(este artículo fue publicado originalmente, aquí, en el blog de Universidad Ecommerce)
Tengo un coworking cerca del centro de Madrid (LIVINK), y ando escaso de clientes. Volver a la oficina no está entre los planes de muchos trabajadores, todavía. Qué te voy a contar que no sepas. Seguimos funcionando y creo que salvaremos la situación, pero no te voy a engañar, no me vendría mal llenar unos cuantos huecos.
Hace unos días conocí a Pablo Renaud por Twitter, y al ver que es Director de Universidad Ecommerce pensé que alguno de los profesores o miembros de su comunidad, de los que viven en Madrid, podrían estar interesados en venir a trabajar a mi espacio. LIVINK es un coworking orientado a startups y profesionales del mundo digital, con un buen puñado de empresas dedicadas al sector ecommerce, y Universidad Ecommerce es un espacio dedicado a profesionales del sector ecommerce. El match es casi perfecto, sólo necesito que Pablo me pase una lista con los emails de estas personas.
El problema es que Pablo, según el RGPD, no puede hacer eso, y si lo hiciese se está arriesgando, si lo pillan, a que le caiga una buena multa que puede llegar a ser del 4% de su facturación anual. Por poner otro ejemplo, en LIVINK podríamos recibir también una multa si tuviéramos en papel, y a la vista de todo el que pasa, los contratos que firmamos con los clientes en los que aparecen todos sus datos. Y otra multa si decidiéramos tirarlos al contenedor azul sin antes destruirlos.
Resumiendo mucho, el RGPD obliga a las empresas a custodiar fielmente los datos de sus clientes, a hacer todo lo posible para evitar que los datos queden a la vista de un tercero, y a no compartir estos datos con nadie, salvo que el cliente dé su permiso expreso. Todos esos ‘aceptar’, ‘continuar’, ‘aceptar’, que pasas sin leer incluyen este tipo de permisos.
La Unión Europea se ha tomado muy en serio qué hacen, o mejor dicho, qué no pueden hacer, las empresas con los datos de sus clientes, pero no lo han previsto todo.
El problema de la logística y la privacidad
“It’s easier to ship bits than atoms.”
Piensa en lo último que compraste online, ya sea en Amazon o en cualquier otra tienda. ¿Cómo sabía la persona que te lo entregó a qué timbre llamar y por quién preguntar? ¡Obvio! Porque tu nombre completo, tu dirección y seguramente tu teléfono estaban impresos en una etiqueta que va pegada en la caja o el sobre, bien a la vista de cualquiera que pueda acercarse lo suficiente.
¿Y sabes, por casualidad, cuantas personas han estado lo suficientemente cerca como para ver tus datos? Vamos a verlo.
La parte logística del proceso de compra es el siguiente:
- Entras en cualquier tienda online, eliges lo que quieres comprar, rellenas tus datos para que te puedan enviar el paquete, y pagas. En cualquier ecommerce hay mínimo 2 personas implicadas, a veces más. Estas personas pueden saber tu nombre, dirección y teléfono. Piensa en la última vez que compraste en tienda física. ¿Te pidieron estos datos? No. A nadie se le ocurriría pedir esta información en una tienda física porque no es imprescindible para completar el proceso de venta. Sigamos.
- La tienda no tiene almacén propio porque tiene contratado un servicio de fulfillment, y tiene que enviar la información que tú le diste a esta empresa.
- Las empresas que dan servicio de fulfillment tienen la mercancía ordenada y almacenada a la espera de recibir órdenes de pedido, como esta que acabas de hacer. Cuando entra un pedido, el/la operario/a de la empresa de fulfillment selecciona de las estanterías lo que tú has comprado, lo mete en una caja o un sobre y le pone una pegatina con tu nombre completo, dirección y teléfono. Si esta empresa es pequeña puede que este proceso lo haga una única persona, pero si es grande es probable que participen dos o más.
- Las empresas que dan servicio de fulfillment suelen trabajar con varios operadores de logística y va asignando paquetes a los operadores según zonas o costes.
- La empresa de logística (llamésmole empresa A) manda un camión al almacén y recoge los paquetes contratados. El camión lo conduce una persona (aunque a veces van dos) que tiene acceso a la información que va pegada en los paquetes. El camión lleva los paquetes a su propio almacén para clasificarlos, donde probablemente los recepcione otra persona.
- Al día siguiente, otro/a operario/a, que puede ser de esta misma empresa que almacena o de otra empresa de logística completamente diferente (empresa B), recoge tu paquete para entregarlo en tu domicilio, o en otro almacén. Si el almacén de fulfillment mencionado en el punto 2 está en la misma ciudad del comprador, la empresa de logística B será la que te lo entregue en tu casa. Pero si el comprador vive en otra provincia, los puntos 5 y 6 se pueden repetir varias veces con diferentes empresas de logística C, D, etc.
- Y si no estás en casa cuando te lo vayan a entregar, puede que tu paquete pase por las manos del portero de edificio, algún vecino o los compañeros de la oficina.
- Y si no te preocupas de quitarle la etiqueta a tus paquetes, cuando lo tires al contenedor te pasará lo mismo que a este irrespetuoso ciudadano que no lleva el cartón al contenedor azul, que tus datos quedan a la vista de cualquier que pase por la calle.
9. Y si te asomas a un contenedor verás decenas de embalajes con nombres, direcciones y teléfonos. Seguro que si voy por la calle parando a la gente y pidiéndoles su nombre, dirección y teléfono acabo en el calabozo, cuando mirando en la basura podría conseguir toda esta información de forma relativamente fácil.
¿Has hecho la cuenta del número de personas que tienen acceso a tu información más delicada? Piensa realmente a quién le darías tu nombre, dirección y teléfono: a muy poca gente y de mucha confianza. Y la Unión Europea preocupada porque Pablo me comparta un par de emails. ¡Qué cosas!
Mira lo que puede hacer un hacker con tu teléfono móvil, por poner un ejemplo (https://twitter.com/mikko/status/1379686946117668867) o con información sacada de redes sociales (https://archive.ph/8Mphs).
Aquí hay un problema de privacidad grave. De hecho, ha pasado de grave a muy grave desde que entró en vigor la última directiva de la Unión Europea sobre pagos digitales (PSD2), que obliga forzosamente a autenticar al comprador en todas las compras superiores a una cantidad (empezó con 30 y ahora ha subido a 50 €, si no me equivoco). Y la forma habitual de autenticar al comprador es mediante un SMS a su número de móvil. El mismo número de móvil que va impreso en la etiqueta de casi todo lo que compras online.
¿Por qué la privacidad es importante?
La privacidad es una componente de la libertad y si pierdes privacidad pierdes libertad. Y no existe idea más importante que la libertad; la vida es básicamente un cámino de búsqueda, práctica, ejercicio y defensa de la libertad.
Hoy en día, raro es el paquete que no viene con la marca de la tienda dónde compré. Si compro vino en una bodega, si compro en una marca de ropa concreta o si compro en Amazon, todas las personas por cuyas manos pasa el paquete lo saben. Amazon es una empresa que genera odio. ¿Por qué tiene que saber el portero del edificio que compro en Amazon? ¿Por qué tiene que saber el repartidor de SEUR, MRW, UPS o la que sea, si compro objetos caros por Internet?
Si una persona desconocida, o a la que yo no he dado permiso, sabe lo que compro por Internet, por muy buena persona que sea, estoy perdiendo privacidad.
Hasta aquí, un ejercicio para poner blanco sobre negro el problema de privacidad, pero como ingeniero no puedo resistir a proponer una solución.
Aquí os la dejo, por si estáis interesados.