Notificare de Conformitate a Apelurilor

De ce trebuie să citești acest document: Platforma E-Matrix furnizează unelte (apeluri AI, înregistrare, transcript, DNC list, mecanism opt-out), dar conformitatea legală a folosirii lor revine integral ție, ca Operator al datelor Utilizatorilor Finali. Sancțiunile ANSPDCP pentru cold calling neconform sau pentru lipsa consimțământului la înregistrare ajung până la 20 milioane EUR sau 4% din cifra de afaceri. E-Matrix nu poate fi tras la răspundere pentru deciziile tale de a apela anumite numere sau de a înregistra anumite conversații.

1Cadrul legal aplicabil în România

GDPR (UE 2016/679) — baza legală pentru orice prelucrare;
Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (Art. 12 — marketing direct prin apeluri și mesaje);
Legea 365/2002 privind comerțul electronic (Art. 6 — opt-out la comunicări comerciale);
OG 27/2002 privind reglementarea activității de soluționare a petițiilor;
EU AI Act (UE 2024/1689) — Art. 50 disclosure pentru chatbots și voice agents AI;
Codul muncii (Legea 53/2003) — pentru înregistrarea conversațiilor angajaților;
Codul penal Art. 226 — protecția secretului convorbirilor (înregistrare fără consimțământ).

2Distincția B2B vs B2C

2.1 Cold calling B2B

Apelarea factorului de decizie al unei firme (în calitate profesională) în legătură cu activitatea comercială a firmei este permisă pe baza interesului legitim (Art. 6.1.f GDPR), fără consimțământ prealabil, cu condiția:

Apelul are un scop comercial concret legat de business-ul firmei apelate;
Realizezi un test de echilibrare (legitimate interests assessment — LIA) documentat;
Oferi opt-out clar la primul contact (vezi § 5);
Identifici sunătorul în primele 5 secunde (cine sună, în numele cui, de ce);
Respecți cererile de oprire (numărul intră în DNC list internă);
Nu apelezi în afara orarului rezonabil (între 8-20, fără weekend și sărbători publice).

2.2 Cold calling B2C

Apelarea persoanelor fizice (consumatori) în scop de marketing este permisă DOAR cu consimțământ explicit prealabil (Art. 12 Legea 506/2004 + Art. 6.1.a GDPR). Acest consimțământ:

Trebuie să fie liber, specific, informat, neechivoc (Art. 4 pct. 11 GDPR);
Trebuie obținut pentru fiecare scop separat (apel ≠ SMS ≠ email);
Trebuie demonstrabil — păstrează dovada (timestamp, IP, ce text a citit utilizatorul);
Trebuie revocabil la fel de ușor cum a fost dat;
Nu poate fi „pre-bifat" sau inclus într-un alt accept (consimțământ pachet);
Trebuie reînnoit dacă scopul prelucrării se schimbă semnificativ.

Sancțiuni ANSPDCP pentru cold calling B2C fără consimțământ: Amenzi tipice 5.000 — 50.000 EUR pentru întreprinderi mici/mijlocii, până la 4% din cifra de afaceri pentru cazuri grave.

2.3 Cum decizi B2B vs B2C

Indicii care îți spun că destinatarul e B2C (chiar dacă numărul a fost luat dintr-o sursă „de firmă"):

Sufix număr personal (terminat în 0XXX cu prefix de operator mobil);
Răspunsul „Alo, da?" în loc de „Bună ziua, firma X";
Persoana nu are funcție de decizie în firma respectivă;
Lista a fost descărcată de pe un site care expune numere fără context profesional.

În caz de dubiu, tratează numărul ca B2C (necesită consimțământ).

3Înregistrarea apelurilor

3.1 Cerința legală

În România, înregistrarea unei convorbiri telefonice este permisă numai cu acordul tuturor părților participante. Cod Penal Art. 226 incriminează înregistrarea convorbirii fără consimțământ.

Excepții care permit înregistrare fără consimțământ explicit individual:

Operatorul (tu) este parte la convorbire (poți înregistra dialogul cu tine);
Există un interes legitim solid (ex: dovada calității serviciului în relațiile B2B), DAR este obligatorie informarea prealabilă a celeilalte părți la începutul apelului;
Există consimțământ explicit obținut prin formula clasică „acest apel poate fi înregistrat în scop de [...]" + dreptul de a refuza.

3.2 Obligația ta concretă

Configurează agentul AI să rostească la începutul fiecărui apel (în primele 5-10 secunde) un mesaj de tipul:

„Bună ziua, sunt [nume agent] de la [nume firmă]. Vă informez că acest apel este efectuat prin agent automat și poate fi înregistrat în scop de [scop concret]. Dacă nu sunteți de acord, vă rog să mă anunțați. Folosim datele dvs. conform politicii noastre disponibile la [URL]."

Acest disclaimer:

Satisface cerința de transparență GDPR (Art. 13);
Satisface cerința EU AI Act Art. 50 (disclosure că e AI);
Asigură posibilitatea destinatarului de a refuza (drept de opoziție);
Reduce riscul juridic pentru tine.

3.3 Retenția înregistrărilor

Înregistrările audio se păstrează pe Platformă conform setărilor planului tău (default: 90 zile). Poți seta retenție mai scurtă din /dashboard/settings.php sau ne poți cere ștergerea cu cerere expresă.

După ștergere, înregistrările dispar definitiv în maxim 30 zile (timp necesar pentru backup-ul criptat ciclic).

4Identificarea agentului AI

Conform EU AI Act Art. 50 alin. (1) (aplicabil din 2 august 2026):

Trebuie să te asiguri că Utilizatorii Finali sunt informați explicit că interacționează cu un sistem AI, cu excepția cazurilor în care acest lucru este evident dintr-o perspectivă a unei persoane fizice rezonabil informate.

Pentru voice agents (cold calling, lead, confirm comenzi), această obligație se îndeplinește prin disclaimer-ul din § 3.2.

Pentru chat agents (webchat, WhatsApp), o etichetă „🤖 Asistent virtual AI" în interfață e suficientă.

Detalii suplimentare: vezi Notificarea AI.

5Mecanismul de opt-out (DNC)

5.1 La nivel de apel

Agentul AI trebuie să recunoască și să respecte expresiile de tip:

„Nu sunt interesat / nu mă interesează";
„Nu mai sunați niciodată";
„Mă plâng la ANSPDCP / ANPC";
„Scoateți-mă din lista voastră" etc.

La detectarea unei astfel de cereri, agentul:

Confirmă cererea verbal („Înțeleg, vă scot din lista noastră, nu vă vom mai contacta");
Încheie politicos apelul;
Marchează numărul în DNC list internă.

5.2 La nivel de cont

Platforma menține pentru tine o listă internă DNC (do not call) per cont. Numerele incluse aici sunt blocate automat din toate campaniile viitoare. Poți:

Adăuga manual numere prin /dashboard/dnc.php (în implementare);
Importa o listă DNC existentă (CSV);
Exporta lista pentru audit.

5.3 Lista DNC națională (RO)

În prezent (iunie 2026), România nu are un Registru Național DNC operațional pentru apeluri de marketing. Când va deveni operațional, te vei conforma și cu această listă (pe lângă lista ta internă).

6Conformitate WhatsApp Business

Pentru mesajele WhatsApp prin Cloud API:

24-hour rule: În afara ferestrei de 24h de la ultimul mesaj al utilizatorului, poți trimite doar template-uri pre-aprobate de Meta;
Categorii template: Utility / Authentication permise mai larg; Marketing supus la opt-in explicit;
Quality rating: Meta monitorizează rata de blocare. Sub un anumit prag, contul intră în restricții (Low Quality → suspendat);
Opt-out: Toate template-urile de Marketing trebuie să includă o opțiune clară de dezabonare (STOP, „nu mai vreau" etc.);
Conținut interzis Meta: Vezi Meta Commerce & Business Policies — alcool, tutun, arme, gambling, criptomonede etc. sunt restricționate.

7Documentația obligatorie pe care trebuie să o ai

Recomandăm să păstrezi pentru fiecare campanie:

Listă sursă — de unde ai luat numerele (CSV import, leadads Meta, formular site, etc.);
Bază legală per număr — interes legitim B2B (cu LIA) / consimțământ B2C (cu timestamp + dovada);
Disclaimer-ul care a fost rostit la începutul apelurilor (versiunea agentului);
Mecanismul de opt-out implementat și log-urile de export DNC;
Politica de retenție aleasă;
Registrul de evidență al prelucrărilor (Art. 30 GDPR) — pentru firmele de peste 250 angajați sau care prelucrează regulat date sensibile.

8Ce facem noi vs ce faci tu

Cine alege numerele apelate: Tu (Operator)
Cine documentează baza legală: Tu (Operator)
Cine informează destinatarul: Tu, prin disclaimer rostit de agent (configurat de tine)
Cine setează prompturile agentului: Tu
Cine răspunde la cererile destinatarului (acces, ștergere): Tu (Operator) — noi te asistăm tehnic
Cine implementează DNC list internă: Noi (Platforma) — pe baza intrărilor tale
Cine plătește o eventuală amendă ANSPDCP: Tu (Operator) — vezi clauza de indemnizare
Cine furnizează infrastructura tehnică sigură: Noi (Persoana Împuternicită)
Cine criptează datele la repaus / în tranzit: Noi
Cine notifică breach în 72h către tine: Noi — vezi DPA § 10
Cine notifică ANSPDCP în caz de breach: Tu (Operator) — Art. 33 GDPR

9Concluzie & disclaimer

Această Notificare este un ghid orientativ. Nu este consultanță juridică individuală. Pentru cazuri concrete, consultă un avocat specializat în protecția datelor sau DPO-ul tău.

Prin utilizarea Platformei pentru apeluri, mesaje sau înregistrări, confirmi că ai citit această Notificare, ai înțeles obligațiile tale legale și că te angajezi să le respecți pe deplin. Orice sancțiune, amendă, pretenție sau cost rezultat din nerespectarea acestor obligații te privește direct, iar clauza de indemnizare din Termeni § 12 se aplică integral.

10Resurse utile

11Contact

DPO E-Matrix: [email protected]
Email legal: [email protected]