En enero, muchos usuarios del internet español nos encontramos con una sorpresa desagradable al visitar ciertos sitios web: el botón para rechazar todas las cookies había desaparecido. En su lugar, algunos medios de comunicación empezaron a ofrecer una opción diferente: una suscripción sin publicidad. Este cambio repentino planteó interrogantes sobre la privacidad en línea y su conformidad con el Reglamento General de Protección de Datos (RGPD).
El RGPD, implementado en abril de 2016, es una legislación integral que busca proteger la privacidad y los datos personales de los ciudadanos de la UE. En relación con el uso de cookies, el RGPD establece requisitos claros sobre el consentimiento informado de los usuarios y su derecho a controlar sus datos personales en línea.
Uno de los principios fundamentales del RGPD es que el consentimiento del usuario debe ser otorgado de manera libre, específica, informada e inequívoca. Esto significa que los usuarios deben tener la opción de aceptar o rechazar el uso de cookies de manera clara y fácil. Sin embargo, al eliminar la opción de rechazar todas las cookies y condicionar el acceso al contenido público a una suscripción sin publicidad, algunos medios podrían estar infringiendo el RGPD.
En concreto, esta práctica podría contravenir varios artículos clave del RGPD:
- Artículo 7 – Condiciones para el consentimiento: Este artículo establece que el consentimiento del usuario debe ser libremente otorgado, lo que implica que los usuarios deben tener la posibilidad de aceptar o rechazar el uso de cookies sin sufrir consecuencias adversas, como la denegación de acceso al contenido.
- Artículo 25 – Protección de datos desde el diseño y por defecto: Según este artículo, las empresas deben implementar medidas técnicas y organizativas adecuadas para garantizar que solo se procesen los datos personales necesarios para los fines específicos para los que fueron recopilados. Condicionar el acceso al contenido público a la aceptación de cookies podría ser considerado como un procesamiento de datos que no cumple con este principio.
Las empresas que incumplen el RGPD están sujetas a multas que pueden ser muy significativas. Según el artículo 83 del RGPD, las multas pueden ascender hasta el 4% del volumen de negocios anual global de una empresa o hasta 20 millones de euros, lo que sea mayor. Estas multas se aplican en casos de violaciones graves, como el incumplimiento de los principios básicos de procesamiento de datos o la falta de consentimiento válido por parte del usuario.
La guía de cookies de la AEPD
Estos cambios de enero se realizaron a partir de la publicación de las Directrices 05/2020 que aclaraba algunos conceptos de la RGPD, y que añadía algunos patrones que no cumplían con la RGPD, y además explicaban qué patrones sí la cumplirían. En 2022 también se publicaron las Directrices 02/2022 por el que se explicaban algunos patrones en redes social que implicaban el incumplimiento de la RGPD.
Sin embargo la AEPD en Julio de 2023 publicó una nota de prensa en la que indicaban que habían actualizando su guía sobre cookies en base a estas directrices. En esta guía indican lo siguiente:
Pero los medios de comunicación debieron dejar de leer en las frases «no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies», y no se molestaron en leer la directiva, y que por desgracia en la AEPD ni se molestaron en enlazar.
La respuesta del CEPD
El Comité Europeo de Protección de Datos (CEPD) llevó a cabo su última sesión plenaria en Bruselas el 17 de abril, donde emitió un dictamen en respuesta a una solicitud conforme al artículo 64, apartado 2, del Reglamento General de Protección de Datos (RGPD). La solicitud fue presentada por las autoridades neerlandesas, noruegas y de Hamburgo para la protección de datos, y abordó la validez del consentimiento para el tratamiento de datos personales con fines de publicidad comportamental en el contexto de modelos de «consentimiento o pago» utilizados por grandes plataformas en línea.
El presidente del CEPD, Anu Talus, enfatizó la importancia de que las plataformas en línea proporcionen a los usuarios una opción genuina al emplear modelos de «consentimiento o pago». Se destacó que los modelos actuales a menudo llevan a los usuarios a ceder todos sus datos o a pagar por el servicio, lo que resulta en una falta de comprensión de las implicaciones de sus elecciones por parte de la mayoría de los usuarios.
El CEPD concluyó que, en la mayoría de los casos, los modelos de «consentimiento o pago» no cumplen con los requisitos para un consentimiento válido si los usuarios solo tienen la opción entre consentir al tratamiento de datos personales con fines de publicidad comportamental o pagar una tarifa. Se señaló que ofrecer únicamente una alternativa de pago no debe ser la práctica predeterminada para los responsables del tratamiento.
Se instó a las grandes plataformas en línea a considerar proporcionar una «alternativa equivalente» que no implique el pago de una tarifa, y en caso de que se cobre una tarifa por el acceso a esta alternativa, se debe ofrecer una alternativa adicional gratuita sin publicidad comportamental.
El CEPD subrayó que obtener el consentimiento no exime a los responsables del tratamiento de cumplir con todos los principios establecidos en el RGPD, y se proporcionaron criterios específicos a considerar para evaluar la validez del consentimiento. Además, se instó a evaluar el posible desequilibrio de poder entre el individuo y el controlador, así como a considerar las posibles consecuencias negativas para los usuarios que decidan no otorgar su consentimiento.
El presidente del CEPD, Anu Talus, enfatizó la importancia de evitar que el derecho fundamental a la protección de datos se convierta en una característica que las personas tengan que pagar para disfrutar. Además del dictamen emitido, se anunció que el CEPD elaborará directrices más amplias sobre modelos de «consentimiento o remuneración» y colaborará con las partes interesadas en su desarrollo.