Protección de Datos

“Pay or ok” (Consiente o paga) ¿es legal?

pary-or-ok-

¿Cómo ha surgido? Os ponemos en antecedentes con algunas fechas y hechos relevantes y, además, al final realizamos una actualización tras conocer el Dictamen que el Comité Europeo de Protección de Datos (CEPD) ha publicado (abril 2024).

En enero de 2023 el Comité Europeo de Protección de Datos multa a Meta con 390 millones de euros por no tener una base legal adecuada para realizar publicidad personalizada a sus usuarios y le ordena obtener el consentimiento de los usuarios.

Tras esta sanción, Meta comienza a usar la base legal del interés legítimo para servir esta publicidad personalizada.

Meses después en julio de 2023 el Tribunal de Justicia de la Unión Europea (TJUE) dictamina que el tratamiento por parte de Meta de los datos personales de los usuarios, para anuncios personalizados, es ilegal.

Es en noviembre de 2023 cuando el Comité Europeo de Protección de Datos (CEPD) prohíbe a Meta el tratamiento de datos personales en el EEE para publicidad comportamental basándose en el contrato con los usuarios y en el interés legítimo. (Ya hablamos sobre esta decisión en un hilo en X)

Tras todo esto, ¿cuál es el resumen de la situación?

Meta ha estado basando el tratamiento de los datos personales de sus usuarios para publicidad personalizada en el contrato de prestación de servicios (1) y en su interés legítimo (2) y las autoridades de protección de datos han concluido que eso es ilegal.

Y, ¿qué ha pasado tras estas decisiones?

Que Meta (en Instagram y Facebook) ha recabado el consentimiento de sus usuarios dándoles la opción de “pagar o aceptar”, es decir: “Yo, Meta, me comprometo a no usar tus datos (usuario) para ofrecerte publicidad personalizada a cambio de que me pagues una suscripción o aceptas las cookies publicitarias”. La empresa se ha basado en unas palabras que el TJUE incluyó en su resolución de julio de 2023 (citada anteriormente) que decía que los usuarios deben tener una alternativa al consentimiento “en su caso a cambio de una remuneración adecuada” (párrafo 150).

Ante esta actuación de Meta, NOYB, una organización sin ánimo de lucro que lucha por la privacidad, ha anunciado en noviembre de 2023 la presentación de una reclamación contra Meta ante la autoridad austriaca de protección de datos instándole a iniciar un procedimiento de urgencia para detener el tratamiento de datos que considera ilegal, y sugiriendo a esta autoridad que imponga a Meta una multa disuasoria con el fin de que ninguna otra empresa empiece a copiar el enfoque de Meta.

Claramente, es tarde, y un gran número de servicios en internet, han copiado el “pay or ok” de Meta y han comenzado a pedir suscripciones o consentimiento a sus usuarios para acceder a sus contenidos.

¿Cuál es la situación en España?

En España, estos servicios de internet se han amparado en la Guía de Cookies de la Agencia Española de Protección de Datos (AEPD) que establece, en su apartado 3.2.10, que “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies”

Ante esta situación, algunos abogados españoles expertos en privacidad (con Jorge García Herrero como firmante) han presentado ante la AEPD una denuncia contra Meta en cuanto a la implementación del “pay or ok” (consentimiento no válido). Esta denuncia se fundamenta en que el CEPD en su decisión vinculante de noviembre de 2023 (apartado 221) insta a las autoridades de control de los estados miembros a reaccionar ante infracciones del RGPD en base al art. 58 del RGPD.

Con este escenario, encontramos dos puntos de vista enfrentados:

1) El punto de vista del usuario, que, para poder acceder a ciertos contenidos, que hasta ahora podía ver gratuitamente, en internet tiene que pagar un precio que, a la larga, puede resultar elevado. Imaginemos que tiene que pagar una suscripción mensual para usar las redes sociales de Instagram y Facebook: 12,99 x 2, suman 311 euros anuales y si quiere estar informado y ver distintos periódicos, consideremos que un periódico solicite 0,50 céntimos al día (182 euros al año) y otro 11 euros al mes (132 euros). El total es una media 625 euros al año.

En este orden de cosas, imaginemos que el usuario se suscribe ¿cómo de fácil es retirar el consentimiento? Recordemos que el RGPD en su art. 7 establece que debe ser tan fácil retirar el consentimiento como darlo. NOYB ya ha presentado también una denuncia adicional contra Meta, respecto a esta dificultad.

2) Punto de vista del sector empresarial:

    • El negocio de la publicidad comportamental solo funciona y es posible si se pueden recabar datos de los usuarios y sin esta publicidad, muchas páginas de internet no pueden subsistir y seguir prestando contenidos de forma gratuita.
    • Los medios de comunicación tienen que cobrar por su trabajo y su contenido, igual que antes se compraba un periódico o una revista en papel.

Surgen distintas preguntas

  • ¿Los medios de comunicación y las empresas como Meta no facturan gracias a la publicidad y a los datos que recaban de cada usuario mucho más dinero del que cobran con las suscripciones?
  • Verdaderamente cuando se produce la suscripción, ¿los prestadores de servicio dejan de recabar datos sobre el usuario?
  • ¿Podría el usuario reclamar todo el dinero que los medios de comunicación, Meta y otras páginas de internet han estado facturando gracias a la recogida de datos con las cookies?

Hay una cosa clara: actualmente, podemos considerar que el “pay or ok” es legal y tendremos que esperar a que las autoridades de control decidan finalmente acerca de si la recogida del consentimiento a través del mecanismo “pay or ok” es completamente válida y ajustada al RGPD.

Mientras tanto, se estima que más de un 95% de los usuarios prefieren consentir antes que pagar, por lo tanto, los prestadores de servicio van a poder seguir recabando “legalmente” una gran cantidad de datos personales.

 

Actualización

Hemos querido hacer una actualización tras conocer el Dictamen que el Comité Europeo de Protección de Datos (CEPD) ha publicado (abril 2024) en respuesta a una solicitud en relación con el artículo 64.2 del RGPD por parte de las autoridades de protección de datos holandesa, noruega y de Hamburgo.

Os dejamos por aquí un breve resumen del mencionado Dictamen, así como algunos puntos que nos parecen importantes y a la vez, poco claros.

En cuanto la normativa que el CEPD dice tener en cuenta para elaborar sus conclusiones se refiere no solo al Reglamento de Protección de Datos (RGPD) sino también otras normas relacionadas con el tema, así, menciona la Directiva sobre la privacidad y las comunicaciones electrónicas o las recientes normas sobre servicios (DSA) y mercados digitales (DMA).

En relación con el alcance del Dictamen, el CEPD parece dar una de cal y otra de arena (haciendo uso del refranero popular):

  • por un lado, parece decir que este Dictamen sólo será aplicable a las grandes plataformas cuando establece que “se centra en las cuestiones específicas que se plantean en relación con la validez del consentimiento solicitado por las grandes plataformas en línea puesto que estas plataformas pueden encontrarse en una situación única con respecto a los criterios de validez de este consentimiento, por ejemplo, con respecto al desequilibrio de poder”;
  • pero, por otro lado, deja abierta la puerta a la posibilidad de aplicar algunas de sus conclusiones a otros actores cuando dice que “los factores destacados en este dictamen se aplicarán normalmente a las grandes plataformas en línea, pero no exclusivamente. Algunas de las consideraciones expresadas en este dictamen pueden resultar útiles de forma más general.”

Para examinar si el “pay or ok” es válido el CEPD se detiene en dos cuestiones:

  1. ¿Es necesario el tratamiento?
    Afirmando que para dar respuesta a esta pregunta habrá que atender a los principios de protección de datos: necesidad, proporcionalidad, minimización de datos, licitud, lealtad, transparencia, protección de datos desde el diseño y por defecto, entre otros.
  2. ¿Se cumplen con los requisitos para considerarlo un consentimiento válido? Para lo que tiene en cuenta:
    • Perjuicio del interesado por no dar el consentimiento. Hay un mayor perjuicio en aquellas plataformas que inicialmente eran gratuitas, las basadas en contenidos generados por el propio usuario o en su interacción con otros, las que provocan un bloqueo en el usuario (por no existir otras plataformas gratuitas equivalentes) o las relacionadas con la búsqueda de empleo.
    • Desequilibrio de poder entre el usuario y la plataforma (responsable del tratamiento). Tener en cuenta la posición de la empresa en el mercado que lleve a los interesados a experimentar que no existen medios alternativos realistas a su disposición, la dependencia del servicio o el público objetivo o predominante de la plataforma (más desequilibrio si va dirigida a niños o personas vulnerables).
    • Condicionalidad (es necesario para acceder a bienes o servicios) y tasa apropiada.
    • Granularidad. “Se presume que el consentimiento no se ha dado libremente si la solicitud de consentimiento no permite a los interesados dar su consentimiento por separado para diferentes fines de tratamiento”.
    • Información al interesado. El responsable debe asegurarse de que los usuarios comprenden qué tratamiento de datos se va a llevar a cabo cuando empiecen a utilizar el servicio, incluidas las actividades en segundo plano. Evitar frases como “para una experiencia más personalizada” o “continúe sin pagar”.

En resumen, el CEPD intenta, a lo largo de todo su escrito convencer a los grandes actores de que la oferta de (sólo) una alternativa de pago al servicio que incluye el tratamiento con fines de publicidad comportamental (“pay or ok”) no debe ser el camino a seguir.

Lo hace, explicando con múltiples ejemplos, como, aunque las grandes plataformas en línea no están obligadas a ofrecer siempre servicios gratuitos, poner esta alternativa adicional a disposición de los interesados aumenta su libertad de elección, lo que a su vez facilita a los responsables del tratamiento la demostración de que el consentimiento se ha obtenido de forma libre.

Además, afirma que las empresas son libres de imponer una tasa, pero les recuerda el principio de responsabilidad proactiva (art. 5.2 RGPD) y avisa: “si las autoridades de control constatan que el consentimiento no se da libremente o que no se ha cumplido el principio de responsabilidad, pueden intervenir e imponer medidas correctoras

A pesar de todo lo anterior, el Dictamen no establece una decisión clara y concluye:

  • que habrá que revisar caso por caso y
  • que corresponde a las autoridades de control de cada estado miembro evaluar la validez del consentimiento, eso sí, atendiendo al marco y los principios que se establecen en este Dictamen.

Como información adicional, hemos querido también hacer una recopilación de las cuestiones a tener en cuenta en relación con la revocación del consentimiento por parte del usuario:

1) El usuario debe tener claro cómo revocar su consentimiento.

2) Si el usuario revoca su consentimiento, debe tener de nuevo la posibilidad de decidir entre las opciones posibles, esto es, aceptar el tratamiento con fines de publicidad comportamental o suscribirse a la opción de pago (u optar, en su caso, por la alternativa gratuita sin publicidad comportamental).

3) La decisión de un usuario de suscribirse a la versión de pago del servicio cuando inicialmente había dado su consentimiento al tratamiento con fines de publicidad comportamental constituye una revocación de su consentimiento.

4) La retirada del consentimiento para el tratamiento con fines de publicidad comportamental debe conllevar la finalización de todas las actividades de tratamiento permitidas por el consentimiento del interesado. Esto no sólo afecta al almacenamiento y/o al acceso a los datos en el equipo terminal con fines de publicidad basada en el comportamiento, sino también al tratamiento posterior de los datos recogidos para tales fines (por ejemplo, cuando estos datos se comparten posteriormente con terceros). Esto es especialmente relevante en circunstancias en las que el responsable del tratamiento utiliza una gran red de publicidad para dirigirse a individuos y rastrearlos a través de varios sitios web.

 

*Nota: los fragmentos entrecomillados sacados del Dictamen del CEPD han sido traducidos por nosotros de la versión original en inglés.

 

Artículo escrito por:

Adriana RanchalAdriana Ranchal

Abogada especialista en Privacidad & IP

adriana.ranchal@metricson.com

 

 

Sobre Metricson

Con oficinas en Barcelona, Madrid, Valencia y Sevilla y una importante presencia internacional, Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas y especialista en privacidad. Desde su nacimiento en 2009, ha asesorado a más de 1.400 clientes de 15 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.

Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!

 

Artículos relacionados

Auditoría de protección de datos: qué es y cómo realizarla

6 puntos que indican que tu empresa necesita una auditoría de protección de datos

Principales novedades del Reglamento General de Protección de Datos

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid
918 228 031

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla