizarea unor aplicații, fie că vorbim de îmbunătățirea site-ului propriu sau de transmiterea de mesaje promoționale, companiile și consultanții acestora vor trebui să găsească o serie de soluții care să îmbine atât rigorile legii, cât și interesele de afaceri, în sensul costurilor și al caracteristicilor de tip user friendliness.

În plus, nu trebuie trecut cu vederea că o serie de noi acțiuni de implementare vor fi necesare în urma adoptării și intrării în vigoare a Regulamentului E-Privacy, în special în zona business-urilor cu un ridicat nivel de integrare tehnologică care va suplimenta cerințele actuale.

Un articol semnat de Cristina Iacobescu, Avocat Reff și Asociații