Por Javier Sevilla
El pasado 17 de abril de 2024, el Comité Europeo de Protección de Datos (en adelante, “CEPD” o, por sus siglas en inglés, “EDPB”) se pronunció sobre la validez del modelo denominado “pay or consent” (“consentimiento o pago”) utilizado por las grandes plataformas en línea para tratar datos personales con fines de publicidad comportamental, mediante la Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms [1] (en adelante, el “Dictamen”).
El Dictamen no constituye una resolución vinculante, sino que aporta la respuesta del CEPD a las distintas peticiones de las autoridades de protección de datos europeas (en concreto, Países Bajos, Noruega y Hamburgo), respecto al encaje de los modelos de consentimiento o pago en la legislación de protección de datos.
Para una correcta interpretación del Dictamen analizamos su contenido y aplicación, en referencia a los siguientes puntos:
1. Aplicación a las “grandes plataformas en línea”.
El Dictamen del CEPD únicamente es de aplicación a las grandes plataformas en línea, pero dicho término no encuentra una definición precisa en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”), por lo que se debe evaluar la situación de los Responsables del Tratamiento (en adelante, el “Responsable” o los “Responsables”) caso por caso. Para ello, puede tenerse en consideración la definición del artículo 3, letra i), del Reglamento (UE) 2022/2065 del Parlamento y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (en adelante, “DSA”) y otros aspectos como el número de usuarios, el volumen de datos, el alcance geográfico de la actividad de tratamiento y la posición de dominio de la empresa en el mercado.
Así, se excluyen de la aplicación de este Dictamen a los medios de comunicación y otros soportes publicitarios que no se consideran grandes plataformas en línea, y a quienes no les afectará dicha prohibición.
2. Alternativa equivalente al modelo de pago.
Hasta ahora, las grandes plataformas en línea venían permitiendo el acceso a sus contenidos de forma totalmente gratuita. Sin embargo, con la irrupción de los modelos de consentimiento o pago, los usuarios se ven obligados a elegir entre: (i) seguir utilizando los servicios de manera gratuita, lo que conlleva consentir el tratamiento de sus datos personales con fines publicitarios; o (ii) hacer frente a las tarifas impuestas por las plataformas, para rechazar todo tratamiento no indispensable para su funcionamiento.
La adopción de estos modelos ha tenido como resultado que la mayoría de los usuarios, con el fin de evitar las opciones de pago, se vean condicionados a otorgar su consentimiento para el tratamiento de sus datos personales con fines publicitarios, lo que supone que dicho consentimiento no se preste de manera libre y consciente, sino como una elección por descarte ante la opción de pago.
Una vez analizada dicha estrategia, se concluye que la mayoría de los usuarios dan su consentimiento sin comprender plenamente las implicaciones, y solo para evitar las tarifas impuestas por las plataformas, sin contar con la suficiente información sobre las finalidades y consecuencias de su aceptación.
Por tanto, el Dictamen ha determinado que los modelos de consentimiento o pago solo serán válidos, de acuerdo con el RGPD, si se ofrecen alternativas equivalentes o intermedias. Dichas alternativas han de ser gratuitas y deben implicar un tratamiento mínimo o inexistente de datos personales como, por ejemplo: a) modalidad gratuita sin publicidad; b) modalidad gratuita con publicidad general, que no derive de un perfilado previo y que sea menos invasiva; c) modalidad gratuita con publicidad elegida por los usuarios, entre un listado cerrado, en la que se expresen sus intereses o las materias sobre las que le gustaría obtener promociones y publicidad; y d) modalidad gratuita con cookies de publicidad comportamental. Además, en virtud del artículo 5 del RGPD, los datos recabados deben ser exactos, proporcionales, mínimos y limitados a la finalidad para la que son recogidos.
Para cada una de estas modalidades, las plataformas podrán decidir aportar diferencias en el uso de los servicios, pero a nivel general, los servicios ofrecidos deberán ser equivalentes, de forma que el usuario se sienta libre de poder elegir una u otra opción sin que le genere un perjuicio injustificado o desproporcionado.
Una vez que dichas alternativas sean ofrecidas, se podrán incluir opciones de pago, debiendo evaluar cuidadosamente la medida adoptada y la cuantía asociada a elegir dicha opción, especialmente en servicios que podrían dejar al usuario en una situación desigual. Esto es, la exclusión del acceso a servicios generales, la imposibilidad de acceder a redes profesionales o la restricción de acceso a contenido o contactos de relevancia.
3. Requisitos para un consentimiento válido.
El Dictamen somete los modelos de consentimiento o pago a los requisitos de validez del RGPD, indicando que para que el consentimiento pueda considerarse válido ha de ser prestado de forma libre e informada y mediante una manifestación inequívoca de los interesados.
El CEPD señala que el consentimiento no será libre si implica un perjuicio para los interesados, al no prestarlo o al retirarlo; si es la única alternativa al modelo de pago, especialmente cuando las tasas sean desproporcionadas o prohibitivas, e impidan la libre elección del usuario; o si existe un desequilibrio de poder, excepto en casos extraordinarios y cuando se demuestre que no hay consecuencias negativas para el usuario.
En cuanto al consentimiento informado, el CEPD enfatiza en que las grandes plataformas deben proporcionar información clara y comprensible sobre las actividades de tratamiento de datos, sus finalidades y las implicaciones de las opciones disponibles. Esto implica detallar el valor, alcance y consecuencias de cada elección, antes de que el usuario tome una decisión.
Respecto a la manifestación inequívoca de consentimiento, se prohíbe el uso de patrones engañosos (“dark patterns”) que puedan manipular al usuario para otorgar su consentimiento de manera no específica y clara, en relación con la finalidad del tratamiento. Además, las plataformas deben abogar por que el consentimiento sea otorgado de manera específica y deliberada, definiendo y delimitando claramente las finalidades del tratamiento de datos para las cuales se solicita dicho consentimiento, evitando así la agrupación de diferentes finalidades. Por ejemplo, el consentimiento para publicidad comportamental no debe combinarse con otros propósitos, requiriéndose consentimientos separados para cada finalidad.
4. Vinculación con la Guía de Cookies de la AEPD.
En mayo de 2024, la Agencia Española de Protección de Datos (en adelante, “AEPD”), publicó una actualización de su Guía sobre el uso de las cookies [2] (en adelante, la “Guía de Cookies”). El contenido actual de la Guía de Cookies se encuentra alineado con el criterio establecido por el CEPD en su Dictamen. Ambos enfatizan en la prohibición de negar a los usuarios el acceso al contenido de plataformas en línea y la importancia de otorgar el consentimiento de manera válida y libre, así como la necesidad de ofrecer una alternativa equivalente sin pago ni publicidad comportamental.
La Guía de Cookies establece que el acceso a los servicios no debe estar condicionado a la aceptación de estas cookies, por lo que no se pueden usar muros de cookies sin ofrecer una alternativa. Este criterio es especialmente relevante cuando la denegación de acceso impide ejercer un derecho legal del usuario, como el acceso a un sitio web.
Asimismo, la Guía de Cookies contempla casos en los que la no aceptación de cookies puede impedir el acceso al sitio web o al servicio, siempre y cuando se informe adecuadamente al usuario y se ofrezca una alternativa de acceso sin cookies. Sin embargo, estas alternativas deben ser equivalentes y ofrecidas por la misma entidad.
5. Principales afectados.
Una de las sanciones más significativas ha sido la impuesta a la compañía Meta Platforms, Inc., (en adelante, “Meta”) por el CEPD en enero de 2023, con una multa de 390 millones de euros. Meta no disponía de una base legal adecuada para tratar los datos personales de sus usuarios con fines publicitarios, por lo que se le ordenó recabar los consentimientos necesarios. Entonces, Meta cambió su enfoque, y basó el tratamiento en su interés legítimo, pero en julio de 2023, el Tribunal de Justicia de la Unión Europea dictaminó la ilegalidad de dicho tratamiento.
No fue hasta noviembre de 2023 cuando el CEPD prohibió a Meta el tratamiento de datos personales en el espacio económico europeo, para la publicidad comportamental, basándose en el contrato mantenido con los usuarios y en el interés legítimo.
La actividad llevada a cabo por Meta, a través de Instagram y Facebook, consistía en recabar el consentimiento de los interesados mediante los modelos de consentimiento o pago, siendo esta práctica adoptada por otras grandes plataformas en línea, que también implementaron estos modelos para recopilar datos personales con fines publicitarios, y a los que también afecta el Dictamen del CEPD.
6. Conclusión.
Tras el Dictamen del CEPD, se considerarán abusivos los modelos de consentimiento o pago, los cuales ya no podrán ser implementados por las grandes plataformas en línea.
De ahora en adelante, dichas plataformas deberán ofrecer alternativas equivalentes, mediante modalidades gratuitas, sin emplear sistemas de perfilado para el envío de publicidad comportamental y recabando el consentimiento de forma libre, informada y transparente.