Leyes, derechos y obligaciones digitales

RGPD: ¿Cookies o suscripción? La respuesta del CEPD a la eliminación del botón de rechazar cookies

En enero, muchos usuarios del internet español nos encontramos con una sorpresa desagradable al visitar ciertos sitios web: el botón para rechazar todas las cookies había desaparecido. En su lugar, algunos medios de comunicación empezaron a ofrecer una opción diferente: una suscripción sin publicidad. Este cambio repentino planteó interrogantes sobre la privacidad en línea y su conformidad con el Reglamento General de Protección de Datos (RGPD).

El RGPD, implementado en abril de 2016, es una legislación integral que busca proteger la privacidad y los datos personales de los ciudadanos de la UE. En relación con el uso de cookies, el RGPD establece requisitos claros sobre el consentimiento informado de los usuarios y su derecho a controlar sus datos personales en línea.

Uno de los principios fundamentales del RGPD es que el consentimiento del usuario debe ser otorgado de manera libre, específica, informada e inequívoca. Esto significa que los usuarios deben tener la opción de aceptar o rechazar el uso de cookies de manera clara y fácil. Sin embargo, al eliminar la opción de rechazar todas las cookies y condicionar el acceso al contenido público a una suscripción sin publicidad, algunos medios podrían estar infringiendo el RGPD.

En concreto, esta práctica podría contravenir varios artículos clave del RGPD:

  1. Artículo 7 – Condiciones para el consentimiento: Este artículo establece que el consentimiento del usuario debe ser libremente otorgado, lo que implica que los usuarios deben tener la posibilidad de aceptar o rechazar el uso de cookies sin sufrir consecuencias adversas, como la denegación de acceso al contenido.
  2. Artículo 25 – Protección de datos desde el diseño y por defecto: Según este artículo, las empresas deben implementar medidas técnicas y organizativas adecuadas para garantizar que solo se procesen los datos personales necesarios para los fines específicos para los que fueron recopilados. Condicionar el acceso al contenido público a la aceptación de cookies podría ser considerado como un procesamiento de datos que no cumple con este principio.

Las empresas que incumplen el RGPD están sujetas a multas que pueden ser muy significativas. Según el artículo 83 del RGPD, las multas pueden ascender hasta el 4% del volumen de negocios anual global de una empresa o hasta 20 millones de euros, lo que sea mayor. Estas multas se aplican en casos de violaciones graves, como el incumplimiento de los principios básicos de procesamiento de datos o la falta de consentimiento válido por parte del usuario.

La guía de cookies de la AEPD

Estos cambios de enero se realizaron a partir de la publicación de las Directrices 05/2020 que aclaraba algunos conceptos de la RGPD, y que añadía algunos patrones que no cumplían con la RGPD, y además explicaban qué patrones sí la cumplirían. En 2022 también se publicaron las Directrices 02/2022 por el que se explicaban algunos patrones en redes social que implicaban el incumplimiento de la RGPD.

Sin embargo la AEPD en Julio de 2023 publicó una nota de prensa en la que indicaban que habían actualizando su guía sobre cookies en base a estas directrices. En esta guía indican lo siguiente:

3.2.10. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies

Siguiendo las directrices del CEPD sobre el consentimiento, para que este se dé libremente, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Por ello, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento, tal y como se explica a continuación. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.

Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin
necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.

https://www.aepd.es/guias/guia-cookies.pdf

Pero los medios de comunicación debieron dejar de leer en las frases «no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies», y no se molestaron en leer la directiva, y que por desgracia en la AEPD ni se molestaron en enlazar.

La respuesta del CEPD

El Comité Europeo de Protección de Datos (CEPD) llevó a cabo su última sesión plenaria en Bruselas el 17 de abril, donde emitió un dictamen en respuesta a una solicitud conforme al artículo 64, apartado 2, del Reglamento General de Protección de Datos (RGPD). La solicitud fue presentada por las autoridades neerlandesas, noruegas y de Hamburgo para la protección de datos, y abordó la validez del consentimiento para el tratamiento de datos personales con fines de publicidad comportamental en el contexto de modelos de «consentimiento o pago» utilizados por grandes plataformas en línea.

El presidente del CEPD, Anu Talus, enfatizó la importancia de que las plataformas en línea proporcionen a los usuarios una opción genuina al emplear modelos de «consentimiento o pago». Se destacó que los modelos actuales a menudo llevan a los usuarios a ceder todos sus datos o a pagar por el servicio, lo que resulta en una falta de comprensión de las implicaciones de sus elecciones por parte de la mayoría de los usuarios.

El CEPD concluyó que, en la mayoría de los casos, los modelos de «consentimiento o pago» no cumplen con los requisitos para un consentimiento válido si los usuarios solo tienen la opción entre consentir al tratamiento de datos personales con fines de publicidad comportamental o pagar una tarifa. Se señaló que ofrecer únicamente una alternativa de pago no debe ser la práctica predeterminada para los responsables del tratamiento.

Se instó a las grandes plataformas en línea a considerar proporcionar una «alternativa equivalente» que no implique el pago de una tarifa, y en caso de que se cobre una tarifa por el acceso a esta alternativa, se debe ofrecer una alternativa adicional gratuita sin publicidad comportamental.

El CEPD subrayó que obtener el consentimiento no exime a los responsables del tratamiento de cumplir con todos los principios establecidos en el RGPD, y se proporcionaron criterios específicos a considerar para evaluar la validez del consentimiento. Además, se instó a evaluar el posible desequilibrio de poder entre el individuo y el controlador, así como a considerar las posibles consecuencias negativas para los usuarios que decidan no otorgar su consentimiento.

El presidente del CEPD, Anu Talus, enfatizó la importancia de evitar que el derecho fundamental a la protección de datos se convierta en una característica que las personas tengan que pagar para disfrutar. Además del dictamen emitido, se anunció que el CEPD elaborará directrices más amplias sobre modelos de «consentimiento o remuneración» y colaborará con las partes interesadas en su desarrollo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Descubre más desde Interadictos

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo