Caos, confusión, preocupación, dudas y prisas de última hora porque a las empresas les ha pillado el toro. Y eso que han tenido tiempo de sobra. Dos años después de la puesta en marcha del Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés), la sensación entre los usuarios es que están recibiendo numerosos y demasiados correos electrónicos de empresas y servicios, algunos de los cuales no se tenía constancia de haber tenido siquiera una relación. ¿De dónde han sacado mi dirección?
La razón, a partir del viernes 25 de mayo las normativas europeas de privacidad serán de obligado cumplimiento. Y, por el momento, se están recibiendo mails por encima de las posibilidades que, en su mayoría, funcionan a título informativo. Es decir, la inmensa mayoría de los correos electrónicos que inundan las bandejas de entrada en Europa de las compañías que piden consentimiento para mantener a los destinatarios en su lista de correo son innecesarios y algunos pueden considerarse incluso ilegales, en el sentido estricto de que no cumplen con las exigencias.
Una de las principales novedades del RGPD es que las empresas que traten datos personales deben recabar el consentimiento expreso y no tácito de los usuarios. En su mayoría, el canal para hacerlo posible es el gestor de correo electrónico al que se haya asociado o vinculado un determinado servicio o, incluso, una newsletter. Y, en efecto, en la inmensa mayoría las empresas piden que se confirme la comunicación. Pero en otras comunicaciones no. En cualquier caso, muchos de ellos están siendo prescindibles, lo que deja intuir que las empresas tienen un cacao mental de cuidado. Ante el temor de ser sancionadas, muchas empresas han optado por solicitar pedir a los usuarios que renueven su consentimiento para mantener las comunicaciones comerciales y el procesamiento de datos personales.
«En muchos casos son innecesarios. Si se contaba con un consentimiento adecuado, no hace falta volver a pedirlo. Lo que está permitiendo saber tanto mail es el gran número de entidades que cuentan con esta información pese a no haber tenido relación alguna con ellos», asegura a este diario Sergio Carrasco, experto en derecho digital de Fase Consulting. En su opinión, la razón por la que los estamos recibiendo demasiados correos electrónicos recientemente se debe, en muchos casos, «por un análisis incorrecto de las necesidades existentes durante la adaptación al Reglamento» a lo que hay que sumar «las prisas de última hora. Incluso habiendo una clara base contractual acaban mandando mails, lo que lo hace incluso más incómodo».
El artículo 171 del RGPD lo deja claro: «cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación». De tal forma que ese consentimiento se traslada al nuevo marco legal. «Si la empresa ya obtuvo el consentimiento de su cliente o usuario respetando las normativas que había en su momento y la forma de obtener ese consentimiento se ajusta a las condiciones del RGPD, no tiene que recabar el consentimiento. Los que ya tienen en su base de datos no hace falta», explica Samuel Parra, jurista experto en derecho digital, quien cree que pese a que muchos de ellos «no tendrían que informarte de nada, por transparencia lo hacen», ya que «si han conseguido tus datos de manera legal y con consentimiento no tienen que hacer nada».
«Como la normativa española establece un consentimiento tácito, si se había recabado de esta manera, sí tienen que recabar el consentimiento expreso», insiste. De ahí que el reguero de correos informativos y que buscan el consentimiento se prolongue, apuntan los expertos. «Va a haber una avalancha a en las próximas semanas», máxime a que el RGPD establece que a partir del viernes las empresas se exponen a multas de 20 millones de euros o un 4% de la facturación anual.
Más de diez páginas de correcciones a última hora
Este experto confirma que existe una «confusión muy grande en las empresas» para el cumplimiento de las normas de privacidad. Por extraño que parezca, el RGPD ha introducido a última hora, a falta de días para que sea de obligado cumplimiento, una serie de correcciones y modificaciones que, solo en el boletín oficial, ocupan unas 13 páginas. Una situación que ha motivado, además, a elevar esta confusión entre las empresas.
«Lo que ha pasado es que el reglamento no es claro en muchas cosas, utiliza conceptos abstractos e indefinidos, y sumando que a dos semanas nadie ha hecho nada y se ha hecho deprisa y corriendo, se han intentado buscar soluciones», aduce. Una de esas modificaciones a última hora viene por el ámbito de aplicación. La redacción del texto ha pasado de aplicarse al ciudadano «residente» a personas que se «encuentren» en Europa.
Un matiz importante, dado que la residencia es un concepto jurídico fácil de acreditar con un documento oficial emitido por la Administración. Pero, ¿qué pasa con un turista japonés de visita a Europa? Un hecho que ha provocado que empresas estadounidenses hayan incorporado mecanismos o plugins para bloquear todo el tráfico procedente de Europa de cara a que no se vea afectada por las normativas comunitarias.