Includerea platformelor sociale în campaniile de marketing digital presupune responsabilități legale clare pentru branduri și agenții.
Conform Regulamentului general privind protecția datelor (GDPR), este esențial să înțelegem ce rol jucăm în acest proces: operator de date (data controller) sau procesator de date (data processor). Diferența dintre aceste două funcții nu este doar teoretică – ea determină responsabilități directe privind obținerea consimțământului, redactarea politicilor de confidențialitate și încheierea acordurilor legale.
Operatorul de date: decidentul asupra scopurilor prelucrării
Dacă dețineți controlul asupra scopului și mijloacelor prelucrării datelor – adică decizi ce date sunt colectate, în ce scop și cum sunt utilizate – atunci ai rolul de operator.
Exemplu: creezi o campanie de remarketing pe Facebook, selectezi publicul țintă, configurezi un formular pentru colectarea adreselor de e-mail și alegi să trimiți newslettere promoționale doar către cei care au interacționat cu site-ul în ultimele 30 de zile.
Ca operator, ai obligația de a te asigura că prelucrarea este legală și transparentă. Trebuie să informezi persoanele vizate, să le permiți accesul la informații clare despre ce se colectează și de ce, și să le oferi opțiunea de a-și retrage consimțământul.
Reglementare aplicabilă: Art. 4(7) GDPR
Procesatorul de date: executantul instrucțiunilor operatorului
Procesatorul este entitatea care prelucrează datele personale în numele operatorului, conform instrucțiunilor acestuia. Platformele sociale precum Meta (Facebook, Instagram), TikTok sau Google se comportă adesea ca procesatori atunci când le folosești instrumentele – de exemplu, pixelii de urmărire sau formularele de conversie.
Exemplu: folosești TikTok Lead Ads pentru o campanie de reduceri, iar TikTok colectează pentru tine numele și e-mailul participanților, conform setărilor tale. TikTok nu stabilește scopul campaniei – doar pune la dispoziție mecanismul.
Deși au acces la date, aceste platforme nu decid scopurile pentru care sunt prelucrate datele într-o anumită campanie. Rolul lor este limitat la a pune la dispoziție infrastructura tehnică și a asigura execuția campaniilor în parametrii stabiliți de operator.
Reglementare aplicabilă: Art. 4(8) GDPR
Acordul de prelucrare a datelor (DPA): obligație legală
Pentru ca relația dintre operator și procesator să fie legală, GDPR impune încheierea unui Acord de Prelucrare a Datelor (Data Processing Agreement). Acest document stabilește obligațiile fiecărei părți și garantează că datele vor fi prelucrate doar în scopurile definite de operator.
Exemplu: în DPA-ul furnizat de Meta, platforma se angajează să implementeze măsuri de securitate, să notifice breșele de securitate și să nu folosească datele în scop propriu.
Meta, de exemplu, pune la dispoziție un acord standard prin care se angajează să respecte obligațiile impuse de GDPR. Lipsa unui DPA poate atrage sancțiuni severe, inclusiv interzicerea prelucrării datelor prin acea platformă.Reglementare aplicabilă: Art. 28 GDPR Exemplu de DPA: Meta Data Processing Terms
Consimțământ și informare: responsabilitatea operatorului
Operatorul trebuie să se asigure că utilizatorii sunt informați și că și-au exprimat consimțământul în mod valabil. Asta presupune:
- folosirea unui banner de consimțământ pentru cookie-uri pe paginile de destinație;
- explicarea clară a scopurilor (ex. remarketing, statistici);
- includerea unei politici de confidențialitate accesibile, care să indice și rolul platformei utilizate.
Exemplu: pe pagina principală a unei campanii, afișezi un banner cu mesajul: „Folosim cookie-uri pentru a personaliza reclamele și a analiza traficul. Apăsând Accept, îți exprimi acordul.”
Aceste cerințe sunt detaliate în ghidurile Grupului european pentru protecția datelor (EDPB), în special în documentul intitulat „Guidelines 07/2020 on the concepts of controller and processor in the GDPR”. Punctele 22–25 explică:
- că operatorul trebuie să aleagă procesatori care oferă garanții adecvate privind măsurile tehnice și organizatorice;
- că DPA-ul trebuie să conțină prevederi despre securitatea datelor, confidențialitate, notificarea breșelor și limitarea accesului la date;
- că un procesator nu are voie să decidă singur asupra scopurilor prelucrării – dacă face acest lucru, devine operator și își asumă responsabilități complete ca atare.
Aceste clarificări sunt esențiale pentru delimitarea corectă a rolurilor și pentru construirea unei relații conforme și sigure între branduri și platformele sociale. Operatorul ar trebui, de asemenea, să verifice periodic conformitatea procesatorilor săi, pentru a se asigura că aceștia respectă în continuare obligațiile asumate în acordul de prelucrare.
Ghid oficial (versiune EN): EDPB Guidelines 07/2020
Importanța respectării rolurilor și responsabilităților
În septembrie 2022, Meta (prin Instagram) a fost sancționată cu 405 milioane de euro pentru prelucrarea necorespunzătoare a datelor minorilor, inclusiv prin setări implicite neconforme. Deși sancțiunea a vizat direct Meta, cazul subliniază importanța conformității din partea tuturor actorilor implicați – inclusiv a brandurilor care folosesc platforma pentru campanii.
Exemplu de învățătură: chiar dacă nu ai controlul asupra setărilor implicite ale platformei, trebuie să verifici și să configurezi din start opțiunile privind limitarea colectării datelor pentru minori, dacă publicul tău este generalist.
Regulile sunt clare: dacă ești operator, responsabilitatea principală învine ție. Platforma execută, dar tu decizi ce, cum și de ce se colectează. Sursă: DPC Irlanda, comunicat oficial 5 sept. 2022
Colaborarea cu platformele sociale în campaniile de marketing presupune nu doar expertiză tehnică, ci și rigoare legală. Ca operator, ești responsabil pentru colectarea datelor, obținerea consimțământului, informarea utilizatorilor și încheierea acordurilor cu procesatorii. Doar printr-o aplicare riguroasă a acestor principii poți asigura protecția datelor și conformitatea campaniilor tale.
