Potrivit art. 12 din Legea nr. 506/2004 și art. 6 din Legea nr. 365/2002 privind comerțul electronic, este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare, prin fax sau poștă electronica sau orice altă altă metodă care foloseste care folosește servicii de comunicații electronice destinate publicului (mesaje SPAM), cu excepția cazului în care destinatarul și-a exprimat, în prealabil, în mod expres consimțământul pentru a primi astfel de notificări.
Consimțământul destinatarului poate fi probat cu orice mijloc de probă, însă sarcina probei revine expeditorului.
Aceste dispoziții de mai sus se completează cu cerințele consimțământului impuse de GDPR. Astfel, potrivit GDPR, consimțământul trebuie să fie:
Persoana trebuie să facă o alegere reală dacă consimte sau nu la marketing. Organizațiile nu trebuie să constrângă, să stimuleze persoanele să consimtă sau să penalizeze persoanele care refuză să consimtă.
Atunci când marketingul este o condiție de abonare la un serviciu, organizația va trebui să demonstreze cum a fost acordat consimțământul în mod liber.
Și potrivit Grupului de Lucru Art. 29[1], consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.
Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber.[2]
În contextul marketingului direct, consimțământul trebuie să fie specific fiecărui canal de comunicare prin care se dorește transmiterea mesajelor (e-mail, sms, apel automat, chatbot, push notifications etc)
Oamenii trebuie să înțeleagă pentru ce anume își dau consimțământul.[3] Există elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.
Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.
Exemplu: O companie realizează un apel de marketing către o persoană fizică. În timpul apelului, persoană este întrebată dacă dorește să fie contactată de companii terțe în scopuri de marketing. Persoana spune „da”. Apoi urmează un mesaj automat în care un robot enumeră rapid denumirea a 20 de companii care sunt incredibil de greu de înțeles într-un timp atât de scurt. Acesta nu va fi un consimțământ informat. În primul rând, deoarece i s-a solicitat acordul persoanei înainte ca aceasta să fie informată despre companiile terțe și în al doilea rând deoarece mesajul automat este practic imposibil de înțeles.
Recomandarea este să se facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.
Tăcerea, inacțiunea sau căsuțetele pre-bifate nu valorează consimțământ. Consimțământul trebuie să implice o acțiune reală, ca de exemplu o semnătură, bifarea unei căsuțe sau un răspuns clar la un e-mail.
Exemplu: O companie decide să folosească baza de date a clienților pentru a trimite mesaje promoționale. Clienții nu au consimțit anterior recepționării marketing-ului, astfel încât compania trimite o scrisoare clienților prin care îi informează că urmează să le transmită informații despre promoții prin e-mail și prin poștă. În scrisoare se indică un număr de telefon unde clienții pot suna și își pot exprima poziția că nu doresc să primească marketing. Inacțiunea de a răspunde nu valorează contimțământ. Prin urmare, urmând această „strategie” de obținere a consimțământului, compania nu va putea să își promoveze serviciile prin marketing direct, deoarece consimțământul nu este clar și nu implică o acțiune reală. [4]