A estas alturas suponemos que ya estás familiarizado con el término GDPR. Si no es así, vale la pena recordar que se trata del nuevo conjunto de reglas impulsado por la Unión Europea, que viene a renovar las leyes de protección de datos. Este nuevo reglamento entrará en vigor el próximo 25 de mayo.

Precisamente por ello muchos servicios están avisando a los usuarios del cambio en la normativa, lo que conlleva en la mayoría de casos aceptar nuevos términos de uso y condiciones. Por otro lado, lo que muchos otros están recibiendo son correos de campañas de marketing; pidiendo a los usuarios permiso para seguir enviándoles emails. Y en la mayoría de casos no sería necesario pedirlo.

El GDPR tiene parte de culpa

europa-gdpr

El gran pánico a las sanciones económicas que establece el GDPR (desde multas de hasta 20 millones de euros, a un 4% de la facturación anual) está generando estas oleadas de correos. Las empresas están intentando poner todos sus sistemas en orden para esquivarlas; migrar datos a otros países o bloquear a usuarios europeos son algunas de las medidas que están tomando algunas.

Es lógico, dado que a partir de la entrada en vigor del nuevo reglamento se necesitará el consentimiento explícito de los usuarios para recabar sus datos. Además, dicho consentimiento debe ser inequívoco, claro y distinguible de otros asuntos.

Esto nos da una una posible razón de por qué está pasando esto: existe una conciencia mayor sobre el hecho de que el envío de correos electrónicos de marketing requiere el consentimiento del destinatario o una relación comercial ya existente con el cliente en cuestión.

El GDPR ha sido el principal amplificador de esa conciencia, pero no es la única legislación que opera sobre las relaciones electrónicas vendedor – cliente.

PECR, el segundo ingrediente de la ecuación

suscripciones_email

El PECR (Privacy and Electronic Communications Regulations) es el reglamento que opera en los correos de marketing. De hecho, esta legislación recoge todo lo que tiene que ver con la publicidad; desde los ya nombrados emails, a los mensajes de texto publicitarios.

Aquí viene donde el asunto entra en un terreno farragoso. No es que el GDPR venga a sustituir al PECR exactamente, sino que por ahora lo completará. Por otro lado, los legisladores europeos están pensando en nuevos conjuntos de normas sobre la privacidad que lo reemplazarán. Es un poco confuso.

En cualquier caso, la existencia de esta ley significa que, en una gran mayoría de casos, pedir a los usuarios confirmación para que las empresas les sigan enviando emails de marketing no es necesario. Los usuarios ya dieron consintieron en recibir esta información; de lo contrario se entraría en una violación del PECR.

Ha sido necesario ampliar el concepto de consentimiento

consentimiento-gdpr

Definir el consentimiento en la situación actual es un problema bastante farragoso. Con la llegada del GDPR se ha tenido que ampliar el concepto, con lo que ahora hay que añadir a su definición los siguientes puntos:

• El consentimiento se debe otorgar libremente, lo que significa que el usuario elige y controla cómo se usan sus datos.
• El consentimiento debe ser obvio y requiere una acción positiva para participar. Las solicitudes de consentimiento deben ser destacadas, desagregadas de otros términos y condiciones, concisas y fáciles de entender, y fáciles de usar.
• El consentimiento debe cubrir el nombre del controlador de datos, los propósitos del procesado de datos y los tipos de actividades de procesado de datos.
• El consentimiento explícito debe expresarse de palabra.
• No hay un tiempo límite con respecto a la validez del consentimiento, su duración depende del contexto.

En otras palabras: el consentimiento no sólo debe ser inequívoco, sino que debe incluir a alguien que otorgue su permiso activamente. Por ejemplo, un formulario web que cumpla con el GDPR no tendrá cajas premarcadas; el usuario tendrá que marcarlas en todo momento.

Sin diferencias legales, con implicaciones de seguridad

privacidad-candados-datos

A nivel estrictamente legal, los usuarios no van a notar mucha diferencia. A quienes sí afecta más que las leyes se solapen es a las empresas, que verán cómo pierden suscriptores a sus listas de correo. Es lógico, ya que todos tendemos a ignorar emails que nos llegan con tono publicitario.

Ahora bien, a nivel de seguridad sí te afecta. Que haya cambios en las regulaciones y que se esté generando tanta paranoia, también está provocando que los ciberdelincuentes se aprovechen de ello. Por ejemplo, la empresa de seguridad Redscan descubrió correos de phishing que intentaban pasar como emails relacionados con el GPDR.

En uno de ellos los delincuentes se intentaban hacer pasar por Aribnb, diciendo que sus clientes debían hacer clic en un enlace específico para actualizar sus ajustes de privacidad. Cuando lo hacían, iban a parar a una versión falsa de la web de Airbnb donde se robaban sus datos.

Todavía hay muchas cosas que aclarar

union europea

Si hay algo que se pueda extraer de todo el asunto del GDPR es que muchas empresas parecen no tenerlo claro todavía. Como decíamos antes muchos intentan ponerse al día, con enormes prisas por miedo a las sanciones de la nueva regulación. Para colmo de males, saber que existe otra ley que se solapa con la más reciente lo complica todo más aún.

El problema estriba sobre todo en saber cuándo se aplican uno y otro. Es una frontera muy difusa que convendría definir, especialmente antes de que aparezcan las supuestas nuevas reglas que los legisladores europeos están diseñando.

Quizá la labor de la UE para informar al respecto no debería limitarse a un portal lleno de términos legales. Quizá tendrían que aprender un poco más de organismos nacionales como la Information Comissioner’s Office (ICO) británica, que ha intentado poner el texto de la ley en un lenguaje más fácilmente comprensible.

Queda poco hasta el 25 de mayo, pero quedan todavía muchas cosas por aclarar. Más vale que las autoridades pertinentes hagan algo cuanto antes.