Les dije que el consentimiento forzado era ilegal. 5 años después le costó a Elkjop 1,8 millones de euros
Acción del regulador y resultado
- A los comentaristas les impresiona que la autoridad noruega de protección de datos realmente impusiera una multa de 1,8 millones de euros y obligara a Elkjøp a cambiar su club de fidelidad, pero señalan que tardó unos ~5 años.
- Algunos destacan que la multa es solo un primer paso: permite acciones representativas (tipo class action) que podrían costar entre 100 y 1000 veces más y pueden desencadenar acciones de los accionistas.
- Otros preguntan cómo se compara la multa con el beneficio obtenido por el marketing ilegal; algunos sostienen que las multas deberían reflejar las ganancias ilícitas, mientras que otros prefieren multas graduadas basadas en ingresos por simplicidad y disuasión.
Consentimiento forzado y marketing bajo el GDPR
- El problema central: la membresía en el club de fidelidad estaba condicionada a aceptar marketing; la única forma de dejar de recibirlo era abandonar el club.
- Varios participantes aclaran que esto viola el GDPR: el consentimiento debe darse “libremente” y no puede ir mezclado con otras condiciones; las personas tienen un derecho absoluto a oponerse al marketing directo (art. 21 del GDPR, normas ePrivacy).
- Tras la investigación, Elkjøp supuestamente cambió los flujos para que puedas tener una cuenta sin marketing, aunque aún quedan algunas dudas sobre el “soft opt-in”.
Debates sobre multas, incentivos y aplicación
- Largo subhilo sobre cómo estructurar las sanciones:
- Multas basadas en beneficios vs basadas en ingresos.
- Multas graduales (como las del GDPR, de hasta el 4% de la facturación) frente a golpes puntuales.
- Algunos quieren responsabilidad personal o cárcel para reincidentes; otros ven eso como desproporcionado para infracciones de marketing.
- Hay preocupación de que una baja probabilidad de aplicación debilite incluso multas grandes.
Experiencias con abusos de privacidad
- Muchas personas comparten historias similares de “consentimiento forzado”: clubes de fidelidad, ISPs, Wi‑Fi público, caseros, gimnasios, consultas médicas y plataformas de contratación que exigen amplios derechos sobre los datos como condición del servicio.
- Varios subrayan que las quejas individuales sí funcionan, pero solo si la gente realmente las presenta; uno señala que problemas mundanos (baches, equipos rotos) también se solucionan rápido cuando se notifican.
Contexto EE. UU. vs UE / Reino Unido
- Los comentaristas de EE. UU. envidian los derechos al estilo GDPR; otros argumentan que las leyes de privacidad estadounidenses son débiles, fragmentadas y están frenadas por prácticas de vigilancia.
- Algunos señalan un conjunto creciente de leyes estatales de privacidad en EE. UU., pero aun así ven a la UE/EEE (y al Reino Unido, en su mayor parte alineado) como mucho más fuertes.
Críticas al GDPR y a los reguladores
- Algunos califican al GDPR de “pesadilla” o teatro burocrático, especialmente para las pequeñas empresas.
- Otros responden que es sencillo si no intentas “espiar” a los usuarios y solo recopilas lo que realmente necesitas.
- Los banners de cookies son ampliamente criticados como maliciosos o cumplimiento de culto cargo; varios explican que la ley de cookies subyacente es anterior al GDPR y que el comportamiento de la industria empeoró la experiencia de usuario.
- Los reguladores suecos y británicos son señalados como relativamente débiles o lentos; la autoridad noruega de protección de datos es elogiada por estar orientada al usuario, pero con capacidad limitada.