Consentir el tratamiento de nuestros datos personales o pagar, esta es la decisión a laque hoy en día nos vemos sometidos para poder acceder y navegar por un gran número de páginas web o apps.
Por intentar entender cómo hemos llegado a esta situación me remito, aunque no sea esta la única fuente, a la Guía sobre el uso de las cookies publicada por la Agencia Española de Protección de Datos (AEPD) en julio de 2023, y a la que además me referí en un artículo anterior de esta misma revista. En dicha guía la AEPD contemplaba la posibilidad de ofrecer una alternativa al usuario, no necesariamente gratuita, para el acceso a un sitio web o la utilización de los servicios ofrecidos en el mismo, en el supuesto de no aceptar el tratamiento de sus datos personales mediante el uso de cookies de publicidad comportamental.
El caso es que actualmente para poder acceder a gran número de páginas webs y apps, el usuario debe optar por aceptar el uso de sus datos personales con fines publicitarios opor el contrario rechazar dicho tratamiento y navegar sin publicidad a cambio de pagar una cantidad económica.
Esta gran proliferación de páginas webs en las que hay que pagar o consentir ha llevado al propio Comité Europeo de Protección de Datos (CEPD) a adoptar una Opinión sobrela validez de este tipo de consentimiento para el tratamiento de los datos personales utilizado por las plataformas en línea, a raíz de una petición de las Autoridades de Control holandesas, noruegas y alemanas, para que el CEPD emitiera un dictamen con el fin garantizar la aplicación uniforme del Reglamento General de Protección de Datos (RGPD) en todo el Espacio Económico Europeo.
Lo cierto es que, si bien en su Opinión el CEPD analiza este tipo de modelos de consentimiento para las grandes plataformas en línea, dicho Comité ya está trabajando para emitir una nueva postura en relación con otros modelos de consentimiento o pago más allá de los utilizados por las citadas plataformas.
A continuación, destaco algunos aspectos a tener en cuenta de la Opinión del CEP:
En primer lugar, lo que se discute. Concretamente, si la autorización dada a través del modelo consentimiento o pago, es válida y conforme al RGPD, ya que tener que aceptar el uso de cookies de publicidad comportamental pulsando un botón para poder acceder y navegar gratis; o, en caso contrario, tener que rechazar dichas cookies a cambio de pagar una cantidad, no parece precisamente una manifestación de voluntad libre por parte del usuario.
Y ¿qué dice al respecto el CEPD? Que el tratamiento de datos a través del uso de cookies de publicidad comportamental no cumple los requisitos de un consentimiento válido si la opción para los usuarios es aceptar el tratamiento de sus datos con fines de publicidad comportamental o pagar una tarifa. Es decir, consentir para ser rastreados con fines de publicidad comportamental o pagar para poder acceder a los servicios y contenidos sin que los datos sean tratados con dicha finalidad. Según el Comité, losdatos personales no son un bien comercializable y por ello se debe ofrecer a los usuarios una alternativa.
Precisamente, esta situación está provocando que los usuarios que navegan por páginasweb dónde se les obliga a consentir o pagar, acepten la mayoría el tratamiento de sus datos sin saber exactamente que se hará con ellos; otros pocos, paguen la cantidad indicada para evitar el rastreo y la publicidad a través de cookies; y un número muyreducido de usuarios utilice técnicas para saltarse la obligación de consentir o pagar, mediante complementos o herramientas instaladas en los propios navegadores para evitar la presencia de la ventana consentir o pagar, aunque ello limite algunos serviciosy contenidos ofrecidos en la página.
Por otra parte, el CEPD pone el foco en la granularidad como condición del consentimiento para que se dé libremente. El usuario debe poder aceptar, de manera separada, cada uno de los fines para los cuales van a ser tratados sus datos y no tener que autorizar un conjunto global de finalidades de tratamiento de sus datos personales como sucede con el modelo consentimiento o pago.
En segundo lugar, el CEPD se centra en las cookies de publicidad comportamental que son aquellas que almacenan información sobre el comportamiento de los usuarios, de manera que, tras rastrear durante un tiempo su historial de navegación, se puede obtener un perfil específico que permita ofrecer a dichos usuarios productos y servicios adecuados a sus intereses y preferencias. Algo que puede ir más a allá de la simple publicidad, al poder afectar a la personalidad o a la orientación ideológica, sexual, etc.
Finalmente, el CEPD también se refiere a los requisitos que debe reunir el consentimiento para ser considerado válido y, como condición principal, se destaca que el consentimiento debe ser otorgado libremente y es obvio que cualquier tarifa impuesta no permite a los usuarios tomar una decisión libre. Por ello, el CEPD contempla lo que parece una tercera alternativa a la elección entre consentir y pagar, consistente en la gratuidad y sin publicidad comportamental, con el mínimo tratamiento de datospersonales, o ninguno, para que el usuario pueda realmente ejercer una elección libre.
No obstante y a pesar de lo anterior, el CEPD también deja la puerta abierta a que los responsables del tratamiento de los datos derivados del uso de cookies evalúen, caso por caso, si una tarifa es adecuada y el importe de la misma no sea “inapropiadamente alta” apelando al principio de responsabilidad proactiva y a la tarea que tienen las Autoridades de Control de hacer cumplir el RGPD en relación con dicho principio, con el fin de encontrar un equilibrio entre cualquier tarifa y la libertad de elección de los usuarios.
Respecto a la citada tarifa, el CEPD no cuestiona la libertad de las empresas para fijar sus propios precios, pero sí recuerda la necesidad de conjugar los principios de equidad y de responsabilidad en relación con el derecho fundamental a la protección de datos personales que tiene cualquier usuario a la hora de determinar una tarifa apropiada en un caso determinado. Eso sí, exige a las empresas documentar cualquier tipo de evaluación y decisión sobre si una tarifa determinada es apropiada para demostrar que imponer dicha tarifa no limita la libertad del usuario para otorgar su consentimiento.
Con este panorama incierto y como conclusión, mientras esperamos futuras opiniones del CEPD en esta materia, lo que está claro es que a corto plazo no será fácil encontrar una solución común cuando la misma depende de todas las Autoridades de Control europeas porque, recordemos, que el RGPD se aplica a cualquier tratamiento de datos derivado de una oferta de bienes y servicios realizado tanto por empresas de la Unión Europea como establecidas fuera de la Unión destinados a ciudadanos europeos. En otras palabras, no sabemos cuál será la fórmula para conseguir un consentimiento válido, pero sin duda, el modelo que se adopte deberá encontrar un equilibrio que permita a las empresas seguir ofreciendo sus servicios, incluso sin descartar un coste para el usuario y, al mismo tiempo, garantizar el derecho a la protección de datos de los usuarios para poder decidir libremente quién y para qué se utilizan dichos datos personales.
Iciar Marzo Portera.
Abogada y Mediadora.