- Navegació gratuïta mitjançant l'acceptació de cookies
- Subscriure'm i rebutjar
Bàsicament, ¿voleu pagar aquest lloc web amb diners o amb les vostres dades personals?
Article escrit per
Abigail Sked
Assessora legal mercantil
Abigail Sked és assessora legal a Conesa Legal, especialitzada en dret mercantil i protecció de dades. Acompanya empreses en la redacció i negociació de contractes i en el compliment normatiu.
ACCEPTAR COOKIES O PAGAR: ÉS LEGAL?
Abigail Sked, Especialista en protecció de dades (Subtítols disponibles en castellà i anglès)
L'ascens del model "consentiment o pagament"
Des de principis d'aquest any, molts llocs web espanyols han implantat "banners de cookies" similars, i la veritat, no és d'estranyar. A la guia 2024 de l'Agència Espanyola de Protecció de Dades (AEPD) sobre l'ús de cookies, s'indica que per obtenir el consentiment dels seus usuaris per instal·lar als seus ordinadors cookies que no siguin estrictament necessàries, les empreses han d'oferir "una alternativa, no necessàriament gratuïta, d'accés al servei sense necessitat d'acceptar l'ús de cookies" (la cursiva l'hem afegida nosaltres). Això coincideix amb la sentència del Tribunal de Justícia de la Unió Europea de 4 de juliol de 2023, Meta Platforms Inc contra Bundeskartellamt, C-252/21, que estableix que "aquests usuaris han de disposar de la llibertat de negar-se individualment a prestar el seu consentiment a operacions particulars de tractament de dades que no siguin necessàries per a l'execució del contracte... la qual cosa implica que s'ofereixi a aquests usuaris, si escau a canvi d'una remuneració adequada, una alternativa equivalent no acompanyada d'aquestes operacions de tractament de dades" (apartat 150).
No obstant això, un nou dictamen (08/2024) adoptat pel Comitè Europeu de Protecció de Dades (CEPD) suggereix que els models de "consentiment o pagament" haurien d'oferir una opció real. En detallem més aspectes a continuació.
En primer lloc, si no esteu segurs de què són les cookies i com es poden utilitzar, potser us resultaran útils les nostres preguntes freqüents sobre les cookies.
Cookies: Preguntes més freqüents
Obligacions dels responsables del tractament: Polèmica de les galetes
Les obligacions legals que imposa la normativa són dues: l'obligació de transparència i l'obligació d'obtenir el consentiment quan s'utilitzin galetes que no siguin estrictament necessàries per a la prestació del servei sol·licitat per l'usuari.
La qüestió polèmica que es planteja arran d'aquests models de "consentiment o pagament" fa referència a la possibilitat de denegar l'accés a un servei a aquells que rebutgen les galetes.
Els anomenats "murs de galetes", que no ofereixen cap alternativa a l'acceptació de galetes, no estan permesos.
A més, caldria protegir determinades persones d'aquest tipus de bàners. Per exemple, les empreses han de tenir una cura especial amb la creació de qualsevol tipus de barrera d'accés quan el seu servei estigui relacionat amb l'exercici d'un dret legalment reconegut i potser el seu lloc web representi l'única forma d'exercir aquest dret. Així mateix, els infants no han de ser objecte de publicitat comportamental i, per extensió, no han d'enfrontar-se a models de "consentiment o pagament" que sol·licitin el consentiment per a aquest tractament.
No obstant això, la Agència Espanyola de Protecció de Dades (AEPD) preveu determinades situacions en les quals la no acceptació de galetes podria suposar una disminució de la funcionalitat o de l'accés a un lloc web, sempre que se n'informi l'usuari i se li ofereixi una alternativa no necessàriament gratuïta que no l'obligui a acceptar galetes i que sigui, en la mesura del possible, equivalent a la versió que utilitza galetes.
Llavors, els models de consentiment o pagament, com el de l'inici d'aquest article, haurien de ser legals, oi? Doncs, no necessàriament, sobretot si es tracta d'una gran plataforma en línia que utilitza galetes de publicitat comportamental.
Què opina el Consell Europeu de Protecció de Dades sobre els models "Consentiment o pagament"?
Publicitat comportamental de les grans plataformes en línia
El Consell Europeu de Protecció de Dades (CEPD) s'oposa al fet que les grans plataformes en línia (definides a la secció 2.1.3. del Dictamen 08/2024) ofereixin als usuaris la mera possibilitat de triar entre donar el seu consentiment al tractament de les seves dades personals amb finalitats de publicitat comportamental o pagar una taxa.
Les galetes utilitzades per a la publicitat comportamental ("publicitat que es basa en l'observació del comportament dels individus al llarg del temps") són considerades per molts com les més intrusives, ja que poden utilitzar-se, juntament amb les dades proporcionades activament per l'usuari, per elaborar una imatge molt detallada de la seva vida personal i de qui és vostè com a persona (els seus gustos i aversions, el seu horari diari, la seva professió, el seu estat civil, el seu rang d'edat i altres dades demogràfiques, etc.).
Les alternatives de pagament no s'han de triar per defecte
Per tant, el CEPD considera que "oferir només una alternativa de pagament als serveis que impliquen el tractament de dades personals amb finalitats de publicitat comportamental no ha de ser el camí per defecte per als responsable del tractaments... Si els responsable del tractaments opten per cobrar una taxa per l'accés a l'«alternativa equivalent», han de considerar de manera significativa la possibilitat d'oferir una alternativa addicional. Aquesta alternativa gratuïta ha de ser sense publicitat comportamental, per exemple, amb una forma de publicitat que impliqui el tractament de dades personals menor o nul."
Com es podrien articular aquestes alternatives?
Si reprèn l'exemple exposat al principi d'aquest article, l'empresa podria plantejar-se oferir més aclariments i una tercera opció per als seus bàners de galetes, per exemple
- Navegació gratuïta mitjançant l'acceptació de galetes de personalització de continguts i de publicitat comportamental.
- Navegació gratuïta mitjançant l'acceptació de galetes de personalització de continguts.
- Subscriure's i rebutjar totes les galetes.
La importància del consentiment atorgat lliurement per al tractament de dades
En tots els casos en què el tractament de dades personals es basi en el consentiment, aquest s'ha d'atorgar lliurement. Si l'interessat no té cap opció real, se sent obligat a consentir o patirà conseqüències negatives si no consent, aleshores el consentiment no serà vàlid. Per tant, les grans plataformes en línia hauran d'avaluar cas per cas si la seva posició en el mercat, el servei que presten i la forma en què han sol·licitat el consentiment faran que els usuaris se sentin obligats a pagar la taxa per accedir al seu servei. Per determinar-ho, podrien plantejar-se les preguntes següents:
- ¿La decisió de no donar el seu consentiment portaria l'individu a patir conseqüències negatives, com l'exclusió d'un servei destacat, la manca d'accés a xarxes professionals o el risc de perdre continguts o connexions?
- ¿Hi ha un desequilibri de poder entre l'individu i nosaltres, el responsable del tractament de dades?
- ¿Quina és la nostra posició al mercat?
- ¿Qui és el nostre públic objectiu?
- ¿Podria l'individu dependre d'aquest servei?
- ¿S'ha ofert a la persona la possibilitat de donar el seu consentiment a diferents operacions de tractament (com les relacionades amb la funcionalitat del servei i les relacionades amb la publicitat comportamental) en lloc d'agrupar-les totes?
Llavors, ¿són legals els models de "consentiment o pagament"?
Cal recordar que aquest Dictamen del CEPD només s'aplica directament a les grans plataformes en línia, però pot servir d'orientació per a d'altres. El CEPD conclou el seu dictamen afirmant que el consentiment obtingut per les grans plataformes en línia en el context dels models de "consentiment o pagament" relatius a la publicitat comportamental només podrà considerar-se vàlid en la mesura en què aquestes plataformes puguin demostrar que es compleixen tots els requisits pertinents perquè el consentiment sigui vàlid (indicació lliure, informada, específica i inequívoca de la voluntat), així com tots els principis del RGPD (limitació de la finalitat i minimització de les dades, lleialtat, responsabilitat i protecció de dades des del disseny i per defecte).
Necessiteu redactar una política de cookies? Podem ajudar-vos. Consulteu els nostres serveis de protecció de dades: