Les dije que el consentimiento forzado era ilegal. 5 años después le costó a Elkjop 1,8 millones de euros

Acción del regulador y resultado

  • A los comentaristas les impresiona que la autoridad noruega de protección de datos realmente impusiera una multa de 1,8 millones de euros y obligara a Elkjøp a cambiar su club de fidelidad, pero señalan que tardó unos ~5 años.
  • Algunos destacan que la multa es solo un primer paso: permite acciones representativas (tipo class action) que podrían costar entre 100 y 1000 veces más y pueden desencadenar acciones de los accionistas.
  • Otros preguntan cómo se compara la multa con el beneficio obtenido por el marketing ilegal; algunos sostienen que las multas deberían reflejar las ganancias ilícitas, mientras que otros prefieren multas graduadas basadas en ingresos por simplicidad y disuasión.

Consentimiento forzado y marketing bajo el GDPR

  • El problema central: la membresía en el club de fidelidad estaba condicionada a aceptar marketing; la única forma de dejar de recibirlo era abandonar el club.
  • Varios participantes aclaran que esto viola el GDPR: el consentimiento debe darse “libremente” y no puede ir mezclado con otras condiciones; las personas tienen un derecho absoluto a oponerse al marketing directo (art. 21 del GDPR, normas ePrivacy).
  • Tras la investigación, Elkjøp supuestamente cambió los flujos para que puedas tener una cuenta sin marketing, aunque aún quedan algunas dudas sobre el “soft opt-in”.

Debates sobre multas, incentivos y aplicación

  • Largo subhilo sobre cómo estructurar las sanciones:
    • Multas basadas en beneficios vs basadas en ingresos.
    • Multas graduales (como las del GDPR, de hasta el 4% de la facturación) frente a golpes puntuales.
    • Algunos quieren responsabilidad personal o cárcel para reincidentes; otros ven eso como desproporcionado para infracciones de marketing.
  • Hay preocupación de que una baja probabilidad de aplicación debilite incluso multas grandes.

Experiencias con abusos de privacidad

  • Muchas personas comparten historias similares de “consentimiento forzado”: clubes de fidelidad, ISPs, Wi‑Fi público, caseros, gimnasios, consultas médicas y plataformas de contratación que exigen amplios derechos sobre los datos como condición del servicio.
  • Varios subrayan que las quejas individuales sí funcionan, pero solo si la gente realmente las presenta; uno señala que problemas mundanos (baches, equipos rotos) también se solucionan rápido cuando se notifican.

Contexto EE. UU. vs UE / Reino Unido

  • Los comentaristas de EE. UU. envidian los derechos al estilo GDPR; otros argumentan que las leyes de privacidad estadounidenses son débiles, fragmentadas y están frenadas por prácticas de vigilancia.
  • Algunos señalan un conjunto creciente de leyes estatales de privacidad en EE. UU., pero aun así ven a la UE/EEE (y al Reino Unido, en su mayor parte alineado) como mucho más fuertes.

Críticas al GDPR y a los reguladores

  • Algunos califican al GDPR de “pesadilla” o teatro burocrático, especialmente para las pequeñas empresas.
  • Otros responden que es sencillo si no intentas “espiar” a los usuarios y solo recopilas lo que realmente necesitas.
  • Los banners de cookies son ampliamente criticados como maliciosos o cumplimiento de culto cargo; varios explican que la ley de cookies subyacente es anterior al GDPR y que el comportamiento de la industria empeoró la experiencia de usuario.
  • Los reguladores suecos y británicos son señalados como relativamente débiles o lentos; la autoridad noruega de protección de datos es elogiada por estar orientada al usuario, pero con capacidad limitada.