Eu disse a eles que o consentimento forçado era ilegal. 5 anos depois, custou à Elkjøp €1,8M

Ação do regulador e desfecho

  • Comentadores ficam impressionados com o fato de a autoridade norueguesa de proteção de dados realmente ter aplicado uma multa de €1,8M e forçado mudanças no clube de fidelidade da Elkjøp, mas observam que isso levou cerca de 5 anos.
  • Alguns destacam que a multa é apenas um primeiro passo: ela permite ações representativas (semelhantes a ações coletivas) que podem custar 100–1000 vezes mais e talvez desencadear ações de acionistas.
  • Outros perguntam como a multa se compara ao lucro obtido com marketing ilegal; alguns argumentam que as multas deveriam refletir os ganhos ilícitos, enquanto outros preferem multas graduadas baseadas na receita por simplicidade e efeito dissuasório.

Consentimento forçado e marketing sob o GDPR

  • A questão central: a participação no clube de fidelidade era condicionada à aceitação de marketing; a única forma de parar o marketing era sair do clube.
  • Vários participantes esclarecem que isso viola o GDPR: o consentimento deve ser “livremente dado” e desvinculado; as pessoas têm um direito absoluto de se opor ao marketing direto (Art. 21 do GDPR, regras de ePrivacy).
  • Após a investigação, a Elkjøp teria alterado os fluxos para que seja possível ter uma conta sem marketing, embora algumas questões de “soft opt-in” permaneçam.

Debates sobre multas, incentivos e fiscalização

  • Longo subthread sobre como estruturar penalidades:
    • Multas baseadas no lucro vs. baseadas na receita.
    • Multas graduadas (como as do GDPR, de até 4% do faturamento) vs. punições pontuais.
    • Alguns querem responsabilidade pessoal ou prisão para reincidentes; outros veem isso como desproporcional para infrações de marketing.
  • Há preocupação de que a baixa probabilidade de fiscalização enfraqueça até mesmo multas altas.

Experiências com abusos de privacidade

  • Muitos compartilham histórias semelhantes de “consentimento forçado”: clubes de fidelidade, ISPs, Wi‑Fi público, proprietários, academias, consultórios médicos e plataformas de contratação exigindo amplos direitos sobre dados como condição de serviço.
  • Vários ressaltam que reclamações individuais funcionam, mas só se as pessoas de fato as apresentarem; um observa que problemas triviais (buracos na rua, equipamentos quebrados) também são resolvidos rapidamente quando reportados.

Contexto EUA vs UE / Reino Unido

  • Comentadores dos EUA invejam direitos no estilo do GDPR; outros argumentam que as leis de privacidade dos EUA são fracas, fragmentadas e contidas por práticas de vigilância.
  • Alguns apontam um conjunto crescente de leis estaduais de privacidade nos EUA, mas ainda veem a UE/EEE (e o Reino Unido, em grande parte alinhado) como muito mais fortes.

Críticas ao GDPR e aos reguladores

  • Alguns chamam o GDPR de “pesadelo” ou teatro burocrático, especialmente para pequenas empresas.
  • Outros contra-argumentam que ele é simples se você não tentar “espionar” os usuários e coletar apenas o que realmente precisa.
  • Os banners de cookies são amplamente criticados como conformidade maliciosa ou de culto ao cargo; vários explicam que a lei subjacente de cookies precede o GDPR e que o comportamento da indústria piorou a experiência do usuário.
  • Reguladores suecos e britânicos são apontados como relativamente fracos ou lentos; a autoridade norueguesa de proteção de dados é elogiada por ser orientada ao usuário, mas limitada em capacidade.