the art of being legal


Aceptar cookies o pagar: ¿Es legal?

Aceptar cookies o pagar: ¿Es legal?
8:52
A principios de este año, estaba buscando información en una conocida web de noticias española. Hice clic para entrar en el sitio web y me encontré con un “banner de cookies” que me ofrecía dos opciones:
  • Navegación gratuita mediante la aceptación de cookies
  • Suscribirme y rechazar

Básicamente, ¿quieres pagar este sitio web con dinero o con tus datos personales?

 

Abigail Sked-circulo-1Redactado por Abigail Sked

Paralegal 

Saber más

 

El ascenso del modelo "consentimiento o pago"

Desde principios de este año, muchos sitios web españoles han implantado "banners de cookies" parecidos, y la verdad, no es de extrañar.  En la guía 2024 de la Agencia Española de Protección de Datos (AEPD) sobre el uso de cookies, se indica que para obtener el consentimiento de sus usuarios para instalar en sus ordenadores cookies que no sean estrictamente necesarias, las empresas deben ofrecer “una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies” (la cursiva la hemos añadido nosotros).  Esto coincide con la sentencia del Tribunal de Justicia de la Unión Europea de 4 de julio de 2023, Meta Platforms Inc contra Bundeskartellamt, C-252/21, que establece que "esos usuarios deben disponer de la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato...lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos" (apartado 150).

Sin embargo, un nuevo dictamen (08/2024) adoptado por el Consejo Europeo de Protección de Datos (CEPD) sugiere que los modelos de "consentimiento o pago" deberían ofrecer una opción real.  Entramos en más detalles al respecto más a continuación.

En primer lugar, si no está seguro de qué son las cookies y cómo pueden utilizarse, puede que le resulten útiles nuestras preguntas frecuentes sobre las cookies.

Cookies: Preguntas más frecuentes

¿Qué son las cookies?

La AEPD define las cookies como “cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario (el dispositivo desde el cual el usuario accede al servicio) con la finalidad de almacenar información y recuperar la información ya almacenada”.

¿Cómo se pueden clasificar los distintos tipos de cookies?

Las cookies pueden dividirse en diferentes categorías en función de su procedencia, duración y finalidad:

Procedencia:

  • Cookies propias - El sitio web que usted está navegando es el que envía estas cookies a su dispositivo.
  • Cookies de tercero - En este caso, no es el sitio web que usted está navegando el que envía estas cookies a su dispositivo, sino un tercero como un anunciante o un sistema analítico.
Duración:
  • Cookies de sesión - Estas cookies son temporales; sólo permanecen mientras el usuario mantiene abierto su navegador (o una vez finalizada la sesión). Se suelen emplear para almacenar información que sólo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos).
  • Cookies persistentes - Son aquéllas que permanecen en el disco duro del usuario hasta que éste las borra o hasta que lo hace su navegador, en función de su fecha de caducidad (pueden durar, en principio, desde unos minutos a unos años). Es recomendable reducir la duración temporal de las cookies al mínimo necesario para cumplir su finalidad.

Ojo: Para que una cookie esté exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Por lo tanto, es mucho más probable que las cookies de sesión se consideren exceptuadas que las cookies persistentes.

Finalidad:

  • Cookies técnicas/estrictamente necesarias: Son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan.
  • Cookies de preferencias/personalización/funcionalidad: Son aquellas cookies que permiten recordar información para que la experiencia de usuario de una persona pueda diferir de la de otra (en cuanto al idioma, región desde la que accede al servicio, número de resultados de búsqueda mostrados, etc.).
  • Cookies de análisis/mediación/rendimiento: Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios.
  • Cookies de publicidad comportamental: Son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Estas categorías habituales se ofrecen a título orientativo. No obstante, los editores y los terceros pueden establecer las categorizaciones que consideren más adecuadas a los fines de las cookies que utilizan y que respeten el principio de transparencia frente a los usuarios.

Como empresa que utiliza cookies, ¿Cuáles son mis obligaciones frente a los usuarios de mi sitio web?

Las obligaciones legales que impone la normativa son dos: la obligación de transparencia y la obligación de obtención del consentimiento.

¿Algún tipo de cookie queda exento de estas obligaciones?

Quedan exceptuadas de esta normativa las cookies estrictamente necesarias, es decir, aquellas que permiten únicamente la comunicación entre el equipo del usuario y la red o que sólo se utilizan para la prestación de un servicio expresamente solicitado por el usuario. La AEPD ofrece estos ejemplos de cookies exceptuadas:

  • Cookies de “entrada del usuario”
  • Cookies de autenticación o identificación de
    usuario (únicamente de sesión).
  • Cookies de seguridad del usuario
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga.
  • Cookies de personalización de la interfaz de usuario.
  • Determinadas cookies de complemento
    (plug-in) para intercambiar contenidos
    sociales

Sin embargo, teniendo en cuenta el principio de transparencia del GDPR, sigue siendo recomendable informar a los usuarios del uso de estas cookies.

¿Qué información debo facilitar a los usuarios y en qué momento?

Debe proporcionar esta información al usuario antes de que comience el uso de cookies, por lo que en la mayoría de los casos esto significará tan pronto como haga clic para entrar en su sitio web. La información debe ser clara, concisa, fácil de entender para su público previsto y fácil de encontrar, razón por la cual los "banners de cookies" son tan útiles. Saltan a la pantalla, lo que significa que el usuario no puede evitar ver la información, ofrecen un resumen conciso de la información clave y una elección clara para aceptar o rechazar las cookies, y proporcionan un enlace a la política de cookies de su sitio web, donde el usuario puede encontrar la información más completa.

El banner de cookies claramente identificado debe incluir:

  • Identificación del editor responsable del sitio web
  • Identificación de las finalidades de las cookies que se utilizarán 
  • Información sobre si las cookies son propias o también de terceros asociados a él, sin que sea necesario identificar a los terceros en esta primera capa
  • Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios
  • Modo en que el usuario puede aceptar, configurar y rechazar la utilización de cookies
  • Un enlace claramente visible dirigido a la política de cookies

Mientras que su política de cookies debe incluir la siguiente información: 

  • Definición y función genérica de las cookies 
  • Información sobre el tipo de cookies que se utilizan y su finalidad
  • Identificación de quién utiliza las cookies 
  • Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies 
  • En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor 
  • Cuando se utilicen datos para la elaboración de perfiles que impliquen la toma de decisiones automatizadas con efectos jurídicos o similares para los usuarios, deberá informarles de la lógica utilizada para tomar estas decisiones y de la importancia y consecuencias previstas de dicho tratamiento de datos.
  • Periodo de conservación de los datos 
  • En relación con el resto de información exigida por el RGPD que no se refiera de forma específica a las cookies, el editor podrá remitirse a la política de privacidad. 
¿Cómo puedo recabar el consentimiento de los usuarios?

Hay que tener un poco de cuidado porque la mera inacción (como seguir navegando por el sitio web o consultar la política de cookies) no constituye una demostración válida de consentimiento. La forma más fácil y transparente de obtener el consentimiento es pedir a los usuarios que hagan clic en un botón que ponga algo así como "consiento" o "acepto".

Conviene tener en cuenta los siguientes aspectos:

  • El usuario debe haber realizado una clara acción afirmativa
  • Debe quedar claro para el usuario qué acción debe realizar para dar su consentimiento
  • El usuario debe poder aceptar o rechazar las cookies.
  • La información facilitada al usuario sobre las cookies en el momento de solicitar su consentimiento debe encontrarse separada de la información sobre otros temas.
  • La aceptación de los términos y condiciones del sitio web se debe separar de la aceptación de la política de privacidad o de la política de cookies.
  • Si el contenido de su sitio web está dirigido a menores de 14 años, debe hacerse un esfuerzo razonable para verificar que el que dio el consentimiento fue el titular de la patria potestad o tutela.
  • Los usuarios deben poder revocar su consentimiento en cualquier momento y debe ser tan fácil hacerlo como lo fue dar su consentimiento.

Obligaciones de los responsables del tratamiento: Polémica de las cookies

Las obligaciones legales que impone la normativa son dos: la obligación de transparencia y la obligación de obtención del consentimiento cuando se utilicen cookies que no sean estrictamente necesarias para la prestación del servicio solicitado por el usuario.

La cuestión polémica que se plantea a raíz de estos modelos de "consentimiento o pago" se refiere a la posibilidad de denegar el acceso a un servicio a quienes rechazan las cookies.

Los llamados "muros de cookies", que no ofrecen ninguna alternativa a la aceptación de cookies, no están permitidos.

Además, se debería proteger a determinadas personas de este tipo de banners. Por ejemplo, las empresas deben tener especial cuidado con la creación de cualquier tipo de barrera de acceso cuando su servicio esté relacionado con el ejercicio de un derecho legalmente reconocido y quizás su sitio web represente la única forma de ejercer ese derecho. Asimismo, los niños no deben ser objeto de publicidad comportamental y, por extensión, no deben enfrentarse a modelos de "consentimiento o pago" que soliciten el consentimiento para dicho tratamiento.

No obstante, la AEPD prevé determinadas situaciones en las que la no aceptación de cookies podría suponer una disminución de la funcionalidad o del acceso a un sitio web, siempre y cuando se informe de ello al usuario y se le ofrezca una alternativa no necesariamente gratuita que no le obligue a aceptar cookies y que sea, en la medida de lo posible, equivalente a la versión que utiliza cookies. 

Entonces, los modelos de consentimiento o pago, como el del principio de este artículo, deberían ser legales, ¿no?  Pues, no necesariamente, sobre todo si se trata de una gran plataforma en línea que utiliza cookies de publicidad comportamental. 

 

¿Qué opina el Consejo Europeo de Protección de Datos de los modelos "Consentimiento o pago"?

Publicidad comportamental de las grandes plataformas en línea

El Consejo Europeo de Protección de Datos (CEPD) se opone a que las grandes plataformas en línea (definidas en la sección 2.1.3. del Dictamen 08/2024) ofrezcan a los usuarios la mera posibilidad de elegir entre dar su consentimiento al tratamiento de sus datos personales con fines de publicidad comportamental o pagar una tasa.

Las cookies utilizadas para la publicidad comportamental ("publicidad que se basa en la observación del comportamiento de los individuos a lo largo del tiempo") son consideradas por muchos como las más intrusivas, ya que pueden utilizarse, junto con los datos proporcionados activamente por el usuario, para elaborar una imagen muy detallada de su vida personal y de quién es usted como persona (sus gustos y aversiones, su horario diario, su profesión, su estado civil, su rango de edad y otros datos demográficos, etc.).

 

Las alternativas de pago no se deben elegir por defecto

Por lo tanto, El CEPD considera que "ofrecer solo una alternativa de pago a los servicios que implican el tratamiento de datos personales con fines de publicidad comportamental no debe ser el camino por defecto para los responsables del tratamiento... Si los responsables del tratamiento optan por cobrar una tasa por el acceso a la 'alternativa equivalente', deben considerar de manera significativa la posibilidad de ofrecer una alternativa adicional. Esta alternativa gratuita debe ser sin publicidad comportamental, por ejemplo, con una forma de publicidad que implique el tratamiento de datos personales menores o nulos."

¿Cómo se podrían articular esas alternativas?

Si retomamos el ejemplo expuesto al principio de este artículo, la empresa podría plantearse ofrecer más aclaraciones y una tercera opción para sus banners de cookies, por ejemplo

  • Navegación gratuita mediante la aceptación de cookies de personalización de contenidos y de publicidad comportamental.
  • Navegación gratuita mediante la aceptación de cookies de personalización de contenidos.
  • Suscribirse y rechazar todas las cookies.

 

La importancia del consentimiento libremente otorgado para el tratamiento de datos 

En todos los casos en que el tratamiento de datos personales se base en el consentimiento, éste debe otorgarse libremente. Si el interesado no tiene ninguna opción real, se siente obligado a consentir o sufrirá consecuencias negativas si no consiente, entonces el consentimiento no será válido. Por lo tanto, las grandes plataformas en línea tendrán que evaluar caso por caso si su posición en el mercado, el servicio que prestan y la forma en que han solicitado el consentimiento harán que los usuarios se sientan obligados a pagar la tasa para acceder a su servicio. Para determinarlo, podrían plantearse las siguientes preguntas:

  • ¿La decisión de no dar su consentimiento llevaría al individuo a sufrir consecuencias negativas, como la exclusión de un servicio destacado, la falta de acceso a redes profesionales o el riesgo de perder contenidos o conexiones?
  • ¿Existe un desequilibrio de poder entre el individuo y nosotros, el responsable del tratamiento de datos?
    • ¿Cuál es nuestra posición en el mercado?
    • ¿Quién es nuestro público objetivo?
    • ¿Podría el individuo depender de este servicio?
  • ¿Se ha ofrecido a la persona la posibilidad de dar su consentimiento a diferentes operaciones de tratamiento (como las relacionadas con la funcionalidad del servicio y las relacionadas con la publicidad comportamental) en lugar de agruparlas todas?

 

Entonces, ¿son legales los modelos de "consentimiento o pago"?

Hay que recordar que este Dictamen del CEPD sólo se aplica directamente a las grandes plataformas en línea, pero puede servir de orientación para otras. El CEPD concluye su dictamen afirmando que el consentimiento obtenido por las grandes plataformas en línea en el contexto de los modelos de "consentimiento o pago" relativos a la publicidad comportamental solo podrá considerarse válido en la medida en que dichas plataformas puedan demostrar que se cumplen todos los requisitos pertinentes para que el consentimiento sea válido (indicación libre, informada, específica e inequívoca de los deseos), así como todos los principios del RGPD (limitación de la finalidad y minimización de los datos, lealtad, responsabilidad y protección de datos desde el diseño y por defecto).

 

¿Quiere conocer mejor sus derechos y obligaciones en virtud del RGPD?  Consulte este artículo: 

¿QUÉ ES EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) Y CÓMO ME AFECTA?

 

 

Fecha de publicación: 10 mayo 2024

Última actualización: 10 mayo 2024

Protección de Datos
Abigail Sked

Abigail Sked

Buscar

    Entradas Recientes

    Categorías

    Ver todo

    © Conesa Legal, S.L.P.U.