El Comité Europeo de Protección de Datos dictamina sobre los modelos de «consentimiento o pago» de las grandes plataformas

29-04-2024 — AR/2024/033

El dictamen aborda la validez jurídica del consentimiento para tratar datos personales con fines de publicidad comportamental cuando las grandes plataformas en línea ofrecen al usuario solo la opción de «consentimiento o pago».

El Comité Europeo de Protección de Datos (CEPD, o EDPB en siglas inglesas) emitió, el 17-4-2024, un dictamen¹ a solicitud de las autoridades de protección de datos holandesa, noruega y de Hamburgo.

Este dictamen:

aborda la validez del consentimiento para tratar datos personales con fines de publicidad comportamental a partir de los modelos de consentimiento o pago de las grandes plataformas en línea,² e
indica que se refiere a las «grandes plataformas en línea», como las define el artículo 3.i) de la conocida como ley de servicios digitales.³

Resumimos los criterios del Comité en este dictamen.

Modelos de consentimiento o pago

El dictamen

entiende por «modelos de consentimiento o pago» los que un responsable del tratamiento ofrece a los interesados para que elijan entre al menos dos opciones para acceder a un servicio en línea:
- consentir el tratamiento de sus datos personales para un fin determinado, o
- pagar una cuota y acceder al servicio en línea sin que sus datos personales sean tratados para ese fin;
expresa en el dictamen que, en la mayoría de los casos, las grandes plataformas en línea no podrán cumplir con los requerimientos del consentimiento válido si solo proponen esas dos opciones para tratar sus datos para fines de publicidad comportamental.

Consentimiento

Recuerda, además, que se entiende como consentimiento: «toda manifestación de voluntad, libre, específica, informada e inequívoca, mediante la que el interesado, por declaración o mediante una clara acción afirmativa, consienta el tratamiento de datos personales que le conciernan» (artículo 4.11 del Reglamento General de Protección de Datos⁴).

Evaluación de la validez jurídica

Estos modelos de consentimiento o pago plantean cuestiones sobre la interpretación y aplicación del propio consentimiento.

Por eso, el dictamen:

evalúa la validez del consentimiento cuando se utiliza como base jurídica para tratar datos personales con fines de publicidad comportamental en los modelos de consentimiento o pago de las grandes plataformas en línea, y
recalca la necesidad de que los responsables del tratamiento cumplan todos los requisitos de la protección de datos, pero en particular los requisitos para un consentimiento válido.

Requisitos para que el consentimiento sea válido

Para que el consentimiento sea válido, tiene que ser:

Libre. Es decir, tiene que haberse dado libremente. Para esto, las grandes plataformas en línea deben tener en cuenta:
- si el interesado sufre un perjuicio como consecuencia de no dar o retirar su consentimiento;
- si existe desequilibrio de poder entre el interesado y la plataforma:
  - para esto, hay que considerar factores como la posición de la empresa en el mercado, la existencia de efectos de bloqueo o de red, la medida en el que el interesado confía en el servicio y la categoría de los usuarios del servicio;
- si hay disponible una alternativa equivalente:
  - es decir, que se dé a los interesados una versión alternativa del servicio en cuestión ofrecida por el mismo responsable del tratamiento que no implique el consentimiento para tratar datos personales para publicidad comportamental; y
- si la tasa es apropiada.
Informado. Los responsables del tratamiento tienen la responsabilidad de crear y documentar un proceso de información que permita a los interesados comprender plena y claramente el valor, el alcance y las consecuencias de sus posibles opciones.
Específico. Las grandes plataformas en línea deben definir y delimitar con precisión los fines de las actividades de tratamiento para las que se requiere el consentimiento.

Recomendación final

Con esta interpretación, en la mayoría de los casos, las grandes plataformas en línea no van a cumplir los requisitos para un consentimiento válido si se basan en que el usuario elija entre una opción binaria como la indicada antes.

El CEPD, en este dictamen:

Por una parte, recuerda:
- que los datos personales no pueden considerarse una mercancía comercializable, y
- que las grandes plataformas en línea deben evitar que el derecho fundamental a la protección de datos se transforme en una característica por la que los interesados tengan que pagar para disfrutarlo.
Por otra, dictamina:
- que ofrecer solo una alternativa de pago al servicio que incluye el tratamiento con fines de publicidad comportamental no debería ser el camino que, por defecto, sigan los responsables del tratamiento;
- que, por el contrario, deberían considerar la posibilidad de ofrecer una «alternativa equivalente» a la versión del servicio con publicidad basada en el comportamiento que no implique el pago de una tasa: por ejemplo una forma diferente de publicidad que no esté basada en el comportamiento.

¹ European Data Protection Board: «Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms» (Opinion of the Board – art. 64), 17-4-2024 (adjunto).

² «Plataforma en línea»: un servicio de alojamiento de datos que, a petición de un destinatario del servicio, almacena y difunde información al público, salvo que esa actividad sea una característica menor y puramente auxiliar de otro servicio o una funcionalidad menor del servicio principal y que no pueda utilizarse sin ese otro servicio por razones objetivas y técnicas, y que la integración de la característica o funcionalidad en el otro servicio no sea un medio para eludir la aplicabilidad del presente Reglamento».

³ Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).

⁴ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Iniciativas relacionadas

«E-privacy»

Alertas Relacionadas

Análisis de la guía sobre el uso de cookies de la Agencia Española de Protección de Datos

13-11-2019—AR/2019/063
La AEPD actualiza su guía de cookies para ajustarla a los requisitos del Comité Europeo de Protección de Datos

28-07-2020—AR/2020/128
La AEPD publica la «Guía uso de cookies para herramientas de medición de audiencias»

24-01-2024—AR/2024/009
La Agencia Española de Protección de Datos actualiza la guía sobre el uso de cookies

13-07-2023—AR/2023/098

Documentos vinculados

Ámbitos

Protección de datos