En 2020 la AEPD actualizó la Guía sobre el Uso de Cookies para adaptarla en su momento a las Directrices 05/2020 sobre consentimiento con el fin de aclarar su posición en relación con dos cuestiones: la validez de la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios y la posibilidad de utilizar los conocidos como “muros de cookies”, es decir, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies.
Sobre el segundo asunto, la AEPD en su momento, en la nota de prensa publicada en julio de 2020, estableció que
Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.
Fuente AEPD https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/aepd-actualiza-guia-cookies
Posteriormente, en julio de 2023, la AEPD volvió a actualizar la Guía sobre el Uso de Cookies, en esta ocasión para adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD). En esta nueva modificación, la AEPD insistió en que podían existir casos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Sin embargo, el matiz que se introdujo en esta ocasión fue que dicha alternativa no tendrá por qué ser necesariamente gratuita. El plazo de implementación de las modificaciones establecidas por la nueva versión de la guía era 11 de enero de 2024.
Como hemos podido comprobar, a llegar la fecha de término del plazo la gran mayoría de medios de comunicación y paginas de divulgación de contenidos de ocio, cultura, etc. han procedido a la implementación de esta opción de manera casi inmediata (no queremos dejar de pasar la ocasión de asombrarnos ante la ferviente acogida de esta modificación, cuando el resto de obligaciones en privacidad y protección de datos cuesta tanto de poner en marcha).
Acerca de la legalidad de esta opción, como ya hemos visto, la AEPD en su guía contempla su viabilidad, pero sujeta a determinadas condiciones. Ya el TJUE en C-251/21 Meta Platforms vs Bundeskartellamt, cuya sentencia se publicó el 04 de julio de 2023, mencionó en relación al pago como opción:
Así pues, en el marco del proceso contractual, esos usuarios deben disponer de la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos.
La AEPD, y otras agencias europeas de protección de datos como la francesa CNIL https://www.cnil.fr/fr/cookie-walls-la-cnil-publie-des-premiers-criteres-devaluation, han avalado el uso de la opción de los muros de pago o Cookie Paywalls, siempre que se cumplan una serie de condiciones.
Las condiciones para las opciones de “paga o acepta” son:
- El consentimiento debe ser obtenido libremente, no se puede obligar al usuario a facilitar el consentimiento cuando la alternativa es desproporcionada, no equitativa o claramente improcedente.
- Se debe cumplir con las obligaciones de información relativas al consentimiento, evitando en todo momento el uso de los conocidos como patrones oscuros (https://www.aepd.es/prensa-y-comunicacion/blog/dark-patterns-manipulacion-en-los-servicios-de-internet)
- El coste debe ser proporcional y adecuado.
Sin embargo, la legalidad de esta modelo no es cuestión pacífica. La autoridad de protección de datos de la Baja Sajonia Alemana, (LfD), ha sancionado a una de las principales páginas de divulgación de noticias tecnológicas, www.heise.de, por el uso de la opción “paga o acepta” por los siguientes motivos:
- Ausencia de consentimiento antes del tratamiento.
- El consentimiento se ha obtenido de manera irregular, con falta de información e influyendo en el usuario.
- Costes desproporcionados. Según los denunciantes (la organización NOYB) es 428 veces más caro para los usuarios proteger su privacidad que lo que gana la empresa por procesar sus datos
https://noyb.eu/en/pay-or-okay-tech-news-site-heisede-illegal-decides-german-dpa
A día de hoy y a pesar de que, como hemos comentado, varias autoridades nacionales europeas parecen avalar este modelo, la organización sin ánimo de lucro con base en Viena y que ya tumbó en su momento el Privacy Shield (el acuerdo de transferencia internacional de datos entre la UE y EEUU), ha interpuesto una reclamación contra Meta por el uso de este modelo de “paga o acepta”, argumentando que el precio de un usuario por mantener su privacidad en Facebook o Instagram puede ascender a 251.88 € anuales y que, dado que la media de aplicaciones de un terminal móvil es de 35, si cada una de ellas sigue el camino empezado por Meta, el precio de mantener la privacidad de nuestro terminal y de todas y cada una de sus aplicaciones podría ascender a 8.815 € https://noyb.eu/en/noyb-files-gdpr-complaint-against-meta-over-pay-or-okay
La Comisión Europea, ante la preocupación social que generada por esta polémica ha puesto en marcha la iniciativa Cookie Plegde que ha sido positivamente acogida por el Comité Europeo de Protección de Datos. La Cookie Plegde quiere reunir a las todas las partes interesadas (empresa, desarrolladores, organizaciones de consumidores y usuarios, legisladores, etc.) y promover debates e intercambios de opiniones sobre el uso de cookies y cualquier otro sistema utilizado para rastrear el acceso en línea de los usuarios y su hábitos de navegación con el objetivo simplificar la gestión por parte de los usuarios de las cookies y opciones publicitarias personalizadas y potenciar el control de los usuarios sobre sus datos personales y privacidad.
Para finalizar, no podemos dejar de llamar la atención sobre la aparición de una nueva “brecha digital” entre aquellos que podrán acceder a contenidos y mantener su privacidad porque tienen recursos materiales y económicos para ello y aquellos que, para acceder a esos mismos contenidos, tendrán que vender su privacidad por carecer de esos recursos.
