La Oficina del Comisionado de Información (ICO, el regulador de protección de datos del Reino Unido) acaba de emitir una multa por “enviar spam sin consentimiento”.
Eso no suena muy de interés periodístico por sí solo, pero lo interesante de esta historia son las circunstancias en las que se recopilaron las direcciones de correo electrónico.
La empresa en cuestión, se llama Tested.me y, según la ICO, se formó a mediados de 2020 para ayudar a las empresas del Reino Unido a cumplir con las reglas de seguimiento y rastreo de coronavirus impuestas por el gobierno.
Desafortunadamente para Tested.me, también pidieron consentimiento para usar los datos de contacto para fines distintos al seguimiento del coronavirus, pero la forma en que lo hicieron no fue considerada apropiada por la ICO.
La compañía recibió una multa de 8.000 £ (un poco más de 9.200 €), que debe pagar antes del 8/6/21.
Curiosamente, la ICO ofrece un “descuento por pago anticipado” de 1.600 £ si la multa se paga antes de la fecha límite final, aunque “temprano” en este caso significa antes del día anterior, es decir, 7/6/21.
Sospechamos que la razón principal para ofrecer este descuento no es, de hecho, para cobrar el dinero más rápidamente, sino porque cualquiera que aproveche el “pago anticipado” no puede apelar contra la sentencia.
Modesta a primera vista
En este momento, podrías estar pensando que una multa de 8.000 £ suena bastante leve, dado que el delito se relaciona con la recopilación de datos de emergencia que las personas casi con certeza no habrían dado a conocer en circunstancias normales.
Probablemente hayas asumido, o al menos esperado, cuando entregaste datos durante la pandemia “por el bien de todos”, que la empresa que los recopila los trataría con más atención que la habitual.
Por lo tanto, cualquier uso indebido de los datos antipandémicos con fines de marketing parece un golpe bajo cuando te enteras por primera vez.
Sin embargo, resulta que, si bien Tested.me pudo haber sido descuidado a los ojos de la ICO, la compañía no abusó descaradamente de las direcciones de correo electrónico que recopiló.
Según la ICO, todos los que recibieron correos electrónicos de marketing de la empresa, de hecho, eligieron marcar una casilla en el formulario web de seguimiento y rastreo que decía: “Marque aquí si está de acuerdo que este lugar, la alianza [sic] y testing.me le envíen materiales de marketing en el futuro”.
Eliminado después de 21 días
La ICO señaló que inmediatamente debajo de la casilla de verificación de consentimiento mencionada anteriormente había un texto que decía: “Para cumplir con las directrices del gobierno durante la pandemia de Covid-19, estamos recopilando su nombre y datos de contacto. Los almacenaremos durante 21 días antes de eliminarlos de acuerdo con las regulaciones de la GDPR. Sus datos no se compartirán con ninguna otra empresa u organización”.
Al leer esta parte del Aviso de Penalización, asumimos que el Comisionado no estaba de acuerdo con Tested.me por lo que consideramos una ambigüedad obvia en la redacción anterior.
Esto se debe a que la promesa de que los datos se “almacenarían solo durante 21 días” parece aplicarse a todos y cada uno de los usos de los datos y, por lo tanto, cualquier consentimiento de marketing se evaporaría implícitamente después de esos 21 días.
Después de todo, si la empresa ya no tiene tus datos de contacto, ya no tiene nada a lo que pueda conectar su casilla de verificación “Acepto”, por lo que no podría comercializarle aunque quisiera.
Sin embargo, parece que las preocupaciones de la ICO tenían más matices, es decir, que el consentimiento en sí era demasiado amplio.
Entre otras cosas, la ICO:
- Tuvo problemas con el uso de Tested.me de la “alianza” indefinida en su redacción de consentimiento, dado que no había forma de averiguar lo amplia que podría ser esa “alianza” y, por lo tanto, cuántas empresas “aliadas” podrían terminar con los datos de contacto.
- Tuvo problemas con el hecho de que el consentimiento no se dividió en categorías separadas, cubriendo individualmente el lugar en sí, la “alianza” mencionada anteriormente y Tested.me.
- Discutió el hecho de que el consentimiento cubría los “materiales de marketing” genéricos, en lugar de solicitar permiso por separado para diferentes métodos de contacto como el teléfono y el correo electrónico.
- Se mostró en desacuerdo con la omisión de un Aviso de privacidad o Política de privacidad general que establece las prácticas generales de la empresa con respecto a la privacidad y el consentimiento.
En una ironía divertida, parece que Tested.me logró enviar spam a algunas personas por segunda vez, incluso después de haber optado por no recibir el primer correo electrónico de la empresa.
Al parecer, Tested.me hizo algo bien: cuando los usuarios optaron por no participar, la compañía realmente eliminó todos sus datos, en lugar de simplemente marcarlos como miembros inactivos de una lista de correo.
La mayoría de las empresas de marketing de renombre, facilitan la cancelación de la suscripción a los envíos por correo, pero muchas de ellas lo mantienen en su lista a partir de entonces, lo que requiere que usted use por separado las reglas del “derecho al olvido” para salir de su lista por completo.
Aquellas personas a las que Tested.me les envió spam por segunda vez habían optado por hacerlo de nuevo cuando más tarde visitaron otro lugar utilizando el servicio de la empresa, y la empresa no tenía forma de comprobar si, de hecho, habían optado por no participar antes.
Entonces, a pesar de todo lo que la ICO criticó a Tested.me por incumplimiento, la multa aparentemente modesta de 8.000 £ refleja que la ICO aceptó que la compañía no se propuso romper las reglas.
Además, la ICO señala que Tested.me no tenía un historial previo de violar las reglas de GDPR y dejó de enviar correos electrónicos de marketing por completo tan pronto como la ICO lo contactó para expresar su preocupación.
¿Qué hacer?
- Si eres un usuario, piensa cuánto valen realmente tus datos de contacto. Si el “material de marketing” por el que se le solicita que opte no supera ese umbral, simplemente no te inscribas.
- Si eres una empresa de marketing, decide cuánto vale tu reputación. No presiones a las personas para que se inscriban cuando tengan prisa o cuando estén proporcionando datos por motivos regulatorios en lugar de hacerlo por su propia voluntad. Un “usuario” involuntario que sienta que ha sido engañado para dar su consentimiento puede convertirse en un enemigo enfurecido que no te hará ningún bien.
- Si vives en un país donde se aplica la GDPR o una regulación similar, haz todo lo posible por conocerla. Hacer lo que crees que es “suficiente” para cumplir no es satisfactorio. Necesitas conocer y cumplir las reglas como son en realidad, no como desearías que fueran.
- Haz que sea tan fácil que los usuarios puedan eliminarse de tu base de datos como cuándo se marcan como inactivos. Las personas que se sienten lo suficientemente convencidas como para hacer clic en [Cancelar suscripción] no van a cambiar de opinión repentinamente y dar marcha atrás unas horas más tarde. Y si alguna vez quieren volver a suscribirse, pueden hacerlo fácilmente, ya sea que estén en tu base de datos o no.