Permitimos a un montón de empresas conocer todos nuestros datos personales; pero es muy distinto que estos datos estén a salvo y se analicen internamente a que se vendan. La venta de datos, en casi todos los casos, ha sido siempre ilegal, antes y ahora. Pero el RGPD es mucho más riguroso y estricto a la hora de describir el tratamiento de los datos que es correcto, y más duro multando en caso de violación del reglamento.
A causa de esto, considerar las represalias probables y a su vez no ser capaz de adaptar la empresa al reglamento (o no querer), estamos viendo una ola de abandonos y cierres casi tan grande como la de correos avisando sobre las actualizaciones de política de privacidad. El RGPG está matando el negocio de los datos rápidamente.
Klout y los otros
¿Qué era exactamente Klout? Puede que no todo el mundo tuviera exactamente claro cómo funcionaba, cómo medía las cosas o ni tan siquiera si servía para algo. Pero el sistema tuvo su momento de gloria a principios de la década, y ha sido uno de los primeros en caer a manos del RGPD.
Realmente Klout llegó a alcanzar una gran importancia en el mundo de los comunity managers, relaciones públicas, influencers y demás personal relacionado con el marketing y ventas. Se basaba en una especie de puntaje en ranking para saber quién era importante en las redes sociales. Una suerte de medidor de reputación basado en nuestra presencia y popularidad en diferentes medios. En este punto quizá te recuerde un poco a Favstar; sí, era un poco similar, pero con varias redes a la vez. Al enlazar varios perfiles distintos, podíamos obtener un indicador mucho más preciso de nuestra actividad general, obteniendo un promedio de nuestra influencia.
Cuatro años después de ser adquirido por Lithium Technologies por la cantidad de 200 millones de dólares, teniendo la intención de sacar el servicio a bolsa, cosa que finalmente no sucedió, la empresa anunció su cierre. Curiosamente, paralelamente a la incorporación del Reglamento General de Protección de Datos.
“Aunque según la información oficial el cierre no se debe al RGPD, los nuevos requisitos de consentimiento e información que establece la ley hacen que un modelo de negocio como Klout sea complicado de adaptar”, afirma para Xataka Samuel Parra, Head of Privacy and Data Protection en 451.legal.
“No lo ocultaban, si miramos sus políticas de privacidad ya te informaban de que recaban un montón de datos sobre los usuarios (registrados en Klout o no), y que comerciarían con esos datos: 'Lithium utiliza tu información personal para sus propios intereses legítimos y los de sus socios comerciales [...]'. Esta situación con el RGPD es insostenible y habrán preferido cerrar y guardarse todos los datos obtenidos hasta ahora (que no habrían podido recabar con el RGPD en vigor) antes que verse forzados a suprimir información o la imposición de alguna sanción”.
Tras Klout hay una avalancha de sitios que están cerrando sus puertas, o bien bloqueando el tráfico de los países de la Unión Europea para no tener que cumplir con el RGPD. Es difícil demostrar si todo se debe a una coincidencia, al miedo, o a que efectivamente violaban la normativa de alguna forma. Lo que sí resulta es, cuanto menos, sospechoso.
“Todos aquellos negocios cuya base o modelo de negocio sea la del tratamiento de datos personales sin el consentimiento del usuario o mediante un consentimiento viciado por falta de información pueden tener problemas”, comenta el letrado.
“Además de estos, los negocios de carácter internacional que hasta ahora operaban con datos personales de ciudadanos europeos pero estaban al margen de la ley por no alcanzarles el ámbito de aplicación, ahora se han encontrado con un Reglamento Europeo que deben respetar, además de 28 legislaciones nacionales con sus particularidades. Este último punto, el del ámbito territorial, es con toda seguridad el que más problemas debe estar dando a empresas ubicadas en el extranjero. Por eso ya existen plugins o iniciativas de empresas en USA que están bloqueando el tráfico desde Europa”.
Uno de esto negocios que dan silenciosamente el cierre es Streetlend. Hablamos con Christian Beach, su creador: "Era un sitio web que ayudaba a vecinos y amigos a prestar elementos entre ellos. Escaleras, taladros, etc. Llegamos a tener cientos de artículos, principalmente en Londres. Se realizaron muchas transacciones sin fricción y sin cargo para el prestamista o el prestatario en nuestros 5 años de operación”.
Christian cree que el Reglamento General de Protección de Datos genera una incertidumbre y riesgo que no puede justificar tomar. “El RGPD amenaza a los propietarios de sitios web con multas del 4% de la facturación o 20 millones de euros (el que sea mayor), si no pasan por una serie de aros definidos ambiguamente. La ley, combinada con firmas legales parásitas sin ánimo de lucro, pone a los propietarios de sitios web en riesgo de denuncias vengativas. Los sitios web y las organizaciones sin ánimo de lucro jóvenes no pueden pagar los equipos legales. Por lo tanto, el riesgo planteado por el GDPR es inaceptablemente alto”, afirma. De hecho, este empresario tiene una interpretación muy particular respecto a la intención de la ley:
"Perversamente, esta nueva ley perjudica especialmente a las startups pequeñas y éticas, y ayuda a reforzar el dominio de las grandes corporaciones, porque estas pueden prepararse y defenderse usando equipos legales establecidos y reservas de efectivo".
Otro negocio que da el cierre es Tunngle, y conviene apuntar que no era precisamente pequeño. El programa ofrecía IPv4 virtuales y se trataba de permitir a los usuarios unirse entre ellos, por ejemplo para jugar a un juego de ordenador en modo multijugador LAN, como si se tratase de una LAN party. Tenían 10 millones de clientes. Los creadores se han despedido con un escueto comunicado, el cual simplemente te repiten si los contactas para saber más:
“El servicio se cerró el debido a los requisitos pendientes con el nuevo Reglamento General Europeo de Protección de Datos. Hicimos nuestro mejor esfuerzo para evitarlo, pero actualmente no tenemos los recursos ni las inversiones necesarias para implementar los cambios requeridos por la ley”.
Sin embargo, el abogado consultado nos ha recordado que la norma no entró en vigor ayer precisamente. "Lo hizo hace 2 años, por lo que la excusa de 'no he tenido tiempo para prepararme' no vale; precisamente para que todo el mundo tuviera tiempo para prepararse se han dejado 2 años de plazo". Y continúa:
"Además, considero que el RGPD tiene en cuenta la diferencia entre un pequeño negocio y una multinacional, y por eso establecen diferencias a la hora de cumplir ciertos requisitos. El RGPD hará más daño a las grandes empresas que a las pequeñas porque cumplirlo en una gran empresa es infinitamente más complicado que en un pequeño negocio. Un pequeño negocio (nacional o europeo), que cierre porque no puede cumplir con el RGPD significa que tampoco estaba cumpliendo con la normativa de protección de datos anterior (la Directiva del año 1995 o en el caso concreto de España la LOPD de 1999), porque para un negocio que haya estado al día con la LOPD actualizarse al RGPD es perfectamente factible y relativamente rápido. Quizá el problema sea que nunca se han preocupado de la normativa de protección de datos hasta esta semana que se ha escuchado tanto sobre el RGPD y ahora ven que tienen que hacer un montón de cosas en 4 días".
Adiós UE, no nos compensas
También hemos hablado con negocios que simplemente han decidido dejar de operar en la Unión porque no les compensa adaptarse. Es el caso de Brent Ozar Unlimited, una academia que impartía clases en línea y en vivo para aprender sobre servidores SQL. “Soy un gran admirador de la ley. Las empresas que usan tus datos personales sin obtener su consentimiento personal deberían cerrar. Yo he decidido dejar de operar porque somos una empresa pequeña que depende de otros que no puedo estar seguro de si la cumplirán, no porque no apoye la ley”, afirma Brent Ozar, el director del site.
“Verás, necesitamos muchos socios y servicios externos para realizar nuestra transmisión en vivo, de los cuales no tenemos control pero a su vez dependemos. Tampoco tenemos un alto nivel de confianza en que todos esos socios externos puedan cumplir con el GDPR a tiempo. Dado nuestro bajo nivel de ingresos de ventas a la UE (solo alrededor del 5% de nuestros ingresos), simplemente no valía la pena el riesgo. Si nuestros abogados terminaban por tener que participar en un caso internacional por posible incumplimiento del RGPD, eso nos habría llevado a la bancarrota. Tampoco descarto volver a operar en Europa, las únicas cosas que nos frenan son los precedentes judiciales establecidos, y la madurez de las soluciones frente a los socios externos. Esos serán arreglados en el próximo año o dos, y luego volveremos al mercado de la UE. Simplemente no tenía sentido ser uno de los primeros casos en la corte”.
Las chapuzas que ha dejado el RGPD
Tanto si vendían datos como si no, como dice el letrado, hay una gran cantidad de gente que parece haberlo dejado todo para el último momento, y las soluciones que han implantado para ganar tiempo son cuanto menos llamativas.
Por ejemplo, una app para controlar bombillas remotamente, llamada Yeelight, ha protagonizado amplias quejas; en este caso en la tienda de Google Play. En vez de modificar el uso de la aplicación o su política de privacidad, directamente han eliminado todas las funciones para la UE de la noche a la mañana. Los usuarios están furiosos, pero ellos se disculpan comunicando: "Estamos llevando a cabo una actualización de software y, como resultado, se han suspendido ciertas características de nuestros productos en Europa. La actualización se completará en aproximadamente una semana. Nos disculpamos por cualquier inconveniente hasta entonces".
Técnicamente hablando, repetimos, han tenido dos años para adaptarse. Habrá que tener fe en que efectivamente regresen en una semana. No han querido comentar nada más.
También muchos portales de prensa americanos se han dejado llevar por la fiebre. "Lo cierto es que una aplicación estricta de la normativa coloca a algunos medios de comunicación en una situación delicada si hacían segmentación de la publicidad, uso de ciertas cookies u otros sistemas de seguimiento del usuario", confirma Samuel.
Los Angeles Times muestra ahora un aviso si accedes al portal desde la Unión:
"Lamentablemente, nuestro sitio web no está disponible actualmente en la mayoría de los países europeos. Estamos comprometidos con el tema, y nos comprometemos a buscar opciones que respalden nuestra gama completa de ofertas digitales para el mercado de la UE".
Daily News, Chicago Tribune, entre otros, dan mensajes similares. USA Today, por su parte, decidió publicar una versión separada de su sitio web solo para usuarios de la UE, que tiene eliminados todos los scripts de seguimiento. El sitio ha pasado de requerir 5.2MB de carga a solo 500KB, despertando la "envidia", por no decir la furia, de los no europeos. Fuera de los medios, por poner un ejemplo, Instapaper, el servicio para guardar contenido para leer después, tampoco funciona desde Europa, supuestamente, temporalmente, aunque no han comunicado fecha de regreso.
Las soluciones que están desarrollando los diferentes negocios es bastante variada, pero está claro que el reglamento ha tenido efectos masivos en los negocios que implicaban datos de una u otra forma para sobrevivir. También se deduce, de los casos expuestos, que muchos parecen haber dejado todo para el ultimo minuto. A grandes males, ingeniosos remedios. Ya veremos qué depara la nueva realidad.
Imagenes: Pixabay | rawpixel | Tunngle oficial website | Tirza van Dijk
Ver 15 comentarios