Live Direct Marketing
AcasăBlogJuridic și conformitate

GDPR și cold email B2B: ce bază legală folosești și cum arată un mesaj conform

12 iulie 2026 · 10 min. de citire · Ghid: Juridic și conformitate

Mulți fondatori și șefi de vânzări cred că GDPR interzice pur și simplu cold email-ul, dar realitatea e mai nuanțată: cadrul legal permite outreach-ul B2B, doar că trebuie aplicat corect, cu o bază juridică clară și un opt-out funcțional. Acest articol explică, cu exemple concrete de formulări de consimțământ și regulile GDPR relevante pentru email marketing, cum construiești campanii de cold email conforme, fără riscul unei plângeri la autoritatea de supraveghere.

Pe scurt
  • Interesul legitim (art. 6(1)(f) GDPR), nu consimțământul, este de regulă baza legală corectă pentru cold email B2B trimis pe adrese profesionale.
  • Recital 47 GDPR menționează explicit marketingul direct ca posibil interes legitim, dar impune un test de echilibrare cu drepturile destinatarului.
  • Fiecare mesaj trebuie să conțină identitatea expeditorului, sursa datelor și un mod clar, dintr-un singur click, de a opta pentru a nu mai primi mesaje.
  • Adresele personale (gmail, yahoo) și persoanele fizice autorizate necesită, de regulă, consimțământ explicit, nu interes legitim.
  • Volume mici, personalizare reală și un opt-out funcțional reduc simultan riscul GDPR și rata de plângeri de spam.

De ce GDPR nu interzice cold email-ul B2B, dar schimbă regulile jocului

Confuzia cea mai frecventă în echipele de vânzări este că GDPR ar fi echivalent cu «interzis să contactezi pe cineva fără acord prealabil». În realitate, regulamentul reglementează orice prelucrare a datelor cu caracter personal, inclusiv o adresă de tip prenume.nume@companie.ro, dar nu impune automat consimțământ explicit pentru orice contact comercial.

Diferența cheie e contextul: GDPR B2B tratează diferit o adresă profesională folosită într-un scop legat de rolul persoanei în companie față de o adresă personală folosită pentru viața privată. Un director de achiziții contactat pe adresa de serviciu, cu o ofertă relevantă pentru compania sa, e o situație diferită din perspectiva GDPR față de un consumator contactat acasă.

Legea 506/2004, care transpune directiva europeană privind confidențialitatea în comunicațiile electronice, se ocupă separat de comunicările electronice nesolicitate. Corelarea celor două acte normative — GDPR pentru datele personale, Legea 506/2004 pentru canalul de comunicare — dă cadrul complet pe care trebuie să-l respecți.

Baza legală: interes legitim vs consimțământ explicit

Pentru majoritatea campaniilor de cold email B2B, baza legală corectă e interesul legitim (art. 6(1)(f) GDPR), nu consimțământul. Recital 47 GDPR menționează explicit că prelucrarea datelor cu caracter personal în scopuri de marketing direct poate fi considerată un interes legitim, dar aceasta nu e o autorizație necondiționată — trebuie trecut un test de echilibrare (balancing test) în trei pași: scop legitim real, necesitatea prelucrării și un echilibru cu drepturile și așteptările persoanei vizate.

Testul de echilibrare nu e o formalitate birocratică, ci criteriul practic după care poți fi întrebat, în caz de plângere, de ce ai considerat că poți contacta acea persoană fără acordul ei prealabil.

Când ai nevoie de consimțământ explicit, nu de interes legitim

Interesul legitim nu acoperă orice situație. Dacă țintești adrese personale (gmail, yahoo, adrese de tip nume@domeniu-personal.ro), PFA-uri unde granița dintre profesional și personal e neclară, sau contacte din piețe unde autoritatea locală de protecție a datelor a impus reguli de opt-in strict pentru marketing electronic, ai nevoie de consimțământ explicit înainte de trimitere.

Consimțământul GDPR valid, conform regulilor de email marketing, trebuie să fie o acțiune afirmativă clară — o bifă nepresetată, un click de confirmare — nu o prezumție dedusă din faptul că persoana ți-a lăsat cartea de vizită la un eveniment cu ani în urmă.

Exemplu

Exemplu de formulare de consimțământ pe un formular de website B2B: „Sunt de acord să primesc pe email materiale despre soluțiile [Nume Companie] relevante pentru activitatea firmei mele. Pot retrage acest acord oricând, printr-un singur click.” Căsuța rămâne nebifată implicit, iar textul explică exact ce primești și cum renunți.

Exemple concrete de formulări conforme pentru cold email

Un cold email conform GDPR nu are nevoie de un paragraf juridic la final — are nevoie de trei elemente vizibile chiar din primul mesaj: identitatea reală a expeditorului, o mențiune despre sursa datelor și o cale ușoară de a opta pentru a nu mai primi mesaje. Aceste trei elemente reduc atât riscul de conformitate, cât și rata de plângeri de spam, pentru că destinatarul înțelege imediat cine ești și de ce l-ai contactat.

Exemplu

Exemplu de rând de deschidere conform: „V-am găsit profilul pe pagina de conducere a [Nume Companie] și v-am scris direct pentru că sectorul dumneavoastră se potrivește cu ceea ce facem la [Nume Companie Expeditor].” La final: „Dacă nu doriți să vă mai scriu, răspundeți cu «nu, mulțumesc» și vă scot din listă imediat.”

Checklist de conformitate pentru fiecare email de outreach

Înainte să pornești o campanie de cold email B2B, verifică fiecare mesaj față de această listă. E mai rapid decât o consultanță juridică pentru fiecare campanie și acoperă majoritatea situațiilor întâlnite în vânzări B2B.

Greșeli frecvente care atrag riscuri GDPR

Cele mai multe probleme nu apar din campanii de cold email bine gândite, ci din scurtături în construirea listei sau în gestionarea răspunsurilor negative.

Cum gestionează LDM conformitatea în campaniile clienților

În campaniile pe care le rulăm, plecăm de la surse de date verificabile — profiluri publice, site-uri de companie, registre profesionale — și documentăm, pentru fiecare listă, motivul pentru care contactul are legătură cu oferta clientului. Asta transformă testul de echilibrare de la art. 6(1)(f) GDPR dintr-o formalitate teoretică într-o practică urmărită la fiecare campanie.

Opt-out-ul e integrat direct în fluxul de conversație, nu ascuns într-un footer legal ilizibil, iar cererile de dezabonare sunt procesate automat, fără intervenție manuală care ar putea introduce întârzieri. Volumele zilnice mici, tipice pentru cold email B2B țintit, ajută dublu: reduc rata de plângeri de spam și fac posibilă o personalizare reală, nu una automatizată în masă, care e exact ce așteaptă testul de echilibrare din GDPR pentru email marketing.

Întrebări frecvente

Am nevoie de consimțământ explicit pentru fiecare cold email B2B?

Nu întotdeauna. Pentru adrese profesionale, contactate în legătură cu rolul persoanei în companie, interesul legitim (art. 6(1)(f) GDPR) e de regulă baza legală corectă. Consimțământul explicit devine necesar pentru adrese personale sau piețe cu reguli de opt-in strict.

Ce risc real există dacă nu respect GDPR în cold email?

Riscul principal e o plângere la autoritatea de supraveghere (în România, ANSPDCP), care poate declanșa o anchetă și, în cazuri de nerespectare gravă și repetată, sancțiuni. Riscul mai imediat, în practică, e afectarea reputației de expeditor și a deliverability-ului.

Pot trimite cold email pe adresa office@ sau contact@?

Adresele de tip office@ sau contact@ nu identifică o persoană fizică anume, deci nu intră direct sub incidența GDPR ca date cu caracter personal, dar rămân supuse regulilor privind comunicările comerciale nesolicitate din legislația electronică locală.

Cât timp pot păstra datele unui prospect care nu a răspuns?

Nu există un termen fix impus de GDPR, dar principiul limitării stocării cere o perioadă rezonabilă și documentată. În practică, multe companii B2B șterg sau anonimizează contactele fără nicio interacțiune după 12-24 de luni.

Ce diferență e între GDPR și Legea 506/2004 pentru email marketing?

GDPR reglementează prelucrarea datelor cu caracter personal în sine — ce bază legală folosești, ce drepturi are persoana. Legea 506/2004 reglementează canalul de comunicare electronică, inclusiv regulile privind mesajele comerciale nesolicitate. Cold email-ul conform trebuie să respecte ambele.

E nevoie de DPO pentru o campanie mică de cold email?

Nu, un responsabil cu protecția datelor (DPO) e obligatoriu doar pentru companii cu prelucrări de date la scară mare sau sistematică. O campanie mică de cold email B2B nu declanșează, de regulă, această obligație, dar tot ai nevoie de un proces intern documentat de conformitate.

Important: acesta nu este email în masă și nu este spam. Lucrăm țintit: fiecare mesaj este trimis către un anumit reprezentant al unei anumite companii, dintr-un motiv comercial legitim, în volume zilnice mici, și este personalizat pentru destinatar. Fiecare email identifică expeditorul și include dezabonarea într-un clic; dezabonările și listele de blocare se aplică tuturor campaniilor viitoare, fără excepție.

Vrei să aplici asta în prospectarea ta?

Îți arătăm cum funcționează pe segmentul și produsul tău — înainte de a începe.

Hai să vorbim