La Agencia Española de Protección de Datos, en la nota de prensa en la que daba cuenta de la actualización de su “Guía sobre el uso de cookies”, estableció el 11 de enero de 2024 como fecha límite para implementar los criterios contenidos en la misma, criterios que, a juicio de muchos, ya debían estar implementados antes de su publicación en aras a los principios fundamentales establecidos en el RGPD, entre otros, el de transparencia. Aun así, el plazo, fijado quedó, entendiéndose este a los efectos de no iniciar inspecciones de oficio pues, como decimos, dichos criterios debían ya estar implementados con anterioridad.
Pues bien, llegado el dies a quo la gran mayoría de la prensa online de este país, ha procedido a implementar lo que se conoce como “pay or ok” (Meta sabe de qué hablamos) o “cookie paywalls” (pagar por rechazar cookies), esto es, o se consiente la instalación de cookies publicitarias o se paga “x” cantidad, se entiende, para que dichas cookies no sean instaladas. Lo anterior, como no podía ser de otra manera, ha causado gran revuelo, por lo que procede, someramente, analizar la viabilidad jurídica de dichas opciones de pago en los servicios online.
Algunas autoridades europeas ya se han pronunciado al respecto, como veremos, emitiendo resoluciones en contra de determinadas prácticas. Otras emitieron guías o recomendaciones para una correcta implantación de los muros de pago de cookies.
Banner de cookies de el periódico “El País” con suscripción por 11 euros al mes o 105 euros al año.Banner de cookies de el periódico “El País” con suscripción por 11 euros al mes o 105 euros al año.
El consentimiento es la base legal adecuada para el seguimiento online, La directiva e-Privacy y aquí la LSSI disponen, como norma especial, que la instalación de rastreadores en el dispositivo del usuario requiere de su consentimiento, salvo que se trate de dispositivos de almacenamiento y recuperación de datos que sean necesarios para la navegación. Así, tendremos, en primer lugar, el consentimiento según e-Privacy para la instalación de cookies no necesarias (también exceptuadas determinadas cookies funcionales y analíticas) y un consentimiento, en su caso, para el tratamiento de datos personales para el envío de publicidad dirigida.
Así lo estableció el TJUE (Meta vs Bundeskartellamt), indicando, a su vez, que dicho consentimiento debe ser libre, lo cual no impide que puedan ofrecerse alternativas de pago equitativas y adecuadas:
“Así pues, en el marco del proceso contractual, esos usuarios deben disponer de la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos.”
El consentimiento, en todo caso, como decimos, debe ser libre, voluntario por parte del usuario, por lo que no deben usarse subterfugios o presiones para que el usuario opte por consentir frente a la opción de suscripción o pago.
En julio de 2023, la autoridad de protección de datos de la Baja Sajonia (Alemania) dictaminó, ante una reclamación formulada por NOYB contra uno de los principales medios de prensa del país (heise.de), que sin bien la opción “Pay or Okay” puede ser legítima no lo era tal y como la había implementado el medio, ya que el consentimiento no se prestaba de manera específica para determinados fines, ni era libre (ya que era dirigido), ni informado, ni era tan fácil retirarlo como prestarlo. Además, los rastreadores se instalaban, y trataban datos personales, tan pronto se abría el sitio, sin que el usuario realizara ninguna acción adicional.
Por último, a saber, que la DPA no entró a valorar la desproporción en el coste que debía pagar el usuario para suscribirse y, supuestamente, no ser rastreado (según NOYB 428 veces más caro para los usuarios proteger su privacidad que lo que gana la empresa procesando sus datos), ni la mayor dificultad para el usuario que elige la opción de suscripción.
Por su parte, la AEPD establecía en su actualización de la guía de cookies (julio de 2023) que: “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.”
La CNIL (DPA francesa) no niega la licitud de la utilización de opciones de pago, si bien esta contraprestación monetaria no debe privar a los internautas de una posibilidad real de elección, por lo tanto, el precio debe ser razonable, lo cual deberá ser determinado caso por caso y justificado por el editor, incluyendo la opción de micropagos para determinado contenido y, en su caso, sin necesidad de facilitar los datos de la tarjeta de crédito. La creación de una cuenta de usuario, en cualquier caso, debe ser necesaria, por ejemplo, para disfrutar de una suscripción en distintos terminales. En esta misma línea se sitúa la DPA Danesa.
Si bien parece que, ahora, este modelo se ha implementado únicamente por parte de los medios de comunicación online, lo cierto es que el mismo puede ser utilizado por cualquier servicio digital.
Su utilización es legal, sí, así lo han venido refrendando las distintas autoridades de control y el TJUE, tal y como hemos visto. No obstante, deben cumplirse unos requisitos que, parece, la gran mayoría de compañías que lo han implementado (tampoco Meta) cumplen.
Es fundamental que los editores obtengan, en su caso, el consentimiento libremente, lo que conlleva que el usuario no se vea forzado a otorgarlo por ser la alternativa desproporcionada, no equitativa, o claramente improcedente, lo que debe ponerse en relación con la cantidad que el editor obtiene si el usuario consiente en virtud de los ingresos por publicidad. A estos efectos, sirva como ejemplo el caso del diario austriaco “Der Standard” pues, según NOYB mientras que este sólo ganaba unos céntimos con la publicidad, los lectores que no querían que se trataran sus datos para publicidad comportamental debían pagar 96 euros al año, por lo que los beneficios de uno y otro modo eran claramente desproporcionados.
Asimismo, el consentimiento prestado para el usuario debe ser informado y, en su caso, diferenciado para cada una de las finalidades pretendidas por el editor. Ni que decir tiene que, además de lo anterior, la libertad en el consentimiento también vendrá dada por la no utilización de patrones oscuros o técnicas para inducir al usuario a consentir.
Otro de los incumplimientos flagrantes que se están viendo en las últimas horas es la instalación, sin mediar acción alguna de los usuarios, de rastreadores al cargarse la página, esto es, el tratamiento de datos sin contar con base legal para ello. Esto puede comprobarse, simplemente, dando un vistazo a la consola del navegador (clicando F12) y verificando los rastreadores descargados antes de prestar el consentimiento.
Y, por último, y no por ello menos importante, si no pagas, no pueden rastrearte.
No podemos terminar la presente, sin embargo, sin hacer notar que las prácticas llevadas a cabo por los medios estas últimas horas, podrían, en su caso, constituir incumplimientos no solo en materia de protección de datos sino en el ámbito de la competencia.
