Cookies y “pay or ok”: La protección de datos como moneda de cambio

4 julio 2024

El auge de los sistemas “pay or ok” pone sobre la mesa la validez desde el punto de vista de la protección de datos de utilizar estos sistemas para el acceso al contenido de plataformas en internet.

4 julio 2024

Todos somos conscientes de que, desde hace ya varios años, el uso de cookies está generalizado en cualquier página web a la que accedamos. Nos hemos acostumbrado a extensos avisos de cookies en donde se nos da la opción de aceptar o rechazarlas. Avisos que, con toda seguridad, se aceptaban sin prestar atención y prácticamente de forma rutinaria, pues lo interesante para el usuario es acceder al contenido que pretende visualizar en la plataforma que corresponda.

No obstante, desde hace ya un tiempo, es habitual ver en determinadas plataformas avisos que, para poder visualizar su contenido, requieren al usuario aceptar la descarga de cookies de publicidad o, a cambio, pagar o “suscribirse” para poder visualizar el contenido. Pero, ¿qué implicación legal tiene esta práctica? Veamos.

¿Qué era eso de las cookies?

Las cookies son pequeños archivos de texto que las plataformas almacenan en el dispositivo del usuario cuando este los visita, siendo generalmente su principal función el recordar cierta información sobre el usuario. Hay varios tipos de cookies, como las técnicas, que son esenciales para el funcionamiento de una página web, las analíticas, que sirven para comprobar el rendimiento y cómo interactúan los usuarios en la página etc.

No obstante, si podemos calificar de “problemáticas” o notorias a un tipo de cookies son las relativas a publicidad, sobre todo las relativas a publicidad comportamental. Este tipo de cookies se utilizan para realizar un perfilado y seguir a los usuarios a través de diferentes sitios web con el fin de mostrarle anuncios relevantes y personalizados.

Resulta obvio que el uso y descarga de cookies supone un tratamiento de datos de carácter personal de los usuarios, por lo que las páginas web, entre otras obligaciones que puedan resultar aplicables como las relativas a comercio electrónico, deben de contar con la correspondiente política de privacidad y política de cookies.

Brevemente, para cumplir legalmente en materia de cookies, y resumiendo las directrices de la AEPD, debe facilitarse al usuario la opción de aceptar o rechazar todas las cookies, así como la posibilidad de configurar la descarga de las mismas en función del tipo de cookies que sean (por ejemplo, pudiendo aceptar solo las cookies técnicas y analíticas pero no las de publicidad etc.). Para ello, suelen ser muy útiles los paneles de configuración que permiten aceptar de forma granular cada tipo de cookie que queramos descargar.

¿Qué ocurre con el llamado “pay or ok”?

Pues bien, desde hace varios meses es llamativo cómo se ha normalizado en varias plataformas el uso de avisos y sistemas denominados “pay or ok”, sistema utilizado por ejemplo por Meta y que sin duda ha puesto sobre la mesa este tipo de métodos. De forma resumida, estos sistemas obligan a los usuarios a aceptar la descarga de cookies, sobre todo relativas a publicidad comportamental o, a cambio, pagar una tarifa para acceder al contenido del sitio web sin ser rastreados. O lo que es lo mismo: o pagas o dejas que te bombardee con publicidad “personalizada”.

Es cierto que el titular de una plataforma tiene derecho a monetizar su contenido de la forma que estime conveniente, pero esta clase de sistemas presentan una problemática, pues limita el acceso a la información, especialmente para usuarios que no pueden o no quieren pagar.

En cualquier caso, más allá de los debates y cuestiones éticas y de accesibilidad en plataformas que presentan este tipo de sistemas, lo relevante es saber si a nivel jurídico un sistema así es válido, al menos desde el punto de vista de la protección de datos de carácter personal.

¿Es válido el consentimiento que da el usuario en este tipo de sistemas?

Desde el punto de vista de la protección de datos, para que un consentimiento sea válido debe cumplirse con los siguientes requisitos:

  1. Libre: El consentimiento debe ser otorgado de manera voluntaria, sin coacción alguna.
  2. Específico: El consentimiento debe ser específico para el propósito determinado para el cual se están recabando los datos. Debe detallarse exactamente para qué se utilizarán los datos.
  3. Informado: El usuario debe estar correctamente informado sobre qué datos se recopilan, quién los recopila, cómo se usarán, y con quién se compartirán.
  4. Inequívoco: El consentimiento debe ser otorgado mediante una clara acción afirmativa, como marcar una casilla de verificación o realizar una acción específica que indique aceptación.
  5. Revocable: El usuario debe tener la posibilidad de retirar su consentimiento en cualquier momento y de forma fácil.

Pues bien, de los requisitos mencionados, más allá de considerar que en ocasiones no se informaría de forma correcta o no se otorgaría un consentimiento específico, a todas luces el más relevante es el de si el consentimiento otorgado por el usuario resultaría libre, pues es debatible si los usuarios tienen una verdadera opción y son “forzados” a consentir el tratamiento de sus datos para poder acceder al contenido de la web.

¿Qué dicen al respecto las autoridades?

En este sentido, y a la espera sobre futuros pronunciamientos de las Autoridades de Control en materia de protección de datos, el Comité Europeo de Protección de Datos (CEPD), organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la UE, ha expresado su opinión respecto al uso de estos sistemas.

El CEPD pone en duda si este tipo de sistemas son una alternativa correcta a la hora de monetizar el contenido de una página web, pues existe un desequilibrio de poder. Es evidente que gran parte de las plataformas versan su negocio en la publicidad que se muestra a sus usuarios, por lo que cuanto más personalizada sea la misma, mejor impacto y resultado van a obtener. No obstante, el realizar un perfilado del usuario a través de este tipo de sistemas para personalizar la publicidad mostrada es algo que requiere el consentimiento del usuario como hemos señalado. Por lo tanto, si la única alternativa para que el usuario no tenga que autorizar esa personalización es pagar por visualizar un determinado contenido, el consentimiento no sería otorgado libremente y, por ende, un sistema así a priori no llegaría a ser válido.

En sus propias palabras, “En la mayoría de los casos, no será posible que las grandes plataformas en línea cumplan los requisitos de consentimiento válido si sólo plantean a los usuarios una elección binaria entre consentir el tratamiento de datos personales con fines de publicidad comportamental y pagar una tasa.

Por lo tanto, la solución planteada por el CEPD (a la espera de futuras directrices por su parte y pronunciamientos de las Autoridades correspondientes como decíamos) pasaría por dar otras alternativas al usuario que no impliquen el pago de una tasa o el tratamiento de sus datos para mostrarle publicidad conforme a sus intereses. Esta alternativa debería ser gratuita, siendo una buena opción el mostrarle publicidad no personalizada o, en su caso, dejar que sea el propio usuario quien decida, con base a sus intereses, qué tipo de publicidad desea visualizar sin que se realice un perfilado sobre su persona.

Recomendaciones

Es cierto que la validez de estos sistemas depende de varios factores. Por ejemplo, del tipo de plataforma que lo utilice, de si el precio requerido resulta desproporcionado, de si el contenido de la plataforma se ofrecía anteriormente de forma gratuita, de la posición que tiene la plataforma en el mercado, de lo que el usuario dependa del servicio ofrecido por la plataforma etc.

No obstante, en la gran mayoría de casos es posible que este tipo de sistemas no resulten apropiados, por lo que es recomendable buscar otras alternativas como comentábamos. Alternativas que no pongan al usuario entre la espada y la pared y que no obliguen al usuario a utilizar sus datos personales como moneda de cambio. Por ejemplo:

  • Una modalidad de pago sin publicidad para poder visualizar todo el contenido de la página web (por ejemplo, una suscripción a un periódico en donde poder ver las noticias sin que se muestre publicidad).
  • Una modalidad gratuita, pero con la descarga de cookies de publicidad comportamental cumpliendo con todos los requisitos de consentimiento para ello (siendo recomendable ofrecer esta opción junto con otra alternativa de las indicadas a continuación).
  • Una modalidad gratuita pero en donde el usuario deba escoger sus preferencias sobre la publicidad que se le va a mostrar.
  • Una modalidad gratuita en donde se muestre al usuario publicidad aleatoria, sin un perfilado en concreto.

Pero eso no es todo. No solo basta con incluir un sistema y un aviso de forma de forma correcta. Todas las plataformas tienen que cumplir con una serie de obligaciones en materia de protección de datos (contar con la correspondiente política de privacidad y de cookies adaptada), sociedad de la información (un aviso legal y condiciones que regulen el acceso a la plataforma e indiquen quién es su titular) y, en su caso, aquellas relacionadas con el comercio electrónico (unas condiciones de compra o contratación) si la plataforma vende productos o servicios concretos.

¿Tienes todo lo necesario? ¿Necesitas asesoramiento? En H&A seguro que podemos ayudarte.

5/5 - (8 votos)

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Jon Vicuña

Abogado

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios