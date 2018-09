Ayer se cumplieron cuatro meses desde el 25 de mayo, la fecha en la que entró en vigor el Reglamento General de Protección de Datos (GDPR), y me parece un buen momento para reflexionar sobre el tema y plantearnos si está funcionando o si su diseño es realmente el adecuado para ello.

La llegada de GDPR no pasó desapercibida: presas de lo que parecía un ataque de pánico colectivo, miles de empresas comenzaron a llenar nuestros buzones con correos electrónicos pidiéndonos que confirmásemos que realmente queríamos seguir permaneciendo en sus bases de datos… mensajes que eran en muchos casos en sí mismos violaciones de la GDPR, y bases de datos en las que, en una inmensa mayoría, no teníamos ni la más ligera idea de que estábamos incluidos, porque las habían obtenido mediante metodologías que vulneraban el concepto de consentimiento informado – adquiriéndolas a sombríos proveedores que hacían crawling de páginas web, reutilizando listas antiguas o listados obtenidos de acciones de todo tipo, etc. El resultado fue el que cabía esperar: ante tal avalancha, los usuarios hicimos lo que era lógico hacer: enviar toda esa basura al buzón de spam sin siquiera abrirla, o incluso utilizar muchos de esos correos para darnos inequívocamente de baja de aquellas bases de datos en las que no teníamos el menor interés en estar. Un reflejo lógico de lo que debería ser la web o el correo electrónico: una herramienta de comunicación, no un martirio constante de mensajes comerciales no deseados. Aunque muchos directores de marketing chapados a la antigua sigan frotándose los ojos para intentar entenderlo, el correo electrónico no es un medio para conseguir esos fines de los que depende su retribución variable: es una herramienta cuyos usuarios aspiran a que sea razonablemente útil. En una sociedad que se moviese con un mínimo de lógica, el e-mail marketing no tendría que estar regulado, sino simplemente prohibido, como tendrían que estarlo en el mundo offline prácticas tan molestas y anti-ecológicas como el buzoneo, el reparto de publicidad en la calle o el parabrising.

La segunda consecuencia de GDPR ha sido, claramente, el incremento de denuncias por infracciones en muchos países. En Francia, el CNIL ha recibido 3,767 denuncias desde la entrada en vigor de GDPR, frente a las 2,294 recibidas en el mismo período del año pasado, que había sido ya de por sí un año récord, y tanto el Reino Unido como Irlanda muestran proporciones similares. Es de esperar que un número significativo de esas denuncias se conviertan en sanciones importantes y adecuadamente comunicadas, que hagan abandonar ese tipo de prácticas a las compañías implicadas, o pronto cundirá la idea de que GDPR, a pesar de las importantes sanciones anunciadas, no tiene realmente dientes.

El tercer efecto de GDPR, en cambio, es algo más molesto y no parece especialmente logrado: una gran cantidad de publicaciones en la web han incorporado pop-ups, cintas o notificaciones de algún tipo que obligan a sus usuarios a aceptar unos determinados términos de uso, en muchos casos bajo la amenaza de no poder seguir leyendo. La idea es obtener el consentimiento del usuario para todo, una especie de “licencia para matar” que permita desde compilar unas simples estadísticas de uso de la página o monitorizar la publicidad que recibes, hasta, en algunos casos, aprovechar para incluirte en una base de datos y comercializarla a terceros. Una clara violación del concepto de consentimiento, un elemento clave en GDPR, que según el texto de la ley, debe no solo ser otorgado libremente, sino además, ser específico, informado y no ambiguo.

¿Qué tipo de libertad tiene un usuario cuando, a todos los efectos, lo chantajeas con la amenaza de no dejarle acceder a una información determinada si no consiente determinadas prácticas? ¿De verdad parece razonable que un usuario que estaba activamente buscando determinada información o pretendía acceder a ella se encuentre con un formulario relativamente complejo al que, si quisiese hacer las cosas razonablemente bien, tendría que dedicar un buen rato, examinar las distintas cláusulas, opciones y elementos a los que está otorgando consentimiento, y tomar una decisión informada al respecto? Para cumplir su función, ese pop-up debería ser muy sencillo, muy claro, inequívoco y, además, no condicionar el acceso. Algunos sitios, los menos, lo hacen así, de manera que si no consientes a esas prácticas, simplemente se cierra el pop-up o se hace clic en el botón de “no acepto”, y el usuario puede seguir tranquilamente leyendo. Pero en michos casos, si el usuario no acepta, lo redirigen a otra página o simplemente no le dejan continuar, una práctica que debería ser etiquetada como infractora. No, que tengas una página web no debe convertirse en una forma de exigir un consentimiento, y menos aún si los elementos de ese consentimiento, las prácticas a las que el usuario está supuestamente consintiendo, no están especificadas de manera clara.

Por el momento, ese último elemento, ese mensaje de coacción al inicio de la navegación en muchos sitios está convirtiéndose, en muchos casos, en una molestia permanente, en algo que recuerda a esa absurda advertencia sobre las cookies que no sirve absolutamente para nada más que para molestar. No, esos mensajes no suponen un consentimiento libre ni informado, sino simplemente una perversión inadecuada del espíritu de la ley, un intento de obtener ese supuesto consenso por la vía del chantaje, algo que, si no está suficientemente claro en el articulado de la ley, debería estarlo. Sería grave que un concepto tan central como el del consentimiento fuese considerado ambiguo en un reglamento que acaba de entrar en vigor.

Cuatro meses después de la entrada en vigor de GDPR, mi impresión general es que, en general, sí que está funcionando: tengo la impresión de recibir menos correo basura, de que se presta algo más de atención a las peticiones de eliminación, y que, dejando aparte esa molestia de los formularios en la entrada de muchas páginas web, hemos mejorado. Pero eso no quiere decir que no quede ese aspecto por pulir, al que habrá que prestar atención rápidamente para evitar que se consolide como práctica habitual algo que es, a todas luces, una mala práctica. Si en el futuro terminamos recordando a GDPR como aquel reglamento que llenó la web de mensajes inútiles de este tipo, sería un logro profundamente vano y, sobre todo, profundamente triste.