Eu disse a eles que o consentimento forçado era ilegal. 5 anos depois, custou à Elkjøp €1,8M
Ação do regulador e desfecho
- Comentadores ficam impressionados com o fato de a autoridade norueguesa de proteção de dados realmente ter aplicado uma multa de €1,8M e forçado mudanças no clube de fidelidade da Elkjøp, mas observam que isso levou cerca de 5 anos.
- Alguns destacam que a multa é apenas um primeiro passo: ela permite ações representativas (semelhantes a ações coletivas) que podem custar 100–1000 vezes mais e talvez desencadear ações de acionistas.
- Outros perguntam como a multa se compara ao lucro obtido com marketing ilegal; alguns argumentam que as multas deveriam refletir os ganhos ilícitos, enquanto outros preferem multas graduadas baseadas na receita por simplicidade e efeito dissuasório.
Consentimento forçado e marketing sob o GDPR
- A questão central: a participação no clube de fidelidade era condicionada à aceitação de marketing; a única forma de parar o marketing era sair do clube.
- Vários participantes esclarecem que isso viola o GDPR: o consentimento deve ser “livremente dado” e desvinculado; as pessoas têm um direito absoluto de se opor ao marketing direto (Art. 21 do GDPR, regras de ePrivacy).
- Após a investigação, a Elkjøp teria alterado os fluxos para que seja possível ter uma conta sem marketing, embora algumas questões de “soft opt-in” permaneçam.
Debates sobre multas, incentivos e fiscalização
- Longo subthread sobre como estruturar penalidades:
- Multas baseadas no lucro vs. baseadas na receita.
- Multas graduadas (como as do GDPR, de até 4% do faturamento) vs. punições pontuais.
- Alguns querem responsabilidade pessoal ou prisão para reincidentes; outros veem isso como desproporcional para infrações de marketing.
- Há preocupação de que a baixa probabilidade de fiscalização enfraqueça até mesmo multas altas.
Experiências com abusos de privacidade
- Muitos compartilham histórias semelhantes de “consentimento forçado”: clubes de fidelidade, ISPs, Wi‑Fi público, proprietários, academias, consultórios médicos e plataformas de contratação exigindo amplos direitos sobre dados como condição de serviço.
- Vários ressaltam que reclamações individuais funcionam, mas só se as pessoas de fato as apresentarem; um observa que problemas triviais (buracos na rua, equipamentos quebrados) também são resolvidos rapidamente quando reportados.
Contexto EUA vs UE / Reino Unido
- Comentadores dos EUA invejam direitos no estilo do GDPR; outros argumentam que as leis de privacidade dos EUA são fracas, fragmentadas e contidas por práticas de vigilância.
- Alguns apontam um conjunto crescente de leis estaduais de privacidade nos EUA, mas ainda veem a UE/EEE (e o Reino Unido, em grande parte alinhado) como muito mais fortes.
Críticas ao GDPR e aos reguladores
- Alguns chamam o GDPR de “pesadelo” ou teatro burocrático, especialmente para pequenas empresas.
- Outros contra-argumentam que ele é simples se você não tentar “espionar” os usuários e coletar apenas o que realmente precisa.
- Os banners de cookies são amplamente criticados como conformidade maliciosa ou de culto ao cargo; vários explicam que a lei subjacente de cookies precede o GDPR e que o comportamento da indústria piorou a experiência do usuário.
- Reguladores suecos e britânicos são apontados como relativamente fracos ou lentos; a autoridade norueguesa de proteção de dados é elogiada por ser orientada ao usuário, mas limitada em capacidade.