Víctimas del GDPR: "Un abogado me timó y puedo perder millones por un simple 'mail"

Miguel tiene una empresa dedicada al sector de la construcción. Hace unos seis meses, un abogado se presentó en sus instalaciones, que albergan a sus cerca de 250 empleados en un polígono industrial de los alrededores de Madrid, para hablarle de un tal GDPR (el nuevo reglamento de protección de datos instaurado por la UE) y ofrecerle sus servicios para que la empresa estuviese dentro de la ley. Miguel no sabía qué era el GDPR ni si le afectaba, así que llamó a la Cámara de Comercio de Madrid, donde le confirmaron que sí, que por las características de la empresa sí debía adaptarse a dicha normativa.

Así que Miguel contrató al abogado en cuestión. No fue poco dinero, 4.300 euros, pero teniendo en cuenta las posibles multas a las que se arriesgaba si incumplía el GDPR (hasta 20 millones de euros o el 4% de su facturación anual), entendió que le compensaba. Lo que Miguel no sabía es que la semana pasada, en pleno revuelo por la normativa europea, descubriría que el trabajo que le había hecho el abogado no servía absolutamente de nada. Se había gastado 4.300 euros en vano.

TE PUEDE INTERESAR

Caos entre las empresas españolas para cumplir el GDPR: "No llegamos ni de broma"

Manuel Ángel Méndez

"Pagué 4.300 euros para que me timaran"

Miguel nos explica la fuente de conflicto: "Aparte de los servicios que hacemos de cara a nuestros grandes clientes, también vendemos materiales más pequeños a través de internet. Varios de los clientes recurrían a esta compra, así que los incluimos en una 'newsletter' que mandábamos cada semana. Teníamos un consentimiento tácito y verbal de todos ellos, ya que les venía muy bien, pero no lo habíamos hecho de manera oficial".

¿Y qué le hizo a Miguel el abogado que le ha cobrado 4.300 euros? "En su momento, me pareció un trabajo muy profesional, pero claro, viéndolo ahora con asesores mucho más profesionales, me he dado cuenta de que este tipo me hizo un texto de 'copia y pega' para colgarlo en nuestra web y ya. No me dijo que solo podía mandar 'e-mails' a los usuarios que tuviesen un consentimiento expreso y demostrable, y con el consentimiento verbal que me dieron en su momento no me vale. Tampoco me dijo nada sobre seguridad ni sobre protección de datos, simplemente me hizo un texto, me cobró 4.300 euros y me dijo que con eso ya cumplía. Y ahora, por un 'e-mail' y por la incompetencia de este tipo que me ha timado, resulta que estoy expuesto a posibles multas millonarias", asegura.

Me cobró 4.300 euros por un texto de 'copia y pega' y me dijo que con eso ya cumplía la ley

Ahora, Miguel está inserto en una carrera contrarreloj: "Estoy haciéndolo todo deprisa y corriendo, pero contratándolo a gente que sabe. La normativa ya ha entrado en vigor y nosotros la estamos incumpliendo, pero esperamos tenerlo todo en orden cuanto antes".

Eso sí, asegura que esto no ha acabado aquí: "En cuanto todo esto se pase, voy a demandar al abogado que me hizo esta chapuza. Vale que yo tendría que haber estado más pendiente de todo el proceso, pero eso no justifica que me diga que me va a hacer cumplir con una normativa... y luego yo descubra que no lo ha hecho".

"Muchos abogados engañan a las empresas"

Al abogado Samuel Parra, especializado en el GDPR, esta situación no le sorprende nada: "Lo hemos visto mucho últimamente: hay muchos bufetes que han engañando a las empresas, les ofrecieron sus servicios para adaptarse al GDPR pero luego no hicieron nada. Así que las empresas están igual que antes, solo que encima se piensan que están cumpliendo un reglamento que en realidad no cumplen".

No se trata de bufetes necesariamente pequeños: "Uno de los mayores de toda España lleva tiempo ofreciendo servicios del GDPR cuando nunca se ha dedicado a eso. Y claro, ves lo que les hacen y está mal hecho. Muchos despachos han visto ahora que pueden ganar dinero con estos servicios y los ofrecen aunque no sepan darlos. Yo he llegado a ver a empresas metiendo medidas que hace tiempo están derogadas, y los abogados les han cobrado por eso".

Muchos abogados ven que pueden ganar dinero con esto y ofrecen lo que no saben dar

A Pablo F. Burgueño, también abogado, tampoco le sorprende esta situación: "He visto servicios de protección de datos por precios irrisorios, y es absolutamente imposible hacerlos tan baratos, son servicios incompletos que ponen en peligro a las empresas. Hay bufetes que están faltando al honor de las empresas".

En cuanto a las multas, ambos letrados coinciden: "No cabe esperar que aumente mucho el número de multas respecto a las que había con la antigua LOPD", asegura Burgueño, ya que "la Agencia Española de Protección de Datos está para ayudar, no para multar". Sin embargo, "con la normativa en la mano, todas esas empresas están incumpliendo el GDPR, y pueden enfrentarse a multas muy grandes", señala Parra.

"Borré al 80% de clientes por culpa del abogado"

Un caso radicalmente distinto, aunque igualmente negligente, es el que ha afectado a Charo, una emprendedora de Barcelona que vende accesorios en internet. Creó una comunidad de usuarios a través del correo electrónico, así que en su caso los 'e-mails' son esenciales en su modelo de negocio.

El caso es que los 'e-mails' que enviaba Charo ya cumplían totalmente con la LOPD (el reglamento con el que contaban las empresas españolas), pero dio con el abogado equivocado: "Cuando me quise informar sobre el GDPR, un abogado me dijo que, si enviaba 'newsletters', tenía que enviar a todos mis usuarios un nuevo 'e-mail' para pedirles el consentimiento para seguir enviándoselas. Que, aunque yo los incluí de manera totalmente legal, el GDPR me obligaba a pedir consentimiento de nuevo".

Dicho y hecho. Charo envió los 'e-mails', pero entre los usuarios que no lo abrieron y los que lo leyeron rápido pensando que no tenían que hacer nada, solo cerca de un 20% de su base de datos respondió. Y como Charo decía en su 'e-mail' que "si quieres que sigamos enviándote noticias, necesitamos que pinches aquí", de golpe y plumazo se había ventilado al 80% de su base de datos.

No necesitaba mandar el 'e-mail', ya tenía el consentimiento legal de los usuarios, pero perdí el 80% de la base de datos

Si esa ya era una mala noticia, el cabreo definitivo le llegó después: "Hablé con más abogados y me dijeron que no necesitaba mandar ese 'e-mail', que yo ya estaba cumpliendo con la ley. Pero que como ahora les había vuelto a pedir consentimiento, si no me lo daban, tenía que borrarlos... Imagínate el cabreo: por culpa de un idiota he perdido al 80% de mis usuarios. Y en mi caso, muchas de las ventas en la web me llegan a través del 'e-mail', así que no quiero ni pensar el dinero que voy a empezar a perder".

Para intentar solucionar el entuerto, Charo ha contado la situación en su blog y espera que, poco a poco, los usuarios vuelvan a registrarse y pueda volver a incluirlos en sus 'e-mails'. En cualquier caso, lo tiene claro: "Voy a demandar a ese abogado, me ha hecho perder mucho dinero".

"Las empresas pueden perder mucho dinero"

En realidad, este tipo de casos son mucho más frecuentes de lo que pensamos: "La mayoría de las empresas (sobre todo las grandes) que estos días han mandado un nuevo 'e-mail' de consentimiento no tenían la necesidad de hacerlo, ya que ya estaban cumpliendo la normativa", asegura Iñaki Arriaga, cofundador de Acumbamail, una empresa de 'e-mail marketing' que la semana pasada sufrió un aluvión por parte de sus clientes: "Más de 100 llamadas al día, las empresas histéricas sin saber qué hacer... Para que te hagas una idea: el jueves 24 se mandaron más de 20 millones de 'e-mails' a toda España desde nuestros servidores. Y muchos de ellos no eran necesarios, se mandaron porque las empresas estaban mal asesoradas".

Y ese es el problema que se avecina ahora: "Hablamos mucho de si las compañías se adaptan o no al GDPR, pero ¿qué pasa con las empresas que sí estaban cumpliendo la normativa pero que, tras ser mal asesoradas, han pedido consentimiento de nuevo, apenas han tenido respuesta y ahora han perdido el 70 o el 80% de sus bases de datos?", se pregunta Samuel Parra.

Este hecho no se limita a las empresas pequeñas, sino también a las grandes. Un ejemplo es el de Burger King, de la que tanto Burgueño como Parra han dicho estos días que estaría pidiendo un consentimiento que en realidad no necesita porque ya lo obtuvo hace tiempo. En conversación con este periódico, Burger King asegura que "el comunicado persigue la renovación del consentimiento para la prestación del servicio y para recibir comunicaciones comerciales. Entendemos que solo un sí es un sí, todo lo demás es no", con lo que el envío del 'e-mail' "no es un error, es algo premeditado, esta forma de hacer está basada en el máximo respecto a nuestros clientes".

Según Pablo F. Burgueño, el envío de estos 'e-mails' (en su opinión, innecesarios) puede acabar muy mal para este tipo de compañías: "Lo más probable es que muchos usuarios no vean ese 'e-mail' o no pinchen en el enlace que les dan, así que se verán obligados a borrarlos... cuando en realidad ya tenían el consentimiento para enviarles contenido comercial".

Para Burgueño, aquí la negligencia corre a cargo de los asesores de estas compañías: "No lo veremos ahora, pero sí dentro de un año o así. Muchas empresas verán que han tenido que prescindir de clientes por culpa de quien les asesoró. Y si hay estudios que evalúen esto, se verá a muchas empresas que pierden clientes por un mal asesoramiento".

¿Y qué pasará entonces? "Ahí ya no será una cuestión de multa para la empresa, sino de que la propia empresa vaya contra el abogado o el asesor que le hizo la adaptación al GDPR y le ha hecho perder mucho negocio", asegura Burgueño.

El asunto, en definitiva, pinta doblemente perjudicial. Por un lado, encontramos a las empresas que se cruzaron con encantadores de serpientes y pagaron por un servicio que nunca se les dio y que les puede enfrentar a multas millonarias. Y por otro, compañías que, teniendo todo en regla, por culpa de la negligencia de sus asesores pueden haber perdido a la inmensa mayoría de sus clientes, algo que se notará en las cuentas del negocio.

En cualquiera de los dos casos, la consecuencia es la misma: centenares o miles de empresas españolas que han tirado el dinero a la basura y que, por culpa de un mal asesoramiento, pueden ver un agujero bastante grande en su negocio a partir de ahora.