Offboarding & account deletion

La FTC publico en octubre de 2024 la actualización a la Negative Option Rule, conocida como Click-to-Cancel: el mecanismo de cancelación debe ser tan simple y por el mismo medio que el de alta. Si el usuario se suscribio online en dos clics, debe poder cancelar online en dos clics, sin desviarlo a un telefono o a un chat de retención. Bloquear la baja por web cuando el alta fue por web es practica prohibida y la señal más clara de un roach motel.

El RGPD Art. 20 reconoce el derecho a la portabilidad: el usuario puede recibir sus datos personales en un formato estructurado, de uso común y lectura mecanica (JSON, CSV, ZIP). El flujo de eliminación debe incluir un paso previo que ofrezca descargar todo su historial antes de perderlo para siempre. Ese paso es un servicio al usuario, optativo, nunca una barrera que retrase la baja. Borrar en un solo clic sin mencionar el historial deja al usuario sin recurso.

El borrado de cuenta es destructivo e irreversible, así que la confirmación debe ser explicita y enumerar lo que se pierde: archivos, suscripción activa, datos de equipo. Usa una acción de confirmación deliberada, como escribir la palabra ELIMINAR o el nombre de la cuenta, para evitar borrados accidentales por inercia. Lo que no debe hacer la confirmación es avergonzar: el botón de cancelar nunca lleva copy de confirm-shaming. Lista los hechos, no manipules la emoción.

Entre la confirmación de borrado y la destrucción real conviene un periodo de gracia de 14 a 30 días en el que la cuenta queda desactivada pero recuperable con un clic. Cubre los borrados por enojo, por error o por cuenta comprometida, sin convertirse en una barrera de retención: el usuario ya no tiene acceso ni se le cobra. Comunica con claridad la fecha exacta de borrado definitivo y el camino de recuperación. Pasada esa fecha, la eliminación es real e irreversible.

Desactivar y eliminar son acciones distintas con consecuencias muy distintas, y mezclarlas confunde y asusta. Desactivar pausa la cuenta de forma reversible y conserva los datos; eliminar destruye todo de forma permanente. Presenta ambas opciones separadas y etiquetadas con su efecto exacto, no escondas el borrado real detras de un eufemismo ni hagas que desactivar parezca destruir. Muchos usuarios solo quieren una pausa, y ofrecerla evita bajas definitivas sin recurrir a la manipulación.

El patrón oscuro Hard to Cancel, o roach motel, hace que entrar sea instantaneo pero salir exija laberintos, llamadas o esperas de días. deceptive.design documenta casos donde suscribirse tomaba segundos y cancelar requeria minutos de atención telefonica. Cada paso, pantalla de retención u oferta de descuento que se interpone entre el usuario y la salida es deuda de confianza, y desde la Negative Option Rule de la FTC también es riesgo legal. El camino de baja debe tener exactamente los pasos imprescindibles.

Recoger por que se va el usuario es valioso para el producto, pero el formulario debe ser opcional y posterior a la acción, nunca un paso obligatorio que la bloquee. El usuario ya decidio; la encuesta es un servicio al producto, no al usuario. Colocar una lista de razones obligatoria antes del botón de confirmar convierte una herramienta de insight en una barrera de retención encubierta que choca con la Negative Option Rule. Confirmar primero, encuestar después, con un botón de saltar siempre visible.

El RGPD Art. 17 establece el derecho al olvido: cuando el usuario elimina su cuenta, el responsable debe suprimir sus datos personales sin dilación indebida, no solo ocultarlos o marcarlos como inactivos. Eso obliga a borrar registros en bases de datos, backups en su ciclo y copias en proveedores y servicios de terceros, y a propagar la orden a los encargados del tratamiento. En California, la CCPA da un plazo de 45 días calendario y exige notificar a los proveedores de servicio. Un soft-delete que conserva los datos indefinidamente incumple la norma.