Opt-in WhatsApp și GDPR în România — ghid practic 2026

Articolul ăsta e despre cum eviți două probleme costisitoare: amenda ANSPDCP pentru lipsa de acord GDPR și suspendarea numărului tău WhatsApp Business de către Meta pentru raportări de spam. Sunt riscuri reale, nu teoretice. ANSPDCP a aplicat amenzi între 1.000 și 70.000 EUR pentru afaceri din România care au făcut marketing fără acord, iar Meta suspendă fără preaviz numere care primesc raportări peste prag.

Vestea bună: e simplu să faci totul corect. Trebuie doar să respecți câteva reguli concrete despre cum colectezi acordul, cum îl documentezi și cum îl onorezi când clientul vrea să iasă. Acest ghid îți dă cadrul practic, fără jargon juridic — așa cum îl explic și implementez la clienții reali ai modulului Broadcast.

Ce cere concret GDPR pentru marketing pe WhatsApp

GDPR (Regulamentul (UE) 2016/679) tratează numărul de telefon ca date cu caracter personal. Ca să trimiți mesaje de marketing pe WhatsApp către o persoană, ai nevoie de o bază legală. În practică, pentru marketing, baza legală e acordul (Art. 6 alin. 1 lit. a) — cu condițiile foarte clare:

• Liber: persoana nu trebuie să fie obligată să accepte. Dacă bifa de „accept marketing" e prebifată sau e obligatorie ca să poată cumpăra, acordul e invalid.
• Specific: acordul e doar pentru WhatsApp marketing — nu un acord generic pentru „comunicări". Dacă vrei și SMS și e-mail, ai bife separate pentru fiecare.
• Informat: persoana trebuie să știe cine ești, ce-i vei trimite, cât de des, cum se dezabonează.
• Univoc: acțiune clară (bifare, click pe DA, scriere a cuvântului DA) — nu „ai acceptat că nu ai răspuns nu".

În plus față de GDPR, ai obligații sub Legea 506/2004 privind comunicările electronice — practic, articolul 12 cere acordul prealabil pentru orice comunicare comercială pe canale electronice (SMS, e-mail, WhatsApp).

Ce cere Meta în plus față de GDPR

Meta are propriile reguli pentru WhatsApp Business API care, în multe privințe, sunt mai stricte ca GDPR-ul. Pe scurt:

• Acordul trebuie obținut direct de tine — nu de un terț care vinde liste.
• Acordul e specific pentru numărul tău de WhatsApp Business — nu un acord generic pentru „comunicări electronice".
• Trebuie să poți demonstra acordul la cerere către Meta în maxim 7 zile. Dacă nu, riști suspendarea numărului.
• Anumite categorii sunt interzise complet indiferent de acord: jocuri de noroc fără licență, supliments medicale fără autorizare, droguri, arme, conținut adult, mesaje politice în multe regiuni.

Practic, dacă respecți cerințele Meta, ești cu un pas mai sus decât GDPR-ul te-ar cere oricum. Modelul e mai strict, dar e și mai protector pentru afacerea ta.

3 metode validate de colectare opt-in

Iată cele trei metode care funcționează în practică, cu cifre reale din implementările noastre. Le poți combina liber.

Metoda 1: Formular pe site cu bifă explicită

Cea mai simplă și legal cea mai solidă. La înregistrare cont, la finalizare comandă sau pe o pagină dedicată de abonare, adaugi o bifă (NU prebifată):

„Sunt de acord să primesc oferte și informații despre produse noi pe WhatsApp la numărul indicat. Pot oricând să mă dezabonez scriind STOP în chat. Vezi Politica de Confidențialitate."

Sistemul tău salvează: data + ora exactă, IP, user agent (browser-ul folosit), versiunea exactă a textului bifat, plus link spre politica de confidențialitate. Toate aceste date sunt automate în modulul Broadcast.

Conversie tipică: 35-55% din vizitatori bifează (depinde de plasarea bifei și claritatea textului).

Metoda 2: QR în locație

Pentru afaceri cu locație fizică (restaurant, salon, magazin), pui un QR mic la masă, la recepție sau la casă. Textul lângă QR: „Scanează ca să primești oferte exclusive pe WhatsApp". La scanare, clientul ajunge într-un chat WhatsApp pre-completat cu „Vreau oferte" — la primul mesaj, sistemul răspunde automat cu un mesaj UTILITY de confirmare opt-in: „Bună! Confirmă că dorești oferte de la [numele afacerii] pe acest WhatsApp. Răspunde DA pentru a te înscrie."

Doar răspunsurile DA salvate explicit trec în lista de marketing. NU răspunsurile sau alte texte sunt ignorate. Conversie tipică: 15-25% din clienți scanează, 70-85% din scanari devin opt-in confirmat.

Metoda 3: Cerere opt-in prin mesaj UTILITY

Pentru clienții care au cumpărat deja o dată (deci ai numărul lor pentru baza legală a executării contractului), poți trimite un mesaj UTILITY de cerere opt-in: „Bună, [Nume]! Mulțumim pentru comanda recentă. Vrei să primești oferte personalizate pe WhatsApp? Răspunde DA pentru abonare sau ignoră acest mesaj."

Acest mesaj UTILITY costă foarte puțin (taxa Meta pentru UTILITY) și e baza pentru construirea listei de marketing. Conversie tipică în implementările noastre: 30-50% răspund DA. Pentru o bază existentă de 2.000 clienți, asta înseamnă 600-1.000 abonați la marketing direct, în câteva zile.

Dovada acordului: ce salvezi și cât timp

Dacă vine controlul ANSPDCP sau dacă Meta îți cere dovada, trebuie să poți arăta în câteva minute. Datele esențiale per client:

Aceste date trebuie păstrate atât timp cât există acordul, plus minimum 3 ani după retragerea acordului (termenul de prescripție pentru posibile litigii). În modulul Broadcast al RG Technologies, toate aceste informații sunt salvate automat — nu trebuie să configurezi nimic suplimentar.

Dezabonarea: cum implementezi STOP corect

GDPR cere ca retragerea acordului să fie la fel de simplă ca acordarea. Standard în industrie e cuvântul-cheie STOP:

• Clientul scrie „STOP" în chat-ul WhatsApp cu tine.
• Sistemul detectează automat și dezabonează în câteva secunde.
• Trimite mesaj de confirmare: „Te-am dezabonat de la mesajele promoționale. Vei mai primi doar notificări tranzacționale legate de comenzile sau programările active. Pentru reabonare, scrie START."
• Salvează data retragerii și nu mai trimite niciun mesaj MARKETING către numărul respectiv.

Atenție la nuanță: STOP-ul e per afacere, NU global pentru WhatsApp. Dezabonarea e doar pentru ClientId-ul tău (cum spune GDPR-ul, „pentru fiecare operator separat"). Asta e și implementat exact așa în platforma noastră — nu blocăm clientul global, doar pentru afacerea ta.

În plus față de STOP, oferi mereu și un buton de dezabonare în template-urile MARKETING (Meta-mandatat: orice template MARKETING poate avea un buton „Dezabonează"). Combo-ul STOP + buton acoperă toate scenariile.

Ce trebuie să adaugi în Politica de Confidențialitate

Politica de Confidențialitate de pe site-ul tău trebuie să includă explicit secțiunea WhatsApp. Elemente obligatorii:

• Cine ești ca operator de date (numele firmei, CUI, adresă, contact DPO dacă ai).
• Ce date colectezi: număr de telefon, date conversaționale, eventual nume.
• Scopul prelucrării: marketing direct prin WhatsApp.
• Baza legală: acordul (Art. 6.1.a GDPR).
• Cât timp păstrezi datele: cât timp există acordul + 3 ani.
• Drepturile clientului: acces, rectificare, ștergere, dezabonare, plângere la ANSPDCP.
• Cum se dezabonează: scriind STOP sau prin email/contact.
• Cu cine se transmit datele: Meta (operatorul WhatsApp) ca subcontractant — cu link spre politica Meta.

Toate aceste secțiuni sunt deja redactate în Politica noastră de Confidențialitate, pe care o poți folosi ca reper. Pentru afacerea ta, adaptează cu datele de identificare proprii.

Erori frecvente și cum le eviți

1. Bifă prebifată „Accept marketing". Acord invalid. Lasă-l nebifat și pune-l opțional.
2. Acord generic pentru „toate comunicările". Trebuie separat: WhatsApp marketing, e-mail marketing, SMS marketing — bife distincte pentru fiecare canal.
3. Absența politicii de confidențialitate accesibile. Link-ul trebuie să fie click-abil din formular, nu doar la footer.
4. Folosirea numerelor primite de la furnizori sau parteneri. Acordul trebuie să fie direct cu tine — nu transferabil.
5. Lipsa unei căi de retragere ușoare. Trebuie să fie la fel de ușor ca acordarea — un STOP simplu trimis în chat.
6. Trimiterea unui template MARKETING fără opt-in marketing specific. Chiar dacă clientul a cumpărat de la tine, nu te autorizează automat să-i trimiți promoții pe WhatsApp.
7. Lipsa unui Registru de Prelucrări. Pentru afaceri peste 250 angajați (sau cu prelucrare de risc ridicat) e obligatoriu — pentru cele mai mici, e recomandat și cere puțin efort.

Sancțiuni reale aplicate în România

ANSPDCP publică deciziile de sancționare pe site-ul oficial. Câteva exemple ilustrative din ultimii ani (sume rotunjite, anonimizate):

• Magazin online care a folosit liste de e-mail-uri și telefoane fără acord pentru newsletter și SMS marketing — amendă 8.000 EUR, plus obligația ștergerii bazei.
• Companie care a făcut marketing prin SMS fără opt-in clar — amendă 15.000 EUR.
• Operator care nu a putut dovedi acordul pentru newsletter către 100.000+ destinatari — amendă 70.000 EUR (cazul cel mai mare publicat).
• Companie care nu a respectat dezabonările timp de luni de zile — amendă 3.000 EUR plus obligație de remediere.

Pe lângă amenda monetară, expunerea publică (deciziile sunt publice cu numele firmei) afectează reputația. Pentru o afacere mică, una singură astfel de decizie face cât 3-5 ani de marketing bun.

Checklist final: 10 puncte de validat

1. Bifă opt-in WhatsApp clar separată de alte bife, nu prebifată, opțională.
2. Text bifă include scopul, frecvența orientativă, modul de dezabonare.
3. Link spre Politica de Confidențialitate accesibil din formular.
4. Politica de Confidențialitate are secțiune WhatsApp dedicată.
5. Salvezi data, ora, sursa, versiunea textului, IP/WAMID.
6. Implementezi STOP automat care dezabonează în maxim câteva secunde.
7. Confirmi clientului dezabonarea pe același canal.
8. Continui să poți trimite UTILITY (tranzacțional) după STOP — doar MARKETING e blocat.
9. Păstrezi datele acordurilor minim 3 ani după retragere.
10. Ai un proces clar de răspuns la cereri ANSPDCP în maxim 30 zile.

Dacă bifezi toate cele 10, ești în regulă atât cu GDPR-ul, cât și cu cerințele Meta. Toate funcțiile sunt incluse standard în modulul Broadcast — nu trebuie să le construiești de la zero.

Întrebări frecvente

Trebuie să cer opt-in pentru orice mesaj WhatsApp către clienți?

Nu pentru orice. Mesajele tranzacționale (confirmări de comandă, reminder-uri pentru programări active, status livrare) intră sub interesul legitim sau executarea contractului — nu cer opt-in promoțional separat. Pentru mesaje de marketing (oferte, promoții, anunțuri produs nou), opt-in explicit e obligatoriu, conform GDPR.

Pot importa numerele de telefon dintr-un Excel vechi și să le scriu pe WhatsApp?

Doar dacă ai dovada acordului fiecărei persoane pentru contact pe WhatsApp. Faptul că ai numărul în baza ta nu echivalează automat cu acord pentru WhatsApp. Soluția corectă: trimiți un mesaj UTILITY de cerere opt-in și salvezi în baza de date doar răspunsurile DA explicite.

Cum dovedesc opt-in-ul în caz de control ANSPDCP?

Salvezi pentru fiecare client: data și ora exactă a acordului, sursa (formular site / scan QR / mesaj WhatsApp DA), textul exact al cererii pe care a acceptat-o, IP-ul (dacă e formular online) sau referința mesajului WhatsApp. Aceste date trebuie păstrate cât timp există acordul, plus minimum 3 ani după retragere.

Ce fac dacă un client trimite STOP?

Dezabonezi imediat (automat, în câteva secunde) clientul de la mesajele de marketing pentru afacerea ta. Continui să-i poți trimite mesaje tranzacționale legate de comenzi/programări active (UTILITY). Confirmi clientului dezabonarea în scris pe același canal. Salvezi în baza de date momentul retragerii acordului.

Care sunt amenzile dacă greșesc?

GDPR prevede amenzi de până la 20 milioane EUR sau 4% din cifra de afaceri globală, oricare e mai mare. ANSPDCP a aplicat în România amenzi între 1.000 și 70.000 EUR pentru încălcări. În plus, Meta poate suspenda permanent numărul tău WhatsApp Business — pierdere care, pentru o afacere care depinde de canal, poate fi devastatoare.

Pot cumpăra liste de numere de telefon și să le folosesc?

Nu, sub nicio formă. Listele de numere achiziționate de la terți sunt ilegale conform GDPR și interzise explicit de termenii Meta. Folosirea lor duce aproape garantat la suspendarea numărului WhatsApp Business plus expunere la amenzi ANSPDCP. Singura bază legală e lista construită direct de tine cu acord explicit.