GDPR pentru email outreach B2B în România — ce e legal în 2026
Publicat 11 iulie 2026 · 7 min citit · de Mircea Crașoveanu
Cea mai frecventă frică a fondatorilor din România — mai ales notari, contabili, avocați, clinici — e „dacă trimit un email la o firmă cu care n-am mai vorbit, iau amendă GDPR?". Vestea bună: GDPR NU interzice cold email-ul B2B. Ce contează nu e „am voie sau nu", ci pe ce bază legală o faci și cât de transparent ești. Mai jos, pe scurt și practic.
1. Baza legală: interes legitim, nu neapărat consimțământ
GDPR îți dă mai multe „baze legale" ca să procesezi date. Pentru contactarea firmelor (B2B), baza uzuală e interesul legitim — Art. 6(1)(f). Nu ai nevoie de consimțământ explicit înainte să trimiți un email de business unei firme, dacă poți demonstra un motiv de business rezonabil.
- Adresă de business (office@, contact@, un rol profesional dintr-o firmă) → de regulă interes legitim, cu evaluare documentată.
- Adresă personală sau persoană fizică (B2C) → ai nevoie de consimțământ. Interesul legitim NU acoperă aici.
2. Testul în 3 pași (Legitimate Interest Assessment)
Ca să te bazezi pe interes legitim, faci și documentezi un LIA — o notă scurtă care răspunde la 3 întrebări:
1) Scop
Care e interesul legitim? Ex: „identificarea firmelor care ar putea avea nevoie de serviciile noastre contabile". Trebuie să fie real și concret.
2) Necesitate
Contactarea directă e necesară ca să atingi scopul? Dacă există o cale mai puțin intruzivă și la fel de eficientă, folosește-o.
3) Echilibru
Interesul tău vs. drepturile destinatarului. Un email relevant, la o adresă de business, cu opt-out ușor, trece echilibrul. Un mesaj irelevant, la mii de adrese, cu date sensibile — nu.
Ține LIA-ul scris. Dacă cineva întreabă (sau ANSPDCP), ai dovada că ai gândit înainte, nu ai tras la nimereală.
3. România — mai strict decât media UE
România e printre statele care cer informare clară despre cum vor fi folosite datele și înclină spre o abordare prudentă (opt-in acolo unde e cazul). Practic: fii explicit despre cine ești și de ce scrii, oferă dezabonare simplă, și nu insista după ce cineva a spus „nu". Autoritatea de supraveghere e ANSPDCP.
4. Ce trebuie să conțină obligatoriu fiecare email
- Identitate clară — cine ești, ce firmă reprezinți.
- Adresă fizică — o adresă poștală reală.
- Dezabonare — mecanism simplu, ideal one-click (RFC 8058). Onorat imediat.
- Link la politica de confidențialitate — cum procesezi datele.
5. De unde iei datele contează enorm
Diferența dintre „legal" și „risc" începe de la sursă:
- ✅ Date publice oficiale — registre de firme (ONRC/Registrul Comerțului), ANAF, cod CAEN. Date de firmă, publice, legal accesibile.
- ⚠️ Liste cumpărate — deseori vechi, fără proveniență clară, cu adrese personale amestecate. Risc mare (nu poți dovedi baza legală).
- ❌ Date personale scoase din context (CNP, telefon personal, email personal) — nu au ce căuta în outreach B2B.
Întrebări frecvente
Este legal cold email-ul B2B în România sub GDPR?
Da. GDPR nu îl interzice. Art. 6(1)(f) permite contactarea firmelor pe interes legitim, dacă treci și documentezi testul în 3 pași și ești transparent (opt-out, adresă, identitate, link privacy). Nu se aplică adreselor personale / B2C, care cer consimțământ.
Am nevoie de consimțământ pentru un email de business?
Pentru o adresă de business a unei firme, baza uzuală e interesul legitim (cu LIA documentat), nu consimțământul. Pentru adrese personale — da, consimțământ. România cere informare clară despre folosirea datelor.
Ce trebuie să conțină obligatoriu un email conform GDPR?
Identitatea expeditorului, o adresă fizică, un mecanism de dezabonare (ideal one-click, RFC 8058) și un link către politica de confidențialitate. Opt-out onorat imediat.
Vrei clienți noi fără zona gri GDPR? LeadMotor găsește, verifică și contactează firmele potrivite — legal, pe date oficiale, cu redactare PII și dezabonare 1-click.
Pornește testul gratuit pe 20 firme →