El 25 de mayo, con todas las previsiones de apocalipsis en internet que había por culpa de la entrada en vigor de la nueva ley de protección de datos europea, ya llegó y ya pasó. La RGPD/GDPR está ya activa, las marcas y las empresas están todavía intentando comprender qué es lo que tienen que saber sobre ella y, a pesar de que en teoría la ley ha llegado para proteger y hacer la vida más fácil a los consumidores, lo cierto es que en estos primeros días la recepción que ha tenido – ni siquiera entre los consumidores – ha sido muy positiva. La RGPD, de hecho, ha empezado ya a crear ciertos problemas.
El primero está, por supuesto, en los propios correos electrónicos de los consumidores. Si hay algo que ha ocurrido en estos últimos días de mayo, es que sus bandejas de entrada se han llenado de mensajes y más mensajes de las marcas, las empresas, los medios y prácticamente todo el mundo pidiéndole que le confirmasen que querían seguir recibiendo los correos electrónicos de turno o simplemente señalando que habían cambiado la política de privacidad de datos.
La experiencia resultaba abrumadora y es posible que muchos no hayan renovado su presencia en una base de datos simple y llanamente por aburrimiento con tantos mensajes recibidos y tantas compañías que pedían la atención del consumidor. La red se ha llenado de memes y de mensajes irónicos en redes sociales en los que se apuntaba como una ley contra el spam se había acabado convirtiendo en la fuente número uno de spam y de saturación de correos electrónicos.
El segundo está en que, como suele ocurrir en estos casos, la llegada de la ley y la necesidad de las empresas de ajustarse a ella ha abierto las puertas no solo a una situación caótica, sino también a que algunos hagan negocio de un modo muy poco ético. Sea delictivo o no lo que están haciendo, no pocos están explotando la ley para sus propios fines. A eso se suma que las propias compañías han cometido errores y están tomando decisiones que les acabarán lastrando, lo que hace que la ley se vaya a convertir en un auténtico dolor de cabeza futuro.
La RGPD es ya un cebo para los cibercriminales
Como suele ocurrir con todos los temas punteros y que despiertan mucho interés, la RGPD/GDPR es ya uno de los cebos que emplean los ciberdelincuentes. Y lleva siéndolo incluso desde antes que la ley entrase en vigor. Un análisis de la compañía de seguridad Trend Micro señalaba cómo habían aumentado los ataques que usaban la ley como material de chantaje. Los cibercriminales investigan cuánto podrían tener que pagar las empresas por una multa asociada a la ley, atacan y una vez que han atacado ponen una cantidad inferior a la multa como precio a cumplir para que así les devuelvan los datos.
Algunos expertos temen, además, que los elementos de protección de la privacidad que pone en marcha la ley pueden servir, de forma accidental, para enmascarar a los cibercriminales.
La ley es la excusa para más o menos sofisticadas estafas
Por otra parte, ha aparecido ya las primeras estafas vinculadas con la ley de protección de datos. Algunas están vinculadas incluso con el trabajo de los cibercriminales, pidiendo información muy detallada sobre la empresa para ayudar a preparar un ciberataque. Otros buscan simplemente hacer gastar dinero a las empresas haciendo que llamen a teléfonos de pago.
Jugar con el miedo es además otra herramienta para hacer que las empresas gasten dinero en servicios y en blindajes. Por ejemplo, algunos empresarios han denunciado que les han vendido el servicio de adaptar a la compañía a ley de protección de datos, cuando en realidad les cobran por un trabajo chapucero que no sirve.
«Lo hemos visto mucho últimamente: hay muchos bufetes que han engañado a las empresas, les ofrecieron sus servicios para adaptarse al GDPR pero luego no hicieron nada. Así que las empresas están igual que antes, solo que encima se piensan que están cumpliendo un reglamento que en realidad no cumplen», explica un abogado especializado, Samuel Parra, a El Confidencial.
Cumplir más allá de lo que se debe la ley hace que se pierdan clientes
A eso hay que sumar que algunas compañías pecaron de excesivamente precavidas. Si la base de datos para el envío de email marketing se había realizado ya de la forma que la ley preveía no era necesario ser uno más de esos emails pesados que pedían que volvieses a darte de alta en su base de datos. La base de datos ya era legítima.
Pero a pesar de ello muchos lanzaron la reconfirmación – arrastrados por la paranoia del momento – y acabaron perdiendo con ello a una parte muy importante de su base de datos. Esas compañías están perdiendo potenciales clientes por ser excesivamente celosas con la normativa, por leerla mal o simplemente por estar mal aconsejadas, como apuntan algunos expertos.