GDPR, cuatro meses después: ¿está funcionando?

GDPRAyer se cumplieron cuatro meses desde el 25 de mayo, la fecha en la que entró en vigor el Reglamento General de Protección de Datos (GDPR), y me parece un buen momento para reflexionar sobre el tema y plantearnos si está funcionando o si su diseño es realmente el adecuado para ello.

La llegada de GDPR no pasó desapercibida: presas de lo que parecía un ataque de pánico colectivo, miles de empresas comenzaron a llenar nuestros buzones con correos electrónicos pidiéndonos que confirmásemos que realmente queríamos seguir permaneciendo en sus bases de datos… mensajes que eran en muchos casos en sí mismos violaciones de la GDPR, y bases de datos en las que, en una inmensa mayoría, no teníamos ni la más ligera idea de que estábamos incluidos, porque las habían obtenido mediante metodologías que vulneraban el concepto de consentimiento informado – adquiriéndolas a sombríos proveedores que hacían crawling de páginas web, reutilizando listas antiguas o listados obtenidos de acciones de todo tipo, etc. El resultado fue el que cabía esperar: ante tal avalancha, los usuarios hicimos lo que era lógico hacer: enviar toda esa basura al buzón de spam sin siquiera abrirla, o incluso utilizar muchos de esos correos para darnos inequívocamente de baja de aquellas bases de datos en las que no teníamos el menor interés en estar. Un reflejo lógico de lo que debería ser la web o el correo electrónico: una herramienta de comunicación, no un martirio constante de mensajes comerciales no deseados. Aunque muchos directores de marketing chapados a la antigua sigan frotándose los ojos para intentar entenderlo, el correo electrónico no es un medio para conseguir esos fines de los que depende su retribución variable: es una herramienta cuyos usuarios aspiran a que sea razonablemente útil. En una sociedad que se moviese con un mínimo de lógica, el e-mail marketing no tendría que estar regulado, sino simplemente prohibido, como tendrían que estarlo en el mundo offline prácticas tan molestas y anti-ecológicas como el buzoneo, el reparto de publicidad en la calle o el parabrising.

La segunda consecuencia de GDPR ha sido, claramente, el incremento de denuncias por infracciones en muchos países. En Francia, el CNIL ha recibido 3,767 denuncias desde la entrada en vigor de GDPR, frente a las 2,294 recibidas en el mismo período del año pasado, que había sido ya de por sí un año récord, y tanto el Reino Unido como Irlanda muestran proporciones similares. Es de esperar que un número significativo de esas denuncias se conviertan en sanciones importantes y adecuadamente comunicadas, que hagan abandonar ese tipo de prácticas a las compañías implicadas, o pronto cundirá la idea de que GDPR, a pesar de las importantes sanciones anunciadas, no tiene realmente dientes. 

El tercer efecto de GDPR, en cambio, es algo más molesto y no parece especialmente logrado: una gran cantidad de publicaciones en la web han incorporado pop-ups, cintas o notificaciones de algún tipo que obligan a sus usuarios a aceptar unos determinados términos de uso, en muchos casos bajo la amenaza de no poder seguir leyendo. La idea es obtener el consentimiento del usuario para todo, una especie de «licencia para matar» que permita desde compilar unas simples estadísticas de uso de la página o monitorizar la publicidad que recibes, hasta, en algunos casos, aprovechar para incluirte en una base de datos y comercializarla a terceros. Una clara violación del concepto de consentimiento, un elemento clave en GDPR, que según el texto de la ley, debe no solo ser otorgado libremente, sino además, ser específico, informado y no ambiguo.

¿Qué tipo de libertad tiene un usuario cuando, a todos los efectos, lo chantajeas con la amenaza de no dejarle acceder a una información determinada si no consiente determinadas prácticas? ¿De verdad parece razonable que un usuario que estaba activamente buscando determinada información o pretendía acceder a ella se encuentre con un formulario relativamente complejo al que, si quisiese hacer las cosas razonablemente bien, tendría que dedicar un buen rato, examinar las distintas cláusulas, opciones y elementos a los que está otorgando consentimiento, y tomar una decisión informada al respecto? Para cumplir su función, ese pop-up debería ser muy sencillo, muy claro, inequívoco y, además, no condicionar el acceso. Algunos sitios, los menos, lo hacen así, de manera que si no consientes a esas prácticas, simplemente se cierra el pop-up o se hace clic en el botón de «no acepto», y el usuario puede seguir tranquilamente leyendo. Pero en muchos casos, si el usuario no acepta, lo redirigen a otra página o simplemente no le dejan continuar, una práctica que debería ser etiquetada como infractora. No, que tengas una página web no debe convertirse en una forma de exigir un consentimiento, y menos aún si los elementos de ese consentimiento, las prácticas a las que el usuario está supuestamente consintiendo, no están especificadas de manera clara.

Por el momento, ese último elemento, ese mensaje de coacción al inicio de la navegación en muchos sitios está convirtiéndose, en muchos casos, en una molestia permanente, en algo que recuerda a esa absurda advertencia sobre las cookies que no sirve absolutamente para nada más que para molestar. No, esos mensajes no suponen un consentimiento libre ni informado, sino simplemente una perversión inadecuada del espíritu de la ley, un intento de obtener ese supuesto consenso por la vía del chantaje, algo que, si no está suficientemente claro en el articulado de la ley, debería estarlo. Sería grave que un concepto tan central como el del consentimiento fuese considerado ambiguo en un reglamento que acaba de entrar en vigor.

Cuatro meses después de la entrada en vigor de GDPR, mi impresión general es que, en general, sí que está funcionando: tengo la impresión de recibir menos correo basura, de que se presta algo más de atención a las peticiones de eliminación, y que, dejando aparte esa molestia de los formularios en la entrada de muchas páginas web, hemos mejorado. Pero eso no quiere decir que no quede ese aspecto por pulir, al que habrá que prestar atención rápidamente para evitar que se consolide como práctica habitual algo que es, a todas luces, una mala práctica. Si en el futuro terminamos recordando a GDPR como aquel reglamento que llenó la web de mensajes inútiles de este tipo, sería un logro profundamente vano y, sobre todo, profundamente triste.

This post is also available in English in my Medium page, “GDPR, four months on: is it working?» 

14 comentarios

  • #001
    Angel "el Bueno" - 26 septiembre 2018 - 12:00

    Estimado enrique,

    Ya sabes lo proclive que soy a todo tipo de leyes y normativas, quizá por la educación tan marcial que he recibido.
    Es evidente que nuestros datos circulan libremente y no solo por la red si no por cualquier lugar. Incluso cuando accedo al gimnasio para «sudar» un poco. Es evidente que hacia falta una regulación al respecto y mira oye, todos estos reglamentos y normativas que aprueban en Bruselas y tenemos que acatar todos me parece fantástico, en la red y fuera de ella.
    Pero no puedo evitar preguntarme… ¿No nos estaremos pasado….?
    Te pondré un ejemplo: antes, si iba a cenar a casa de un amigo podía tomar 2 copas de vino y no pasaba nada. Ahora estoy condicionado a no beber para poder volver a casa conduciendo.
    Ocurre lo mismo con los datos y este es un tema que ha suscitado mis críticas en alguna ocasión.
    Protección de datos si, pero hombre que hayamos llegado al punto en que alguien no quiera ni darte su telefono en una discoteca por la noche…. Y no por feo, si no por la GDPR…. Me parece exacerbado….
    Trasladando todo esto a la web pues idem de lo mismo.
    Veremos que pasa. Espero una publicación tuya sobre este tema cuando el Reglamento cumpla un año….

    • Nano - 27 septiembre 2018 - 00:37

      Perdón? Antes podías beber sabiendo que ponías en peligro la vida de los demás al ponerte al coche. Ahora se persigue y castiga más aunque no hayas hecho daño a nadie, simplemente ponernos en un riesgo que no hemos escogido.
      Volviendo al reglamento, ¿Qué te parecería que al pararte en un escaparate se te acercarán por detrás, te vaciaran los bolsillos, tomarán tu cartera, te exigieran datos personales y si rechazaras cooperar te echarán a patadas sin dejarte ver el escaparate?
      Eso es en lo que han convertido la web y hay que pararlo.

  • #003
    DaF - 26 septiembre 2018 - 12:06

    Hasta que no vea multas de 20M€ o del 4% de la facturación anual consolidada para grandes corporaciones, seguiré creyendo que le han dado un lavado de cara a la LOPD y poco más.

    Ahora mismo la AEPD aún está digiriendo el tema y apenas ha empezado su función sancionadora ni inspectora.

    • Edu - 28 septiembre 2018 - 09:38

      Compañero, Ya hay algunas PYMEs que han desaparecido por la nueva GDPR.
      Lamentable

  • #005
    Fernando González - 26 septiembre 2018 - 12:15

    Es comprensible, dadas la altas sanciones, que las empresas intenten blindarse con popups que impidan el acceso a la página, a aquellos usuarios que no quieran ser monitorizados.

    Es como el cartel amarillo que te avisa que hay una camara de seguridad vigilando, antes de que entres en un lugar con cámaras, como puede ser una tienda.

    Si después quieres entrar en esa tienda, es tu decisión informada, y no es un chantaje. Lo que no se pueda pretender es que quieras entrar en la tienda y que apaguen las cámaras, porque no quieras ser monitorizado.

    Y si no quieres entrar, puedes irte a otra tienda, ya que nadie te obliga a entrar.

    En el caso de las páginas web, si necesitan monitorizar a los usuarios que las visitan, para mejorar su funcionamiento, saber que secciones son más visitadas, cual es el país de procedencia del visitante etc. Me parece correcto que avise al visitante, que será monitorizado, y que el decida si seguir adelante o irse a otra página diferente.

  • #006
    Gorki - 26 septiembre 2018 - 12:23

    Cada uno cuenta la feria tal cual le va.
    1) No he denunciado ninguna practica abusiva:
    – La razón principal es la desidia propia.
    – Otra razón, es que no se cual es el la pagina web, dirección e-mail en que puedo hacer la denuncia ( Supongo que habrá procedimiento digital alternativo que el acudir al Juzgado de Guardia), tendría que averiguarlo y me da pereza.
    – La tercera, es que no se que pruebas puedo presentar, ¿Como uno demuestra que nunca dio consentimiento de algo? Y si lo dio y se le ha olvidado ¿No puede ocurrir que alguien le empitone y le pida daños y perjuicios?

    Otro problema es que no he notado una reducción apreciable de los emails intrusivos y publicitarios no deseados, de mi cuenta d3e email fmaocho, cuenta pública que sacrifico y doy, a todo aquel que la pida, reservando a el resto de mis emails para cosas mas específicas y en las que no suelo recibir SPAM
    – Ya,m poco h se ha reducido el gflujo de los comentarios SPAM em el blog, magistralmente limpiados por AKISMET y que en el dia de hoy se elevan a la cantidad de 152.745

    – Considero por yanto que la GDPR ha racasado en su primer objetivo, librarnos del SPAM y de que nuestros datos privados circulen libremente por la red

    Por último, percibo un aumento de molestias en pantallas de todo tipo que me piden mi consentimiento para no se sabe usos privados, con lo cual estoy como ayer, pero con mas cliks unos por las cokies y otros por la ley de protección de datos, Como sigan protegiéndome, me van a hundir en la miseria.

    • Jesus María Pérez Serna - 26 septiembre 2018 - 20:31

      Gorki: puedes denunciar fácil y gratis en la web de la Agencia agpd.es
      No tienes que demostrar que no has dado consentimiento, es la otra parte quien debe demostrar que sí.

  • #008
    Javier - 26 septiembre 2018 - 13:07

    Adhiero al comentario de #001.

    Por otra parte: «…no un martirio constante de mensajes comerciales no deseados…»

    ¿En serio? Todas las grandes empresas que adminstran el web mail (…y sospecho que las pequeñas también…) tienen protocolos bien claros de ofuscación del SPAM.

    Desde que Gmail implementó la pestaña «Promociones» las personas dejaron de lidiar con el SPAM molesto. Sé que sabes que las principales empresas se encargaron de ese problema hace tiempo. ¿Lo solucionaron?

    Ciertamente no al 100%, pero resulta que ese ¿25%? ¿4%? ¿10%? ¿1%? son acciones genuinas no invasivas y permitidas (o toleradas) por nosotros los usuarios. Y que la GPDR no vino a solucionar nada. Es otro acto maniqueo de decir «somos los que hacemos las leyes y ahora se va a hacer así» (…claro que sí campeón… claaaaro que sí…)

    Ahora sigue que se implemente la política de exigir a los fabricantes de puertas que no permitan que quede un espacio entre el suelo y el piso para que no nos cuelen un folleto por debajo. Y después, la ley que obliga a los fabricantes de folletos a hacerlos más altos así no los pueden pasar. Y después….

    En mi barrio lo llamaríamos «problemas del primer mundo».

    • Michel Henric-Coll - 28 septiembre 2018 - 20:04

      Me encanta tu último párrafo. Es irónico, pero un buen reflejo de la manía de legislarlo todo.

  • #010
    xaquin - 26 septiembre 2018 - 19:59

    No me meto a debates de fondo. Solo decir que desde hace un tiempo tengo que dejar de leer las páginas que abrí por culpa de la propaganda (que además cuesta un mundo que desaparezca) y la manía de pedir permiso para todo.

    Siempre gusta sentir el aire de la libertad, haciendo que se vaya al carajo el periódico o la página cochambrosa (publicitariamente) que tengo abierta.
    Ya queda poco y hay que mimarlo.

    • Javier - 26 septiembre 2018 - 21:04
  • #012
    Juan Carlos - 27 septiembre 2018 - 20:24

    Como bien comentas todo parece haber sido en vano. Reunión, acuerdos y demás que solo han servido para la noticia en prensa escrita, digital, radio TV..
    Os dejo un enlace que habla precisamente de lo que comenta Enrique.
    Un saludo.
    Juan Carlos
    http://cso.computerworld.es/alertas/el-60-de-las-empresas-europeas-vende-datos-de-sus-clientes-a-otras-companias?xtor=EREC-5.
    P.D.- Ya he tenido que enviar a ciertas de empresas de renombre, un correo diciéndoles que me borren de sus base de datos por haber incumplido precisamente la norma al no solicitarme autorización para recibir e-mail marketing, promociones y demás.

  • #013
    Michel Henric-Coll - 28 septiembre 2018 - 20:13

    Me encanta abrir una y otra web y descubrir el estupendo mensaje de bienvenida: «Tu privacidad es importante para nosotros».

    Me río tanto como con el Club de la Comedia.

  • #014
    Jose Pulido - 30 septiembre 2018 - 20:09

    Datos reales de los servidores que gestiono: el SPAM no ha bajado nada, pero sí el número de emails recibidos que no son SPAM, pero que ya nadie quiere….¿ha surtido efecto? En un 5% o menos…A todos los efectos, no se nota nada.
    A ver que pasa dentro de otros 4 meses.

Dejar un Comentario

Los comentarios están cerrados