Básicamente, ¿quieres pagar este sitio web con dinero o con tus datos personales?
Paralegal
Desde principios de este año, muchos sitios web españoles han implantado "banners de cookies" parecidos, y la verdad, no es de extrañar. En la guía 2024 de la Agencia Española de Protección de Datos (AEPD) sobre el uso de cookies, se indica que para obtener el consentimiento de sus usuarios para instalar en sus ordenadores cookies que no sean estrictamente necesarias, las empresas deben ofrecer “una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies” (la cursiva la hemos añadido nosotros). Esto coincide con la sentencia del Tribunal de Justicia de la Unión Europea de 4 de julio de 2023, Meta Platforms Inc contra Bundeskartellamt, C-252/21, que establece que "esos usuarios deben disponer de la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato...lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos" (apartado 150).
Sin embargo, un nuevo dictamen (08/2024) adoptado por el Consejo Europeo de Protección de Datos (CEPD) sugiere que los modelos de "consentimiento o pago" deberían ofrecer una opción real. Entramos en más detalles al respecto más a continuación.
En primer lugar, si no está seguro de qué son las cookies y cómo pueden utilizarse, puede que le resulten útiles nuestras preguntas frecuentes sobre las cookies.
Las obligaciones legales que impone la normativa son dos: la obligación de transparencia y la obligación de obtención del consentimiento cuando se utilicen cookies que no sean estrictamente necesarias para la prestación del servicio solicitado por el usuario.
La cuestión polémica que se plantea a raíz de estos modelos de "consentimiento o pago" se refiere a la posibilidad de denegar el acceso a un servicio a quienes rechazan las cookies.
Los llamados "muros de cookies", que no ofrecen ninguna alternativa a la aceptación de cookies, no están permitidos.
Además, se debería proteger a determinadas personas de este tipo de banners. Por ejemplo, las empresas deben tener especial cuidado con la creación de cualquier tipo de barrera de acceso cuando su servicio esté relacionado con el ejercicio de un derecho legalmente reconocido y quizás su sitio web represente la única forma de ejercer ese derecho. Asimismo, los niños no deben ser objeto de publicidad comportamental y, por extensión, no deben enfrentarse a modelos de "consentimiento o pago" que soliciten el consentimiento para dicho tratamiento.
No obstante, la AEPD prevé determinadas situaciones en las que la no aceptación de cookies podría suponer una disminución de la funcionalidad o del acceso a un sitio web, siempre y cuando se informe de ello al usuario y se le ofrezca una alternativa no necesariamente gratuita que no le obligue a aceptar cookies y que sea, en la medida de lo posible, equivalente a la versión que utiliza cookies.
Entonces, los modelos de consentimiento o pago, como el del principio de este artículo, deberían ser legales, ¿no? Pues, no necesariamente, sobre todo si se trata de una gran plataforma en línea que utiliza cookies de publicidad comportamental.
El Consejo Europeo de Protección de Datos (CEPD) se opone a que las grandes plataformas en línea (definidas en la sección 2.1.3. del Dictamen 08/2024) ofrezcan a los usuarios la mera posibilidad de elegir entre dar su consentimiento al tratamiento de sus datos personales con fines de publicidad comportamental o pagar una tasa.
Las cookies utilizadas para la publicidad comportamental ("publicidad que se basa en la observación del comportamiento de los individuos a lo largo del tiempo") son consideradas por muchos como las más intrusivas, ya que pueden utilizarse, junto con los datos proporcionados activamente por el usuario, para elaborar una imagen muy detallada de su vida personal y de quién es usted como persona (sus gustos y aversiones, su horario diario, su profesión, su estado civil, su rango de edad y otros datos demográficos, etc.).
Por lo tanto, El CEPD considera que "ofrecer solo una alternativa de pago a los servicios que implican el tratamiento de datos personales con fines de publicidad comportamental no debe ser el camino por defecto para los responsables del tratamiento... Si los responsables del tratamiento optan por cobrar una tasa por el acceso a la 'alternativa equivalente', deben considerar de manera significativa la posibilidad de ofrecer una alternativa adicional. Esta alternativa gratuita debe ser sin publicidad comportamental, por ejemplo, con una forma de publicidad que implique el tratamiento de datos personales menores o nulos."
Si retomamos el ejemplo expuesto al principio de este artículo, la empresa podría plantearse ofrecer más aclaraciones y una tercera opción para sus banners de cookies, por ejemplo
En todos los casos en que el tratamiento de datos personales se base en el consentimiento, éste debe otorgarse libremente. Si el interesado no tiene ninguna opción real, se siente obligado a consentir o sufrirá consecuencias negativas si no consiente, entonces el consentimiento no será válido. Por lo tanto, las grandes plataformas en línea tendrán que evaluar caso por caso si su posición en el mercado, el servicio que prestan y la forma en que han solicitado el consentimiento harán que los usuarios se sientan obligados a pagar la tasa para acceder a su servicio. Para determinarlo, podrían plantearse las siguientes preguntas:
Hay que recordar que este Dictamen del CEPD sólo se aplica directamente a las grandes plataformas en línea, pero puede servir de orientación para otras. El CEPD concluye su dictamen afirmando que el consentimiento obtenido por las grandes plataformas en línea en el contexto de los modelos de "consentimiento o pago" relativos a la publicidad comportamental solo podrá considerarse válido en la medida en que dichas plataformas puedan demostrar que se cumplen todos los requisitos pertinentes para que el consentimiento sea válido (indicación libre, informada, específica e inequívoca de los deseos), así como todos los principios del RGPD (limitación de la finalidad y minimización de los datos, lealtad, responsabilidad y protección de datos desde el diseño y por defecto).
¿Necesitas redactar una política de cookies? Podemos ayudarte. Consulta nuestros servicios de protección de datos: