Nuestros datos en el Aire

Así es como las empresas se lucran con tus datos

Cambiar de seguro, informarse sobre la oferta de Internet de la tele, mirar el precio de alarmas para el hogar o descargar una “app” para hablar con los amigos son decisiones del día a día que, sin saberlo, pueden hacer que nos arrepintamos del momento en que las tomamos. Y las empresas lo saben.

Una acción inocente como la de buscar un viaje o pedir un presupuesto e indicar nuestro email y teléfono a cambio de esa información nos convierte en leads. En español: clientes potenciales. En jerga empresarial: oro.

No en vano, nuestros datos son la moneda de cambio con la que acceder a servicios que de otra manera deberíamos pagar. Hecho que no implica que las empresas puedan ganar dinero aunque no les paguemos en ese momento, pues poseen algo más valioso: nuestros datos.

Compras de bases de datos, cesión de estos entre empresas del mismo o distinto grupo, antiguos empleados que optan por utilizar ‘una cartera propia’ o una venta de información a un tercero son solo uno de los procesos que culminaron con una compra por nuestra parte. Un ejemplo sería esa cámara que compramos por Internet la semana pasada y que nos enviaron anteayer junto con la satisfacción de encontrar “lo que buscábamos”.

Esa misma que “vimos por casualidad” en la Red después de indicar en Facebook que somos amantes de la fotografía y tras un comentario en una tienda online del último móvil que adquirimos. Esto es solo el caso más benévolo, pues no sufrimos ‘acoso publicitario’ durante el trayecto u otras suertes más retorcidas.

Quizá más de uno quite hierro al trajín de los datos personales; pero ¿sabemos cuán valiosos son en realidad? La respuesta es alarmante: la presidencia de los Estados Unidos. Al menos, eso es lo que aprendimos de Mark Zuckerberg y de Donald Trump.

EL CASO FACEBOOK

Una red social que no requiere un solo euro por parte de los usuarios para estar en contacto con las amistades, encontrar trabajo o ligar a base de mensajes y fotos parece una ganga. En realidad es un verdadero trueque de nuestra intimidad con cada renglón o foto que publicamos.

Esto se traduce en publicidad sesgada y personalizada que ha sido usada con ánimo de lucro o fines similares por terceros. Resumen rápido y grosso modo del escándalo que acabó con Donald Trump en el Despacho Oval y con Mark Zuckerberg con sus mejores galas ante el Congreso de los EEUU.

Una vulneración de los datos de millones de ciudadanos recogidos en una empresa billonaria, cuyo activo es nuestra privacidad. Un potencial casi ilimitado en esta nueva era para las empresas, aunque no todos los casos no son tan sutiles.

Mark Zuckerberg, entrando a declarar en el Congreso de los EEUU. Foto: Andrew Harrer/Bloomberg

Este hecho fue el detonante perfecto para poner en marcha el Reglamento General de Protección de Datos de la Unión Europea (GDPR) dos años después de su aprobación. En España, este reglamento sustituye a la Ley Orgánica de Protección de Datos (LOPD). El objeto es evitar lo acaecido con Facebook en el Viejo Continente.

¿EL GDPR MANTENDRÁ A RAYA A LAS EMPRESAS?

Es lo que se intentará conseguir, pues basta con un teléfono o el email para que estas comiencen a girar la rueda. Las empresas, desde las pymes hasta las multinacionales, se dejan la piel por contactar con clientes potenciales. Unos acabarán contratando los servicios de inmediato, algunos lo harán más adelante, otros llegarán por referencias de los propios leads.

Los caminos para llegar a estos clientes potenciales son diversos y en algunos casos dudosos: las Páginas Amarillas, otras bases de datos, antiguos clientes, vecinos, amables, referencias, una tarjeta de visita o cualquier anuncio a pie de calle, ya sea en un coche de empresa o los pegados en farolas y marquesinas, son formas de generar esos leads. La cuestión es saber qué podemos esperar del GDPR.

En primer lugar, el nuevo reglamento europeo rebaja la edad mínima de catorce a trece años en cuanto al tratamiento de datos de los menores. También establece que nuestro consentimiento en cuanto al uso de nuestros datos debe ser explícito y afirmativo, siempre y cuando se nos haya especificado qué usos les darán a nuestros datos y el por qué. Este debe estar enmarcado en el ámbito de actuación de la empresa y restringido a la misma materia. En resumen, nos ‘obliga’ a aceptar la publicidad o el uso de nuestros datos.

En cuanto a los datos que cubre el reglamento, se mantienen los ya recogidos por la LOPD: nombre, dirección o formas de contacto entre otros. A ellos les sumaremos nuestros datos biométricos y genéticos desde el pasado 25 de mayo.

Es cierto que el cambio obliga a que exista un registro interno de actividades y gestión de datos, así como una garantía demostrable de que su tratamiento se ciñe al GDPR y se respeta la privacidad. Pero no aclara nada a los consumidores más allá de comprometer a que cada compañía debe diseñar y adoptar las medidas oportunas de seguridad. Es decir, sigue existiendo cierta opacidad.

Por otro lado, la responsabilidad pasa a ser proactiva, por lo que la empresa es la responsable de aplicar los principios de privacidad durante todo el proceso. Asimismo, tienen un margen de 72 horas para notificar brechas de seguridad o fugas de datos, sea por algún hacker o negligencia, en caso de conocerse.

De incumplir el reglamento, las empresas pueden ser sancionadas con una multa de hasta veinte millones de euros o el cuatro por ciento de su actividad anual del ejercicio anterior. Cantidades nada desdeñables en comparación con el tope de 600.000 euros estipulado en la LOPD. Un incentivo que no implica que sea infalible en todos los casos.

Además, el GDPR establece en múltiples supuestos la obligatoriedad de un delegado de protección de datos. Este debe poseer conocimientos especializados hasta en el campo de la seguridad. Por ejemplo, las empresas del sector financiero y de ámbitos similares requieren la presencia de este delegado.

En la teoría y en el marco legal todo parece mucho más estructurado; los gobiernos ven aumentadas sus competencias y se recogerán los derechos a la portabilidad de datos y al olvido. Pero, ¿será realmente efectivo para evitar casos como el de Facebook? ¿Realmente cambiará algo? Por desgracia, no tanto como cabría esperar, ya que se mantendrán viejos ‘vicios’.

PRÁCTICAS DUDOSAS

A casi todos nos habrá ocurrido que sin haber contactado previamente con alguna de las operadoras que comercializan sus productos en España, estas nos habrán contactado con sus nuevas ofertas. Puede ser a nuestro móvil o al fijo, e incluso a los terminales de empresa.

Este contacto puede ocurrir mensualmente o semestralmente, y en ninguno de los casos se nos facilita cómo han obtenido nuestro teléfono. Solo responden con divagaciones: una búsqueda en su web que no recordamos o un contacto del titular de otro contrato. De ser cierto, nunca dimos nuestro consentimiento para esa clase de contacto, al menos explícitamente. Es en este momento cuando adquieren relevancia esos caminos para conseguir leads que indicamos con anterioridad.

Cuando este contacto pasa a ostentar una cierta agresividad, y las interacciones se producen con un agente, corredor o bróker que nos ofrece una gran oportunidad de negocio o un servicio revolucionario, lo mejor es desconfiar. Casi seguro que nos encontramos ante una estafa y hayan pagado generosas cantidades para adquirir una base datos o bien se valieran de alguna de dominio público, como las Páginas Amarillas.

Por lo general, no nos tratarán de vender el producto en la primera llamada, pero nos acotarán un tiempo determinado para decidirnos así como algún ‘premio’. De ser necesario, también nos darán algunas ‘píldoras’ a lo largo de los dos o tres días venideros durante los que nos llamarán. Su objetivo es ganarse nuestra confianza tras haber empatizado con nosotros. Hecho que aprovecharán en ocasiones para pedirnos un correo y así lanzarnos un gancho.

También existen empresas que deciden optan por una mayor agresividad, lo que les lleva a acosar a los clientes en algún punto. Bien puede ser por anomalías en los sistemas informáticos, o de manera intencional. En cualquier caso es molesto, y a veces solo se puede remediar con el ingreso en la lista Robinson. Tratamiento que no siempre se respeta.

Esta estrategia trata de forzar la venta desde la primera llamada. Ya sea yendo a su hogar tras el contacto o durante la conversación. Las tácticas para conseguirlo son variadas, pero siempre se apela a los sentimientos de los clientes potenciales: necesidad, envidia o miedo.

Lamentablemente para los consumidores, en España existen varios casos que se corresponden con los ejemplos anteriormente mencionados. Una de las empresas que se ve envuelta con mayor frecuencia en esos casos es Securitas Direct.

La compañía de alarmas de origen sueco, que cuenta con más de dos millones de clientes en el mundo, y solo un millón de ellos son de España, basa su agresiva técnica de venta en el miedo y en la opacidad. Además, está siendo investigada por la UCO en España por presunto blanqueo de capitales, así como por las autoridades italianas al sospechar que está vinculada al crimen organizado.

El LUCRO DE SECURITAS DIRECT CON LOS DATOS

Además de frentes abiertos con la justicia como la sentencia de 2015 en la que se le condenó a pagar cerca de 800.000 euros a las aseguradoras por la inacción de sus equipos durante el robo, Securitas Direct tiene otros pleitos relacionados con la privacidad de los datos de sus clientes, resultado de su metodología y de una alta rotación de personal.

El procedimiento de Securitas Direct se basa en tres apartados. Estos comienzan con la recogida de datos de los clientes potenciales, le sigue el contacto que se mantiene con ellos hasta la venta, y finaliza el tratamiento de los datos personales tras esta.

Los clientes potenciales online se gestan a través de Internet al rellenar un formulario y disponer su teléfono. Todo gracias a una política de precios opaca que rara vez se desvela antes de que el comercial visita el inmueble.

¡En cuanto a la manera de conseguir leads ‘offline’, se agudiza el ingenio. La publicidad basada en el ‘miedo’ se convierte en el argumento de los comerciales. Con el robo y la okupación como punta de lanza, han llegado a ser amonestados por ayuntamientos al desplegarse bloque por bloque comunicando falsos avisos de robo. Un ejemplo de las variadas argucias de las que se valen.

A este primer paso le sigue el contacto telefónico. Los ya clientes sabrán cómo ha evolucionado el guion comercial con cierto paralelismo al miedo que transmiten los comerciales. La ausencia de filtros en la etapa anterior deriva en llamadas a personas que han expresado no querer recibir ningún tipo de contacto o que no están interesadas en el servicio, incluso a los mismos clientes de la compañía o a personas que no se corresponden con el contacto.

Es cierto que esta situación es más común de lo que creemos en nuestro país, tanto como que las empresas tengan objetivos que cumplir. El problema reside en que cuando se prioriza lo segundo se llega a unos extremos poco agradables para los consumidores antes de que se formalice una venta. Algo bastante común según los testimonios de los afectados por Securitas Direct.

Desconfianza, publicidad negativa y hasta denuncias por acoso telefónico son una consecuencia de su procedimiento. No en vano se han dado casos de que presentar una oposición reiterada a contratar el servicio ha conllevado media decena de llamadas al día durante una semana, o incluso reclamaciones de personas contactadas que están inscritas en la lista Robinson. Situación que no atisba mejora con la llegada del GDPR.

Y es a partir de aquí, de la venta de sus productos, cuando más se enturbia todo lo relacionado con Securitas Direct. En especial en los medios que usa para proteger, respetar y enriquecerse a costa de los datos de sus clientes. Una queja reiterada desde 1998, pues hablamos de la dirección de estos, nombres y apellidos; teléfonos, datos bancarios que constan completos, DNI y palabras clave, entre otros.

Los testimonios de los consumidores inundan las redes junto a las demandas por estafa. Se denuncian prácticas como falsificar la firma de clientes en las tablets de los comerciales para que les conceda un préstamo la entidad financiera colaboradora, el envío del contrato pasando los quince días legales de desistimiento, no registrar los contratos originales en el Ministerio del Interior y apilarlos en cajas a la vista de terceros mientras circulan sin control.

Situación que se agrava al conocer que la competencia se ha beneficiado de más de 100.000 nuevas altas tras entregarle Securitas Direct contratos de sus clientes, y al trascender que la compañía presuntamente facilitó códigos de seguridad a cambio de dinero al Niño Juan, un conocido delincuente, para que pudiera llevar a cabo butrones y asaltos similares. Hechos conocidos gracias a los medios audiovisuales de nuestro país, y documentación a la que hemos tenido acceso.

Desde Intersindicalmadrid.es se ha dado voz a estas irregularidades, hasta el punto de demostrar que personas ajenas a Securitas Direct tienen los datos de más de 400.000 clientes con sus contratos originales. Hablamos de que casi la mitad de la clientela que atesora la empresa en España tiene sus datos personales en manos de terceros.

A la luz de los hechos, lo mejor es pensarse dos veces a quién le facilitamos nuestros datos y por qué. Asimismo, lo más conveniente es que como consumidores seamos consecuentes con nuestras decisiones y sepamos cómo responder y a quién acudir en caso de que sea necesario. Al fin y al cabo, nuestros datos son oro para las empresas; pero nuestra privacidad, el mayor tesoro que tenemos.