El pasado 11 de enero fue un día crucial para el ecosistema digital: el fin del plazo para cumplir con las directrices de la Agencia Española de Protección de Datos (en adelante “AEPD”) sobre el uso de cookies[1]. Desde el día 11 de enero es obligatorio ofrecer la opción de rechazar las cookies en la primera capa informativa de las webs. Además, el botón de “rechazar” deberá tener el mismo lugar, formato y nivel que la opción de aceptar. Por ello, previendo un descenso importante de los ingresos publicitarios debido a la posibilidad de rechazar las cookies en bloque, hemos podido observar como muchas webs de periódicos digitales han implementado lo que se denomina “pay or ok” (consiente o paga) o “cookie paywalls”, es decir, un banner que bloquea el acceso a la página web y plantea una alternativa al usuario: (i) otorgar el consentimiento para la instalación de cookies publicitarias o (ii) pagar una cantidad para evitar que dichas cookies sean instaladas, e impedir así el rastreo del dispositivo.
La implementación de los cookie paywalls ha sido ampliamente criticada[2] por considerar que el consentimiento para la instalación de las cookies y para el tratamiento de los datos obtenidos a través de estos dispositivos no es un consentimiento libre, sino que está condicionado, dado que los usuarios no pueden rechazar las cookies sin sufrir consecuencias adversas (el pago de una cantidad de dinero).
En Europa, algunas autoridades de control se han pronunciado sobre el uso de cookie paywalls. La autoridad francesa[3] no niega la licitud de la utilización de muros de cookies con opciones de pago, siempre y cuando exista “una o varias alternativas reales y satisfactorias ofrecidas en caso de negativa a la instalación de los rastreadores”. La contraprestación monetaria no debe privar a los usuarios de una posibilidad real de elección, por lo tanto, el precio debe ser razonable (determinado caso por caso y justificado por el editor). En esta misma línea se sitúa la autoridad danesa[4]. En Italia, la autoridad[5] todavía no se ha pronunciado, pero ha emprendido una investigación para analizar las iniciativas concretas de cada uno de los periódicos que han adoptado esta solución.
Si bien la AEPD aún no se ha pronunciado específicamente sobre esta medida, en la Guía sobre el uso de cookies, publicada el 11 de julio de 2023, afirma, siguiendo la línea del TJUE[6], que la alternativa al rechazo de la instalación de las cookies publicitarias no tiene que ser necesariamente gratuita: “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.”
Es preciso señalar que la AEPD mantiene el criterio del Comité Europeo de Protección de Datos (“CEPD”, en adelante) que establece que la alternativa ofrecida al usuario deberá ser “genuinamente equivalente” a la opción que implica el consentimiento para las cookies. Porque si la tarifa solicitada fuera muy elevada o desproporcionada y, por lo tanto, económicamente inaccesible para la mayoría de los usuarios, esto podría interpretarse como una presión indebida que afecta la libertad de consentimiento.
En conclusión, la utilización del modelo “consiente o paga” es legal. Pero deben cumplirse los requisitos fijados por la AEPD. Por ello, los responsables del tratamiento deberán ser cautos y estar en condiciones de demostrar que ambas opciones son razonables y equivalentes, es decir, el importe o las condiciones de pago no sean demasiado onerosas de modo que los usuarios se vean "obligados" a otorgar su consentimiento.
[1] Texto completo de la Guía sobre el uso de cookies: https://www.aepd.es/documento/guia-cookies.pdf
[2] Entre otros, NOYB, organización europea sin ánimo de lucro que se ocupa de protección de datos, ha presentado una denuncia contra Meta por considerar que la opción del 'pay or okay' es contraria al RGPD: https://noyb.eu/es/noyb-files-gdpr-complaint-against-meta-over-pay-or-okay
[3] https://www.cnil.fr/fr/cookie-walls-la-cnil-publie-des-premiers-criteres-devaluation
[4] https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/cookies/cookie-walls
[5] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9816536
[6]https://curia.europa.eu/juris/document/document.jsf;jsessionid=10E0E9FB32441B31F8FFBF9D3287B432?text=&docid=276478&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=3250910