El efecto GDPR sobre nuestras bases de datos

O la historia de cómo algunos agoreros recomiendan SPAMEAR todo su fichero de emails para cumplir con la protección de datos.

Ya lo dice el refrán .“A río revuelto, ganancia de consultores”. A raíz de la aplicación del nuevo RGPD el próximo 25 de mayo, algunos “expertos” han descubierto al resto de mortales lo que ya era obligado bajo la LSSI: que sólo podemos enviar correos electrónicos a la gente de la que tenemos consentimiento expreso, o bien un interés legítimo o vital demostrable (Por ejemplo, un contrato o relación comercial). Este consentimiento, ahora y en el futuro, es tu obligación recogerlo bajo los estándares requeridos por la normativa y tenerlo correctamente documentado.

Sin ese consentimiento ya no puedes enviar a día de hoy un correo pidiendo a alguien su consentimiento o informándole tácitamente: eso nunca ha estado permitido. Sencillamente estás cometiendo una ilegalidad.  En caso contrario, si ya tenías consentimiento y ahora lo pides de nuevo para mantenerlo en tu fichero, estás suicidando tu principal activo publicitario, tu base de datos. En el mejor de los casos sólo un 2% responderá positivamente y estás dejando por escrito que borrarás los registros si no tienes esa reconfirmación, con lo que te obligas legalmente.

Pues bien. Calculo que en estas circunstancias se encuentra el 80% de los centenares de correos que estamos recibiendo estas semanas. En su mayoría molestos, no relevantes e innecesarios; las principales características de lo que, en mi opinión, es SPAM. Una locura.  Por un mal asesoramiento legal bajo el «efecto miedo», o simplemente por no pararse a pensar cuándo tu jefe te viene y te dice «vamos a ser los únicos que no molestemos a nuestros clientes con nuestra renovada política de privacidad». Al final, hemos recibido, en nombre de la legalidad, un aluvión de correos ilegales y molestas cartas de suicidio de bases de datos. ¿Cuándo aprenderemos?

El tener datos personales acarrea deberes frente a los derechos de los titulares de esos datos. Este punto es en realidad transversal y crucial por varias razones. Primero porque necesitamos generar confianza en nuestros usuarios, mediante la gestión correcta y transparente de sus datos, luego además por el deber de cumplimiento de la ley y no arriesgarnos a recibir las importantes multas que el nuevo reglamento impone.

Si. La posesión de información personal nos obliga frente a las administraciones, pero sobre todo frente los titulares de dichos datos, que suelen ser nuestros clientes -los que nos dan de comer, vamos-. Esto nos debiera preocupar más que cualquier multa. Lo que no podemos hacer es molestarlos o no gestionar de un modo transparente sus datos.

El nuevo Reglamento Europeo de Protección de Datos (RGPD) establece varias obligaciones. Una principal es el deber de proactividad. A las empresas se les transfiere deberes de diligencia y de no realizar acciones “subrepticias” en relación al uso de datos personales. Bajo el nuevo RGPD, son pocas las practicas que se regulan en gran detalle. Los reguladores, de una manera consciente, desean poner coto a aquellas empresas que se aprovechaban de los huecos que dejaba la ley o que por no estar representadas en territorio comunitario se escapaban a su jurisdicción.  Ello para mi significa ser honesto y no cometer practicas que como consumidor no te parecen razonables.

Gerardo Raído
Chief Digital Officer