Ghid legal 2026

GDPR pentru email marketing în România

Pe scurt: pentru clienții existenți poți folosi soft opt-in conform Legii 506/2004; pentru restul ai nevoie de consimțământ explicit. Fiecare email comercial are nevoie de dezabonare funcțională. Informații orientative, nu consultanță juridică.

Actualizat: iulie 2026

Cum trimit email marketing legal în România?

Ai nevoie de consimțământ explicit pentru abonații noi sau de soft opt-in pentru clienții existenți (Legea 506/2004, produse similare), plus dezabonare funcțională în fiecare mesaj. Fără temei, riscul e real: Legea 506/2004 prevede amenzi de 5.000-100.000 lei, iar cadrul GDPR poate ajunge la milioane de euro. Informații orientative, nu consultanță juridică.

Ce spune legea pentru email marketing în România

Email marketingul în România e reglementat pe două niveluri: GDPR (Regulamentul UE 2016/679) pentru prelucrarea datelor personale și Legea 506/2004 pentru comunicările comerciale prin email. Amândouă se aplică împreună. Ai nevoie de un temei legal pentru adresă și de reguli clare în fiecare mesaj. Ghid orientativ, nu consultanță juridică.

Regulile vin din două acte care funcționează în paralel. GDPR guvernează modul în care prelucrezi datele personale, inclusiv adresa de email, și cere un temei legal, transparență și respectarea drepturilor persoanei. Legea 506/2004, care transpune directiva ePrivacy în România, se ocupă punctual de comunicările comerciale trimise prin email.

Articolul 12 din Legea 506/2004 cere trei lucruri de bază: consimțământ prealabil pentru email comercial, un expeditor clar identificat în fiecare mesaj și un mecanism gratuit de dezabonare. În plus, Legea 365/2002 cere ca o comunicare comercială să fie recognoscibilă ca atare, nu deghizată în mesaj personal.

Pe partea de date, temeiul folosit cel mai des pentru marketing este consimțământul (art. 6 alin. 1 lit. a din GDPR), iar pentru clienții existenți se poate discuta și despre interes legitim, cu drept de opoziție. Autoritatea care aplică aceste reguli în România este ANSPDCP (dataprotection.ro).

Consimțământ: cum îl obții corect

Pentru abonați noi ai nevoie de consimțământ explicit: o acțiune afirmativă clară, căsuța nebifată, informare despre cine ești și ce va primi persoana. Pentru clienții existenți poți folosi soft opt-in pe produse similare. Căsuțele prebifate, tăcerea sau inacțiunea nu sunt consimțământ valabil.

Consimțământul valabil e liber, specific, informat și lipsit de ambiguitate. În practică înseamnă o căsuță pe care persoana o bifează singură, nu una deja bifată, plus o informare scurtă: cine trimite, ce fel de mesaje va primi și cum se poate dezabona. Căsuțele prebifate și acceptul presupus nu țin.

Excepția soft opt-in din art. 12 alin. 2 al Legii 506/2004 îți permite să trimiți fără consimțământ prealabil numai dacă sunt îndeplinite simultan câteva condiții: ai obținut adresa în contextul unei vânzări, promovezi produse sau servicii similare ale aceluiași expeditor, ai oferit o opțiune clară și gratuită de opoziție la colectare și în fiecare mesaj, iar persoana nu s-a opus. Nu e o portiță pentru liste cumpărate sau adrese recoltate.

Indiferent de temei, păstrează dovada consimțământului: ce a acceptat persoana, când și prin ce metodă (formular web, API, import documentat). Dacă ANSPDCP sau persoana vizată cere, trebuie să poți arăta acest istoric.

Double opt-in: dublă confirmare

Double opt-in înseamnă că, după ce cineva se abonează, primește un email de confirmare cu un link pe care trebuie să îl apese ca să își activeze abonarea. Doar adresele confirmate intră efectiv în listă.

Nu este obligatoriu prin lege, dar este cea mai solidă dovadă practică a consimțământului și este recomandat de ANSPDCP. Filtrează greșelile de scriere, adresele invalide, abonările de la boți și situațiile în care cineva introduce adresa altei persoane.

Are și un beneficiu comercial direct: trimiți doar către oameni care au confirmat că vor să primească mesajele, așa că ai livrabilitate mai bună și o reputație de expeditor mai curată.

Dezabonarea: obligatorie în fiecare email

Fiecare email comercial are nevoie de un link de dezabonare vizibil și funcțional. Trebuie să fie gratuit și simplu, fără să ceri autentificare sau date suplimentare peste confirmarea adresei. Varianta cu un singur clic, prin antetul List-Unsubscribe, este cea mai bună.

Procesează dezabonările prompt și adaugă adresa pe o listă de suprimare, ca să nu reapară la următorul import. Continuarea trimiterilor după ce cineva s-a dezabonat sau a cerut ștergerea este cel mai frecvent factor agravant în amenzile din România.

Dezabonarea nu acoperă tot. GDPR dă persoanei și alte drepturi, printre care accesul la date și ștergerea. Tratează și aceste cereri repede și ține-le separat de simpla dezabonare de la newsletter.

Ce riști dacă greșești

Riscul are două paliere. GDPR prevede, pentru încălcarea regulilor de consimțământ, amenzi de până la 20 de milioane EUR sau 4% din cifra de afaceri anuală globală, luându-se valoarea mai mare. Legea 506/2004 are propriile amenzi contravenționale. La asta se adaugă pierderea de livrabilitate și reputație. Ghid orientativ, nu consultanță juridică.

Sunt două regimuri de sancțiune. GDPR stabilește, pentru încălcări legate de temeiul legal și de consimțământ, un plafon de până la 20 de milioane EUR sau 4% din cifra de afaceri anuală la nivel mondial, oricare este mai mare (art. 83 alin. 5). Este plafonul maxim, nu amenda tipică. Legea 506/2004 prevede separat amenzi contravenționale pentru comunicările electronice.

În practică, amenzile date în România pentru mesaje nesolicitate au fost de ordinul miilor de euro, așa cum arată cazurile deja menționate pe această pagină. ANSPDCP se uită în primul rând dacă ai avut un temei valid și dacă ai continuat să trimiți după o cerere de oprire.

Dincolo de amendă, există un cost comercial mai tăcut: reclamațiile de spam îți strică reputația domeniului, te trimit în folderul de spam și îți pot bloca trimiterile. De multe ori pierderea de livrabilitate costă mai mult decât amenda. Acest text este orientativ și nu înlocuiește consultanța juridică.

Checklist: cum rămâi conform

Temei și dovadă. Colectezi consimțământ explicit pentru abonați noi sau folosești soft opt-in doar pentru clienți existenți, pe produse similare. Păstrezi dovada consimțământului: ce a acceptat persoana, când și prin ce metodă.

Fiecare mesaj în regulă. Ai un expeditor identificabil, un subiect care nu induce în eroare și un link de dezabonare funcțional în fiecare email. Onorezi dezabonările imediat și nu retrimiți către cine a plecat.

Igienă și drepturi. Folosești double opt-in pentru dovadă, ții listele curate, configurezi SPF, DKIM și DMARC pentru livrabilitate și răspunzi la cererile de acces sau ștergere. Reia acest checklist periodic. Rămâne un ghid orientativ, nu consultanță juridică.

Problema

Ce trebuie să știi

Cine reglementează

ANSPDCP (dataprotection.ro). A aplicat amenzi reale pentru mesaje nesolicitate: English Home 5.000 EUR, Best Elan ~1.000 EUR (2024), Inteligo Media ~9.000 EUR.

Consimțământ vs soft opt-in

Consimțământ explicit (checkbox nebifat) pentru abonați noi. Pentru clienții existenți, soft opt-in conform Legii 506/2004 pentru produse similare, cu opt-out în fiecare mesaj.

Dezabonarea

Fiecare email comercial are nevoie de opt-out funcțional. Continuarea după o cerere de ștergere e factorul agravant numărul unu în amenzile din România.

Cele trei baze legale

BazaCând o foloseștiCondiții cheie
ConsimțământAbonați noiCheckbox nebifat + informare clară
Interes legitimClienți existențiDrept de opoziție absolut la marketing
Soft opt-inDupă o vânzareProduse similare + opt-out în fiecare mesaj
De ce noi

Cum configurăm noi

Consimțământ, dublă confirmare pentru a dovedi acordul, dezabonare clară și gestionarea cererilor. Double opt-in nu e obligatoriu legal, dar e cel mai sigur mod de a dovedi consimțământul.

Bine de știut

Întrebări frecvente

Cum trimit newsletter legal în România?+

Cu consimțământ explicit pentru abonați noi sau soft opt-in pentru clienți existenți (Legea 506/2004, produse similare), și dezabonare funcțională în fiecare mesaj.

Pot trimite email marketing fără consimțământ?+

Doar prin soft opt-in către clienți existenți, pentru produse similare, cu opțiune de dezabonare. În rest ai nevoie de consimțământ.

Am nevoie de double opt-in?+

Nu e obligatoriu legal, dar e best practice pentru a dovedi consimțământul. Îl recomandăm.

Ce amenzi risc?+

Legea 506/2004 prevede 5.000-100.000 lei; cadrul GDPR poate ajunge la milioane de euro. Amenzile reale din România pentru mesaje nesolicitate au fost de ordinul miilor de euro.

Cere un audit gratuit