Protección de Datos

“Pay or ok” (Consiente o paga) ¿es legal?

montaña de cookies y de euros

¿Cómo ha surgido? Os ponemos en antecedentes con algunas fechas y hechos relevantes:

En enero de 2023 el Comité Europeo de Protección de Datos multa a Meta con 390 millones de euros por no tener una base legal adecuada para realizar publicidad personalizada a sus usuarios y le ordena obtener el consentimiento de los usuarios.

Tras esta sanción, Meta comienza a usar la base legal del interés legítimo para servir esta publicidad personalizada.

Meses después en julio de 2023 el Tribunal de Justicia de la Unión Europea (TJUE) dictamina que el tratamiento por parte de Meta de los datos personales de los usuarios, para anuncios personalizados, es ilegal.

Es en noviembre de 2023 cuando el Comité Europeo de Protección de Datos (CEPD) prohíbe a Meta el tratamiento de datos personales en el EEE para publicidad comportamental basándose en el contrato con los usuarios y en el interés legítimo. (Ya hablamos sobre esta decisión en un hilo en X)

Tras todo esto, ¿cuál es el resumen de la situación?

Meta ha estado basando el tratamiento de los datos personales de sus usuarios para publicidad personalizada en el contrato de prestación de servicios (1) y en su interés legítimo (2) y las autoridades de protección de datos han concluido que eso es ilegal.

Y, ¿qué ha pasado tras estas decisiones?

Que Meta (en Instagram y Facebook) ha recabado el consentimiento de sus usuarios dándoles la opción de “pagar o aceptar”, es decir: “Yo, Meta, me comprometo a no usar tus datos (usuario) para ofrecerte publicidad personalizada a cambio de que me pagues una suscripción o aceptas las cookies publicitarias”. La empresa se ha basado en unas palabras que el TJUE incluyó en su resolución de julio de 2023 (citada anteriormente) que decía que los usuarios deben tener una alternativa al consentimiento “en su caso a cambio de una remuneración adecuada” (párrafo 150).

Ante esta actuación de Meta, NOYB, una organización sin ánimo de lucro que lucha por la privacidad, ha anunciado en noviembre de 2023 la presentación de una reclamación contra Meta ante la autoridad austriaca de protección de datos instándole a iniciar un procedimiento de urgencia para detener el tratamiento de datos que considera ilegal, y sugiriendo a esta autoridad que imponga a Meta una multa disuasoria con el fin de que ninguna otra empresa empiece a copiar el enfoque de Meta.

Claramente, es tarde, y un gran número de servicios en internet, han copiado el “pay or ok” de Meta y han comenzado a pedir suscripciones o consentimiento a sus usuarios para acceder a sus contenidos.

¿Cuál es la situación en España?

En España, estos servicios de internet se han amparado en la Guía de Cookies de la Agencia Española de Protección de Datos (AEPD) que establece, en su apartado 3.2.10, que “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies”

Ante esta situación, algunos abogados españoles expertos en privacidad (con Jorge García Herrero como firmante) han presentado ante la AEPD una denuncia contra Meta en cuanto a la implementación del “pay or ok” (consentimiento no válido). Esta denuncia se fundamenta en que el CEPD en su decisión vinculante de noviembre de 2023 (apartado 221) insta a las autoridades de control de los estados miembros a reaccionar ante infracciones del RGPD en base al art. 58 del RGPD.

Con este escenario, encontramos dos puntos de vista enfrentados:

1) El punto de vista del usuario, que, para poder acceder a ciertos contenidos, que hasta ahora podía ver gratuitamente, en internet tiene que pagar un precio que, a la larga, puede resultar elevado. Imaginemos que tiene que pagar una suscripción mensual para usar las redes sociales de Instagram y Facebook: 12,99 x 2, suman 311 euros anuales y si quiere estar informado y ver distintos periódicos, consideremos que un periódico solicite 0,50 céntimos al día (182 euros al año) y otro 11 euros al mes (132 euros). El total es una media 625 euros al año.

En este orden de cosas, imaginemos que el usuario se suscribe ¿cómo de fácil es retirar el consentimiento? Recordemos que el RGPD en su art. 7 establece que debe ser tan fácil retirar el consentimiento como darlo. NOYB ya ha presentado también una denuncia adicional contra Meta, respecto a esta dificultad.

2) Punto de vista del sector empresarial:

    • El negocio de la publicidad comportamental solo funciona y es posible si se pueden recabar datos de los usuarios y sin esta publicidad, muchas páginas de internet no pueden subsistir y seguir prestando contenidos de forma gratuita.
    • Los medios de comunicación tienen que cobrar por su trabajo y su contenido, igual que antes se compraba un periódico o una revista en papel.

Surgen distintas preguntas

  • ¿Los medios de comunicación y las empresas como Meta no facturan gracias a la publicidad y a los datos que recaban de cada usuario mucho más dinero del que cobran con las suscripciones?
  • Verdaderamente cuando se produce la suscripción, ¿los prestadores de servicio dejan de recabar datos sobre el usuario?
  • ¿Podría el usuario reclamar todo el dinero que los medios de comunicación, Meta y otras páginas de internet han estado facturando gracias a la recogida de datos con las cookies?

Hay una cosa clara: actualmente, podemos considerar que el “pay or ok” es legal y tendremos que esperar a que las autoridades de control decidan finalmente acerca de si la recogida del consentimiento a través del mecanismo “pay or ok” es completamente válida y ajustada al RGPD.

Mientras tanto, se estima que más de un 95% de los usuarios prefieren consentir antes que pagar, por lo tanto, los prestadores de servicio van a poder seguir recabando “legalmente” una gran cantidad de datos personales.

¡Quedaremos atentos!

Artículo escrito por:

Adriana RanchalAdriana Ranchal

Abogada especialista en Privacidad & IP

adriana.ranchal@metricson.com

 

 

Sobre Metricson

Con oficinas en Barcelona, Madrid, Valencia y Sevilla y una importante presencia internacional, Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas y especialista en privacidad. Desde su nacimiento en 2009, ha asesorado a más de 1.400 clientes de 15 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.

Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!

 

Artículos relacionados

Cláusulas tipo para transferencias internacionales de datos

Obligaciones derivadas de la normativa en materia de prevención de blanqueo de capitales

2016: nuevo horizonte en materia de protección de datos

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid
918 228 031

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla