GDPRAyer se cumplieron cuatro meses desde el 25 de mayo, la fecha en la que entró en vigor el Reglamento General de Protección de Datos (GDPR), y me parece un buen momento para reflexionar sobre el tema y plantearnos si está funcionando o si su diseño es realmente el adecuado para ello.

La llegada de GDPR no pasó desapercibida: presas de lo que parecía un ataque de pánico colectivo, miles de empresas comenzaron a llenar nuestros buzones con correos electrónicos pidiéndonos que confirmásemos que realmente queríamos seguir permaneciendo en sus bases de datos… mensajes que eran en muchos casos en sí mismos violaciones de la GDPR, y bases de datos en las que, en una inmensa mayoría, no teníamos ni la más ligera idea de que estábamos incluidos, porque las habían obtenido mediante metodologías que vulneraban el concepto de consentimiento informado – adquiriéndolas a sombríos proveedores que hacían crawling de páginas web, reutilizando listas antiguas o listados obtenidos de acciones de todo tipo, etc. El resultado fue el que cabía esperar: ante tal avalancha, los usuarios hicimos lo que era lógico hacer: enviar toda esa basura al buzón de spam sin siquiera abrirla, o incluso utilizar muchos de esos correos para darnos inequívocamente de baja de aquellas bases de datos en las que no teníamos el menor interés en estar. Un reflejo lógico de lo que debería ser la web o el correo electrónico: una herramienta de comunicación, no un martirio constante de mensajes comerciales no deseados. Aunque muchos directores de marketing chapados a la antigua sigan frotándose los ojos para intentar entenderlo, el correo electrónico no es un medio para conseguir esos fines de los que depende su retribución variable: es una herramienta cuyos usuarios aspiran a que sea razonablemente útil. En una sociedad que se moviese con un mínimo de lógica, el e-mail marketing no tendría que estar regulado, sino simplemente prohibido, como tendrían que estarlo en el mundo offline prácticas tan molestas y anti-ecológicas como el buzoneo, el reparto de publicidad en la calle o el parabrising.

La segunda consecuencia de GDPR ha sido, claramente, el incremento de denuncias por infracciones en muchos países. En Francia, el CNIL ha recibido 3,767 denuncias desde la entrada en vigor de GDPR, frente a las 2,294 recibidas en el mismo período del año pasado, que había sido ya de por sí un año récord, y tanto el Reino Unido como Irlanda muestran proporciones similares. Es de esperar que un número significativo de esas denuncias se conviertan en sanciones importantes y adecuadamente comunicadas, que hagan abandonar ese tipo de prácticas a las compañías implicadas, o pronto cundirá la idea de que GDPR, a pesar de las importantes sanciones anunciadas, no tiene realmente dientes. 

El tercer efecto de GDPR, en cambio, es algo más molesto y no parece especialmente logrado: una gran cantidad de publicaciones en la web han incorporado pop-ups, cintas o notificaciones de algún tipo que obligan a sus usuarios a aceptar unos determinados términos de uso, en muchos casos bajo la amenaza de no poder seguir leyendo. La idea es obtener el consentimiento del usuario para todo, una especie de “licencia para matar” que permita desde compilar unas simples estadísticas de uso de la página o monitorizar la publicidad que recibes, hasta, en algunos casos, aprovechar para incluirte en una base de datos y comercializarla a terceros. Una clara violación del concepto de consentimiento, un elemento clave en GDPR, que según el texto de la ley, debe no solo ser otorgado libremente, sino además, ser específico, informado y no ambiguo.

¿Qué tipo de libertad tiene un usuario cuando, a todos los efectos, lo chantajeas con la amenaza de no dejarle acceder a una información determinada si no consiente determinadas prácticas? ¿De verdad parece razonable que un usuario que estaba activamente buscando determinada información o pretendía acceder a ella se encuentre con un formulario relativamente complejo al que, si quisiese hacer las cosas razonablemente bien, tendría que dedicar un buen rato, examinar las distintas cláusulas, opciones y elementos a los que está otorgando consentimiento, y tomar una decisión informada al respecto? Para cumplir su función, ese pop-up debería ser muy sencillo, muy claro, inequívoco y, además, no condicionar el acceso. Algunos sitios, los menos, lo hacen así, de manera que si no consientes a esas prácticas, simplemente se cierra el pop-up o se hace clic en el botón de “no acepto”, y el usuario puede seguir tranquilamente leyendo. Pero en michos casos, si el usuario no acepta, lo redirigen a otra página o simplemente no le dejan continuar, una práctica que debería ser etiquetada como infractora. No, que tengas una página web no debe convertirse en una forma de exigir un consentimiento, y menos aún si los elementos de ese consentimiento, las prácticas a las que el usuario está supuestamente consintiendo, no están especificadas de manera clara.

Por el momento, ese último elemento, ese mensaje de coacción al inicio de la navegación en muchos sitios está convirtiéndose, en muchos casos, en una molestia permanente, en algo que recuerda a esa absurda advertencia sobre las cookies que no sirve absolutamente para nada más que para molestar. No, esos mensajes no suponen un consentimiento libre ni informado, sino simplemente una perversión inadecuada del espíritu de la ley, un intento de obtener ese supuesto consenso por la vía del chantaje, algo que, si no está suficientemente claro en el articulado de la ley, debería estarlo. Sería grave que un concepto tan central como el del consentimiento fuese considerado ambiguo en un reglamento que acaba de entrar en vigor.

Cuatro meses después de la entrada en vigor de GDPR, mi impresión general es que, en general, sí que está funcionando: tengo la impresión de recibir menos correo basura, de que se presta algo más de atención a las peticiones de eliminación, y que, dejando aparte esa molestia de los formularios en la entrada de muchas páginas web, hemos mejorado. Pero eso no quiere decir que no quede ese aspecto por pulir, al que habrá que prestar atención rápidamente para evitar que se consolide como práctica habitual algo que es, a todas luces, una mala práctica. Si en el futuro terminamos recordando a GDPR como aquel reglamento que llenó la web de mensajes inútiles de este tipo, sería un logro profundamente vano y, sobre todo, profundamente triste.

 

Data Transfer ProjectTechCrunch publicó ayer una noticia, Facebook, Google and more unite to let you transfer data between apps,  sobre el Data Transfer Project (DTP), una iniciativa que en su creación agrupa nada menos que a Google, Facebook, Microsoft y Twitter, y que se define como una plataforma de código abierto para la portabilidad de datos entre aplicaciones a la que cualquier servicio puede unirse.

La noticia levantó automáticamente suspicacias entre una buena parte de lectores: en un momento en que el uso de los datos personales de los usuarios por parte de las plataformas digitales se han convertido en una fuente de preocupación creciente, la idea de tener a cuatro gigantes de la industria aparentemente compartiendo los datos que poseen de sus usuarios podría ofrecer una imagen casi orwelliana y distópica, del tipo “hagas lo que hagas, lo vamos a saber todo de ti”. La idea, sin embargo, funciona de otra manera, y no apunta de hecho a la compartición de datos para su explotación por parte de esas compañías, sino más bien a ofrecer al usuario un control mayor de esos datos personales que le permita plantearse determinadas situaciones, como la transferencia de preferencias o hábitos construidos en un servicio a otro, la transferencia efectiva de los datos de servicios que cierran, etc.

Tomando como referencia el desarrollo de GDPR en Europa, algunos servicios han comenzado a tomarse necesariamente en serio la idea de otorgar al usuario control sobre sus datos. Compañías como Facebook, por ejemplo, incorporaron recientemente opciones que permiten que un usuario se descargue todos los datos que la compañía tiene sobre él, típicamente un archivo enorme que recoge muchísimos datos de muy diversos tipos. Sin embargo, este tipo de opciones, más allá de satisfacer la curiosidad o hacer algunos cambios en el perfil, no ofrecen, de hecho, demasiadas posibilidades prácticas. En realidad, lo que deberíamos poder hacer con esos datos es, si así lo deseamos, utilizarlos en otros servicios, como por ejemplo intentar localizar a nuestros amigos en otra red social, transferir fácilmente nuestras imágenes sin tener que descargarlas todas y volverlas a subir, etc.

La idea, expresada en este white paper, es permitir rutas de intercambio de datos que únicamente se utilizarían a petición de los usuarios, en una plataforma abierta a cualquier servicio que quiera darse de alta en ella y cumplir los estándares de sus APIs. Menos siniestro de lo que inicialmente podía sonar, aunque obviamente, no exento de peligros, precisamente por el hecho de pretender abrirse a cualquiera que así lo solicite. ¿Hasta qué punto puede ser un usuario completamente consciente de las posibles consecuencias de intercambiar datos entre plataformas digitales? ¿Podría ser posible una explotación de esta plataforma que permitiese, por ejemplo, engañar a un usuario para que transfiera sus datos a un servicio que pretenda explotarlos maliciosamente? ¿Podríamos llegar a encontrarnos, por ejemplo, con esquemas de phishing que suplanten a un servicio legítimo y que ofrezcan algún procesamiento potencialmente interesante o atractivo de los datos para algunas personas – recordemos aquellas siniestras aplicaciones del tipo “averigua quién te tiene bloqueado”, por ejemplo, ya con una larga historia – y que permitan generar bases de datos para su explotación al mejor estilo de Cambridge Analytica?

Algunas aplicaciones, como por ejemplo Flickr, ofrecen la posibilidad de descargarnos todas nuestras fotografías, algo que muchos nos planteamos en algún momento reciente al hilo de las noticias en torno a la venta de Yahoo!. Ese archivo, sin embargo, no resultaba demasiado operativo. ¿Puede una plataforma de este tipo ofrecernos una salida fácil de nuestras fotografías, incluyendo por ejemplo sus comentarios u otras funciones sociales, a un servicio alternativo, ante el cierre o el cambio de condiciones del original? Sin duda, eso reduciría los costes de cambio y sería positivo, siempre que se produjese con las adecuadas garantías.

Las iniciativas que ofrezcan al usuario un mayor control de sus datos parecen, en principio, una buena idea, y de hecho, desarrollan servicios que más tarde o más temprano serán muy posiblemente convertidos en una obligación. Sin embargo, debemos tener en cuenta algunas precauciones al respecto:

  • Los datos en propiedad de algunas plataformas exceden con mucho lo que muchos usuarios son capaces de imaginar, y ofrecen posibilidades analíticas que muchos usuarios no alcanzan a plantearse ni a imaginar.
  • La cultura media de los usuarios en lo referente a la gestión de sus datos personales está muy lejos de ser elevada. Posiblemente mejore a medida que la educación incorpore este tipo de cuestiones a todos los niveles, pero ahora mismo, es sin duda muy baja, como puede comprobar cualquiera que se dedique a hablar o escribir en público sobre estos temas.
  • Siguiendo la mítica frase del tío de un superhéroe de Marvel, “un gran poder conlleva una gran responsabilidad”: una plataforma de este tipo debería tener esto en cuenta y, sin abandonar una vocación por la apertura, ser capaz de controlar la aparición de posibles malos actores interesados en una explotación potencialmente perniciosa para el usuario.
  • Cuando algo parece demasiado bueno para ser verdad, es inequívocamente porque es demasiado bueno para ser verdad. Deberemos desconfiar automáticamente de toda oferta de uso de los servicios de este tipo de plataformas que no haya sido iniciada por nosotros de manera inequívoca, y plantearnos qué puede haber realmente detrás de ella.

¿Siniestro? En absoluto, y de hecho, no solo no parece una mala iniciativa, sino que es un paso en la dirección correcta. Sin embargo, habrá que estar atentos a su evolución y a los posibles usos maliciosos que pueda llegar a generar.

 

IMAGE: Open Clipart Vectors - CC0Dentro de las noticias recientes en el trepidante panorama político español, hay uno que me llama muchísimo la atención: la constatación final y definitiva de que el mítico número de más de 800,000 afiliados manejado desde hace tiempo inmemorial por el Partido Popular era algo completamente inexistente, una mentira por todos conocida, pero que nadie se atrevía a desvelar públicamente.

Un censo cerrado en junio situaba dicha cifra en 869.535 personas, un récord entre los partidos españoles e incluso europeos. Pero a la hora de la verdad, y en un proceso de tanta dimensión como la elección de un nuevo presidente para el partido, únicamente “aparecen” y reclaman su derecho al voto alrededor de siete de cada cien afiliados, un total de 66,384 personas. ¿Qué ha ocurrido? ¿Dónde está aquella enorme base social de la que el partido hacía bandera? ¿Cómo podemos resolver el misterio de los afiliados desaparecidos? 

Esta página no se dedica al análisis político, ni tiene el menor interés en hacerlo. El misterio de la base de datos de afiliados del Partido Popular data de hace tiempo inmemorial: en el escaso contacto que tuve con ese partido en torno al año 2008, nunca como miembro ni mucho menos afiliado al mismo, sino simplemente en calidad de experto al que recurrieron para dar su opinión sobre una serie de temas, la famosa cifra de afiliados ya era, en las reuniones en las que salía, tomada con pinzas: todos sabían que, en la práctica, nadie jamás abandonaba esa base de datos, ni por impago de cuotas, ni por razones disciplinarios… ni siquiera por fallecimiento. Cada vez que se mencionaba recurrir a la base de datos para algo, alguno de los presentes en la reunión advertía sobre su problema de falta de calidad. Era, en realidad, un auténtico secreto a voces, una mentira por todos conocida que, simplemente, proporcionaba la coartada de la amplia base social, de un supuesto apoyo muy superior, supuestamente, al del resto de partidos. El asunto fue investigado por fuentes ajenas al partido en varias ocasiones, y todo apuntaba a lo mismo: el interés por mostrar un apoyo amplio había condicionado un tratamiento de la base de datos de afiliados tan profunda e irracionalmente conservador, que en la práctica, esa base de datos era completamente inservible: estaba repleta de personas que posiblemente alguna vez se afiliaron, pero que habían abandonado su militancia, habían dejado de pagar sus cuotas, se habían desinteresado, o habían muerto.  Lo único que consta es que, de esos supuestos 869,535 afiliados, solo aparecen de manera fehaciente un 7.5%, incluso después de condonar el requisito de pagar todas las cuotas atrasadas y de conmutarlas por un único pago simbólico de tan solo veinte euros.

Las bases de datos de afiliados de los partidos recogen, obviamente, información sobre sus preferencias políticas, y están por tanto sujetas a la consideración de datos sensibles o especialmente protegidos. Esto implica que la investigación sobre ello se limite a los datos proporcionados de manera voluntaria por los propios partidos, lo que ha posibilitado que el Partido Popular se haya pasado años haciendo gala y esgrimiendo en todo momento un número de afiliados que no tenía. Que ese interés del Partido Popular por mostrar un número desproporcionadamente elevado de usuarios se deba simplemente al hecho de querer mostrar un apoyo social amplio donde no lo hay, o a factores más complejos como la posibilidad de regularizar dinero como cuotas procedentes de esa base de afiliados es un elemento que no procede analizar sin disponer de elementos probatorios adicionales. Sí sería sin duda interesante, sin embargo, pensar sobre las posibles consecuencias que la aplicación del Reglamento General de Protección de Datos (RGPD, o GDPR según sus siglas en inglés, habitualmente más utilizadas) a esas bases de datos, tan claramente necesitadas de un proceso de depuración.

La entrada en vigor el pasado 25 de mayo de GDPR ha abocado a los directivos de muchísimas compañías a ese tipo de disyuntivas: ¿qué hacer ante un reglamento que amenaza con sanciones importantísimas a quienes mantengan en sus bases de datos a personas que no han afirmado de manera fehaciente su interés por constar en ellas? Presas del pánico, miles de empresas de todo el mundo se dedicaron a bombardear absurdamente nuestras bandejas de entrada con correos inútiles que en muchos casos eran, en sí mismos, una vulneración del reglamento, una comunicación enviada a personas que no habían expresado su interés por recibirla y que, en muchos casos, estaban en esas bases de datos por un proceso irregular de adquisición de bases de datos de terceros, de incorporación de todo aquel que hacía una simple petición de información, o de no eliminación de quien había pedido su borrado.

En la práctica, las bases de datos de las compañías se habían convertido en un erial lleno de datos desactualizados, de personas imposibles de contactar, de procedencias inconfesables, o incluso de muertos. Un auténtico caso de síndrome de Diógenes derivado de una sola razón: el uso de malos indicadores. Considerar erróneamente el tamaño de la base de datos como un elemento indicador del desempeño del director comercial o de marketing, como una especie de falso concurso de popularidad, como una forma de desviación cinegética, un “a cuántos he conseguido cazar”. El resultado era claro: cada vez que se intentaba hacer uso de esas bases de datos, la acción generaba un aluvión de envíos devueltos, de correos rebotados o de peticiones de baja. Durante muchos años, el número de empresas diligentes a la hora de limpiar sus bases de datos ha sido minoría: nadie quería asumir lo que significaba que esos números descendiesen. Solo en casos extremos y  probablemente fruto de algún tipo de segundas intenciones han logrado la exposición mediática y el ridículo que han supuesto casos como el del Partido Popular.

Las bases de datos de una compañía deberían ser uno de sus principales activos. Pero aferrarse a ellas como una especie de señal de prestigio si, en realidad, están llenas de datos adquiridos a proveedores de origen dudoso, de procesos de web scrapping, de peticiones de eliminación desatendidas o incluso de muertos, es completamente absurdo e irracional. Todo aquel director de marketing o ventas que se haya visto preocupado por la posibilidad de que el número de registros de su base de datos fuese a disminuir por la aplicación de GDPR debería hacérselo mirar, porque todo aquel que prefiera tener una base de datos más grande por estar llena de basura inservible es alguien que no tiene claro cuál es su función real.

Un caso más de retorno a la lógica tras muchos años de excesos injustificables: si no tienes claro lo que tienes en la base de datos, no te dediques a lanzar correos a diestro y siniestro a personas que nunca manifestaron su interés por estar en ella, a direcciones que compraste a algún sombrío proveedor de listas, a correos falsos, a incautos que te pidieron información o a muertos. No, no lo hagas, porque lo menos que te puede pasar no es que no te contesten, no los abran o que aprovechen tu correo para darse de baja, sino que te denuncien. Si de verdad tienes tu base de datos llena de basura, haz lo que hay que hacer con la basura: tírala. Líbrate de todo aquello cuyo origen no tengas claro, elimina a todo aquel de quien no te conste un consentimiento expreso, o incluso comienza de nuevo desde cero. Tirar a la basura una base de datos no tiene por qué ser una mala noticia, y menos aún si estaba llena de basura, porque la basura huele mal. Bórrala y comienza de nuevo con procedimientos y garantías adecuadas, porque pensar que de alguna manera tu prestigio o tu desempeño como directivo estaba vinculado al número de registros en una base de datos llena de basura era ni más ni menos que eso, admitir que tu carrera profesional estaba construida sobre la basura. El marketing no consiste en torturar, en cazar o en bombardear a personas que no han manifestado ningún interés en tu producto, sino en construir relaciones sostenibles. Repítelo para ti mismo varias veces, paladeando cada sílaba: sos – te – ni – bles. Si no lo tienes claro, si no lo entiendes, o si te da miedo que el número de registros en tu base de datos disminuya, déjalo. Por tu bien, por el de tu compañía, y por el de todos.

 

IMAGE: Creative Commons Zero - CC0Cunde la alarma en la industria del e-mail marketing: la inmensa mayoría de los correos electrónicos que han enviado a sus bases de datos para cumplir con el Reglamento General de Protección de Datos (GDPR) son eliminados o enviados a la carpeta de spam sin siquiera abrirlos, o peor aún, aprovechados para eliminar la suscripción, y prácticamente nadie contesta en modo afirmativo para pedir que lo mantengan en una lista. El resultado es que la industria está a punto o bien de tener que dar de baja en torno al 80% de los integrantes de sus bases de datos, o bien se arriesgan a multas considerables, de hasta veinte millones de euros o el 4% de sus ingresos mundiales, si mantienen en esas listas a aquellos que no han contestado afirmativamente solicitando la inclusión.

¿Sorpresa? La realidad es que esa alarma que cunde en la industria del e-mail marketing es auténtica música celestial para todos. ¿De verdad alguien pensaba que una persona en su sano juicio iba a contestar a un correo de ese tipo, de los que hemos recibido cientos en los últimos meses, pidiendo ser mantenido en una lista en la que, en la inmensa mayoría de los casos nunca solicitó estar? Salvo aquellas newsletters o listas en las que uno realmente se ha apuntado de manera voluntaria, que son habitualmente pocas, lo normal es que borres el maldito correo, lo envíes a spam, o aproveches que te proporciona una opción para darte de baja. La industria del e-mail marketing es lo peor: prácticamente ninguno de sus participantes se salva del conjunto de malas prácticas e infracciones que han convertido nuestros buzones de correo en un martirio incesante durante años. Si esa industria quiebra en su totalidad, será tan maravilloso que hasta me cuesta creerlo. Hablamos de una industria que esperaba facturar en torno a los 22,000 millones de dólares en 2025… si esa facturación desaparece, si esa industria muere en su totalidad consumiéndose entre las llamas del infierno, serán muy, pero que muy buenas noticias para todos.

Hablamos de compañías que han retorcido la legalidad hasta el límite para poder seguir torturándonos. Que han recolectado correos electrónicos mediante crawlers en la web, que han comprado y vendido listas a diestro y siniestro, que se han apropiado de direcciones de correo de personas que nunca pidieron ser incluidas en ninguna lista y que simplemente rellenaron sus datos en formularios pidiendo información, que han incluido a miles de personas en listas en las que jamás quisieron estar simplemente por considerarlos influencers, o que han ignorado deliberadamente las peticiones de baja de usuarios desesperados por la continua avalancha de basura. En mi correo tengo mensajes de compañías en los que he utilizado el enlace para darme de baja cada vez que los he recibido, semana a semana o mes a mes, ya por pura cabezonería, y aún así, han seguido llegando constantemente, sin ninguna interrupción en su cadencia. Es, sencillamente, eso: la industria de la basura, de una basura asquerosa y pestilente que, desgraciadamente, ha generado grandes fortunas debido a una inacción total de unas autoridades competentes que, durante muchos años, han sido autoridades incompetentes.

Si has estado ignorando todos esos correos electrónicos sobre GDPR, borrándolos sin abrirlos o aprovechándolos para darte de baja, estás de enhorabuena: habrás contribuido a eliminar a algunos de los mayores y más asquerosos depredadores de la red. Quienes de verdad tenían una base de datos para enviar correo compuesta por personas que, de manera consciente e informada, habían introducido su correo electrónico con el fin de recibir una información, no han tenido que enviar ningún mensaje de ese tipo. Si han enviado uno de esos mensajes es, sencillamente, o porque estaban mal informados y no sabían lo que estaban haciendo, o porque no tenían la conciencia tranquila: en algún momento compraron listas de direcciones a algún broker sombrío, o introdujeron en esas bases de datos a quienes no debían introducir, a quienes no se lo habían pedido específicamente.

Si la industria del e-mail marketing desaparece en su totalidad, bien desaparecida estará. Porque, aunque el incesante abuso nos llevó a aceptarla como “un mal necesario”, en realidad, nunca debió existir. No, no me vale eso de “nosotros hacemos e-mail marketing, pero lo hacemos bien”: para empezar, el correo electrónico no debería ser un canal comercial, y mucho menos un sitio en el que vale todo y se puede enviar basura a quien no la ha solicitado. El e-mail marketing debería pasar a la historia, como la venta a puerta fría o el marketing telefónico. El correo electrónico debería ser una herramienta de comunicación entre personas, no un enorme río de basura electrónica destinada a acabar en la carpeta de spam y que basa su eficiencia en unos costes mínimos. La conclusión es muy clara: el mejor e-mail marketer es el e-mail marketer muerto, y por fin estamos viendo un reglamento que, al menos en algunos aspectos, parece estar cumpliendo su función. Un reglamento que provenía de un clamor popular, de prácticamente una situación de alarma social, que sin duda estaba más que justificado. Si de verdad consigue eliminar una buena parte de la basura que recibimos en nuestros buzones de correo y nos da una herramienta para denunciar eficazmente a quienes, a pesar de todo, sigan enviándola, ya estará suficientemente justificado. Ahora, y lo apunto como idea, deberíamos plantearnos llevar GDPR al mundo físico: prohibir el buzoneo, el parabrising, el reparto de folletos por la calle y demás canales de marketing basura que ensucian nuestras ciudades y llenan nuestros buzones, y poder sancionar duramente a los anunciantes que lo practiquen con un 4% de su facturación. En la muy necesaria reinvención del marketing en el futuro, esperemos que, al menos, saquen la caspa y la basura.