Carlos B Fernández. El Comité Europeo de Protección de Datos (CEPD), ha emitido un relevante informe (Opinion), sobre las condiciones que los titulares de muchas páginas web han establecido a lo largo de los útimos tiempos para el acceso a sus servicios, el modelo “consiente o paga” (consent or pay).
Según este modelo, un usuario solo podrá acceder a la información que se ofrece en un sitio web, o pagando un importe por la misma o accediendo a que el titular del servicio, y sus socios comerciales, instalen en su ordenador cookies que permitan el seguimiento de su actividad en internet a fin de proceder a su perfilado y la presentación de publicidad personalizada en base al mismo.
En su Opinion 08/2024 sobre la validez del consentimiento en el contexto del modelo “consiente o paga” implementado por las grandes plataformas on line (on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms), el Comité contesta a la consulta planteada al amparo del art. 64.2 del RGPD (LA LEY 6637/2016), por la autoridades de protección datos de los Países Bajos, Noruega y Hamburgo, sobre en qué circunstancias y condiciones puede implementarse dicho modelo por las grandes plataformas, de forma que permita una prestación del consentimiento válida y, en particular libre, a la luz de la sentencia del TJUE de 4 de julio de 2023, en el asunto C-252/21 (Bundeskartellamt).
El alcance de esta opinión, se destaca, queda limitado a la implementación de este modelo por las grandes plataformas on line, que se definen, por remisión al art. 3, letra i), de la Ley de Servicios Digitales como “servicio de alojamiento de datos que, a petición de un destinatario del servicio, almacena y difunde información al público …”.
Hay que cumplir con los requisitos que establece el RGPD sobre el consentimiento
A este respecto, el Comité destaca la necesidad de cumplir todos los requisitos del RGPD, en particular los relativos al consentimiento válido, evaluando al mismo tiempo las especificidades de cada caso.
Con respecto a los requisitos del RGPD para que el consentimiento sea válido, en primer lugar, el consentimiento debe ser "libremente otorgado". Para evitar el perjuicio que excluiría el consentimiento libremente dado, cualquier tasa impuesta no puede ser tal que inhiba efectivamente a los interesados de hacer una elección libre. Además, el perjuicio puede surgir cuando los interesados que no consienten no pagan una tasa y, por tanto, se enfrentan a la exclusión del servicio, especialmente en los casos en que el servicio tiene un papel destacado o es decisivo para la participación en la vida social o el acceso a redes profesionales, más aún en presencia de efectos de bloqueo o de red. En consecuencia, es probable que se produzcan perjuicios cuando las grandes plataformas en línea utilicen un modelo de "consentimiento o pago" para obtener el consentimiento para el tratamiento.
El elemento de condicionalidad, es decir, si se requiere el consentimiento para acceder a bienes o servicios, aunque el tratamiento no sea necesario para el cumplimiento del contrato, es otro criterio para evaluar si el consentimiento es "libremente dado".
Los responsables del tratamiento también deben evaluar, caso por caso, si existe un desequilibrio de poder entre el interesado y el responsable del tratamiento. Entre los factores que deben evaluarse figuran la posición de la gran plataforma en línea en el mercado, la existencia de efectos de bloqueo o de red, la medida en que el interesado depende del servicio y el público principal del servicio.
El consentimiento válido también tiene que ser "específico", es decir, dado para uno o más fines concretos, y equivaler a una indicación inequívoca de los deseos: en los modelos de "consentimiento o pago" es especialmente importante que los responsables del tratamiento diseñen con atención cómo se pide a los interesados que den su consentimiento. Los usuarios no deben ser objeto de modelos de diseño engañosos.
Para que el consentimiento sea "informado", el proceso de información elaborado por los responsables del tratamiento debe permitir a los interesados comprender plena y claramente el valor, el alcance y las consecuencias de sus posibles elecciones, teniendo en cuenta la complejidad de las actividades de tratamiento relacionadas con la publicidad basada en el comportamiento.
Otra condición es la granularidad: cuando se presenta un modelo de "consentimiento o pago", el interesado debe ser libre de elegir la finalidad del tratamiento que acepta, en lugar de enfrentarse a una solicitud de consentimiento que agrupa varias finalidades.
En este sentido, destaca que reviste especial importancia el principio de responsabilidad. El Comité recuerda que la obtención del consentimiento no exime al responsable del tratamiento de adherirse a todos los principios expuestos en el artículo 5 del RGPD (LA LEY 6637/2016), así como a las demás obligaciones del RGPD.
En particular, subraya, es fundamental cumplir los principios de necesidad y proporcionalidad, limitación de la finalidad, minimización de datos y equidad.
Y añade que, en la mayoría de los casos, no será posible que las grandes plataformas en línea cumplan los requisitos para un consentimiento válido si enfrentan a los usuarios únicamente a una elección binaria entre consentir el tratamiento de datos personales con fines de publicidad basada en el comportamiento o pagar una cuota.
Posibilidad de ofrecer alternativas equivalentes al pago
La oferta de (sólo) una alternativa de pago al servicio que incluye el tratamiento con fines de publicidad comportamental no debería ser el camino a seguir por defecto para los responsables del tratamiento.
El TJUE ha declarado en la sentencia Bundeskartellamt que a los usuarios que se nieguen a dar su consentimiento a determinadas operaciones de tratamiento se les debe ofrecer, "en caso necesario mediante el pago de una tarifa adecuada, una alternativa equivalente que no vaya acompañada de dichas operaciones de tratamiento". De este modo, los responsables del tratamiento evitarán un problema de condicionalidad. En cualquier caso, también deben cumplirse los demás criterios del consentimiento "libremente otorgado".
Al desarrollar la alternativa a la versión del servicio con publicidad comportamental, las grandes plataformas en línea deben considerar la posibilidad de ofrecer a los interesados una "alternativa equivalente" que no implique el pago de una tasa.
Una "alternativa equivalente" se refiere a una versión alternativa del servicio ofrecido por el mismo responsable del tratamiento que no implique el consentimiento para el tratamiento de datos personales con fines de publicidad comportamental. El dictamen proporciona elementos que pueden ayudar a garantizar que la alternativa es realmente equivalente. Si la versión alternativa sólo difiere en la medida necesaria como consecuencia de que el responsable del tratamiento no puede tratar datos personales con fines de publicidad comportamental, en principio puede considerarse equivalente.
Si los responsables del tratamiento optan por cobrar una tasa por el acceso a la "alternativa equivalente", deben considerar la posibilidad de ofrecer también otra alternativa, gratuita, sin publicidad basada en el comportamiento, por ejemplo, con una forma de publicidad que implique el tratamiento de menos datos personales (o ninguno).
En opinión del CEPD, este es un factor especialmente importante en la evaluación de determinados criterios de validez del consentimiento con arreglo al RGPD, pues, en la mayoría de los casos, el hecho de que el responsable del tratamiento ofrezca gratuitamente otra alternativa sin publicidad basada en el comportamiento tendrá un impacto sustancial en la evaluación de la validez del consentimiento, en particular en lo que respecta al aspecto del perjuicio.
Imposición de tasa por acceder a la alternativa equivalente
Por lo que se refiere a la imposición de una tasa para acceder a la versión "alternativa equivalente" del servicio, el SEPD recuerda que los datos personales no pueden considerarse una mercancía comercializable, y los responsables del tratamiento deben tener presente la necesidad de evitar que el derecho fundamental a la protección de datos se transforme en una característica por cuyo disfrute los interesados tengan que pagar.
Por ello, los responsables del tratamiento deben evaluar, caso por caso, tanto la conveniencia de una tasa como su importe en las circunstancias dadas, teniendo en cuenta las posibles alternativas a la publicidad basada en el comportamiento que impliquen el tratamiento de menos datos personales, así como la posición de los interesados. Los responsables del tratamiento deben velar por que la tasa no sea tal que impida a los interesados hacer una verdadera elección a la luz de los requisitos del consentimiento válido y de los principios del artículo 5 del RGPD (LA LEY 6637/2016), en particular la equidad. El principio de responsabilidad es clave a este respecto. Las autoridades de control tienen la misión de velar por la aplicación del RGPD, lo que también puede estar relacionado con el impacto de cualquier tasa sobre la libertad de elección de los interesados.