Últimamente muchos habrán notado que al acceder a algunas páginas obligan a pagar una determinada cuantía para poder rechazar las cookies. Normalmente suelen hacerlo paginas con servicios de suscripción. Quizá el más notable ejemplo es Meta con el sitio web Facebook, aunque cada vez más se está extendiendo a otros menos conocidos.
Este modelo se le conoce como “consent or pay” (consiente o paga) y ha armado un gran revuelo, con argumentos aceptables en ambos lados, pero ¿es legal?
¿Qué es una cookie?
Una cookie permite el almacenamiento en el terminal del usuario (ordenador, móvil, Tablet…) de cantidades de datos que van de unos pocos kilobytes a varios megabytes. Dicha información puede ser utilizada para una amplia gama de finalidades, desde almacenar los productos de tu tienda web que están en tu carrito hasta recabar la información sobre tus hábitos de navegación para permitir personalizar tu publicidad.
¿En que se fundamentan las empresas para hacer esta práctica?
Muchas empresas probablemente se fundamenten en una sentencia del Tribunal de Justicia de la Unión Europea de 4 de julio de 2023 de Meta Platforms y otros vs Bundeskartellamt (Caso C-252/21). En dicha sentencia el TJUE establecía lo siguiente:
(…) esos usuarios deben disponer de la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos (…)
En dicha sentencia, el Tribunal Europeo sentaba la posibilidad de establecer un modelo “consent or pay”. Sin embargo, estas interpretaciones no son a priori vinculante y es posible que su criterio cambie.
A nuestro criterio, muchas páginas web especialmente Facebook peca en aplicar erróneamente el anterior pronunciamiento. En concreto, la resolución no establece ipso facto la posibilidad de establecer una “remuneración” para quienes no quieran ese tratamiento, tan solo dispone su posibilidad “en su caso”. De manera que cabría analizar caso por caso la posición del usuario, como se pide dicho consentimiento, que alternativa se ofrece, la remuneración que se ofrece y, sobretodo, si existen “alternativas equivalentes no acompañadas de tales operaciones de datos” que resultan menos agresivas para con la libertad de consentimiento de los usuarios.
¿Qué establece la normativa?
La normativa no dedica una regulación única para las “cookies”, pero cabe extraer su marco legal de dos normas principalmente: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (“LSSICE”); y el Reglamento Europeo de Protección de Datos.
La LSSICE en su art. 22 diferencia dos tipos de cookies a efectos legales:
- Las “cookies técnicas”: que son cookies estrictamente necesarias para prestar el servicio web, sin las cuales sería imposible acceder a la web, hacerlo sería más complicado o bien habría muchos problemas técnicos al hacerlo. Por ejemplo, cuando reproducimos un video en un sitio web para que pueda funcionar el sitio almacena la información sobre su reproducción en una cookie.
- El resto de las cookies: son todas aquellas cookies que sin ser necesarias el responsable desea usar en su sitio web. Los ejemplos más comunes entre estas cookies son las cookies de personalización de publicidad, las cuales recaban tu información para ofrecerte publicidad más adecuada a tus gustos y preferencias.
La diferenciación elemental entre ellas, a efectos legales, es la necesidad de recabar consentimiento para su utilización. Mientras que en las cookies técnicas no es necesario recaba el consentimiento, en las demás cookies sí que se necesita recabarlo.
De hecho, es por ello por lo que cuando configuramos las cookies de un sitio web no dejan aceptar o rechazar las “cookies técnicas o necesarias”.
El consentimiento que debe recabar el sitio web debe reunir las condiciones del art. 7 del Reglamento Europeo de Protección de datos. Dicho artículo dispone que el consentimiento ha de ser:
- Informado
- Libre
- Especifico
- inequívoco
Si no cumple alguno de estas condiciones, no ser considera un consentimiento valido con lo que se entiende como que no se ha recabado ningún consentimiento.
¿Realmente es legal?
La cuestión gira en torno al cumplimiento del requisito de consentimiento libre a la hora de aceptar estas cookies. Muchos expertos en Protección de Datos han establecido que obligar a pagar un canon para poder rechazar las cookies implica que no se da al usuario una plena libertad de rechazarlas. Por tanto, al no poder libremente rechazarlas tampoco se puede considerar que puede dar un consentimiento igualmente libre.
En este sentido el Comité Europeo de Protección de Datos en sus Directrices 5/2020 sobre el sentido del consentimiento en el RGPD ha establecido, que para que se pueda considerar un consentimiento libre, es necesario que el usuario tenga posibilidades reales de elección y no debe de haber un desequilibrio de poder. En cuanto a las posibilidades reales de elección es cierto que se puede argumentar que, en verdad, esta práctica ofrece una posibilidad “real” de rechazar las cookies. Cuestión distinta es que dicha alternativa sea perjudicial y genere una presión o coerción en el usuario en aceptar las cookies, lo cual nos lleva a la siguiente consideración.
El consentimiento debe hacerse, en la medida de lo posible, en igualdad de condiciones. Ello implica en palabras del propio Comité lo siguiente:
Como ha subrayado el GT29 en diversos dictámenes, el consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe riesgo de engaño, intimidación, coerción o consecuencias negativas importantes (por ejemplo, costes adicionales sustanciales) si no da su consentimiento. El consentimiento no será libre en aquellos casos en los que exista un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad.
Así pues, cabe considerar esa obligación de pagar para rechazarlas como una “coerción”, “consecuencia negativa importante” o “presión” sustancial en aceptar las cookies. Más aun cuando los usuarios, en lo que respecta a cookies, suelen tomar decisiones sobre sus datos en gran medida influenciados por la facilidad o no de rechazar dicho tratamiento. Es decir, los usuarios suelen tomar decisiones, en relación con las cookies, en la mayoría de las ocasiones basadas en la facilidad o dificultad que tienen para rechazar dicho tratamiento. Si la opción de rechazar es más accesible, la mayoría preferirá “por si acaso” rechazar dicho tratamiento. Pero si la opción de rechazar está escondida o es tedioso encontrarla (aunque sea mínimamente), el usuario suele tomar el camino fácil y aceptar el tratamiento.
En este sentido el Comité ha reconocido y confrontado este tema en sus Directrices 3/2022 donde enumera las llamadas “deceptive design patterns”. Estos son una serie diseños de las tecnologías que recaban consentimiento en las Redes Sociales, los cuales tienden a influenciar al usuario para tomar una decisión que va en contra de sus intereses.
¿Por qué intentan aun así estas empresas estas medidas? La respuesta es simple. Las empresas que emprenden estas técnicas son aquellas cuyos ingresos web dependen en gran medida del comercio con esos datos. Por lo que, implementar las medidas que están requiriendo las autoridades (como facilitar el rechazo del tratamiento de cookies), resultaría en menos datos con los que comerciar y, con ello, en menos ingresos.
Aun así, está por ver que determinarán los organismos europeos y los tribunales sobre estas cuestiones, dado que ya se han presentado incontables denuncias a las autoridades de protección de datos. En caso de que se confirme este modelo por el TJUE estaremos ante un hecho histórico que marcará la forma en la que usaremos y accederemos a sitios web.