El pasado 17 de abril, el Comité Europeo de Protección de Datos (CEPD) emitió un dictamen analizando si la práctica seguida por las grandes plataformas en línea, consistente en ofrecer a los usuarios la opción entre pagar por el servicio o acceder a él de forma gratuita pero con publicidad comportamental, es conforme al Reglamento General de Protección de Datos, en especial en lo tocante a los requisitos que deben observarse a la hora de recabar el consentimiento de los interesados.
Previamente al análisis de fondo resulta necesario mencionar que el ámbito subjetivo del Dictamen se circunscribe a “grandes plataformas en línea” las cuales se definen en el apartado 2.1.3 del Dictamen. No obstante, la limitación en el alcance del Dictamen, resulta interesante para el resto de agentes que hayan abrazado esta práctica tener presente las conclusiones que se alcanzan porque, al igual que sucediera con dictámenes anteriores con similar alcance subjetivo, pueden resultar finalmente aplicables también a estos últimos, aunque no tengan la condición de “Gran plataforma en línea”, y así lo menciona el propio CEPD en su Dictamen.
Aclarado lo anterior, procede analizar el fondo del asunto que no es otro que establecer las directrices que deben respetarse para adoptar el modelo denominado: “consentimiento o pago” y cuya definición pormenorizada se ofrece en el apartado 2.1.1 del Dictamen, y que en resumen consiste en ofrecer al usuario la opción de pagar una cuantía económica a cambio de ofrecerle el servicio sin cookies de publicidad comportamental (definido en el apartado 2.1.2 del Dictamen) pero pudiendo realizar otro tipo de tratamientos de datos que impliquen el seguimiento de los hábitos de navegación del usuario para finalidad distinta de la de ofrecerle publicidad personalizada.
Así, la cuestión a dilucidar es si las opciones y la información asociada a las mismas que se facilitan al interesado son suficientes para entender que el interesado esta eligiendo libremente entre las opciones y por ende si su consentimiento es conforme al RGPD. A este respecto, el CEPD concluye que en la mayor parte de los casos en los que se está empleando esta modalidad de acceso a grandes plataformas en línea no se estarían cumpliendo los principios del RGPD ni los requisitos específicos relativos al consentimiento. En concreto, en cuanto al consentimiento el CEPD establece que debe analizarse si el consentimiento:
Se otorga de forma libre: Esto implica que:
-
La negativa a otorgar el consentimiento no puede tener consecuencias negativas para el interesado. En el caso de las grandes plataformas en línea esto puede ser difícil de acreditar en la medida en que la negativa a pagar supone en la práctica la imposibilidad de usar un servicio lo que tiene un impacto importante en la vida social y/o profesional del interesado o en su forma de comunicarse.
-
No puede existir desequilibrio entre las Partes: Este elemento suele ser especialmente relevante a la hora de analizar la validez del consentimiento otorgado en el ámbito laboral. En este caso, el CEPD ofrece una serie de elementos a analizar por las grandes plataformas en línea a los efectos de determinar si existe desequilibro, a saber, por ejemplo, la posición de la plataforma en el mercado, el posible bloqueo de acceso a redes sociales o de trabajo…
-
Que se ofrezca una alternativa equivalente: Este punto es especialmente interesante porque si bien el servicio de “pago por datos” y el de “pago económico” son equivalentes en la práctica, el CEPD matiza que ofrecer únicamente una alternativa de pago dificulta el poder acreditar que se ofrece una alternativa real al usuario complicando el considerar que el consentimiento se ha otorgado de forma libre. Así, se recomienda facilitar opciones de acceso gratuitas con tratamientos menos invasivos que la publicidad comportamental y dejar el acceso mediante pago para aquellos accesos libres de tratamientos de datos no necesarios para la prestación del servicio.
-
Coste del acceso: El CEPD señala que el importe establecido puede impedir en la práctica que los interesados sean libres de tomar una decisión por lo que establece la importancia de analizar caso por caso el importe que se establece y recuerda que los datos de carácter personal no son un objeto de comercio y que en ningún caso puede convertirse la privacidad en un derecho únicamente ejercitable por quienes ostentan un poder adquisitivo elevado.
-
Que se otorga de forma informada: El consentimiento para que sea válido debe otorgarse tras haber recibido información suficiente sobre el tratamiento sobre el que se está consintiendo. En este sentido el CEPD señala que se debe hacer un ejercicio didáctico importante a la hora de facilitar la información para garantizar que esta se adapte a la audiencia a la que va dirigida, en especial si son menores.
-
Que es específico: La forma de recabar el consentimiento debe garantizar que el interesado únicamente consiente aquellos tratamientos sobre los que quiere consentir de forma separada, para ello se deben evitar patrones oscuros y se debe ofrecer una granularidad suficiente evitando, por ejemplo, unir el consentimiento a la publicidad comportamental con otros tratamientos de datos.
-
Que resulta fácilmente revocable: Se debe evitar el uso de patrones oscuros encaminados a impedir la retirada del consentimiento una vez otorgado.
Así, si bien el CEPD manifiesta que resulta improbable el cumplimiento de las Grandes Plataformas en Línea con los requisitos recogidos en este Dictamen no concluye ni menciona incumplimiento por ninguna de ellas, limitándose, en el marco de sus funciones, a otorgar directrices claras a las Autoridades de Control para que puedan evaluar el cumplimiento de estos principios por parte de los Responsables, que se encuentren bajo su jurisdicción.
En el caso de la Agencia Española de Protección de Datos, habrá que ver los próximos movimientos en especial en materia de cookies ya que, en la recientemente actualizada Guía de Cookies editada por dicha entidad, se recogía expresamente la posibilidad de ofrecer una alternativa no necesariamente gratuita para el caso de que el usuario no quisiera consentir el uso de cookies.