Site icon Sophos News

Multan a un rastreador Covid-19 por utilizar los datos de contacto con fines de marketing

La Oficina del Comisionado de Información (ICO, el regulador de protección de datos del Reino Unido) acaba de emitir una multa por “enviar spam sin consentimiento”.

Eso no suena muy de interés periodístico por sí solo, pero lo interesante de esta historia son las circunstancias en las que se recopilaron las direcciones de correo electrónico.

La empresa en cuestión, se llama Tested.me y, según la ICO, se formó a mediados de 2020 para ayudar a las empresas del Reino Unido a cumplir con las reglas de seguimiento y rastreo de coronavirus impuestas por el gobierno.

Desafortunadamente para Tested.me, también pidieron consentimiento para usar los datos de contacto para fines distintos al seguimiento del coronavirus, pero la forma en que lo hicieron no fue considerada apropiada por la ICO.

La compañía recibió una multa de  8.000 £ (un poco más de 9.200 €), que debe pagar antes del 8/6/21.

Curiosamente, la ICO ofrece un “descuento por pago anticipado” de 1.600 £ si la multa se paga antes de la fecha límite final, aunque “temprano” en este caso significa antes del  día anterior, es decir, 7/6/21.

Sospechamos que la razón principal para ofrecer este descuento no es, de hecho, para cobrar el dinero más rápidamente, sino porque cualquiera que aproveche el “pago anticipado” no puede apelar contra la sentencia.

Modesta a primera vista

En este momento, podrías estar pensando que una multa de 8.000 £ suena bastante leve, dado que el delito se relaciona con la recopilación de datos de emergencia que las personas casi con certeza no habrían dado a conocer en circunstancias normales.

Probablemente hayas asumido, o al menos esperado, cuando entregaste datos durante la pandemia “por el bien de todos”, que la empresa que los recopila los trataría con más atención que la habitual.

Por lo tanto, cualquier uso indebido de los datos antipandémicos con fines de marketing parece un golpe bajo cuando te enteras por primera vez.

Sin embargo, resulta que, si bien Tested.me pudo haber sido descuidado a los ojos de la ICO, la compañía no abusó descaradamente de las direcciones de correo electrónico que recopiló.

Según la ICO, todos los que recibieron correos electrónicos de marketing de la empresa, de hecho, eligieron marcar una casilla en el formulario web de seguimiento y rastreo que decía: “Marque aquí si está de acuerdo que este lugar, la alianza [sic] y testing.me le envíen materiales de marketing en el futuro”.

Eliminado después de 21 días

La ICO señaló que inmediatamente debajo de la casilla de verificación de consentimiento mencionada anteriormente había un texto que decía: “Para cumplir con las directrices del gobierno durante la pandemia de Covid-19, estamos recopilando su nombre y datos de contacto. Los almacenaremos durante 21 días antes de eliminarlos de acuerdo con las regulaciones de la GDPR. Sus datos no se compartirán con ninguna otra empresa u organización”.

Al leer esta parte del Aviso de Penalización, asumimos que el Comisionado no estaba de acuerdo con Tested.me por lo que consideramos una ambigüedad obvia en la redacción anterior.

Esto se debe a que la promesa de que los datos se “almacenarían solo durante 21 días” parece aplicarse a todos y cada uno de los usos de los datos y, por lo tanto, cualquier consentimiento de marketing se evaporaría implícitamente después de esos 21 días.

Después de todo, si la empresa ya no tiene tus datos de contacto, ya no tiene nada a lo que pueda conectar su casilla de verificación “Acepto”, por lo que no podría comercializarle aunque quisiera.

Sin embargo, parece que las preocupaciones de la ICO tenían más matices, es decir, que el consentimiento en sí era demasiado amplio.

Entre otras cosas, la ICO:

En una ironía divertida, parece que Tested.me logró enviar spam a algunas personas por segunda vez, incluso después de haber optado por no recibir el primer correo electrónico de la empresa.

Al parecer, Tested.me hizo algo bien: cuando los usuarios optaron por no participar, la compañía realmente eliminó todos sus datos, en lugar de simplemente marcarlos como miembros inactivos de una lista de correo.

La mayoría de las empresas de marketing de renombre, facilitan la cancelación de la suscripción a los envíos por correo, pero muchas de ellas lo mantienen en su lista a partir de entonces, lo que requiere que usted use por separado las reglas del “derecho al olvido” para salir de su lista por completo.

Aquellas personas a las que Tested.me les envió spam por segunda vez habían optado por hacerlo de nuevo cuando más tarde visitaron otro lugar utilizando el servicio de la empresa, y la empresa no tenía forma de comprobar si, de hecho, habían optado por no participar antes.

Entonces, a pesar de todo lo que la ICO criticó a Tested.me por incumplimiento, la multa aparentemente modesta de 8.000 £ refleja que la ICO aceptó que la compañía no se propuso romper las reglas.

Además, la ICO señala que Tested.me no tenía un historial previo de violar las reglas de GDPR y dejó de enviar correos electrónicos de marketing por completo tan pronto como la ICO lo contactó para expresar su preocupación.

¿Qué hacer?

Exit mobile version